Ensure Trusted Launch is enabled on Virtual Machines
Защо това има значение
Trusted Launch съчетава Secure Boot и виртуален Trusted Platform Module (vTPM) за защита на Azure виртуалните машини от атаки на ниво зареждане, като bootkits, rootkits и фърмуерни rootkits. Без тази защита нападател, получил достъп на ниско ниво, може да замени bootloader-и или да манипулира процеса на зареждане, потенциално компрометирайки целостта на системата и сигурността на данните. Активирането на Trusted Launch помага за откриване на неоторизирани промени в зареждането и предотвратява изпълнението на зловреден код по време на стартиране.
Какво проверява Aether365
Aether365 проверява дали Trusted Launch е активиран на Azure виртуални машини, потвърждавайки, че както Secure Boot, така и vTPM са активни. Тази проверка се появява във вашия Aether365 табло под секцията azure-azure-virtual-machines checks.
Как да коригирате
За да активирате Trusted Launch на съществуваща Generation 2 виртуална машина чрез Azure Portal:
- Създайте точка за възстановяване на виртуалната машина преди да направите промени, за да избегнете загуба на данни. Използвайте Azure Portal, като навигирате до вашата виртуална машина, изберете "Disaster recovery" или "Backup", и създайте точка за възстановяване.
- Отворете Azure Portal, отидете на Virtual Machines и изберете виртуалната машина, която искате да промените.
- В лявото меню, под Settings, изберете Configuration.
- Под секцията Trusted Launch, поставете отметка в квадратчето за Secure Boot и квадратчето за vTPM.
- Натиснете Apply в горната част на страницата, за да запазите промените. Виртуалната машина ще се рестартира автоматично, за да приложи новата конфигурация.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0: Раздел 8.11 (Ниво 1)
- AzAudit (EIDSCA)
- CISA
Свързани ресурси
- Trusted launch for Azure virtual machines
- Enable Trusted Launch on an existing VM
- Enable Trusted Launch on existing VM via portal
- Secure Boot documentation