Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Uniforme Skalierungsgruppen
Azure bietet Trusted Launch als nahtlose Möglichkeit, die Sicherheit von Generation 2 virtuellen Computern (VM) zu verbessern. Der vertrauenswürdige Start bietet Schutz vor komplexen und permanenten Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen.
Der vertrauenswürdige Start wird sowohl für x64- als auch für Arm64-Architekturen unterstützt.
Wichtig
- Der "Trusted Launch" ist der Standardzustand für neu erstellte Azure Gen2-VMs und Skalierungsgruppen. Lesen Sie die häufig gestellten Fragen zum vertrauenswürdigen Start , wenn für Ihre neue VM Features erforderlich sind, die beim vertrauenswürdigen Start nicht unterstützt werden.
- Sie können vorhandene Azure Gen1-VMs auf Gen2-Trusted aktualisieren, um Secure Boot und vTPM zu aktivieren. Siehe Upgrade vorhandener Gen1-VMs auf Gen2 mit vertrauenswürdigem Startvorgang.
- Vorhandene VMs können den vertrauenswürdigen Start nach der Erstellung aktiviert haben. Weitere Informationen finden Sie unter Enable Trusted Launch on existing Gen2 VMs.
- Vorhandene Skalierungsgruppen für virtuelle Computer können nach der Erstellung den vertrauenswürdigen Start aktivieren. Weitere Informationen finden Sie unter Vertrauenswürdigen Start bei bestehendem Skalierungssatz aktivieren.
Vorteile
- Sicheres Bereitstellen von virtuellen Computern mit überprüften Bootstrapladeprogrammen, Betriebssystemkernels und Treibern
- Sicheres Schützen von Schlüsseln, Zertifikaten und Geheimnissen auf den VMs
- Gewinnen von Einblicken und Vertrauen in die Integrität der gesamten Startkette.
- Sicherstellen der Vertrauenswürdigkeit und Überprüfbarkeit von Workloads
Größen virtueller Computer
| type | Unterstützte Größenfamilien | Derzeit nicht unterstützte Größenfamilien | Nicht unterstützte Größenfamilien |
|---|---|---|---|
| Allgemeiner Zweck | B-Familie, D-Familie, Dpsv6-Serie1, Dplsv6-Serie1 | Dpsv5-Serie, Dpdsv5-Serie, Dplsv5-Serie, Dpldsv5-Serie | A-Familie, Dv2-Serie, Dv3-Serie, DC-Confidential-Familie |
| Computeoptimiert | F-Familie, Fx-Familie | Alle Größen werden unterstützt. | |
| Arbeitsspeicheroptimiert | E-Familie, Eb-Family, Epsv6-Serie1 | M-Familie | EC-Confidential-Familie |
| Speicheroptimiert | L-Familie | Alle Größen werden unterstützt. | |
| GPU | NC-Familie, ND-Familie, NV-Familie | NDasrA100_v4-Serie, NDm_A100_v4-Serie | NC-Serie, NV-Serie, NP-Serie |
| Hochleistungscompute | HBv2-Serie2, HBv3-Serie, HBv4-Serie, HBv5-Serie, HC-Serie3, HX-Serie | Alle Größen werden unterstützt. |
1Arm64 Kobalt 100-basierte Größen, die Trusted Launch unterstützen.
2HBv2-Serie wird aktuell für Trusted Launch unterstützt, ist aber am 31. Mai 2027 zur Einstellung vorgesehen. Für neue HPC Trusted Launch-Bereitstellungen bevorzugen Sie die Größen der HBv5-Serie, der HX-Serie, der HBv4-Serie oder der HBv3-Serie.
3Die HC-Seriengrößen (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) werden am 31. Mai 2027 ausgemustert. Nach diesem Datum werden die verbleibenden VMs der HC-Serie freigegeben und verursachen keine Gebühren mehr. Die HC-Serie verfügt dann nicht mehr über Support oder SLAs. Der Umsatz von 1-Jahres- und 3-Jahres-Reservierten Instanzen endete am 2. April 2026. Berücksichtigen Sie für neue HPC Trusted Launch-Bereitstellungen HBv5-Serie für höhere Leistung und eine bessere Preisleistung oder HX-Serie für HPC-Workloads mit hohem Arbeitsspeicher. Planen Sie den Übergang von der HC-Serie deutlich vor dem Außerbetriebnahmedatum, um Unterbrechungen zu vermeiden.
Hinweis
- Installation der
CUDA & GRID-Treiber für sichere startfähige Windows VMs erfordern keine zusätzlichen Schritte. - Die Installation des CUDA-Treibers auf Ubuntu-VMs mit aktiviertem sicheren Start erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter Installieren von NVIDIA GPU-Treibern für VMs der N-Serie unter Linux. Der sichere Start sollte für die Installation von CUDA-Treibern auf anderen Linux-VMs deaktiviert werden.
- Für die Installation des GRID-Treibers muss der sichere Start für Linux-VMs deaktiviert werden.
- Nicht unterstützte Größenfamilien unterstützen keine VMs der 2. Generation. Ändern Sie die VM-Größe in entsprechende unterstützte Größenfamilien, um den vertrauenswürdigen Start zu aktivieren.
Unterstützte Betriebssysteme
| Betriebssystem | Version |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8-LVM, 9.0, 9.1-LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux von CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS |
| Windows 10 | Pro, Enterprise, Enterprise (Mehrere Sitzungen) * |
| Windows 11 | Pro, Enterprise, Enterprise (Mehrere Sitzungen) * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variationen dieses Betriebssystems werden unterstützt.
Hinweis
Der Trusted Launch auf Arm64 wird unterstützt, wenn Sie anwendbare Arm64 Marketplace-Images für unterstützte Distributionen und Versionen verwenden. Stellen Sie für Cobalt 100 Größen den vertrauenswürdigen Start mithilfe von Arm64-Images bereit, die in Azure Marketplace verfügbar sind.
Weitere Informationen
Regionen:
- Alle öffentlichen Regionen
- Alle Azure-Government-Regionen
- Alle Azure China-Regionen
Preise: Der vertrauenswürdige Start erhöht die Kosten für vorhandene VMs nicht.
Nicht unterstützte Funktionen
Derzeit werden die folgenden VM-Features nicht mit dem vertrauenswürdigen Start unterstützt:
- Managed Image (Kunden werden ermutigt, Azure Compute Gallery zu verwenden).
- Linux-VM-Ruhezustand
Sicherer Start
Das Fundament des vertrauenswürdigen Starts bildet „Sicherer Start“ für Ihre VM. Der sichere Start ist in der Plattformfirmware implementiert und schützt vor der Installation von schadsoftwarebasierten Rootkits und Bootkits. Der sichere Start bewirkt, dass nur signierte Betriebssysteme und Treiber gestartet werden können. Damit wird ein Vertrauensanker für den Softwarestapel der VM erstellt.
Bei aktiviertem sicherem Start müssen alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert sein. Sowohl Windows als auch ausgewählte Linux-Distributionen unterstützen den sicheren Start. Wenn der sichere Start nicht authentifiziert, dass das Image mit einem vertrauenswürdigen Herausgeber signiert ist, kann der virtuelle Computer nicht gestartet werden. Weitere Informationen finden Sie unter Sicherer Start.
vTPM
Der Trusted Launch führt auch das virtuelle Trusted Platform Module (vTPM) für Azure VMs ein. Diese virtualisierte Version eines Hardware-Trusted Platform Module ist mit der TPM2.0-Spezifikation kompatibel. Es dient als dedizierter sicherer Tresor für Schlüssel und Messungen.
Der vertrauenswürdige Start bietet für die VM eine eigene dedizierte TPM-Instanz, die in einer sicheren Umgebung außerhalb der Reichweite von VMs ausgeführt wird. vTPM ermöglicht den Nachweis durch Messung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber).
Beim vertrauenswürdigen Start wird vTPM verwendet, um einen Remotenachweis über die Cloud durchzuführen. Nachweise ermöglichen Plattformintegritätsprüfungen und werden für vertrauensbasierte Entscheidungsprozesse verwendet. Als Integritätsprüfung kann beim vertrauenswürdigen Start kryptografisch zertifiziert werden, dass die VM ordnungsgemäß gestartet wurde.
Wenn der Prozess fehlschlägt, kann es sein, dass ihre VM eine nicht autorisierte Komponente ausführt, Microsoft Defender for Cloud Integritätswarnungen ausgibt. Die Warnungen enthalten Details zu den Komponenten, bei denen die Integritätsprüfungen nicht erfolgreich durchgeführt wurden.
Virtualisierungsbasierte Sicherheit
Für die virtualisierungsbasierte Sicherheit (VBS) wird mit Hypervisor ein sicherer und isolierter Speicherbereich erstellt. Windows verwendet diese Regionen, um verschiedene Sicherheitslösungen mit erhöhtem Schutz vor Sicherheitsrisiken und böswilligen Exploits auszuführen. Mit dem vertrauenswürdigen Start können Sie die Hypervisor-Codeintegrität (HVCI) und Windows Defender Credential Guard aktivieren.
HVCI ist eine leistungsstarke Systemminderung, die Windows Kernelmodusprozesse vor Einfügung und Ausführung von bösartigem oder nicht überprüftem Code schützt. Kernelmodustreiber und -binärdateien werden vor der Ausführung überprüft, sodass nicht signierte Dateien nicht in den Speicher geladen werden können. Überprüfungen stellen sicher, dass ausführbarer Code nicht verändert werden kann, nachdem HVCI das Laden erlaubt hat. Weitere Informationen zu VBS und HVCI finden Sie unter Virtualisierungsbasierte Sicherheit und Hypervisor Enforced Code Integrity.
Mit der Funktion "Trusted Launch" und VBS können Sie Windows Defender Credential Guard aktivieren. Credential Guard isoliert und schützt Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dadurch können der nicht autorisierte Zugriff auf Geheimnisse und Diebstahl von Anmeldeinformationen verhindert werden, z. B. PtH-Angriffe (Pass-the-Hash). Weitere Informationen finden Sie unter Credential Guard.
Microsoft Defender für Cloud-Integration
Der vertrauenswürdige Start ist in Defender for Cloud integriert, um sicherzustellen, dass Ihre virtuellen Computer ordnungsgemäß konfiguriert sind. Defender for Cloud bewertet kontinuierlich kompatible VMs und gibt relevante Empfehlungen.
Empfehlung zum Aktivieren des sicheren Starts: Die Empfehlung für den sicheren Start gilt nur für VMs, die den vertrauenswürdigen Start unterstützen. Defender for Cloud identifiziert VMs, die den sicheren Start deaktiviert haben. Es wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.
Recommendation zum Aktivieren von vTPM: Wenn vTPM für vm aktiviert ist, kann Defender for Cloud es verwenden, um den Gastnachweis durchzuführen und erweiterte Bedrohungsmuster zu identifizieren. Wenn Defender for Cloud VMs identifiziert, die den vertrauenswürdigen Start mit deaktiviertem vTPM unterstützen, gibt es eine Empfehlung mit geringem Schweregrad, es zu aktivieren.
Empfehlung zur Installation der Gastnachweiserweiterung: Wenn Ihr virtueller Computer den sicheren Start und vTPM aktiviert hat, die Gastnachweiserweiterung jedoch nicht installiert ist, gibt Defender for Cloud Empfehlungen mit geringem Schweregrad heraus, um die Gastnachweiserweiterung darauf zu installieren. Diese Erweiterung ermöglicht es Defender for Cloud, die Startintegrität Ihrer virtuellen Computer proaktiv zu bestätigen und zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis.
Attestations-Integritätsbewertung oder Startintegritätsüberwachung: Wenn Ihr virtueller Computer "Sicherer Start" und "vTPM" aktiviert ist und die Attestationserweiterung installiert ist, kann Defender for Cloud aus der Ferne überprüfen, ob Ihre VM auf gesunde Weise gestartet wurde. Diese Vorgehensweise wird als Startintegritätsüberwachung bezeichnet. Defender for Cloud stellt eine Bewertung aus, die den Status der Remote-Attestierung angibt.
Wenn Ihre virtuellen Computer ordnungsgemäß mit Trusted Launch eingerichtet sind, kann Defender for Cloud Probleme mit der VM-Integrität erkennen und Sie benachrichtigen.
Alert für VM-Nachweisfehler: Defender for Cloud führt regelmäßig eine Attestierung für Ihre virtuellen Maschinen durch. Der Nachweis erfolgt auch nach dem Starten der VM. Wenn beim Nachweis ein Fehler auftritt, wird eine Warnung mit mittlerem Schweregrad ausgelöst.
Hinweis
Warnungen zur VM-Client-Boot-Überprüfung, die in Microsoft Defender for Cloud angezeigt werden, sind rein informativer Natur und werden derzeit nicht im Defender-Portal dargestellt.
Beim VM-Nachweis können aus folgenden Gründen Fehler auftreten:
Die nachgewiesenen Informationen, einschließlich eines Startprotokolls, weichen von einer vertrauenswürdigen Baseline ab. Jede Abweichung kann darauf hinweisen, dass nicht vertrauenswürdige Module geladen werden, und das Betriebssystem könnte kompromittiert werden.
Es konnte nicht überprüft werden, ob das Nachweisangebot von der vTPM-Instanz der VM stammt, für die der Nachweis erstellt wurde. Ein nicht überprüfter Ursprung kann darauf hindeuten, dass Schadsoftware vorhanden ist und den Datenverkehr an das vTPM abfangen könnte.
Hinweis
Warnungen sind für VMs mit aktivierter vTPM-Instanz und installierter Nachweiserweiterung verfügbar. Der sichere Start muss aktiviert sein, damit der Nachweisvorgang erfolgreich durchgeführt wird. Beim Nachweis treten Fehler auf, wenn der sichere Start deaktiviert ist. Wenn Sie den sicheren Start deaktivieren möchten, können Sie diese Warnung unterdrücken, um False Positives zu vermeiden.
Warnung bei nicht vertrauenswürdigem Linux-Kernelmodul: Beim vertrauenswürdigen Start mit aktiviertem sicherem Start ist es möglich, dass eine VM gestartet wird, obwohl bei der Überprüfung eines Kerneltreibers ein Fehler auftritt und das Laden nicht zulässig ist. Wenn fehler bei der Kerneltreiberüberprüfung auftreten, gibt Defender for Cloud Warnungen mit geringem Schweregrad aus. Es liegt zwar keine unmittelbare Bedrohung vor, weil der nicht vertrauenswürdige Treiber nicht geladen wurde, dennoch sollten diese Ereignisse untersucht werden. Stellen Sie sich folgende Fragen:
- Bei welchem Kerneltreiber sind Fehler aufgetreten? Bin ich mit dem ausgefallenen Kerneltreiber vertraut und erwarte ich, dass er geladen wird?
- Entspricht die genaue Version des Treibers der erwarteten Version? Sind die Binärdateien des Treibers intakt? Wenn ein fehlerhafter Treiber ein Partnertreiber ist, hat der Partner die Betriebssystem-Kompatibilitätstests bestanden, um ihn signieren zu lassen?
(Vorschau) Vertrauenswürdiger Start als Standard
Wichtig
Der Standard „Vertrauenswürdiger Start“ befindet sich derzeit in der Vorschau. Diese Vorschau ist nur für Test-, Auswertungs- und Feedbackzwecke vorgesehen. Sie sollten es nicht für Produktionsworkloads verwenden. Bei der Registrierung bei der Vorschau stimmen Sie den ergänzenden Nutzungsbedingungen zu. Einige Aspekte dieses Features können sich mit der allgemeinen Verfügbarkeit (GA) ändern.
Vertrauenswürdige Start als Standard (Trusted Launch as Default, TLaD) ist in der Vorschau für neue virtuelle Gen2-Computer (VMs) und Virtual Machine Scale Sets (Skalierungsgruppen) verfügbar.
TLaD ist ein schnelles und zero-touch-Mittel zur Verbesserung des Sicherheitsstatus neuer Gen2-basierter Azure VM und Virtual Machine Scale Sets Bereitstellungen. Standardmäßig werden neue Gen2-VMs oder Skalierungssätze, die über Clienttools (z. B. ARM-Vorlage, Bicep) erstellt werden, als Trusted Launch-VMs mit aktiviertem Secure Boot und vTPM festgelegt.
Mit der öffentlichen Vorschauversion können Sie diese Änderungen in Ihrer jeweiligen Umgebung für alle neuen Azure Gen2-VMs und Skalierungsgruppen validieren und sich auf diese bevorstehende Änderung vorbereiten.
Hinweis
Alle neuen GEN2-VM, Skalierungssätze, Bereitstellungen mit jedem Clienttool (ARM-Vorlage, Bicep, Terraform usw.) werden standardmäßig auf "Vertrauenswürdiger Start nach dem Onboarding" zur Vorschau festgelegt. Diese Änderung überschreibt keine Eingaben, die als Teil des Bereitstellungscodes bereitgestellt werden.
TLaD-Vorschau aktivieren
Registrieren Sie das Vorschaufeature TrustedLaunchByDefaultPreview im Microsoft.Compute-Namespace im Abonnement für virtuelle Maschinen. Weitere Informationen finden Sie unter Set up preview features in Azure subscription
Führen Sie Ihr vorhandenes Bereitstellungsskript unverändert mit Azure SDK, Terraform oder einer anderen Methode aus, anstatt dem Azure-Portal, CLI oder PowerShell, um eine neue Gen2-VM oder einen Skalierungssatz mit vertrauenswürdigem Startstandard zu erstellen. Die neue VM oder Skalierungsgruppe, die im registrierten Abonnement erstellt wurde, führt zu einer VM oder einer VM-Skalierungsgruppe mit vertrauenswürdigem Start.
Bereitstellungen von VMs und Skalierungsgruppen mit TLaD-Vorschau
Vorhandenes Verhalten
Um VMs und Skalierungsgruppen mit vertrauenswürdigem Start zu erstellen, müssen Sie das folgende securityProfile-Element in die Bereitstellung aufnehmen:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
Wenn das SecurityProfile-Element im Bereitstellungscode nicht vorhanden ist, wird vm & scale set bereitgestellt, ohne den vertrauenswürdigen Start zu aktivieren.
Beispiele
- vm-windows-admincenter – Die Azure Resource Manager (ARM)-Vorlage stellt eine Gen2-VM bereit, ohne den sicheren Start zu aktivieren.
-
vm-simple-windows – Die ARM-Vorlage stellt eine Trusted Launch-VM bereit (da
securityProfileexplizit zur ARM-Vorlage hinzugefügt wurde, wird kein Standard verwendet)
Neues Verhalten
Wenn Sie die API-Version 2021-11-01 oder höher verwenden UND in die Vorschau einsteigen, ermöglicht das Fehlen des Elements securityProfile in der Bereitstellung standardmäßig den vertrauenswürdigen Start für neu bereitgestellte VMs und Skalierungsgruppen, wenn die folgenden Bedingungen erfüllt sind:
- Das Source Marketplace-OS-Image unterstützt den Trusted Launch.
- Das ACG Betriebssystem-Image unterstützt und ist für den vertrauenswürdigen Start validiert.
- Der Quelldatenträger unterstützt den vertrauenswürdigen Start.
- Die VM-Größe unterstützt den vertrauenswürdigen Start.
Die Bereitstellung wird nicht standardmäßig auf den vertrauenswürdigen Start umgestellt, wenn eine oder mehrere der aufgeführten Bedingungen nicht erfüllt sind und die Erstellung einer neuen Gen2 VM & Skalierungsgruppe ohne vertrauenswürdigen Start erfolgreich abgeschlossen wurde.
Sie können die Standardeinstellung für die Bereitstellung von VMs & Skalierungsgruppen explizit umgehen, indem Sie Standard als Wert des Parameters securityType festlegen. Weitere Informationen finden Sie unter "Kann ich den vertrauenswürdigen Start für eine neue VM-Bereitstellung deaktivieren".
Bekannte Einschränkungen
Die Standardeinstellung für den vertrauenswürdigen Start kann nicht umgangen werden, und eine Gen2-VM (Nicht-Vertrauenswürdiger Start) kann nicht mithilfe des Azure Portals erstellt werden, nachdem Sie sich zur Vorschau registriert haben.
Nach der Registrierung des Abonnements für die Vorschau stellt das Festlegen des Sicherheitstyps auf Standard im Azure Portal die VM oder den Skalierungssatz Trusted launch bereit. Diese Einschränkung wird vor der allgemeinen Standardverfügbarkeit des vertrauenswürdigen Starts behoben.
Um diese Einschränkung zu beheben, können Sie das Vorschaufeature deregistrieren, indem Sie das Featureflag unter dem Namespace Microsoft.Compute bei einem bestimmten Abonnement entfernen.
Es ist nicht möglich, die Größe einer VM oder VM-Skalierungsgruppe nach der Standardeinstellung für den vertrauenswürdigen Start auf eine nicht unterstützte VM-Größenfamilie für den vertrauenswürdigen Start (z. B. M-Series) zu ändern.
Das Ändern der Größe von Trusted Launch VMs auf eine nicht mit Trusted Launch unterstützte VM-Größenfamilie wird nicht unterstützt.
Als Entschärfung registrieren Sie das Feature-Flag UseStandardSecurityType unter dem Microsoft.Compute Namespace und setzen die VM vom vertrauenswürdigen Startmodus auf nur Gen2 (nicht vertrauenswürdiger Start) zurück, indem Sie securityType = Standard mit Hilfe der verfügbaren Clienttools (außer dem Azure-Portal) festlegen.
Feedback zur TLaD-Vorschau
Wenden Sie sich an uns mit Feedback, Abfragen oder Bedenken bezüglich dieser bevorstehenden Änderung unter Umfrage und Feedback zur Vorschau des Standards „Vertrauenswürdiger Start“.
TLaD-Vorschau deaktivieren
Um die TLaD-Vorschau zu deaktivieren, heben Sie die Registrierung des Vorschaufeatures auf, TrustedLaunchByDefaultPreview unter Microsoft.Compute Namespace im Abonnement des virtuellen Computers. Weitere Informationen finden Sie unter "Vorschaufeature aufheben"
Verwandte Inhalte
- Bereitstellen einer VM mit vertrauenswürdigem Start