Usar contas nomeadas

Monitore os privilégios de vCenter Server usuários administradores

Nem todos os usuários administradores devem ter a função de administrador. Em vez disso, crie uma função personalizada com o conjunto apropriado de privilégios e atribua-a a outros administradores.

Os usuários com a função de administrador vCenter Server têm privilégios em todos os objetos na hierarquia. Por exemplo, por padrão, a função Administrador permite que os usuários interajam com arquivos e programas dentro do sistema operacional convidado de uma máquina virtual. Atribuir essa função a muitos usuários pode diminuir a confidencialidade, a disponibilidade ou a integridade dos dados da máquina virtual. Crie uma função que forneça aos administradores os privilégios necessários, mas remova alguns dos privilégios de gerenciamento da máquina virtual.

Minimize o acesso

Não permitir que os usuários façam login diretamente na máquina host do vCenter Server. Os usuários que estão conectados à máquina host do vCenter Server podem causar danos, intencionalmente ou não, alterando as configurações e modificando os processos. Esses usuários também têm acesso potencial às credenciais do vCenter, como o certificado SSL. Permita que apenas usuários com tarefas legítimas façam login no sistema e garanta que os eventos de login sejam auditados.

Conceder privilégios mínimos a vCenter Server usuários do banco de dados

O usuário do banco de dados requer apenas certos privilégios específicos para acesso ao banco de dados.

Alguns privilégios são necessários apenas para instalação e atualização. Você pode remover esses privilégios do administrador do banco de dados após o vCenter Server ser instalado ou atualizado.

Restringir o acesso do navegador ao armazenamento de dados

Atribua o privilégio Datastore . Browse datastore apenas a usuários ou grupos que realmente precisam desses privilégios. Os usuários com o privilégio podem visualizar, carregar ou baixar arquivos em datastores associados à implantação do vSphere por meio do navegador da Web ou do vSphere Client.

Impedir que os usuários executem comandos em uma máquina virtual

Por padrão, um usuário com a função de vCenter Server Administrador pode interagir com arquivos e programas no sistema operacional convidado de uma máquina virtual. Para reduzir o risco de violação da confidencialidade, disponibilidade ou integridade do convidado, crie uma função de acesso personalizada que não seja de convidado sem o privilégio de Operações de Convidado . Consulte Impedir que os usuários executem comandos em uma máquina virtual.

Considere modificar a política de senha para vpxuser

Verificar privilégios após a reinicialização de vCenter Server

Verifique a reatribuição de privilégios ao reiniciar o vCenter Server. Se o usuário ou grupo que tem a função de Administrador na pasta raiz não puder ser validado durante uma reinicialização, a função será removida desse usuário ou grupo. Em seu lugar, vCenter Server concede a função de Administrador ao vCenter Single Sign-On administrador, [email protected] por padrão. Essa conta pode então atuar como o administrador do vCenter Server.

Restabeleça uma conta de administrador nomeada e atribua a função de Administrador a essa conta para evitar o uso da conta de administrador anônima do vCenter Single Sign-On ([email protected] por padrão).

Usar altos níveis de criptografia RDP

Em cada computador Windows na infraestrutura, certifique-se de que as configurações do Host da Área de Trabalho Remota estejam definidas para garantir o nível mais alto de criptografia apropriado para o seu ambiente.

Verificar vSphere Client certificados

Instrua os usuários do vSphere Client ou de outros aplicativos cliente a atender aos avisos de verificação de certificado. Sem a verificação do certificado, o usuário pode estar sujeito a um ataque MiTM.