严格控制对不同 vCenter Server 组件的访问,以增强系统的安全性。

以下准则有助于确保环境的安全性。

使用指定帐户

  • 如果本地 Windows 管理员帐户当前拥有管理员角色 vCenter Server,请移除此角色,并将角色分配给一个或多个指定的 vCenter Server 管理员帐户。请仅将管理员角色授予需要该角色的管理员。您可以为具有更多有限特权的管理员创建自定义角色或使用无加密管理员角色。请勿将该角色应用于成员资格未受到严格控制的任何组。
    注: 从 vSphere 6.0 开始,默认情况下,本地管理员不再对 vCenter Server 拥有完全管理权限。
  • 请使用服务帐户而不是 Windows 帐户安装 vCenter Server。服务帐户必须是本地计算机上的管理员。
  • 请确保应用程序在连接到 vCenter Server 系统时使用唯一的服务帐户。

监控 vCenter Server 管理员用户的特权

并非所有管理员用户都必须具有管理员角色。而是应该创建具有一组适当特权的自定义角色,并将其分配给其他管理员。

具有 vCenter Server 管理员角色的用户对层次结构中的所有对象都拥有特权。例如,默认情况下,管理员角色允许用户与虚拟机客户机操作系统内的文件和程序交互。将该角色分配给过多的用户可能会降低虚拟机数据的保密性、可用性或完整性。请创建一个角色,以便向管理员授予他们所需的特权,但移除部分虚拟机管理特权。

最大程度地减少访问

请勿允许用户直接登录到 vCenter Server 主机。登录到 vCenter Server 主机的用户可能会更改设置以及修改进程,从而会有意或无意地造成危害。这些用户还可能访问 vCenter 凭据,例如 SSL 证书。请仅允许要执行合法任务的用户登录到系统,并确保对登录事件进行审核。

vCenter Server 数据库用户授予最小的特权

数据库用户仅需要特定于数据库访问的某些特权。

某些特权仅在进行安装和升级时需要。您可以在安装或升级 vCenter Server 之后,移除数据库管理员的这些特权。

限制数据存储浏览器访问

仅将数据存储.浏览数据存储特权分配给真正需要这些特权的用户或组。拥有特权的用户可以通过 Web 浏览器或 vSphere Client 在 vSphere 部署关联的数据存储上查看、上载或下载文件。

限制用户在虚拟机中运行命令

默认情况下,具有 vCenter Server 管理员角色的用户可与虚拟机客户机操作系统中的文件和程序交互。为了降低损害客户机保密性、可用性或完整性的风险,请创建没有客户机操作特权的非客户机自定义访问角色。请参见限制用户在虚拟机中运行命令

考虑修改 vpxuser 的密码策略

默认情况下, vCenter Server 会每 30 天自动更改一次 vpxuser 密码。确保此设置符合公司策略,或配置 vCenter Server 密码策略。请参见 设置 vCenter Server 密码策略
注: 请确保密码时效策略的时间不能太短。

vCenter Server 重新启动后检查特权

请在重新启动 vCenter Server 时检查特权的重新分配情况。如果重新启动时无法验证在根文件夹上拥有管理员角色的用户或组,则说明此角色已从相应用户或组中移除。取而代之,vCenter Server 将管理员角色授予 vCenter Single Sign-On 管理员,默认为 [email protected]。然后,此帐户将充当 vCenter Server 管理员。

重新建立一个指定的管理员帐户并为该帐户分配管理员角色,从而避免使用匿名 vCenter Single Sign-On 管理员帐户(默认为 [email protected])。

使用高 RDP 加密级别

在基础架构中的每台 Windows 计算机上,请务必设置远程桌面主机配置设置,以确保适用于您环境的加密级别最高。

验证 vSphere Client 证书

指示 vSphere Client 或其他客户端应用程序的用户注意证书验证警告。若不进行证书验证,用户可能会受到 MiTM 攻击。