Ensure Trusted Launch is enabled on Virtual Machines
De ce este important
Trusted Launch combină Secure Boot și Virtual Trusted Platform Module (vTPM) pentru a proteja mașinile virtuale Azure împotriva atacurilor la nivelul boot-ului, cum ar fi bootkits, rootkits și rootkits de firmware. Fără această protecție, un atacator care obține acces la nivel scăzut poate înlocui bootloaderele sau poate manipula procesul de boot, compromițând potențial integritatea sistemului și securitatea datelor. Activarea Trusted Launch ajută la detectarea modificărilor neautorizate ale boot-ului și împiedică executarea codului malițios în timpul pornirii.
Ce verifică Aether365
Aether365 verifică dacă Trusted Launch este activat pe mașinile virtuale Azure, confirmând că atât Secure Boot, cât și vTPM sunt active. Această verificare apare în tabloul de bord Aether365, în secțiunea azure-azure-virtual-machines checks.
Cum se remediază
Pentru a activa Trusted Launch pe o mașină virtuală Generation 2 existentă, folosind portalul Azure:
- Creați un punct de restaurare pentru mașina virtuală înainte de a face modificări, pentru a evita pierderea datelor. Utilizați portalul Azure navigând la mașina virtuală, selectând "Disaster recovery" sau "Backup," și creați un punct de restaurare.
- Deschideți portalul Azure, accesați Virtual Machines și selectați mașina virtuală pe care doriți să o modificați.
- În meniul din stânga, sub Settings, selectați Configuration.
- Sub secțiunea Trusted Launch, bifați căsuța pentru Secure Boot și căsuța pentru vTPM.
- Faceți clic pe Apply în partea de sus a paginii pentru a salva modificările. Mașina virtuală se va reporni automat pentru a aplica noua configurație.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0: Secțiunea 8.11 (Nivelul 1)
- AzAudit (EIDSCA)
- CISA
Resurse conexe
- Trusted launch for Azure virtual machines
- Enable Trusted Launch on an existing VM
- Enable Trusted Launch on existing VM via portal
- Secure Boot documentation