要确保虚拟机安全，请保持修补客户机操作系统并保护您的环境，就像保护物理机一样。请考虑禁用不必要的功能，尽量少用虚拟机控制台并遵循其他最佳做法。

保护客户机操作系统

要保护客户机操作系统，请确保其使用最新的修补程序及（如果适用）反间谍软件和反恶意软件应用程序。请参见客户机操作系统供应商提供的文档以及（如果可能）手册中或 Internet 上提供的有关该操作系统的其他信息。

禁用不必要的功能

检查是否已禁用不必要的功能，以最大限度地减少潜在攻击点。默认情况下，不经常使用的许多功能处于禁用状态。移除不必要的硬件并禁用某些功能（如主机客户机文件系统 (HFSG)），或在虚拟机和远程控制台之间进行复制和粘贴操作。

请参见 禁用虚拟机中不必要的功能。

使用模板和脚本式管理

通过虚拟机模板，您可以设置操作系统以使其符合您的要求，并使用相同的设置创建其他虚拟机。

如果要在初始部署后更改虚拟机设置，请考虑使用脚本（如 PowerCLI）。本文档介绍了如何使用 GUI 执行任务。请考虑使用脚本而非 GUI 来保持环境的一致性。在大型环境中，您可以将虚拟机分组到文件夹以优化脚本。

有关模板的信息，请参见 使用模板来部署虚拟机和 《vSphere 虚拟机管理》。有关 PowerCLI 的信息，请参见 VMware PowerCLI 文档。

尽量少用虚拟机控制台

虚拟机控制台为虚拟机提供的功能与物理服务器上的监视器相同。具有虚拟机控制台访问权限的用户可以访问虚拟机电源管理和可移除设备连接控制。因此，虚拟机控制台访问权限可能会造成对虚拟机的恶意攻击。

考虑 UEFI 安全引导

从 vSphere 6.5 开始，可以将虚拟机配置为使用 UEFI 引导。如果操作系统支持 UEFI 安全引导，则可以为虚拟机选择该选项以提高安全性。请参见 为虚拟机启用或禁用 UEFI 安全引导。

考虑 VMware AppDefense

从 vSphere 6.7 Update 1 开始，可以安装并使用 VMware AppDefense 插件来保护您的应用程序并确保端点安全。具有 vSphere 白金许可证可使用 AppDefense 插件。如果您拥有白金许可证，AppDefense 面板将显示在清单中任何虚拟机的 摘要选项卡上。从该面板，可以安装、升级或查看有关 AppDefense 插件的详细信息。有关 VMware AppDefense 的详细信息，请参见 AppDefense 文档。