启用或连接的任何设备都可能成为攻击渠道。虚拟机上不具有特权的用户和进程可以连接或断开硬件设备(如网络适配器和 CD-ROM 驱动器)。攻击者可利用该能力破坏虚拟机安全性。移除不必要的硬件设备可帮助防止攻击。

使用以下准则提高虚拟机安全性。

  • 确保未连接未授权的设备,并移除所有不需要或不使用的硬件设备。

  • 从虚拟机中禁用不必要的虚拟设备。具有虚拟机访问权限的攻击者可以连接已断开的 CD-ROM 驱动器并访问遗留在驱动器中介质上的敏感信息,或者断开网络适配器以将虚拟机与其网络隔离,从而造成拒绝服务。

  • 确保不会将任何不需要的设备连接到虚拟机。串行和并行端口很少在数据中心环境中用于虚拟机,而 CD/DVD 驱动器通常仅在软件安装期间临时连接。

  • 对于不需要的不太常用的设备,参数不得呈现或其值必须为 false。确保以下参数未呈现或设置为 false,除非需要设备。

    参数

    设备

    floppyX.present

    无效

    软盘驱动器

    serialX.present

    无效

    串行端口

    parallelX.present

    无效

    并行端口

    usb.present

    无效

    USB 控制器

    ideX:Y.present

    无效

    CD-ROM