要确保虚拟机安全,请保持修补客户机操作系统并保护您的虚拟环境,就像保护物理机一样。请考虑停用不必要的功能,尽量少用虚拟机控制台并遵循其他最佳做法。
保护客户机操作系统
要保护客户机操作系统,请确保其使用最新的修补程序及(如果适用)反间谍软件和反恶意软件应用程序。请参见客户机操作系统供应商提供的文档以及(如果可能)手册中或 Internet 上提供的有关该操作系统的其他信息。
停用不必要的虚拟机功能
检查是否已停用不必要的功能,以最大限度地减少潜在攻击点。默认情况下,不经常使用的许多功能处于停用状态。移除不必要的硬件并停用某些功能(如主机客户机文件系统 (HGFS)),或在虚拟机和远程控制台之间进行复制和粘贴操作。
请参见停用虚拟机中不必要的功能。
使用虚拟机模板和脚本化管理
通过虚拟机模板,您可以设置操作系统以使其符合您的要求,并使用相同的设置创建其他虚拟机。
如果要在初始部署后更改虚拟机设置,请考虑使用 PowerCLI 脚本。本文档主要介绍如何使用 vSphere Client 执行任务。请考虑使用脚本而非 vSphere Client 来保持环境的一致性。在大型环境中,您可以将虚拟机分组到文件夹以优化脚本。
有关模板的信息,请参见使用模板来部署虚拟机和《vSphere 虚拟机管理》文档。有关 PowerCLI 的信息,请参见 VMware PowerCLI 文档。
尽量少用虚拟机控制台
虚拟机控制台为虚拟机提供的功能与物理服务器上的监视器相同。具有虚拟机控制台访问权限的用户可以访问虚拟机电源管理和可移除设备连接控制。因此,虚拟机控制台访问权限可能会造成对虚拟机的恶意攻击。
考虑虚拟机的 UEFI 安全引导
可以将虚拟机配置为使用 UEFI 引导。如果操作系统支持 UEFI 安全引导,则可以为虚拟机选择该选项以获取其他安全性。请参见为虚拟机激活或停用 UEFI 安全引导。