Ensure Trusted Launch is enabled on Virtual Machines
Dlaczego to jest ważne
Trusted Launch łączy Secure Boot i wirtualny Trusted Platform Module (vTPM), aby chronić maszyny wirtualne Azure przed atakami na poziomie rozruchu, takimi jak bootkity, rootkity i rootkity oprogramowania układowego. Bez tej ochrony osoba atakująca, która uzyska dostęp niskiego poziomu, może podmienić programy ładujące lub naruszyć proces uruchamiania, potencjalnie zagrażając integralności systemu i bezpieczeństwu danych. Włączenie Trusted Launch pomaga wykrywać nieautoryzowane zmiany w procesie rozruchu i zapobiega wykonywaniu złośliwego kodu podczas uruchamiania.
Co sprawdza Aether365
Aether365 weryfikuje, czy Trusted Launch jest włączony na maszynach wirtualnych Azure, potwierdzając, że zarówno Secure Boot, jak i vTPM są aktywne. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji azure-azure-virtual-machines checks.
Jak to naprawić
Aby włączyć Trusted Launch na istniejącej maszynie wirtualnej drugiej generacji za pomocą Azure Portal:
- Przed wprowadzeniem zmian utwórz punkt przywracania maszyny wirtualnej, aby uniknąć utraty danych. Użyj Azure Portal, przechodząc do swojej maszyny wirtualnej, wybierając pozycję "Disaster recovery" lub "Backup", a następnie tworząc punkt przywracania.
- Otwórz Azure Portal, przejdź do Virtual Machines i wybierz maszynę wirtualną, którą chcesz zmodyfikować.
- W lewym menu, w obszarze Settings, wybierz Configuration.
- W sekcji Trusted Launch zaznacz pole wyboru dla Secure Boot i pole dla vTPM.
- Kliknij Apply u góry strony, aby zapisać zmiany. Maszyna wirtualna uruchomi się ponownie automatycznie, aby zastosować nową konfigurację.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0: Sekcja 8.11 (Poziom 1)
- AzAudit (EIDSCA)
- CISA
Powiązane zasoby
- Trusted launch for Azure virtual machines
- Enable Trusted Launch on an existing VM
- Enable Trusted Launch on existing VM via portal
- Secure Boot documentation