Ensure Trusted Launch is enabled on Virtual Machines
Warum dies wichtig ist
Trusted Launch kombiniert Secure Boot und ein virtuelles Trusted Platform Module (vTPM), um Azure-VMs vor Boot-Angriffen wie Bootkits, Rootkits und Firmware-Rootkits zu schützen. Ohne diesen Schutz kann ein Angreifer, der Zugriff auf niedriger Ebene erlangt, Bootloader ersetzen oder den Bootprozess manipulieren, was die Systemintegrität und Datensicherheit gefährden kann. Die Aktivierung von Trusted Launch hilft, unbefugte Boot-Änderungen zu erkennen und verhindert die Ausführung von Schadcode während des Systemstarts.
Was Aether365 prüft
Aether365 überprüft, ob Trusted Launch auf Azure-VMs aktiviert ist, und bestätigt, dass sowohl Secure Boot als auch vTPM aktiv sind. Diese Prüfung wird in Ihrem Aether365-Dashboard im Bereich "azure-azure-virtual-machines" angezeigt.
Fehlerbehebung
So aktivieren Sie Trusted Launch auf einer vorhandenen Generation-2-VM über das Azure Portal:
- Erstellen Sie einen VM-Wiederherstellungspunkt vor der Änderung, um Datenverlust zu vermeiden. Navigieren Sie im Azure Portal zu Ihrer VM, wählen Sie "Disaster recovery" oder "Backup" und erstellen Sie einen Wiederherstellungspunkt.
- Öffnen Sie das Azure Portal, navigieren Sie zu Virtual Machines und wählen Sie die VM aus, die Sie ändern möchten.
- Wählen Sie im linken Menü unter Settings die Option Configuration aus.
- Aktivieren Sie im Abschnitt Trusted Launch die Kontrollkästchen für Secure Boot und vTPM.
- Klicken Sie oben auf der Seite auf Apply, um die Änderungen zu speichern. Die VM wird automatisch neu gestartet, um die neue Konfiguration zu übernehmen.
Compliance
- CIS Microsoft Azure Foundations 3.0.0: Abschnitt 8.11 (Stufe 1)
- AzAudit (EIDSCA)
- CISA
Verwandte Ressourcen
- Trusted launch for Azure virtual machines
- Enable Trusted Launch on an existing VM
- Enable Trusted Launch on existing VM via portal
- Secure Boot documentation