Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-Gen2-VMs

Gilt für: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM

Azure Virtual Machines unterstützt die Aktivierung des vertrauenswürdigen Starts von Azure für eine vorhandene Azure-Gen2-VM durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.

Der vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf VMs der Azure Generation 2 zu ermöglichen und vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits zu schützen. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM (virtual Trusted Platform Module) und Überwachung der Startintegrität in Ihrer VM.

Important

Unterstützung für das Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs der Azure Generation 1 ist verfügbar. Informationen zum Upgrade vorhandener Azure Gen1-VMs auf Gen2-Trusted Launch finden Sie unter Upgrade vorhandener Azure Gen1-VMs.

Prerequisites

Die Azure-VM ist konfiguriert mit:

VM-Familie mit Unterstützung für den vertrauenswürdigen Start.
Betriebssystemversion (OS), die vertrauenswürdigen Start unterstützt. Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollten die Basisimages für den vertrauenswürdigen Start geeignet sein.
Eine Azure-VM verwendet keine Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
Sofern Azure Backup für die VMs aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp "Vertrauenswürdiger Start" kann nicht für VMs aktiviert werden, die mit dem Standardrichtliniensicherungsschutz konfiguriert sind.
- Eine vorhandene Azure VM-Sicherung kann von der Standard zur Erweiterten Richtlinie migriert werden. Führen Sie die Schritte in Migrieren von Azure VM-Sicherungen von der Richtlinie Standard zu Erweitert (Vorschau) aus.

Bewährte Methoden

Aktivieren Sie den vertrauenswürdigen Start auf einer VM der 2. Generation zu Testzwecken, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie den vertrauenswürdigen Start für VMs der 2. Generation aktivieren, die Produktionsworkloads zugeordnet sind.
Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs der 2. Generation, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM der 2. Generation in einem bekannten Zustand neu zu erstellen.
Überprüfen Sie für Linux-VMs die sichere Startkompatibilität mithilfe des SBInfo Tools. Informationen zu verteilungsbasierten Installationsbefehlen finden Sie unter SBInfo".

Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM

Note

vTPM ist standardmäßig aktiviert.
Der sichere Start ist standardmäßig nicht aktiviert. Es wird dringend empfohlen, den sicheren Start zu aktivieren, wenn Sie keinen benutzerdefinierten nicht signierten Kernel oder Treiber verwenden. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.

Aktivieren Sie den vertrauenswürdigen Start auf einer vorhandenen Azure-VM der 2. Generation mit dem Microsoft Azure-Portal.

Melden Sie sich beim Azure-Portal an.
Vergewissern Sie sich, dass die VM-Generation V2 ist, und wählen Sie "Beenden " für den virtuellen Computer aus.
Wählen Sie auf der Seite "Übersicht" in den VM-Eigenschaften unter "Sicherheitstyp" die Option "Standard" aus. Die Konfigurationsseite für den virtuellen Computer wird geöffnet.
Wählen Sie auf der Seite "Konfiguration " unter dem Abschnitt "Sicherheitstyp " die Dropdownliste " Sicherheitstyp " aus.
Wählen Sie unter der Dropdownliste die Option "Vertrauenswürdiger Start" aus. Aktivieren Sie Kontrollkästchen, um den sicheren Start und vTPM zu aktivieren. Nachdem Sie die Änderungen vorgenommen haben, wählen Sie "Speichern" aus.
Note
- VMs der 2. Generation, die mit Azure Compute Gallery (ACG), verwalteten Image oder einem Betriebssystemdatenträger erstellt werden, können nicht mithilfe des Portals auf den vertrauenswürdigen Start aktualisiert werden. Stellen Sie sicher, dass die Betriebssystemversion für den vertrauenswürdigen Start unterstützt wird. Verwenden Sie PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage (ARM-Vorlage), um das Upgrade auszuführen.
Schließen Sie die Seite "Konfiguration ", nachdem das Update erfolgreich abgeschlossen wurde. Bestätigen Sie auf der Seite "Übersicht" in den VM-Eigenschaften die Sicherheitstypeinstellungen .
Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich bei der VM anmelden können, indem Sie entweder das Remotedesktopprotokoll (RDP) für Windows-VMs oder das Secure Shell-Protokoll (SSH) für Linux-VMs verwenden.

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe der Azure CLI zu aktivieren.

Stellen Sie sicher, dass Sie die neueste Azure CLI installieren und bei einem Azure-Konto mit az-Anmeldung angemeldet sind.

Melden Sie sich beim VM Azure-Abonnement an.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Heben Sie die Zuordnung der VM auf.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Überprüfen Sie die Ausgabe des vorherigen Befehls. Stellen Sie sicher, dass die securityProfile-Konfiguration mit der Befehlsausgabe zurückgegeben wird.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Starten Sie den virtuellen Computer.

az vm start \
    --resource-group myResourceGroup --name myVm

Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe von Azure PowerShell zu aktivieren.

Stellen Sie sicher, dass Sie die neueste Azure PowerShell installieren und bei einem Azure-Konto mit Connect-AzAccount angemeldet sind.

Melden Sie sich beim VM Azure-Abonnement an.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Heben Sie die Zuordnung der VM auf.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Aktivieren Sie den vertrauenswürdigen Start, indem Sie -SecurityType auf TrustedLaunch festlegen.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Überprüfen Sie securityProfile in der aktualisierten VM-Konfiguration.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Starten Sie den virtuellen Computer.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe einer ARM-Vorlage zu aktivieren.

Eine Azure Resource Manager-Vorlage ist eine JSON-Datei (JavaScript Object Notation), die die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

Überprüfen Sie die Vorlage.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Bearbeiten Sie die JSON-Datei parameters mit virtuellen Computern, um mit dem TrustedLaunch-Sicherheitstyp aktualisiert zu werden.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definition der Parameterdatei

Property	Beschreibung der Eigenschaft	Beispiel für Vorlagenwert
vmName	Name der Azure-VM der 2. Generation.	`myVm`
location	Standort der Azure-VM der 2. Generation.	`westus3`
secureBootEnabled	Aktivieren des sicheren Starts mit dem Sicherheitstyp „Vertrauenswürdiger Start“.	`true`

Heben Sie die Zuordnung aller Azure-VMs der 2. Generation auf, die aktualisiert werden sollen.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Führen Sie die ARM-Vorlagenbereitstellung aus.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Screenshot der vertrauenswürdigen Starteigenschaften der VM.

Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Rollback

Note

Registrieren Sie die Funktion UseStandardSecurityType unter dem Namespace Microsoft.Compute im Abonnement für virtuelle Maschinen für den Rollback-Support. Weitere Informationen finden Sie unter Einrichten von Vorschaufeatures im Azure-Abonnement

Um Änderungen vom vertrauenswürdigen Start auf die vorherige bekannte gute Gen2-Konfiguration zurückzusetzen, müssen Sie die VM auf securityType festlegen.

Das Rollback des vertrauenswürdigen Starts auf Gen2 (Nicht vertrauenswürdiger Start) wird derzeit im Azure-Portal nicht unterstützt.

Wenn Sie Änderungen vom vertrauenswürdigen Start auf die vorherige bekannte gute Konfiguration zurücksetzen möchten, legen Sie securityProfile diese auf "Standard" fest, wie in der Beispielvorlage zum Ausführen des Upgrades für den vertrauenswürdigen Start gezeigt.

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der Azure Generation 2 mithilfe der Azure CLI zu deaktivieren.

Stellen Sie sicher, dass Sie die neueste Azure CLI installieren und bei einem Azure-Konto mit az-Anmeldung angemeldet sind.

Melden Sie sich beim VM Azure-Abonnement an.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Heben Sie die Zuordnung der VM auf.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf Standard festlegen.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type Standard

Überprüfen Sie die Ausgabe des vorherigen Befehls. Stellen Sie sicher, dass die securityProfile-Konfiguration mit der Befehlsausgabe zurückgegeben wird.
```
{
  "securityProfile": {
    "securityType": null,
    "uefiSettings": null
  }
}
```

Starten Sie den virtuellen Computer.

az vm start \
    --resource-group myResourceGroup --name myVm

Wenn Sie ein Rollback der Änderungen vom vertrauenswürdigen Start auf die vorherige bekannte gute Konfiguration durchführen möchten, legen Sie -SecurityType wie dargestellt auf Standard fest.

Melden Sie sich beim VM Azure-Abonnement an.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Heben Sie die Zuordnung der VM auf.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Aktivieren Sie den vertrauenswürdigen Start, indem Sie -SecurityType auf TrustedLaunch festlegen.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType Standard

Überprüfen Sie securityProfile in der aktualisierten VM-Konfiguration.

# Following command output should be `null`

(Get-AzVM -ResourceGroupName myVm -VMName myResourceGroup `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

Starten Sie den virtuellen Computer.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Azure Advisor-Empfehlungen

Azure Advisor füllt die operative Exzellenzempfehlung Vertrauenswürdiger Start, grundlegende Exzellenz und moderne Sicherheit für vorhandene Gen2-VM(s) für vorhandene Gen2-VMs aus, damit sie Vertrauenswürdigen Start aktivieren, einen höheren Sicherheitsstatus für Azure-VMs ohne zusätzliche Kosten für Sie. Stellen Sie sicher, dass die VM der 2. Generation alle Voraussetzungen für die Migration zum vertrauenswürdigen Start hat, befolgen Sie alle bewährten Methoden, einschließlich der Überprüfung des Betriebssystemimages, der VM-Größe und des Erstellens von Wiederherstellungspunkten. Führen Sie die Schritte aus, die im Aktivieren des vertrauenswürdigen Starts auf einer vorhandenen VM beschrieben sind, um den Sicherheitstyp der virtuellen Computer zu aktualisieren und den vertrauenswürdigen Start zu aktivieren.

Was geschieht, wenn VMs der 2. Generation vorhanden sind, die nicht den Voraussetzungen für den vertrauenswürdigen Start entsprechen?

Wenn eine VM der Generation 2 die Voraussetzungen für das Upgrade auf Trusted Launch nicht erfüllt, erfahren Sie, wie Sie die Voraussetzungen erfüllen können. Wenn z. B. die Größe einer VM nicht unterstützt wird, suchen Sie nach einer entsprechenden unterstützten Größe für den vertrauenswürdigen Start, die den vertrauenswürdigen Start unterstützt.

Note

Schließen Sie die Empfehlung, wenn der virtuelle Gen2-Computer mit VM-Größenfamilien konfiguriert ist, die derzeit nicht mit dem vertrauenswürdigen Start wie der MSv2-Serie unterstützt werden.

Informationen zur Aktivierung des vertrauenswürdigen Starts bei der Bereitstellung neuer VMs und Skalierungsgruppen finden Sie unter Bereitstellung vertrauenswürdiger VMs.
Unter Startintegritätsüberwachung erfahren Sie, wie Sie die Startintegritätsüberwachung aktivieren und den Zustand der VM mithilfe von Microsoft Defender for Cloud überwachen.
Erfahren Sie mehr über den vertrauenswürdigen Start und überprüfen Sie häufig gestellte Fragen.

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-10

Freigeben über

Aktivieren des vertrauenswürdigen Starts für vorhandene Azure-Gen2-VMs

Prerequisites

Bewährte Methoden

Aktivieren des vertrauenswürdigen Starts für eine vorhandene VM

Rollback

Azure Advisor-Empfehlungen

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen