Beim Konfigurieren von VMware Tools müssen Sie bestimmte Überlegungen zur Datensicherheit anstellen, da die Konfigurationseinstellungen von VMware Tools einige Sicherheitsbedrohungen oder ‑risiken bergen können.
Beim Konfigurieren von VMware Tools-Komponenten oder ‑Funktionen kann eine Vielzahl von Sicherheitsbedrohungen auftreten.
VMware Tools ermöglicht Ihnen beispielsweise, virtuelle Geräte, wie z. B. serielle und parallele Ports, mit virtuellen Maschinen zu verbinden. Ein angeschlossenes Gerät kann ein Angriffsziel sein. Um eine virtuelle Maschine abzusichern und die Sicherheitsrisiken so weit wie möglich zu verringern, deaktivieren Sie die VMware Tools-Funktionen, die möglicherweise für Sicherheitsbedrohungen anfällig sind.
Virtuelle Maschinen werden in wenigen Dateien eingekapselt. Die Konfigurationsdatei (.vmx-Datei) steuert dabei die Leistung der virtuellen Hardware und weitere Einstellungen. Sie können verschiedene Methoden verwenden, um die Konfigurationseinstellungen anzusehen und zu ändern:
- Verwenden Sie vSphere Web Client zum Bearbeiten der Einstellungen der VM. Im vSphere Web Client ist die Bearbeitung dieser Konfigurationsparameter eine erweiterte Option im VM-Dialogfeld Einstellungen bearbeiten.
- Verwenden Sie vSphere Web Host Client zum Bearbeiten der Einstellungen der VM. Im vSphere Host Client ist die Bearbeitung dieser Konfigurationsparameter eine erweiterte Option im VM-Dialogfeld Einstellungen bearbeiten.
- Verwenden Sie ein vSphere API-basiertes Tool, wie z. B. Power CLI, um die .vmx-Parameter anzuzeigen und zu bearbeiten.
Nachdem Sie eine Einstellung geändert haben, wird die Änderung erst wirksam, wenn Sie die virtuelle Maschine neu gestartet haben.
Sie können eine Reihe potenzieller Bedrohungen ausräumen, indem Sie die Parameter in den entsprechenden VMware Tools-Parametern in der .vmx-Datei der virtuellen Maschine richtig festlegen. Die Standardwerte für viele dieser Parameter sind bereits zum Schutz virtueller Maschinen vor diesen Bedrohungen eingestellt.
Bedrohungen: Zugriff auf unprivilegierte Benutzerkonten
- Kopieren und Einfügen
-
Standardmäßig ist die Möglichkeit, Texte, Grafiken und Dateien zu kopieren und einzufügen, sowie die Möglichkeit, Dateien per Ziehen und Ablegen zu verschieben, deaktiviert. Wenn diese Option aktiviert ist, können Sie Rich-Text und je nach VMware-Produkt auch Grafiken und Dateien in den Zwischenspeicher kopieren und diese in das Gastbetriebssystem einer virtuellen Maschine einfügen. Das heißt, dass nicht privilegierte Benutzer und Prozesse, die in der virtuellen Maschine ausgeführt werden, auf die Zwischenablage des Computers zugreifen können, auf dem das Konsolenfenster ausgeführt wird, wenn das Fenster einer virtuellen Maschine den Fokus erhält. Behalten Sie zur Vermeidung von Risiken mit dieser Funktion die folgenden
.vmx-Einstellungen bei, die das Kopieren und Einfügen deaktivieren:
isolation.tools.copy.disable = "TRUE" isolation.tools.paste.disable = "TRUE"
Bedrohungen: Virtuelle Geräte
- Verbinden und Ändern von Geräten
-
Standardmäßig ist die Möglichkeit, Geräte zu verbinden und zu trennen, deaktiviert. Wenn diese Funktion aktiviert ist, können Benutzer und Prozesse ohne Root- oder Administratorrechte Geräte, wie z. B. Netzwerkadapter und CD-ROM-Laufwerke, anschließen und Geräteeinstellungen ändern. Das heißt, ein Benutzer kann ein getrenntes CD-ROM-Laufwerk anschließen und auf die vertraulichen Daten auf dem Laufwerk zugreifen. Ein Benutzer kann auch einen Netzwerkadapter trennen, um die virtuelle Maschine vom Netzwerk zu isolieren, was zu einer Dienstverweigerung („Denial of Service“) führt. Behalten Sie zur Vermeidung von Risiken mit dieser Funktion die folgenden
.vmx-Einstellungen bei, wodurch die Möglichkeit deaktiviert wird, Geräte zu verbinden bzw. zu trennen und die Geräteeinstellungen zu ändern:
isolation.device.connectable.disable = "TRUE" isolation.device.edit.disable = "TRUE"
Bedrohungen: Informationsfluss von virtuellen Maschinen
- .vmx-Dateigröße
-
Standardmäßig ist die Konfigurationsdatei auf eine Größe von 1 MB beschränkt, da eine unkontrollierte Dateigröße zu einer Dienstverweigerung („Denial of Service“) führen kann, falls der Speicherplatz auf dem Datenspeicher aufgebraucht ist. Informationsmeldungen werden manchmal von der virtuellen Maschine an die
.vmx-Datei gesendet. Diese „setinfo“-Nachrichten definieren Merkmale oder Bezeichner von virtuellen Maschinen, indem Name-Wert-Paare in die Datei eingefügt werden. Möglicherweise müssen Sie die Größe der Datei erhöhen, wenn große Mengen an benutzerdefinierten Informationen in der Datei gespeichert werden müssen. Der Eigenschaftsname lautet
tools.setInfo.sizeLimit. Der Wert wird in KB angegeben. Behalten Sie die folgende
.vmx-Einstellung bei:
tools.setInfo.sizeLimit = "1048576"
- Senden von Leistungsindikatoren an PerfMon
-
Für Linux- und Microsoft Windows-Gastbetriebssysteme können Sie die Leistungsindikatoren für CPU und Arbeitsspeicher virtueller Maschinen in PerfMon integrieren. Diese Funktion stellt detaillierte Informationen über den physischen Host bereit, der dem Gastbetriebssystem zur Verfügung steht. Ein böswilliger Benutzer könnte diese Informationen dazu benutzen, weitere Angriffe auf den Host vorzubereiten. Standardmäßig ist diese Funktion deaktiviert. Behalten Sie die folgende
.vmx-Einstellung bei, um zu verhindern, dass Hostinformationen an die virtuelle Maschine gesendet werden:
tools.guestlib.enableHostInfo = "FALSE"
Diese Einstellung blockiert einige, aber nicht alle Metriken. Wenn Sie diese Eigenschaft auf
FALSE
festlegen, werden die folgenden Metriken blockiert:- GUESTLIB_HOST_CPU_NUM_CORES
- GUESTLIB_HOST_CPU_USED_MS
- GUESTLIB_HOST_MEM_SWAPPED_MB
- GUESTLIB_HOST_MEM_SHARED_MB
- GUESTLIB_HOST_MEM_USED_MB
- GUESTLIB_HOST_MEM_PHYS_MB
- GUESTLIB_HOST_MEM_PHYS_FREE_MB
- GUESTLIB_HOST_MEM_KERN_OVHD_MB
- GUESTLIB_HOST_MEM_MAPPED_MB
- GUESTLIB_HOST_MEM_UNMAPPED_MB
- In vSphere nicht freigelegte Funktionen, die Schwachstellen verursachen können
-
Da virtuelle VMware-Maschinen in vielen VMware-Produkten zusätzlich zu vSphere ausgeführt werden, gelten einige VM-Parameter in einer vSphere-Umgebung nicht. Obwohl diese Funktionen nicht in den vSphere-Benutzerschnittstellen erscheinen, wird die Anzahl der Vektoren, über die ein Gastbetriebssystem auf einen Host zugreifen könnte, reduziert, wenn sie deaktiviert werden. Verwenden Sie die folgende
.vmx-Einstellung zum Deaktivieren dieser Funktion:
isolation.tools.unity.push.update.disable = "TRUE" isolation.tools.ghi.launchmenu.change = "TRUE" isolation.tools.ghi.autologon.disable = "TRUE" isolation.tools.hgfsServerSet.disable = "TRUE" isolation.tools.memSchedFakeSampleStats.disable = "TRUE" isolation.tools.getCreds.disable = "TRUE"