严格控制对不同 vCenter Server组件的访问,以增强系统的安全性。

以下准则有助于确保环境的安全性。

使用指定帐户

请确保应用程序在连接到 vCenter Server系统时使用唯一的服务帐户。

最大程度地减少访问

请勿允许用户直接登录到vCenter Server主机。登录到vCenter Server主机的用户可能会更改设置以及修改进程,从而会有意或无意地造成危害。这些用户还可能访问 vCenter 凭据,例如 SSL 证书。请仅允许要执行合法任务的用户登录到系统,并确保对登录事件进行审核。

限制用户在虚拟机中运行命令

默认情况下,具有vCenter Server管理员角色的用户可与虚拟机客户机操作系统中的文件和程序交互。为了降低损害客户机保密性、可用性或完整性的风险,请创建没有客户机操作特权的非客户机自定义访问角色。

使用高 RDP 加密级别

在基础架构中的每台 Windows 计算机上,请务必设置远程桌面主机配置设置,以确保适用于您环境的加密级别最高。

验证 vSphere Client证书

指示其中一个vSphere Client或其他客户端应用程序的用户切勿忽略证书验证警告。若不进行证书验证,用户可能会受到 MiTM 攻击。