Zaufane uruchamianie — często zadawane pytania

Często zadawane pytania dotyczące przypadków użycia funkcji zaufanego uruchamiania platformy Azure, obsługi innych funkcji platformy Azure i poprawek typowych błędów.

Przypadki użycia

Ta sekcja zawiera odpowiedzi na pytania dotyczące przypadków użycia zaufanych uruchomień.

Dlaczego należy używać zaufanego uruchamiania? Co chroni usługa Trusted Launch?

Zaufane uruchamianie chroni przed zestawami rozruchowymi, zestawami rootkit i złośliwym oprogramowaniem na poziomie jądra. Te zaawansowane typy złośliwego oprogramowania działają w trybie jądra i pozostają ukryte przed użytkownikami. Na przykład:

Rootkity oprogramowania układowego: Te zestawy nadpisują oprogramowanie układowe BIOS maszyny wirtualnej, co umożliwia uruchomienie rootkita przed startem systemu operacyjnego.
Zestawy rozruchowe: te zestawy zastępują moduł ładujący systemu operacyjnego, tak aby maszyna wirtualna ładuje zestaw rozruchowy przed systemem operacyjnym.
Rootkity jądra: Te rootkity zastępują część jądra systemu operacyjnego, dzięki czemu mogą uruchamiać się automatycznie po załadowaniu systemu operacyjnego.
Zestawy rootkitów sterowników: te zestawy udają, że są jednym z zaufanych sterowników używanych przez system operacyjny do komunikacji z komponentami maszyny wirtualnej.

Jakie są różnice między bezpiecznym rozruchem a mierzonym rozruchem?

W łańcuchu bezpiecznego rozruchu każdy krok w procesie rozruchu sprawdza podpis kryptograficzny kolejnych kroków. Na przykład system BIOS sprawdza podpis modułu ładującego, a moduł ładujący sprawdza podpisy we wszystkich załadowanych obiektach jądra itd. W przypadku naruszenia zabezpieczeń któregokolwiek z obiektów podpis nie jest zgodny, a maszyna wirtualna nie uruchamia się. Aby uzyskać więcej informacji, zobacz Bezpieczny rozruch.

W jaki sposób funkcja Zaufane uruchamianie jest porównywana z maszyną wirtualną z osłoną funkcji Hyper-V?

Maszyna wirtualna z osłoną funkcji Hyper-V jest obecnie dostępna tylko w funkcji Hyper-V. Hyper-V maszyny wirtualnej z osłoną jest zwykle wdrażana z chronioną siecią szkieletową. Chroniona sieć szkieletowa składa się z usługi Ochrona hosta (HGS), co najmniej jednego hosta chronionego oraz zestawu chronionych maszyn wirtualnych. Maszyny wirtualne z osłoną funkcji Hyper-V są używane w sieciach szkieletowych, w których dane i stan maszyny wirtualnej muszą być chronione przed różnymi aktorami. Te podmioty są zarówno administratorami sieci szkieletowej, jak i niezaufanym oprogramowaniem, które może być uruchomione na hostach funkcji Hyper-V.

Zaufane uruchamianie można wdrożyć jako samodzielną maszynę wirtualną lub jako zestawy skalowania maszyn wirtualnych na platformie Azure bez konieczności dodatkowego wdrażania i zarządzania usługą Host Guardian Service (HGS). Wszystkie funkcje zaufanego uruchamiania można włączyć za pomocą prostej zmiany wdrożenia lub pola wyboru w witrynie Azure Portal.

Co to jest stan gościa maszyny wirtualnej (VMGS)?

Stan gościa maszyny wirtualnej (VMGS) jest specyficzny dla zaufanych maszyn wirtualnych uruchamiania. Jest to obiekt blob zarządzany przez platformę Azure i zawiera ujednolicone rozszerzalne bazy danych sygnatur bezpiecznego rozruchu (UEFI) i inne informacje o zabezpieczeniach. Cykl życia obiektu blob usługi VMGS jest powiązany z dyskiem systemu operacyjnego.

Obsługiwane funkcje i wdrożenia

W tej sekcji omówiono obsługiwane funkcje i wdrożenia zaufanego uruchamiania.

Czy usługa Azure Compute Gallery jest obsługiwana przez zaufane uruchamianie?

Zaufane uruchamianie teraz umożliwia tworzenie i udostępnianie obrazów za pośrednictwem Azure Compute Gallery (wcześniej Shared Image Gallery). Źródło obrazu może być następujące:

Istniejąca maszyna wirtualna platformy Azure, która jest uogólniona lub wyspecjalizowana.
Istniejący dysk zarządzany lub migawka.
Wirtualny dysk twardy (VHD) lub wersja obrazu z innej galerii.

Aby uzyskać więcej informacji na temat wdrażania zaufanej maszyny wirtualnej uruchamiania przy użyciu galerii obliczeń platformy Azure, zobacz Wdrażanie zaufanych maszyn wirtualnych uruchamiania.

Czy usługa Azure Backup jest obsługiwana przez zaufane uruchamianie?

Zaufane uruchamianie obsługuje teraz usługę Azure Backup. Aby uzyskać więcej informacji, zobacz Macierz obsługi kopii zapasowej maszyny wirtualnej platformy Azure.

Czy usługa Azure Backup będzie nadal działać po włączeniu zaufanego uruchamiania?

Kopie zapasowe skonfigurowane przy użyciu zasad rozszerzonych kontynuują tworzenie kopii zapasowych maszyn wirtualnych po włączeniu zaufanego uruchamiania.

Czy efemeryczne dyski systemu operacyjnego są obsługiwane przez zaufane uruchamianie?

Zaufane uruchamianie obsługuje efemeryczne dyski systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Trusted Launch for ephemeral OS disks (Zaufane uruchamianie dla efemerycznych dysków systemu operacyjnego).

Uwaga

W przypadku maszyn wirtualnych z zaufanym uruchamianiem utworzonych przy użyciu dysków efemerycznych klucze i tajemnice generowane lub zapieczętowane przez wirtualny moduł zaufanej platformy (vTPM) po utworzeniu maszyny wirtualnej mogą nie być utrwalane podczas operacji, takich jak ponowne tworzenie, oraz w sytuacjach platformowych, takich jak naprawianie usługi.

Czy funkcje zabezpieczeń dostępne w przypadku zaufanego uruchamiania mają zastosowanie również do dysków danych?

Zaufane uruchamianie zapewnia podstawowe zabezpieczenia systemu operacyjnego hostowanego na maszynie wirtualnej, zaświadczając o jego integralności rozruchu. Zaufane funkcje zabezpieczeń uruchamiania mają zastosowanie tylko do uruchamiania dysków systemu operacyjnego i systemu operacyjnego, nie mają zastosowania do dysków danych ani plików binarnych systemu operacyjnego przechowywanych na dyskach danych. Aby uzyskać więcej informacji, zobacz Omówienie zaufanego rozruchu

Czy można przywrócić maszynę wirtualną przy użyciu kopii zapasowych wykonanych przed włączeniem zaufanego uruchamiania?

Kopie zapasowe wykonane przed uaktualnieniem istniejącej maszyny wirtualnej generacji 2 do zaufanego uruchamiania mogą służyć do przywrócenia całej maszyny wirtualnej lub pojedynczych dysków danych. Nie można ich używać do przywracania ani zastępowania tylko dysku systemu operacyjnego.

Jak mogę znaleźć rozmiary maszyn wirtualnych, które obsługują zaufane uruchamianie?

Zobacz listę rozmiarów maszyn wirtualnych generacji 2, które obsługują zaufane uruchamianie.

Użyj następujących poleceń, aby sprawdzić, czy rozmiar maszyny wirtualnej generacji 2 nie obsługuje zaufanego uruchamiania.

CLI
PowerShell

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

Odpowiedź jest podobna do poniższej. Dane wyjściowe wskazujące TrustedLaunchDisabled True , że rozmiar maszyny wirtualnej generacji 2 nie obsługuje zaufanego uruchamiania. Jeśli jest to rozmiar maszyny wirtualnej generacji 2 i TrustedLaunchDisabled nie jest częścią danych wyjściowych, zaufane uruchamianie jest obsługiwane dla tego rozmiaru maszyny wirtualnej.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

Jak sprawdzić, czy mój obraz systemu operacyjnego obsługuje zaufane uruchamianie?

Zobacz listę wersji systemu operacyjnego, które są obsługiwane z funkcją zaufanego uruchamiania.

Obrazy systemu operacyjnego w witrynie Marketplace

Użyj następujących poleceń, aby sprawdzić, czy obraz systemu operacyjnego witryny Azure Marketplace obsługuje zaufane uruchamianie.

CLI
PowerShell

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

Odpowiedź jest podobna do poniższej. Jeśli hyperVGeneration element jest v2 i SecurityType zawiera TrustedLaunch dane wyjściowe, obraz systemu operacyjnego generacji 2 obsługuje zaufane uruchamianie.

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/westus/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "westus",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

Get-AzVMImage -Skus 22_04-lts-gen2 -PublisherName Canonical -Offer 0001-com-ubuntu-server-jammy -Location westus3 -Version latest

Możesz użyć danych wyjściowych polecenia z maszynami wirtualnymi — pobierz interfejs API. Odpowiedź jest podobna do poniższej. Jeśli hyperVGeneration element jest v2 i SecurityType zawiera TrustedLaunch dane wyjściowe, obraz systemu operacyjnego generacji 2 obsługuje zaufane uruchamianie.

{
    "properties": {
        "hyperVGeneration": "V2",
        "architecture": "x64",
        "replicaType": "Managed",
        "replicaCount": 10,
        "disallowed": {
            "vmDiskType": "Unmanaged"
        },
        "automaticOSUpgradeProperties": {
            "automaticOSUpgradeSupported": false
        },
        "imageDeprecationStatus": {
            "imageState": "Active"
        },
        "features": [
            {
                "name": "SecurityType",
                "value": "TrustedLaunchSupported"
            },
            {
                "name": "IsAcceleratedNetworkSupported",
                "value": "True"
            },
            {
                "name": "DiskControllerTypes",
                "value": "SCSI, NVMe"
            },
            {
                "name": "IsHibernateSupported",
                "value": "True"
            }
        ],
        "osDiskImage": {
            "operatingSystem": "Linux",
            "sizeInGb": 30
        },
        "dataDiskImages": []
    },
    "location": "WestUS3",
    "name": "22.04.202309080",
    "id": "/Subscriptions/00000000-0000-0000-0000-000000000000/Providers/Microsoft.Compute/Locations/WestUS3/Publishers/Canonical/ArtifactTypes/VMImage/Offers/0001-com-ubuntu-server-jammy/Skus/22_04-lts-gen2/Versions/22.04.202309080"
}

Obraz systemu operacyjnego galerii obliczeń platformy Azure

Użyj poniższych poleceń, aby sprawdzić, czy obraz systemu operacyjnego Azure Compute Gallery obsługuje zaufane uruchamianie.

CLI
PowerShell

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "westus3",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

Get-AzGalleryImageDefinition -ResourceGroupName myImageGalleryRg `
    -GalleryName myImageGallery -GalleryImageDefinitionName myImageDefinition

ResourceGroupName : myImageGalleryRg
OsType            : Windows
OsState           : Generalized
HyperVGeneration  : V2
Identifier        :
  Publisher       : myImageDefinition
  Offer           : myImageDefinition
  Sku             : myImageDefinition
Recommended       :
  VCPUs           :
    Min           : 1
    Max           : 16
  Memory          :
    Min           : 1
    Max           : 32
ProvisioningState : Succeeded
Id                : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name              : myImageDefinition
Type              : Microsoft.Compute/galleries/images
Location          : westus3
Tags              : {}
Features[0]       :
  Name            : SecurityType
  Value           : TrustedLaunchSupported
Architecture      : x64

Jak mogę zweryfikować zgodność Secure Boot dla maszyny wirtualnej Gen1 lub Gen2 przed migracją na Trusted Launch?

Aby samodzielnie ocenić obecność niezaufanych składników rozruchu lub modułów jądra na istniejących maszynach wirtualnych Gen1/Gen2 z systemem Linux przed migracją do zaufanego uruchamiania, możesz użyć SBInfo narzędzia z pakietu zabezpieczeń systemu Linux

Nawiąż połączenie z maszyną wirtualną azure Linux Gen1/Gen2.
Zainstaluj narzędzie SBInfo dla dystrybucji uruchomionej maszyny wirtualnej. Znajduje się on w pakiecie zabezpieczeń systemu Linux.

Zapoznaj się z Linux Trusted launch Secure boot validation, aby uzyskać polecenia instalacji narzędzi opartych na dystrybucji SBInfo.

Jak sterowniki komunikacji zewnętrznej działają z zaufanymi maszynami wirtualnymi uruchamiania?

Dodanie portów modelu obiektów komponentów (COM) wymaga wyłączenia Bezpiecznego Rozruchu. Porty COM są domyślnie wyłączone w zaufanych maszynach wirtualnych uruchamiania.

Zaufane uruchamianie jako domyślne (TLaD)

Co to jest zaufane uruchamianie jako domyślne ustawienie?

Zaufane uruchamianie jako domyślne (TLaD) jest obecnie w wersji zapoznawczej dla wszystkich klientów, a w portalu Azure, programie PowerShell i interfejsie wiersza polecenia jest ogólnie dostępne. Aby uzyskać więcej informacji, zobacz Zaufane uruchamianie domyślne (wersja zapoznawcza).

Czy TLaD ma wpływ na istniejące maszyny wirtualne i zestawy skalowania?

Zaufane uruchamianie jako domyślne nie zmienia istniejących maszyn wirtualnych platformy Azure, zestawów skalowania już uruchomionych w danym środowisku

Czy muszę zaktualizować skrypty automatyzacji lub szablony wdrażania?

Należy zaktualizować wersje interfejsu API dla następujących dostawców zasobów, aby zweryfikować domyślne środowisko zaufanego uruchamiania od początku do końca w ramach wersji zapoznawczej.

Microsoft.Compute/virtualMachines — wersja 2021-11-01 interfejsu API lub nowsza.
Microsoft.Compute/virtualMachineScaleSets — wersja 2021-11-01 interfejsu API lub nowsza.

Obecnie używam maszyny wirtualnej Gen2 lub zestawu skalowania bez funkcji Zaufanego Uruchamiania i chciałbym kontynuować korzystanie z konfiguracji Uruchamiania Niezaufanego, gdy TLaD będzie ogólnie dostępne.

Maszyny wirtualne Trusted Launch zapewniają podstawowe zabezpieczenia obliczeniowe bez dodatkowych kosztów. Zdecydowanie zalecamy, aby nie wyłączać ich podczas wdrażania nowych maszyn wirtualnych lub zestawów skalowania. Skontaktuj się z nami na stronie Opinia domyślna zaufanego uruchamiania.

Zobacz Czy mogę wyłączyć zaufane uruchamianie dla nowego wdrożenia , jeśli jawnie musisz wyłączyć zaufane uruchamianie.

Jakie mogą być możliwe sytuacje, w których muszę pominąć domyślne ustawienia zaufanego uruchamiania maszyny wirtualnej lub zestawu skalowania?

Należy jawnie pominąć domyślne zaufane uruchamianie, jeśli jeden z następujących scenariuszy dotyczy wdrożeń maszyn wirtualnych Gen2 lub zestawu skalowania:

Maszyna wirtualna 2. generacji służy do generowania lub TrustedLaunchSupportedTrustedLaunchAndConfidentialVMSupported tworzenia ConfidentialVMSupported obrazów galerii obliczeniowych platformy Azure za pośrednictwem narzędzia Azure Image Builder (AIB) lub Packer. LUB
Maszyna wirtualna Gen2 służy do tworzenia obrazów zarządzanych*. LUB
Maszyna wirtualna z systemem Linux Gen2 wymaga włączenia hibernacji .

Uwaga

Jeśli wdrożenie jest zależne od obrazów zarządzanych, w przypadku najnowszej technologii zachęcamy do korzystania z Azure Compute Gallery. Wszystkie nowe funkcje, takie jak ARM64, Zaufane uruchamianie i poufne maszyny wirtualne, są obsługiwane tylko za pośrednictwem galerii obliczeń platformy Azure. Jeśli masz istniejący obraz zarządzany, możesz migrować go do galerii zasobów obliczeniowych platformy Azure

Czy mogę wyłączyć zaufane uruchamianie dla nowego wdrożenia maszyny wirtualnej?

Zaufane maszyny wirtualne uruchamiania zapewniają podstawowe zabezpieczenia obliczeniowe. Zdecydowanie zalecamy, aby ich nie wyłączać przy nowych wdrożeniach maszyn wirtualnych lub zestawów skalowania, z wyjątkiem wdrożeń, które zależą od:

Możesz użyć parametru securityType z wartością Standard, aby wyłączyć funkcję Trusted Launch w nowych wdrożeniach maszyn wirtualnych lub zestawu skalowania przy użyciu programu Azure PowerShell (wersja 10.3.0 lub nowsza) i interfejsu wiersza polecenia platformy Azure (wersja 2.53.0 lub nowsza).

Uwaga

Parametr securityType z wartością Standard można użyć, jeśli subskrypcja ma flagę funkcji UseStandardSecurityType zarejestrowaną w przestrzeni nazw Microsoft.Compute. Aby uzyskać instrukcje umożliwiające włączenie wymaganej funkcji, zapoznaj się z artykułem Konfigurowanie w subskrypcji platformy Azure .
Nie zalecamy wyłączania bezpiecznego rozruchu, chyba że używasz niestandardowego niepodpisanego jądra lub sterowników.

Jeśli musisz wyłączyć bezpieczny rozruch, w obszarze konfiguracji maszyny wirtualnej wyczyść opcję Włącz bezpieczny rozruch .

Przykładowy securityProfile element szablonu ARM do używania securityType parametru z wartością Standard

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

$adminUsername = <USER NAME>
$adminPassword = <PASSWORD> | ConvertTo-SecureString -AsPlainText -Force
$vmCred = New-Object System.Management.Automation.PSCredential($adminUsername, $adminPassword)
New-AzVM -Name MyVm -Credential $vmCred -SecurityType Standard

Rozwiązywanie problemów

Ta sekcja zawiera odpowiedzi na pytania dotyczące określonych stanów, typów rozruchu i typowych problemów z rozruchem.

Co należy zrobić, gdy moja maszyna wirtualna z uruchamianiem zaufanym napotyka na błędy wdrażania?

Ta sekcja zawiera bardziej szczegółowe informacje na temat niepowodzeń podczas wdrażania funkcji Zaufane Uruchamianie, aby można było podjąć odpowiednie działania zapobiegawcze.

Virtual machine <vm name> failed to create from the selected snapshot because the virtual Trusted Platform Module (vTPM) state is locked.
To proceed with the VM creation, please select a different snapshot without a locked vTPM state.
For more assistance, please refer to “Troubleshooting locked vTPM state” in FAQ page at https://aka.ms/TrustedLaunch-FAQ.

Ten błąd wdrożenia występuje, gdy podany punkt migawki lub przywracania jest niedostępny lub bezużyteczny z następujących powodów:

Uszkodzony stan gościa maszyny wirtualnej (VMGS).
vTPM w stanie zablokowanym.
Co najmniej jeden krytyczny indeks vTPM jest w nieprawidłowym stanie.

Wymienione przyczyny mogą wystąpić, jeśli użytkownik lub obciążenie uruchomione na maszynie wirtualnej ustawia blokadę na maszynie wirtualnej lub modyfikuje krytyczne indeksy vTPM, które pozostawią maszynę wirtualną vTPM w nieprawidłowym stanie.

Ponowna próba za pomocą tej samej migawki lub punktu przywracania powoduje ten sam błąd.

Rezolucja:

Na źródłowej maszynie wirtualnej zaufanego uruchamiania, na której został wygenerowany punkt migawki lub przywracania, błędy vTPM muszą zostać naprawione.
1. W przypadku stanu vTPM zmodyfikowanego przez obciążenie na maszynie wirtualnej należy użyć tego samego narzędzia, aby sprawdzić stany błędu i przywrócić vTPM do stanu bez błędu.
2. W przypadku stanu vTPM zmodyfikowanego przy użyciu narzędzi modułu TPM (Trusted Platform Module), należy użyć tych samych narzędzi, aby sprawdzić stany błędu i przenieść maszynę wirtualną vTPM do stanu bez błędu.

Gdy migawka lub punkt przywracania będą wolne od tych błędów, możesz użyć ich do utworzenia nowej maszyny wirtualnej z zaufanym uruchamianiem.

Dlaczego zaufana maszyna wirtualna uruchamiania nie uruchamia się poprawnie?

Jeśli wykryte zostaną niepodpisane składniki w interfejsie UEFI (oprogramowaniu układowym gościa), bootloaderze, systemie operacyjnym lub sterownikach rozruchu, zaufana maszyna wirtualna nie uruchomi się. Ustawienie Bezpiecznego rozruchu na zaufanej maszynie wirtualnej uruchamiania nie może uruchomić się, jeśli podczas procesu rozruchu napotkano niepodpisane lub niezaufane składniki rozruchu i zgłasza się jako błąd bezpiecznego rozruchu.

Zrzut ekranu przedstawiający potok Zaufane uruchamianie z bezpiecznego rozruchu do sterowników innych firm.

Uwaga

Zaufane maszyny wirtualne uruchamiane z obrazu dostępnego bezpośrednio w Azure Marketplace nie powinny napotykać problemów z bezpiecznym rozruchem. Obrazy z galerii obliczeń platformy Azure z oryginalnym źródłem obrazu witryny Azure Marketplace i migawkami utworzonymi na podstawie zaufanych maszyn wirtualnych uruchamiania również nie powinny napotykać tych błędów.

Jak sprawdzić scenariusz braku rozruchu w witrynie Azure Portal?

Gdy maszyna wirtualna staje się niedostępna z powodu awarii bezpiecznego rozruchu, no-boot oznacza, że maszyna wirtualna zawiera składnik systemu operacyjnego, który nie został podpisany przez zaufaną instancję, co blokuje uruchamianie Maszyny Wirtualnej z Zaufanym Rozruchem. We wdrożeniu maszyny wirtualnej mogą zostać wyświetlone informacje z kondycji zasobów w witrynie Azure Portal z informacją o błędzie weryfikacji w bezpiecznym rozruchu.

Aby uzyskać dostęp do kondycji zasobów na stronie konfiguracji maszyny wirtualnej, przejdź do pozycji Resource Health w okienku Pomoc .

Jeśli sprawdzono, że brak rozruchu jest spowodowany niepowodzeniem bezpiecznego rozruchu:

Używany obraz jest starszą wersją, która może zawierać co najmniej jeden niezaufany składnik rozruchowy i znajduje się na ścieżce wycofania. Aby rozwiązać problem z nieaktualnym obrazem, zaktualizuj do obsługiwanej nowszej wersji obrazu.
Obraz, którego używasz, może być stworzony poza źródłem z Marketplace lub mieć zmodyfikowane składniki rozruchowe i zawierać niepodpisane lub niezaufane składniki rozruchowe. Aby sprawdzić, czy obraz ma niepodpisane lub niezaufane składniki rozruchu, zobacz następującą sekcję"Weryfikowanie błędów bezpiecznego rozruchu".
Jeśli poprzednie dwa scenariusze nie mają zastosowania, maszyna wirtualna jest potencjalnie zainfekowana złośliwym oprogramowaniem (bootkit/rootkit). Rozważ usunięcie maszyny wirtualnej i ponowne utworzenie nowej maszyny wirtualnej na podstawie tego samego obrazu źródłowego podczas oceniania zainstalowanego oprogramowania.

Dlaczego moja maszyna wirtualna z zaufanym uruchamianiem pokazuje o 50 MB mniej pamięci?

W przypadku zaufanego uruchamiania środowisko wykonawcze powszechnie znane jako "paravisor" jest tworzone i uruchamiane wewnątrz maszyny wirtualnej. Zazwyczaj około 50 MB pamięci jest używane przez paravisor i będzie wyświetlane jako "zarezerwowane" w systemie operacyjnym gościa.

Weryfikowanie błędów bezpiecznego rozruchu

Ta sekcja ułatwia weryfikowanie błędów bezpiecznego rozruchu.

Zaufane uruchamianie maszyn wirtualnych w systemie Linux

Aby sprawdzić, które składniki rozruchu są odpowiedzialne za błędy bezpiecznego rozruchu na zaufanej maszynie wirtualnej Azure Linux Trusted Launch, możesz użyć SBInfo narzędzia z pakietu zabezpieczeń systemu Linux

Wyłącz bezpieczny rozruch.
Nawiąż połączenie z zaufaną maszyną wirtualną uruchamiania systemu Linux platformy Azure.
Zainstaluj narzędzie SBInfo dla dystrybucji uruchomionej maszyny wirtualnej. Znajduje się on w pakiecie zabezpieczeń systemu Linux

Te polecenia dotyczą dystrybucji ubuntu, Debian i innych dystrybucji opartych na debianie.

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

Te polecenia dotyczą systemu RHEL i innych dystrybucji opartych na systemie Red Hat.

echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo

sudo yum install azure-security

Te polecenia dotyczą usług SLES, openSUSE i innych dystrybucji opartych na systemie SUSE.

sudo zypper ar -t rpm-md -n "packages-microsoft-com-azurecore" --no-gpgcheck https://packages.microsoft.com/yumrepos/azurecore/ azurecore

sudo zypper install azure-security

Po zainstalowaniu pakietu zabezpieczeń systemu Linux dla dystrybucji uruchom sbinfo polecenie , aby sprawdzić, które składniki rozruchu są odpowiedzialne za błędy bezpiecznego rozruchu, wyświetlając wszystkie niepodpisane moduły, jądra i moduły ładujące.

sudo sbinfo -u -m -k -b

Aby dowiedzieć się więcej na temat narzędzia diagnostycznego SBInfo, możesz uruchomić polecenie sudo sbinfo -help.

Dlaczego otrzymuję błąd monitorowania integralności rozruchu?

Zaufane uruchamianie maszyn wirtualnych platformy Azure jest monitorowane pod kątem zaawansowanych zagrożeń. Jeśli takie zagrożenia zostaną wykryte, zostanie wyzwolony alert. Alerty są dostępne tylko w przypadku włączenia rozszerzonych funkcji zabezpieczeń w usłudze Microsoft Defender for Cloud .

Microsoft Defender dla Chmury okresowo wykonuje zaświadczenie. Jeśli zaświadczenie zakończy się niepowodzeniem, zostanie wyzwolony alert o średniej ważności. Zaufane zaświadczenie uruchamiania może zakończyć się niepowodzeniem z następujących powodów:

Potwierdzone informacje, które zawierają dziennik zaufanej bazy obliczeniowej (TCB), są odejmowane z zaufanego punktu odniesienia (na przykład po włączeniu bezpiecznego rozruchu). Każde odchylenie wskazuje, że załadowano niezaufane moduły, a system operacyjny może zostać naruszony.
Nie można zweryfikować cudzysłowu zaświadczania pochodzącego z maszyny wirtualnej testowanej maszyny wirtualnej vTPM. Błąd weryfikacji wskazuje, że złośliwe oprogramowanie jest obecne i może przechwytywać ruch do modułu TPM.
Rozszerzenie zaświadczania na maszynie wirtualnej nie odpowiada. Rozszerzenie nie odpowiada oznacza atak typu "odmowa usługi" przez złośliwe oprogramowanie lub administratora systemu operacyjnego.

Certyfikaty

Ta sekcja zawiera informacje o certyfikatach.

Jak mogę ustanowić katalog główny zaufania z zaufanymi maszynami wirtualnymi uruchamiania?

Wirtualny certyfikat publiczny modułu TPM AK zapewnia wgląd w informacje o pełnym łańcuchu certyfikatów (certyfikaty główne i pośrednie), aby ułatwić weryfikowanie zaufania do certyfikatu i łańcucha głównego. Zawiera on informacje o właściwościach wystąpienia, dzięki czemu można prześledzić cały łańcuch. Gwarantuje to, że stale posiadasz najwyższy poziom zabezpieczeń dla Trusted Launch.

Instrukcje pobierania

Certyfikaty pakietów składające się z p7b (pełny urząd certyfikacji) i .cer (pośredni urząd certyfikacji), ujawniają podpisywanie i urząd certyfikacji. Skopiuj odpowiednią zawartość i użyj narzędzi certyfikatów, aby sprawdzić i ocenić szczegóły certyfikatów.

Wybierz, aby pobrać plik crt, który jest następujący dla głównego urzędu certyfikacji modułu TPM platformy Azure 2023

Wirtualny Główny Urząd Certyfikacji TPM platformy Azure 2023

Wybierz, aby wyświetlić zawartość pliku .cert dla certyfikatu głównego

Główny urząd certyfikacji modułu TPM platformy Azure 2023

Wybierz, aby wyświetlić zawartość p7b (root + ICA-01)

Globalny wirtualny urząd certyfikacji modułu TPM — 01:

Wybierz, aby wyświetlić zawartość pośredniego urzędu certyfikacji (ICA-01)

"Globalny wirtualny urząd certyfikacji modułu TPM — 01" (pośredni urząd certyfikacji) [.cer]:

Wybierz, aby wyświetlić zawartość p7b (root + ICA-03)

Globalny wirtualny urząd certyfikacji modułu TPM — 03:

Wybierz, aby wyświetlić zawartość pośredniego urzędu certyfikacji (ICA-03)

"Globalny wirtualny urząd certyfikacji modułu TPM — 03" (pośredni urząd certyfikacji) [.cer]:

Jakie certyfikaty zaufane firmy Microsoft są wbudowane w maszyny wirtualne platformy Azure?

W przypadku maszyn wirtualnych z systemem Windows certyfikat urzędu certyfikacji systemu Windows jest wbudowany w oprogramowanie układowe UEFI. W przypadku maszyn wirtualnych z systemem Linux certyfikat urzędu certyfikacji UEFI firmy Microsoft jest wbudowany w oprogramowanie układowe UEFI.

Dla maszyn wirtualnych z systemem Linux na platformie Azure dodawany jest certyfikat w oprogramowaniu układowym UEFI dla wszystkich dystrybucji systemu Linux. Rozwiązanie Kmod PCA systemu Linux służy do podpisywania modułów jądra należących do firmy Microsoft.

Dodano certyfikat KMOD PCA systemu Linux, aby zapewnić bezproblemowe środowisko klienta w przypadku korzystania z rozwiązań firmy Microsoft, takich jak Usługa Azure Site Recovery (Site Recovery), która instaluje moduł jądra. Moduł jądra usługi Site Recovery ładuje się bez żadnej akcji klienta w celu dostarczenia klucza, ponieważ moduł jądra usługi Site Recovery jest podpisany przy użyciu zaufanego certyfikatu "Azure Services Linux Kmod PCA".

Instrukcje pobierania

Certyfikaty pakietów składające się z P7b i .cer ujawniają podpisywanie i urząd certyfikacji. Skopiuj odpowiednią zawartość i użyj narzędzi certyfikatów, aby sprawdzić i ocenić szczegóły certyfikatów.

Wybierz, aby pobrać poniższy plik .crt dla Microsoft Windows CA

Urząd certyfikacji systemu Microsoft Windows

Wybierz, aby pobrać poniższy plik .crt dla Microsoft UEFI CA.

Urząd certyfikacji UEFI firmy Microsoft

Wybierz, aby wyświetlić zawartość .p7b

Certyfikat kmod PCA usługi platformy Azure dla systemu Linux:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-08-05

Udostępnij przez

Zaufane uruchamianie — często zadawane pytania

Przypadki użycia

Dlaczego należy używać zaufanego uruchamiania? Co chroni usługa Trusted Launch?

Jakie są różnice między bezpiecznym rozruchem a mierzonym rozruchem?

W jaki sposób funkcja Zaufane uruchamianie jest porównywana z maszyną wirtualną z osłoną funkcji Hyper-V?

Co to jest stan gościa maszyny wirtualnej (VMGS)?

Obsługiwane funkcje i wdrożenia

Czy usługa Azure Compute Gallery jest obsługiwana przez zaufane uruchamianie?

Czy usługa Azure Backup jest obsługiwana przez zaufane uruchamianie?

Czy usługa Azure Backup będzie nadal działać po włączeniu zaufanego uruchamiania?

Czy efemeryczne dyski systemu operacyjnego są obsługiwane przez zaufane uruchamianie?

Czy funkcje zabezpieczeń dostępne w przypadku zaufanego uruchamiania mają zastosowanie również do dysków danych?

Czy można przywrócić maszynę wirtualną przy użyciu kopii zapasowych wykonanych przed włączeniem zaufanego uruchamiania?

Jak mogę znaleźć rozmiary maszyn wirtualnych, które obsługują zaufane uruchamianie?

Jak sprawdzić, czy mój obraz systemu operacyjnego obsługuje zaufane uruchamianie?

Obrazy systemu operacyjnego w witrynie Marketplace

Obraz systemu operacyjnego galerii obliczeń platformy Azure

Jak mogę zweryfikować zgodność Secure Boot dla maszyny wirtualnej Gen1 lub Gen2 przed migracją na Trusted Launch?

Jak sterowniki komunikacji zewnętrznej działają z zaufanymi maszynami wirtualnymi uruchamiania?

Zaufane uruchamianie jako domyślne (TLaD)

Co to jest zaufane uruchamianie jako domyślne ustawienie?

Czy TLaD ma wpływ na istniejące maszyny wirtualne i zestawy skalowania?

Czy muszę zaktualizować skrypty automatyzacji lub szablony wdrażania?

Obecnie używam maszyny wirtualnej Gen2 lub zestawu skalowania bez funkcji Zaufanego Uruchamiania i chciałbym kontynuować korzystanie z konfiguracji Uruchamiania Niezaufanego, gdy TLaD będzie ogólnie dostępne.

Jakie mogą być możliwe sytuacje, w których muszę pominąć domyślne ustawienia zaufanego uruchamiania maszyny wirtualnej lub zestawu skalowania?

Czy mogę wyłączyć zaufane uruchamianie dla nowego wdrożenia maszyny wirtualnej?

Rozwiązywanie problemów

Co należy zrobić, gdy moja maszyna wirtualna z uruchamianiem zaufanym napotyka na błędy wdrażania?

Dlaczego zaufana maszyna wirtualna uruchamiania nie uruchamia się poprawnie?

Jak sprawdzić scenariusz braku rozruchu w witrynie Azure Portal?

Dlaczego moja maszyna wirtualna z zaufanym uruchamianiem pokazuje o 50 MB mniej pamięci?

Weryfikowanie błędów bezpiecznego rozruchu

Zaufane uruchamianie maszyn wirtualnych w systemie Linux

Dlaczego otrzymuję błąd monitorowania integralności rozruchu?

Certyfikaty

Jak mogę ustanowić katalog główny zaufania z zaufanymi maszynami wirtualnymi uruchamiania?

Instrukcje pobierania

Jakie certyfikaty zaufane firmy Microsoft są wbudowane w maszyny wirtualne platformy Azure?

Instrukcje pobierania

Sprzężenie zwrotne

Dodatkowe źródła