Para aumentar a segurança de seus hosts ESXi, você pode colocá-los no modo de bloqueio. No modo de bloqueio, as operações devem ser realizadas por meio de vCenter Server por padrão.

Você pode selecionar o modo de bloqueio normal ou o modo de bloqueio estrito, que oferecem diferentes graus de bloqueio. Você também pode usar a lista Usuários de exceção. Os usuários de exceção não perdem seus privilégios quando o host entra no modo de bloqueio. Use a lista Usuários de exceção para adicionar as contas de soluções de terceiros e aplicativos externos que precisam acessar o host diretamente quando o host está no modo de bloqueio.

Comportamento do modo de bloqueio

No modo de bloqueio, alguns serviços são desativados e alguns serviços são acessíveis apenas a determinados usuários.

Serviços do modo de bloqueio disponíveis para diferentes usuários

Quando o host está em execução, os serviços disponíveis dependem do modo de bloqueio estar ativado e do tipo de modo de bloqueio.

  • No modo de bloqueio estrito e normal, os usuários com privilégios podem acessar o host por meio de vCenter Server, do vSphere Client ou usando o vSphere Web Services SDK.
  • O comportamento da Interface do Console Direto é diferente para o modo de bloqueio estrito e o modo de bloqueio normal.
    • No modo de bloqueio estrito, o serviço DCUI (Direct Console User Interface) é desativado.
    • No modo de bloqueio normal, as contas na lista de Usuários de Exceção poderão acessar a DCUI se tiverem privilégios de administrador. Além disso, todos os usuários especificados na configuração avançada do sistema DCUI.Access podem acessar a DCUI.
  • Se o ESXi Shell ou o SSH estiver ativado e o host for colocado no modo de bloqueio, as contas na lista Usuários de exceção que tiverem privilégios de administrador poderão usar esses serviços. Para todos os outros usuários, o acesso ESXi Shell ou SSH está desativado. As sessões ESXi ou SSH para usuários que não têm privilégios de administrador foram fechadas.

Todo o acesso é registrado para o modo de bloqueio estrito e normal.

Tabela 1. Comportamento do modo de bloqueio
Serviço Modo Normal Modo de bloqueio normal Modo de bloqueio estrito
API de serviços do vSphere Web Todos os usuários, com base nas permissões vCenter (vpxuser)

Usuários de exceção, com base nas permissões

vCloud Director (vslauser, se disponível)

vCenter (vpxuser)

Usuários de exceção, com base nas permissões

vCloud Director (vslauser, se disponível)

Provedores CIM Usuários com privilégios de administrador no host vCenter (vpxuser) Usuários de exceção, com base nas permissões

vCloud Director (vslauser, se disponível)

vCenter (vpxuser) Usuários de exceção, com base nas permissões

vCloud Director (vslauser, se disponível)

UI do console direto (DCUI) Usuários com privilégios de administrador no host e usuários na configuração avançada do sistema DCUI.Access

Usuários definidos na configuração avançada do sistema DCUI.Access

Exceção de usuários com privilégios de administrador no host 		O serviço DCUI foi interrompido.
ESXi Shell (se ativado) e SSH (se ativado) Usuários com privilégios de administrador no host

Usuários definidos na opção avançada DCUI.Access

Exceção de usuários com privilégios de administrador no host

Usuários definidos na configuração avançada do sistema DCUI.Access

Exceção de usuários com privilégios de administrador no host

Comportamento do modo de bloqueio para usuários conectados ao ESXi Shell quando o modo de bloqueio está ativado

Os usuários podem fazer login no ESXi Shell ou acessar o host por meio do SSH antes que o modo de bloqueio seja ativado. Nesse caso, os usuários que estão na lista de Usuários de Exceção e que têm privilégios de administrador no host permanecem conectados. A sessão é fechada para todos os outros usuários. A rescisão aplica-se ao modo de bloqueio normal e estrito.

Como desativar o modo de bloqueio

Você pode desativar o modo de bloqueio da seguinte maneira.
Do vSphere Client
Os usuários podem desativar o modo de bloqueio normal e o modo de bloqueio estrito do vSphere Client. Consulte Desativar o modo de bloqueio do vSphere Client.
Da interface do usuário do console direto
Os usuários que podem acessar a interface do usuário do console direto no host ESXi podem desativar o modo de bloqueio normal. No modo de bloqueio estrito, o serviço de Interface do Console Direto é interrompido. Consulte Ativar ou desativar o modo de bloqueio normal na interface do usuário do console direto.

Ativar o modo de bloqueio do vSphere Client

Selecione o modo de bloqueio para exigir que todas as alterações de configuração do host passem por vCenter Server. vSphere é compatível com o modo de bloqueio normal e o modo de bloqueio estrito.

Se você quiser proibir completamente todo o acesso direto a um host, poderá selecionar o modo de bloqueio estrito. O modo de bloqueio estrito impossibilita o acesso a um host se o vCenter Server estiver indisponível e o SSH e o ESXi Shell estiverem desativados. Consulte Comportamento do modo de bloqueio.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Perfil de segurança (Security Profile).
  4. No painel Modo de bloqueio, clique em Editar (Edit).
  5. Clique emModo de bloqueio ( Lockdown Mode) e selecione uma das opções de modo de bloqueio.
    Opção Descrição
    Normal O host pode ser acessado por meio de vCenter Server. Somente os usuários que estão na lista Usuários de Exceção e têm privilégios de administrador podem fazer login na Interface do Usuário do Console Direto. Se o SSH ou o ESXi Shell estiver ativado, o acesso poderá ser possível.
    Rigoroso O host só pode ser acessado por meio de vCenter Server. Se o SSH ou o ESXi Shell estiver ativado, a execução de sessões para contas na configuração avançada do sistema DCUI.Access e para contas de Usuário de exceção com privilégios de administrador permanecerá ativada. Todas as outras sessões estão fechadas.
  6. Clique em OK.

Desativar o modo de bloqueio do vSphere Client

Desative o modo de bloqueio para permitir alterações de configuração de conexões diretas com o host ESXi. Deixar o modo de bloqueio ativado resulta em um ambiente mais seguro.

Os usuários podem desativar o modo de bloqueio normal e o modo de bloqueio estrito do vSphere Client.

Procedimento

  1. Procure um host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Perfil de segurança (Security Profile).
  4. No painel Modo de bloqueio, clique em Editar (Edit).
  5. Clique emModo de bloqueio ( Lockdown Mode) e selecione Desativado (Disabled) para desativar o modo de bloqueio.
  6. Clique em OK.

Resultados

O sistema sai do modo de bloqueio, vCenter Server exibe um alarme e uma entrada é adicionada ao log de auditoria.

Ativar ou desativar o modo de bloqueio normal na interface do usuário do console direto

Você pode ativar e desativar o modo de bloqueio normal na Interface do usuário do console direto (DCUI). Você pode ativar e desativar o modo de bloqueio estrito somente no vSphere Client.

Quando o host está no modo de bloqueio normal, as seguintes contas podem acessar a interface do usuário do console direto:
  • Contas na lista Usuários de exceção que têm privilégios de administrador no host. A lista de Usuários de Exceção destina-se a contas de serviço, como um agente de backup.
  • Usuários definidos na opção avançada DCUI.Access para o host. Essa opção pode ser usada para ativar o acesso em uma falha catastrófica.

As permissões do usuário são preservadas quando você ativa o modo de bloqueio. As permissões do usuário são restauradas quando você desativa o modo de bloqueio da Interface do Console Direto.

Observação: Se você atualizar um host que está no modo de bloqueio para o ESXi versão 6.0 sem sair do modo de bloqueio e se você sair do modo de bloqueio após a atualização, todas as permissões definidas antes do host entrar no modo de bloqueio serão perdidas. O sistema atribui a função de administrador a todos os usuários encontrados na opção avançada DCUI.Access para garantir que o host permaneça acessível.

Para manter as permissões, desative o modo de bloqueio para o host do vSphere Client antes do upgrade.

Procedimento

  1. Na interface do usuário do console direto do host, pressione F2 e faça login.
  2. Role até a configuração Configurar modo de bloqueio (Configure Lockdown Mode) e pressione Enter para alternar a configuração atual.
  3. Pressione Esc até retornar ao menu principal da Interface do usuário do Direct Console.

Especificando contas com privilégios de acesso no modo de bloqueio

Você pode especificar contas de serviço que podem acessar o host ESXi diretamente adicionando-as à lista Usuários de exceção. Você pode especificar um único usuário que pode acessar o host ESXi em uma falha catastrófica vCenter Server.

O que as contas podem fazer quando vSphere está no modo de bloqueio

A versão vSphere determina o que diferentes contas podem fazer por padrão quando o modo de bloqueio é ativado e como você pode alterar o comportamento padrão.
  • No vSphere 5.0 e versões anteriores, somente o usuário raiz pode fazer login na Interface do usuário do console direto em um host ESXi que está no modo de bloqueio.
  • No vSphere 5.1 e posterior, você pode adicionar um usuário à configuração avançada do sistema DCUI.Access para cada host. A configuração destina-se a uma falha catastrófica de vCenter Server. As empresas geralmente bloqueiam a senha do usuário com esse acesso em um cofre. Um usuário na lista DCUI.Access não precisa ter privilégios administrativos totais no host.
  • No vSphere 6.0 e posterior, a configuração avançada do sistema DCUI.Access ainda é suportada. Além disso, o vSphere 6.0 e versões posteriores oferecem suporte a uma lista de usuários de exceção, que é para contas de serviço que precisam fazer login diretamente no host. As contas com privilégios de administrador que estão na lista Usuários de exceção podem fazer login no ESXi Shell. Além disso, esses usuários podem fazer login na DCUI de um host no modo de bloqueio normal e podem sair do modo de bloqueio.
    Você especifica Usuários de Exceção do vSphere Client.
    Observação: Os usuários de exceção são usuários locais do host ou usuários Active Directory com privilégios definidos localmente para o host ESXi. Os usuários que são membros de um grupo Active Directory perdem suas permissões quando o host está no modo de bloqueio.

Adicionar usuários à configuração avançada do sistema DCUI.Access

Se houver uma falha catastrófica, a configuração avançada do sistema DCUI.Access permitirá que você saia do modo de bloqueio quando não for possível acessar o host de vCenter Server. Você adiciona usuários à lista editando as Configurações avançadas para o host do vSphere Client.

Observação: Os usuários na lista DCUI.Access podem alterar as configurações do modo de bloqueio, independentemente de seus privilégios. A capacidade de alterar os modos de bloqueio pode afetar a segurança do seu host. Para contas de serviço que precisam de acesso direto ao host, considere adicionar usuários à lista Usuários de Exceção. Os usuários de exceção só podem executar tarefas para as quais tenham privilégios. Consulte Especificar usuários de exceção do modo de bloqueio mais adiante neste tópico.
  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, clique em Configurações avançadas do sistema (Advanced System Settings) e clique em Editar (Edit).
  4. Filtre para DCUI.
  5. Na caixa de texto DCUI.Access, digite os nomes de usuário ESXi locais, separados por vírgulas.

    Por padrão, o usuário raiz é incluído. Considere remover o usuário raiz da lista DCUI.Access e especificar uma conta nomeada para melhor capacidade de auditoria.

  6. Clique em OK.

Especificar usuários de exceção do modo de bloqueio

Você pode adicionar usuários à lista Usuários de exceção do vSphere Client. Esses usuários não perdem suas permissões quando o host entra no modo de bloqueio.

Normalmente, esses usuários são contas que representam soluções de terceiros e aplicativos externos que precisam continuar funcionando no modo de bloqueio. Por exemplo, faz sentido adicionar contas de serviço, como um agente de backup, à lista Usuários de exceção.
Observação: A lista de Usuários de Exceção destina-se a contas de serviço que realizam tarefas muito específicas, e não a administradores. A adição de usuários administradores à lista Usuários de exceção anula a finalidade do modo de bloqueio.

Os usuários de exceção são usuários locais do host ou usuários Active Directory com privilégios definidos localmente para o host ESXi. Eles não são membros de um grupo Active Directory e não são usuários de vCenter Server. Esses usuários têm permissão para realizar operações no host com base em seus privilégios. Isso significa, por exemplo, que um usuário somente leitura não pode desativar o modo de bloqueio em um host.

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, selecione Perfil de segurança (Security Profile).
  4. No painel Modo de bloqueio, clique em Editar (Edit).
  5. Clique em Usuários de exceção (Exception Users) e clique no ícone Adicionar usuário (Add User) para adicionar usuários de exceção.
  6. Clique em OK.