Die Einhaltung der empfohlenen Vorgehensweisen für die Sicherheit in Bezug auf ESXi ist eine wichtige Maßnahme zur Wahrung der Integrität Ihrer vSphere-Bereitstellung. Weitere Informationen finden Sie im Hardening-Handbuch.

Überprüfen der Installationsmedien

Überprüfen Sie nach dem Download eines ISO-Images, Offline-Pakets oder Patches stets den SHA1-Hashwert, um die Integrität und Authentizität der heruntergeladenen Dateien sicherzustellen. Wenn Sie physische Medien von VMware erhalten und das Sicherheitssiegel beschädigt ist, schicken Sie die Software an VMware zurück, um Ersatz zu erhalten.

Nach dem Herunterladen der Medien überprüfen Sie mithilfe des MD5-Summenwerts die Integrität des Downloads. Vergleichen Sie die ausgegebene MD5-Summe mit dem auf der VMware-Website angegebenen Wert. Jedes Betriebssystem verwendet eine andere Methode und ein anderes Tool zum Überprüfen der MD5-Summenwerte. Für Linux verwenden Sie den Befehl „md5sum“. Für Microsoft Windows können Sie ein Add-On-Produkt herunterladen.

Manuelles Überprüfen von CRLs

Standardmäßig unterstützt ein ESXi-Host die CRL-Überprüfung nicht. Sie müssen manuell nach widerrufenen Zertifikaten suchen und sie entfernen. Diese Zertifikate sind in der Regel benutzerdefinierte generierte Zertifikate von einer Unternehmens- oder einer Drittanbieter-Zertifizierungsstelle. Viele Unternehmen verwenden Skripts, um auf ESXi-Hosts nach widerrufenen SSL-Zertifikaten zu suchen und sie zu ersetzen.

Überwachen der Active Directory-Gruppe „ESX Admins“

Die Active Directory-Gruppe, die von vSphere verwendet wird, wird von der erweiterten Einstellung plugins.hostsvc.esxAdminsGroup definiert. Standardmäßig ist diese Option auf „ESX Admins“ festgelegt. Alle Mitglieder der „ESX Admins“-Gruppe haben vollständigen Verwaltungszugriff auf alle ESXi-Hosts in der Domäne.. überwachen Sie Active Directory bezüglich der Erstellung dieser Gruppe und beschränken Sie die Mitgliedschaft auf hoch vertrauenswürdige Benutzer und Gruppen.

Überwachen von Konfigurationsdateien

Obwohl die meisten ESXi-Konfigurationseinstellungen über eine API gesteuert werden, betrifft eine begrenzte Anzahl der Konfigurationsdateien den Host direkt. Diese Dateien werden über die vSphere-Dateitransfer-API offengelegt, die HTTPS verwendet. Wenn Sie Änderungen an diesen Dateien vornehmen, müssen Sie auch die entsprechende Verwaltungsaktion wie z. B. eine Konfigurationsänderung vornehmen.

Anmerkung:

Versuchen Sie nicht, Dateien zu überwachen, die NICHT über diese Dateitransfer-API offengelegt werden.

Verwenden von vmkfstools zum Löschen vertraulicher Daten

Wenn Sie eine VMDK-Datei mit vertraulichen Daten löschen, fahren Sie die virtuelle Maschine herunter bzw. halten Sie sie an und senden Sie den vCLI-Befehl vmkfstools --writezeros für diese Datei. Sie können dann die Datei aus dem Datenspeicher löschen.