VMware ESXi系统安全配置规范

最新推荐文章于 2022-06-24 11:14:15 发布
最新推荐文章于 2022-06-24 11:14:15 发布
阅读量1k 收藏
点赞数
文章标签: 运维 系统安全
原文链接:https://my.oschina.net/u/3363053/blog/1490371
版权

1.1VMware ESXi系统安全配置规范 1.1.1适用范围 本规范适用于VMWare vSphere云计算操作系统,涵盖了虚拟主机、ESX/ESXi主机、虚拟网络、vCenter等组件。本规范明确了VMware vSphere安全配置方面的基本要求,适用于所有安全等级。 由于版本不同,配置操作有所不同,本规范以VMware ESXi6为例,给出参考配置操作。 本文从《VMware ESXi系统安全配置规范—虚拟主机》开讲 1.1.2关键词 下列缩略语适用于本标准: AD Active directory 活动目录 API Application Program Interface 应用程序编程接口 CHAP Challenge Handshake Authentication Protocol 质询握手认证协议 DCUI Direct Control User Interface 直接控制台用户接口 MAC Media Access Control 物理介质访问地址 NFC Network File Copy 网络文件复制 NTP Network Time Protocol 网络时间协议 PowerCLI Powershell Command Line Interface Powershell命令行接口 SNMP Simple Network Management Protocol 简单网络管理协议 SSH Secure Shell 安全外壳 SSL Security Sock layer 安全套接层 vCLI vSphere Command Line Interface vSphere命令行接口 VLAN Virtual Local Area Network 虚拟局域网 VM Virtual Machine 虚拟机 VMCI Virtual Machine Communication Interface 虚拟机通信接口 VMM Virtual Machine Monitor 虚拟机监视器 VMX Virtual Machine eXecutable 虚拟机执行文件 1.1.3安全配置要求 1.1.3.1虚拟主机 1.1.3.1.1删除软盘、USB、串口等不必要的设备

名称 删除软盘、USB、串口等不必要的设备 实施内容 通过禁用不必要的系统组件并不需要支持系统上运行的应用程序或服务,可以减少被攻击途径。虚拟机通常不要求尽可能多的服务或功能,作为普通的物理服务器在虚拟化时,应该评估特定服务或功能是否真正需要。在一个虚拟机上运行的任何服务,提供了更多潜在的攻击途径。 问题影响 在一个虚拟机上运行的任何服务,提供了更多潜在的攻击途径 操作指南 参考配置操作:

Remove all Floppy drives attached to VMs (must poweroff)

Get-VM * | Get-FloppyDrive | Remove-FloppyDrive

Remove all CD/DVD Drives attached to VMs

Get-VM * | Get-CDDrive | Remove-CDDriver

Remove all USB Devices attached to VMs

Get-VM * | Get-USBDevice | Remove-USBDevice

回退方案: 恢复相关设置

补充操作说明: 若需要删除特定虚机,则*填写该虚机名 检测方法 检测操作: 虚机VMX配置文件中: floppyX.present=not present or FALSE usb.present=not present or FALSE ideX:Y.present=not present or FALSE 删除软盘、USB、串口等不必要的设备后,在虚机内部无法发现相关设备信息信息

补充说明:

Check for Floppy Devices attached to VMs

Get-VM | Get-FloppyDrive | Select Parent, Name, ConnectionState

Check for CD/DVD Drives attached to VMs

Get-VM | Get-CDDrive | Select Parent, Name, ConnectionState

Check for USB Devices attached to VMs

Get-VM | Get-USBDevice | Select Parent, Name, ConnectionState

1.1.3.1.2禁止VM-to-VM间VMCI通信

名称 禁止VM-to-VM间VMCI通信 实施内容 如果不限制接口,一个虚拟机可以检测或被检测到在同一台主机内启用其他所有其他虚拟机。这可能是预期的行为,但能有意想不到的定制软件的漏洞可能潜在导致漏洞。此外,它可能导致VM可检测多少其他虚拟机在注册同一ESXi系统。此信息可能也有用于潜在恶意的目标。默认情况下,设置为FALSE。 问题影响 此信息可能也有用于潜在恶意的目标 操作指南 参考配置操作:

Add the setting to all VMs

Get-VM * | Set-VMAdvancedConfiguration -key "vmci0.unrestricted" -value $false

回退方案: 无

补充操作说明: 若需要删除特定虚机,则*填写该虚机名 检测方法 检测操作:

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmci0.unrestricted").Value }}

补充说明: 虚机VMX配置文件中vmci0.unrestricted=FALSE

1.1.3.1.3通过VMsafe APIs控制对虚拟机的访问

名称 通过VMsafe APIs控制对虚拟机的访问 实施内容 VMsafe CPU /内存API允许安全监控虚机对其他被保护的虚机进行内存和CPU的安全检查和内容修改,目的用于检测和阻止恶意软件攻击。但是,攻击者可能通过使用这种通道危及业务虚拟机。因此,你应该监视未经授权的使用这个API。必须配置一个虚拟机,明确接受VMsafe的CPU /内存API的访问。这涉及到三个参数:一个启用的API,还有vSwitch上使用的安全性虚拟设备设置的IP地址和一个端口号。如果虚拟机会被保护,那么确保后两个参数设置是否正确。 问题影响 安全隐患 操作指南 参考配置操作: 第三方防火墙和防病毒设备根据虚拟机安全保护策略,通过VMsafe API自动配置相关信息。

回退方案: 无

补充操作说明: 只有当使用了第三方防火墙和防病毒设备,vmsafe.enable=TRUE 检测方法 检测操作:

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmsafe.agentAddress").Value }}

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmsafe.agentPort").Value }}

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "vmsafe.enable").Value }}

补充说明: 虚机VMX配置文件中 vmsafe.enable=FALSE or not present vmsafe.agentAddress=not present, or site-specific vmsafe.agentPort=not present, or site-specific

1.1.3.1.4限制发送宿主机信息到虚拟机 名称 限制发送宿主机信息到虚拟机 实施内容 如果启用,虚拟机可以得到的物理主机的详细信息。参数的默认值是FALSE。此设置不应该是TRUE,除非一个特定的虚拟机需要该信息用于性能监控。攻击者可能使用此信息,对主机进行进一步攻击上。 问题影响 攻击者可能使用此信息,对主机进行进一步攻击上。 操作指南 参考配置操作:

Add the setting to all VMs

Get-VM * | Set-VMAdvancedConfiguration -key "tools.guestlib.enableHostInfo" -value $false

回退方案: 无

补充操作说明: 若需要删除特定虚机,则*填写该虚机名 检测方法 检测操作:

List the VMs and their current settings

Get-VM | Select Name, @{N="Setting";E={($_ | Get-VMAdvancedConfiguration -key "tools.guestlib.enableHostInfo").Value }}

补充说明: 虚机VMX配置文件中tools.guestlib.enableHostInfo=FALSE

由睿江云提供,想了解更多,请登陆www.eflycloud.com

转载于:https://my.oschina.net/u/3363053/blog/1490371

chunlu2438
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VMware vSphere的安全策略与流量调整、端口阻止策略
以为网工见习者
05-20 1984
安全策略内容 混杂模式 (1)拒绝。虚拟机网络适配器仅接收发送到虚拟机的帧。 (2)接受。虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策 略的虚拟机。 (3)混杂模式是一种不安全的运行模式。防火墙、端口扫描程序、入侵检测系统必须在混杂模 式下运行。 MAC地址更改 (1) 拒绝。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址(在 .vmx 配置文件中设置)不同的值,则交换机会丢弃所有到适配器的入站帧。 (2) 接受。如果客户
VMware安全服务器安装配置
02-16
VMware View Security安装配置
《虚拟化安全解决方案》一2.2 配置VMware ESXi
weixin_34393428的博客
05-02 1918
本节书摘来自华章出版社《虚拟化安全解决方案》一书中的第2章,第2.2节,作者[美]戴夫·沙克尔福(Dave Shackleford),更多章节内容可以访问云栖社区“华章计算机”公众号查看 2.2 配置VMware ESXi 今天,VMware有两种广泛使用的主要管理程序平台。旧版平台ESX大部分被新的ESXi(表示嵌入式/可安装的ESX)替代。ESX比E...
VMware Tools 组件、配置选项和安全要求
weixin_30316097的博客
07-17 166
转载于:https://www.cnblogs.com/reachos/p/11204156.html
esxi安装全过程及基本配置(转)
weixin_33860553的博客
05-02 684
esxi6.0下载地址 链接: http://pan.baidu.com/s/1jIfg2yU 密码: qacv 参考资料:https://wenku.baidu.com/view/3888460d551810a6f4248668.html ESXi 5.1部署过程 1:使用之前刻录的 ISO光盘启动,欢迎界面如图所示,回车即可2:ESXi 安装程序正在加载。3:安...
ESXI6.7-8125G-DSM6.2.3.zip完整包。黑裙918 ESXI虚拟机引导
09-16
值得注意的是,此包可进行升级,意味着DSM系统能够接收未来的更新和补丁,以保持系统安全性和功能的最新状态。不过,用户需要注意,ESXi的基础镜像需要自行从VMware官方网站下载,以便创建虚拟机环境。 【标签】...
VMware View 4.1安装配置方法: 安装、管理等
02-20
VMware View 4.1是VMware公司推出的一款桌面虚拟化解决方案,用于构建高效、安全且易于管理的虚拟桌面基础设施(VDI)。本教程将详细阐述VMware View 4.1的安装配置步骤,帮助你了解如何搭建和管理虚拟桌面环境。 #...
VMWare vSAN推荐的IO控制器的配置方式.docx
10-10
在vSAN环境中,配置不当可能导致性能下降、数据安全性问题,甚至系统不稳定。 常见的配置错误主要集中在两个方面: 1. **硬件组件与软件版本不兼容**: - vSAN兼容列表中会列出支持的ESXi版本以及对应的I/O控制器...
VMWARE VIEW INSTALL
12-30
在vCenter Server上配置手动桌面池,指定已准备好的桌面系统,并进行用户权限设置。 桌面权限的管理,尤其是剪贴板的使用,可以通过组策略进行控制。这包括创建一个专门的OU,复制View策略模板到AD,新建并链接组...
ESX与ESXi安全管理手册
05-21
ESX与ESXi安全管理,ESX与ESXi安全管理手册
主机安全基线检查表
06-29
2018年主机基线安全检查表,可根据该表对主机和服务器进行安全加固检测!
ESXi 虚拟交换机安全策略
IT界的无名小卒
03-03 2750
ESXi 虚拟交换机的安全策略 关于ESXi 的虚拟化平台,相信是大家在日常的生产以及测试环境中经常要用到的虚拟化平台。那么今天我们就来看一下在ESXi里面的虚拟交换机的安全策略应该怎样设置。 这里我们先看一下对于在ESXi里的标准交换机和标准端口组的安全策略有那些,以及他们的用途。 下面我就来看一下在ESXi虚拟化平台上,怎样去设置。 · 在 vSphere Client 中,导航到主机。 · 在配置选项卡上,展开网络,然后选择虚拟交换机。 · 导航到标准交换机或端口组的安全策略。 本例中选择虚
VMware vSphere】ESXi系统开启SSH协议
02-01 1万+
          写在前面:           SSH为建立在应用层基础上的安全协议,是目前较为可靠,专为远程登录会话和其他网络服务提供安全性的协议。感兴趣的话,可以百度了解         &am
安装和配置 ESXi 6.7
02-08
通过这一个课程的介绍,我们将了解到 VMWare ESXi 6.7 的基本应用场景,基本架构,并且完成 ESXi 6.7 的安装和配置,了解在 ESXi 中,虚拟机的计算,存储,网络资源的特点,为虚拟机分别的准备好计算,存储,网络等资源,创建并且运行虚拟机。
ESXI防火墙配置及关闭
weixin_48544396的博客
06-24 1万+
ESXI访问限制; 后台关闭ESXI防火墙;
ESXi安全引导如何提升vSphere安全性?
weixin_34204057的博客
07-04 448
VMware vSphere 6.5增加了很多功能旨在改进虚拟机的安全性,并采用日志、报表以及被称为ESXi安全引导以及虚拟机安全引导的新特性增强安全细节信息。 管理员可以使用这些vSphere安全工具阻止非授权窥探、篡改虚拟机,并接收更详细的可能意味着是恶意活动的变更告警,结果就是能够更快地牵制并纠正恶意行为。 与任何新特性一样,了解其使用要求、对新行...
VMware ESXi网络配置
热门推荐
wxt_hillwill的博客
08-26 10万+
目录 一、ESXi网络配置方法 二、虚拟机网络配置方法 一、ESXi网络配置方法 1、搭建完成ESXi平台后,即可为它设置系统IP。如下图,在此界面按F2,输入用户名密码后进入配置界面: 2、左侧菜单栏可以看到: Configure Management Network:配置管理网络 Restart Management Network:重启管理网络 Test Management Network:测试管理网络 3、进入Configure Management N..
ESXi防火墙规则配置
VirtualMan_M3的博客
04-04 1万+
本文将来讨论在ESXi主机上打开和关闭防火墙端口的各种方法。考虑配置防火墙规则是否有害是毫无意义的,因为每个管理员都需要对网络进行微调来分配访问权限。所以,你应该知道所有你可以使用的工具。 点击阅读原文 通过vSphere Client配置防火墙规则 这种方法非常简单,即使是初学者也能掌握。但是,需要使用VMware vCenter才能实现这一点,因此对于最初不需要vCenter的小型基础架构而言...
VMware+ESXi安全配置指南.pptx
最新发布
01-04
"VMware ESXi安全配置指南" VMware ESXi是一款广泛使用的虚拟化平台,它为数据中心提供了高效、安全的虚拟化环境。为了确保ESXi主机的安全性,本指南将重点介绍几个关键的安全配置措施: 1. 身份鉴别: - 启用多...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值