Habilitar o Início confiável em VMs Gen2 existentes do Azure

Aplica-se a: ✔️ VM Linux ✔️ VM Windows ✔️ VM de Geração 2

As Máquinas Virtuais do Azure dão suporte à habilitação do Início confiável do Azure em VMs (máquinas virtuais) existentes do Azure Geração 2 atualizando para o tipo de segurança do Início confiável.

O lançamento confiável é uma maneira de habilitar a segurança de computação fundamental em VMs do Azure Geração 2 e protege contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits. Ele faz isso combinando tecnologias de infraestrutura, como Inicialização Segura, vTPM (virtual Trusted Platform Module) e Monitoramento de Integridade de Inicialização em sua VM.

Important

O suporte para habilitar a inicialização confiável em VMs existentes do Azure Geração 1 está disponível. Consulte Atualizar VMs existentes do Azure Gen1 para Gen2-Início confiável.

Prerequisites

A VM do Azure está configurada com:

Família de tamanho compatível com o Início confiável.
Versão do SO (sistema operacional) com suporte a início confiável. Para discos ou imagens do sistema operacional personalizadas, a imagem base deve ser compatível com o Início confiável.
A VM do Azure não está usando recursos atualmente incompatíveis com o Início confiável.
Se o Backup do Azure estiver habilitado para VMs, ele deverá ser configurado com a Política de Backup Avançada. O tipo de segurança de Inicialização Confiável não pode ser habilitado para VMs configuradas com proteção de backup da política Standard.
- O backup de VM existente do Azure pode ser migrado da política Standard para a Enhanced. Para obter mais informações, consulte Migrar backups de VM do Azure da política Padrão para a Avançada (versão prévia).

Práticas recomendadas

Habilite o Início confiável em uma VM de Geração 2 de teste e determine se alguma alteração é necessária para atender aos pré-requisitos antes de habilitar o Início confiável em VMs de Geração 2 associadas a cargas de trabalho de produção.
Crie um ponto de restauração para as VMs de Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança de início confiável. Você pode usar pontos de restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.
Para VMs do Linux, valide a compatibilidade de inicialização segura usando SBInfo a ferramenta. ** Consulte a validação de inicialização segura do Linux Trusted para comandos de instalação baseados em distribuição SBInfo.

Habilitar o Início confiável em uma VM existente

Note

vTPM está habilitado por padrão.
A inicialização segura não está habilitada por padrão. Recomendamos fortemente que você habilite a Inicialização Segura, caso não esteja utilizando kernel ou drivers personalizados não assinados. A Inicialização Segura preserva a integridade da inicialização e habilita a segurança fundamental para VMs.

Habilite o início confiável em uma VM existente do Azure Geração 2 usando o portal do Azure.

Entre no portal do Azure.
Confirme se a geração da VM é V2 e selecione Parar para a VM.
Na página Visão geral nas propriedades da VM, em Tipo de segurança, selecione Standard. A página Configuração da VM é aberta.
Na página Configuração , na seção Tipo de segurança , selecione a lista suspensa Tipo de segurança .
Na lista suspensa, selecione Inicialização confiável. Marque caixas de seleção para habilitar a Inicialização Segura e o vTPM. Depois de fazer as alterações, selecione Salvar.
Note
- As VMs de Geração 2 criadas usando a ACG (Galeria de Computação do Azure), a Imagem Gerenciada ou um disco do sistema operacional não podem ser atualizadas para o Início confiável usando o portal. Verifique se a versão do sistema operacional tem suporte para Início confiável. Use o PowerShell, a CLI do Azure ou um modelo do ARM (Azure Resource Manager) para executar a atualização.
Depois que a atualização for concluída com êxito, feche a página Configuração . Na página Visão geral nas propriedades da VM, confirme as configurações de tipo de segurança .
Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando o protocolo RDP para VMs do Windows ou o protocolo SSH (Secure Shell) para VMs do Linux.

Siga as etapas para habilitar o Início confiável em uma VM existente do Azure Geração 2 usando a CLI do Azure.

Instale a CLI mais recente do Azure e entre em uma conta do Azure com logon az.

Entre na assinatura do Azure de VM.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Desaloque a VM.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Habilite o Início confiável definindo --security-type como TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Valide a saída do comando anterior. Verifique se a configuração securityProfile é retornada com a saída do comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Inicie a VM.

az vm start \
    --resource-group myResourceGroup --name myVm

Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs windows) ou SSH (para VMs Linux).

Siga as etapas para habilitar o Início confiável em uma VM existente do Azure Geração 2 usando o Azure PowerShell.

Instale o Azure PowerShell mais recente e entre em uma conta do Azure com o Connect-AzAccount.

Entre na assinatura do Azure de VM.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Desaloque a VM.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Habilite o Início confiável definindo -SecurityType como TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Valide securityProfile na configuração de VM atualizada.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Inicie a VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs windows) ou SSH (para VMs Linux).

Siga as etapas para habilitar o Início confiável em uma VM existente do Azure Geração 2 usando um modelo do ARM.

Um modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do projeto. O modelo usa a sintaxe declarativa. Você descreve a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.

Examine o modelo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Edite o arquivo JSON parameters com VMs a serem atualizadas com o tipo de segurança TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definição de arquivo de parâmetro

Property	Descrição da propriedade	Exemplo de valor do modelo
vmName	Nome da VM do Azure Geração 2.	`myVm`
local	Local da VM do Azure Geração 2.	`westus3`
secureBootEnabled	Habilite a Inicialização Segura com o tipo de segurança Início confiável.	`true`

Desaloque todas as VMs do Azure Geração 2 a serem atualizadas.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Execute a implantação do modelo do ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Captura de tela que mostra as propriedades de Início confiável da VM.

Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs windows) ou SSH (para VMs Linux).

Reverter

Note

Registre o recurso UseStandardSecurityType no namespace Microsoft.Compute na subscrição de máquina virtual para suporte de reversão. Para obter mais informações, consulte Configurar recursos de visualização na assinatura do Azure

Para reverter as alterações de início confiável para a configuração válida anterior do Gen2, você precisa definir o securityType da VM como Standard.

A reversão da configuração de inicialização confiável para Gen2 (inicialização não confiável) atualmente não é suportada no Portal do Azure.

Para reverter as alterações de *Trusted launch* para uma configuração anterior conhecida e estável, defina securityProfile como Standard, conforme mostrado no modelo de exemplo usado para executar a atualização do *Trusted launch*.

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Siga as etapas para desabilitar a inicialização confiável em uma VM existente do Azure Geração 2 usando a CLI do Azure.

Instale a CLI mais recente do Azure e entre em uma conta do Azure com logon az.

Entre na assinatura do Azure de VM.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Desaloque a VM.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Habilite o Início confiável definindo --security-type como Standard.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type Standard

Valide a saída do comando anterior. Verifique se a configuração securityProfile é retornada com a saída do comando.
```
{
  "securityProfile": {
    "securityType": null,
    "uefiSettings": null
  }
}
```

Inicie a VM.

az vm start \
    --resource-group myResourceGroup --name myVm

Para reverter as alterações do Início confiável para a configuração anterior conhecida, defina -SecurityType como Standard conforme mostrado.

Entre na assinatura do Azure de VM.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Desaloque a VM.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Habilite o Início confiável definindo -SecurityType como TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType Standard

Valide securityProfile na configuração de VM atualizada.

# Following command output should be `null`

(Get-AzVM -ResourceGroupName myVm -VMName myResourceGroup `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

Inicie a VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Recomendação do Assistente do Azure

O Assistente do Azure popula uma recomendação de excelência operacional Habilitar excelência fundamental do Início confiável e a segurança moderna para VMs de Geração 2 existentes para que as VMs de Geração 2 existentes adotem o Início confiável, uma postura de segurança mais alta para VMs do Azure sem custo adicional para você. Verifique se a VM da Geração 2 tem todos os pré-requisitos para migrar para o Início confiável, siga todas as práticas recomendadas, incluindo a validação da imagem do sistema operacional, o Tamanho da VM e a criação de pontos de restauração. Para que a recomendação do Assistente seja considerada concluída, siga as etapas descritas em Habilitar Início confiável em uma VM existente para atualizar o tipo de segurança de máquinas virtuais e habilitar o Início confiável.

E se houver VMs de Geração 2 que não atendam aos pré-requisitos para o Início confiável?

Para uma VM de Geração 2 que não atende aos pré-requisitos para atualizar para o Trusted Launch, saiba como cumprir os pré-requisitos. Por exemplo, se não houver suporte para o uso de um tamanho de máquina virtual, procure um tamanho equivalente compatível com o Início confiável.

Note

Ignore a recomendação se a máquina virtual Gen2 estiver configurada com famílias de tamanho de VM que atualmente não são suportadas com Inicialização Confiável, como, por exemplo, a série MSv2.

Consulte Implantar máquinas virtuais de início confiável para habilitar o início confiável em novas implantações de conjunto de dimensionamento e máquina virtual.
Consulte o monitoramento de integridade de inicialização para habilitar o monitoramento de integridade da inicialização e monitorar a integridade da VM usando o Microsoft Defender para Nuvem.
Saiba mais sobre inicialização confiável e revise as perguntas frequentes.

Comentários

Esta página foi útil?

Last updated on 2025-10-10

Compartilhar via

Habilitar o Início confiável em VMs Gen2 existentes do Azure

Prerequisites

Práticas recomendadas

Habilitar o Início confiável em uma VM existente

Reverter

Recomendação do Assistente do Azure

Conteúdo relacionado

Comentários

Recursos adicionais