Ensure Trusted Launch is enabled on Virtual Machines
Proč na tom záleží
Trusted Launch kombinuje Secure Boot a virtuální Trusted Platform Module (vTPM) k ochraně virtuálních počítačů Azure před útoky na úrovni zavádění systému, jako jsou bootkity, rootkity a rootkity firmwaru. Bez této ochrany může útočník, který získá přístup na nízké úrovni, nahradit zavaděče nebo manipulovat s procesem zavádění, což může ohrozit integritu systému a zabezpečení dat. Povolení Trusted Launch pomáhá detekovat neoprávněné změny zavádění a brání spuštění škodlivého kódu během startu.
Co kontroluje Aether365
Aether365 ověřuje, zda je na virtuálních počítačích Azure povolena funkce Trusted Launch, a potvrzuje, že jsou aktivní Secure Boot i vTPM. Tato kontrola se zobrazí na vašem dashboardu Aether365 v sekci kontrol azure-azure-virtual-machines.
Jak opravit
Chcete-li povolit Trusted Launch na stávajícím virtuálním počítači generace 2 pomocí portálu Azure:
- Před provedením změn vytvořte bod obnovení virtuálního počítače, abyste předešli ztrátě dat. Použijte portál Azure tak, že přejdete na svůj virtuální počítač, vyberete "Disaster recovery" nebo "Backup" a vytvoříte bod obnovení.
- Otevřete portál Azure, přejděte na Virtual Machines a vyberte virtuální počítač, který chcete upravit.
- V levé nabídce v části Settings vyberte Configuration.
- V sekci Trusted Launch zaškrtněte políčko Secure Boot a políčko vTPM.
- Klikněte na Apply v horní části stránky pro uložení změn. Virtuální počítač se automaticky restartuje, aby použil novou konfiguraci.
Compliance
- CIS Microsoft Azure Foundations 3.0.0: Sekce 8.11 (Úroveň 1)
- AzAudit (EIDSCA)
- CISA
Související zdroje
- Trusted launch for Azure virtual machines
- Enable Trusted Launch on an existing VM
- Enable Trusted Launch on existing VM via portal
- Secure Boot documentation