严格控制对不同 vCenter Server 组件的访问,以增强系统的安全性。

以下准则有助于确保环境的安全性。

使用指定帐户

  • 如果本地 Windows 管理员帐户当前对 vCenter Server 拥有完全管理权限,请移除这些访问权限,并将这些权限授予一个或多个指定的 vCenter Server 管理员帐户。仅可将完全管理权限授予需要该权限的管理员。请勿将该特权授予其成员未受到严格控制的任何组。

    注:

    从 vSphere 6.0 开始,默认情况下,本地管理员不再对 vCenter Server 拥有完全管理权限。建议不要使用本地操作系统用户。

  • 请使用服务帐户而不是 Windows 帐户安装 vCenter Server。服务帐户必须是本地计算机上的管理员。

  • 请确保应用程序在连接到 vCenter Server 系统时使用唯一的服务帐户。

最大程度地减少访问

避免允许用户直接登录到 vCenter Server 主机。登录到 vCenter Server 的用户可能会更改设置以及修改进程,从而会有意或无意地造成危害。这些用户还可能访问 vCenter 凭据,例如 SSL 证书。请仅允许要执行合法任务的用户登录到系统,并确保对登录事件进行审核。

监控 vCenter Server 管理员用户的特权

并非所有管理员用户都必须具有管理员角色。而是应该创建具有一组适当特权的自定义角色,并将其分配给其他管理员。

具有 vCenter Server 管理员角色的用户对层次结构中的所有对象都拥有特权。例如,默认情况下,管理员角色允许用户与虚拟机客户机操作系统内的文件和程序交互。将该角色分配给过多的用户可能会降低虚拟机数据的保密性、可用性或完整性。请创建一个角色,以便向管理员授予他们所需的特权,但移除部分虚拟机管理特权。

vCenter Server 数据库用户授予最小的特权

数据库用户仅需要特定于数据库访问的某些特权。此外,某些特权仅在进行安装和升级时需要。在安装或升级产品后,可以移除这些特权。

限制数据存储浏览器访问

数据存储浏览器功能允许具有适当特权的用户通过 Web 浏览器或 vSphere Web Client 在与 vSphere 部署关联的数据存储中查看、上载或下载文件。仅将数据存储 > 浏览数据存储特权分配给真正需要的用户或组。

限制用户在虚拟机中运行命令

默认情况下,具有 vCenter Server 管理员角色的用户可与虚拟机客户机操作系统内的文件和程序交互。为了降低损害客户机保密性、可用性或完整性的风险,请创建没有客户机操作特权的非客户机访问角色。请参见限制用户在虚拟机中运行命令

验证 vpxuser 的密码策略

默认情况下,vCenter Server 会每 30 天自动更改一次 vpxuser 密码。请确保此设置符合您的策略,或将策略配置为符合公司的密码时效策略。请参见设置 vCenter Server 密码策略

注:

请确保密码时效策略的时间不能太短。

vCenter Server 重新启动后检查特权

请在重新启动 vCenter Server 时检查特权的重新分配情况。如果在根文件夹上分配了管理员角色的用户或用户组在重新启动期间无法被验证为有效的用户或组,则该角色会从该用户或组中移除。vCenter Server 会在其所在的位置向 vCenter Single Sign-On 帐户 administrator@vsphere.local 授予管理员角色。然后,此帐户可以充当管理员。

请重新建立一个指定的管理员帐户并为该帐户分配管理员角色,以避免使用匿名 administrator@vsphere.local 帐户。

使用高 RDP 加密级别

在基础架构中的每台 Windows 计算机上,请务必设置远程桌面主机配置设置,以确保适用于您环境的加密级别最高。

验证 vSphere Web Client 证书

指示其中一个 vSphere Web Client 或其他客户端应用程序的用户切勿忽略证书验证警告。若不进行证书验证,用户可能会受到 MiTM 攻击。