如果使用的是独立非持久磁盘,成功入侵的攻击者可以通过关机或重新启动系统来销毁计算机受到影响的证据。如果虚拟机上没有持久的活动记录,管理员可能对攻击一无所知。因此,应该避免使用独立非持久磁盘。

过程

确保虚拟机活动已远程记录在单独的服务器(例如 syslog 服务器或等同的基于 Windows 的事件收集器)上。

如果未对客户机配置事件和活动的远程日志记录,scsiX:Y. 模式应为以下设置之一:

  • 不存在

  • 未设置为独立非持久

结果

如果未启用非持久模式,则重新引导系统时,不能将虚拟机回滚至已知状态。