Steuern Sie den Zugriff auf die einzelnen vCenter Server-Komponenten streng, um die Systemsicherheit zu erhöhen.

Die folgenden Richtlinien tragen dazu bei, die Sicherheit Ihrer Umgebung zu sichern.

Verwenden von benannten Konten

  • Wenn das lokale Windows-Administratorkonto derzeit vollständige Administratorrechte für vCenter Server hat, entfernen Sie diese Zugriffsrechte und gewähren Sie die Rechte einem oder mehreren benannten vCenter Server-Administratorkonten. Gewähren Sie nur den Administratoren vollständige Administratorrechte, die diese Rechte benötigen. Gewähren Sie diese Rechte keiner Gruppe, deren Mitgliedschaft nicht streng kontrolliert wird.

    Anmerkung:

    Ab vSphere 6.0 hat der lokale Administrator standardmäßig keine vollständigen Administratorrechte mehr für vCenter Server. Es wird nicht empfohlen, lokale Betriebssystembenutzer zu verwenden.

  • Installieren Sie vCenter Server mit einem Dienstkonto und nicht mit einem Windows-Konto. Das Dienstkonto muss ein Konto mit Administratorrechten für die lokale Maschine sein.

  • Vergewissern Sie sich, dass die Anwendungen eindeutige Dienstkonten verwenden, wenn sie eine Verbindung zu einem vCenter Server-System herstellen.

Minimieren des Zugriffs

Sorgen Sie dafür, dass sich keine Benutzer direkt an der vCenter Server-Hostmaschine anmelden können. Benutzer, die bei vCenter Server angemeldet sind, können absichtlich oder unabsichtlich Schaden anrichten, indem sie Einstellungen und Prozesse ändern. Sie haben auch potenziell Zugriff auf vCenter-Anmeldedaten wie das SSL-Zertifikat. Erlauben Sie nur Benutzern mit legitimen Aufgaben, sich am System anzumelden, und vergewissern Sie sich, dass diese Anmeldeereignisse überprüft werden.

Überwachen der Rechte von vCenter Server-Administratorbenutzern

Nicht alle Administratorbenutzer benötigen die Administratorrolle. Stattdessen können Sie eine benutzerdefinierte Rolle mit den geeigneten Rechten erstellen und diese den anderen Administratoren zuweisen.

Benutzer mit der vCenter Server-Administratorrolle haben Rechte für alle Objekte in der Hierarchie. Standardmäßig ermöglicht z. B. die Administratorrolle Benutzern die Interaktion mit Dateien und Programmen innerhalb des Gastbetriebssystems einer virtuellen Maschine. Wenn diese Rolle zu vielen Benutzern zugewiesen wird, kann dies die Vertraulichkeit, Verfügbarkeit oder Integrität der Daten auf der virtuellen Maschine beeinträchtigen. Erstellen Sie eine Rolle, die den Administratoren die benötigten Rechte zuweist, aber entfernen Sie einige der Verwaltungsrechte für die virtuelle Maschine.

Gewähren von minimalen Rechten für vCenter Server-Datenbankbenutzer

Der Datenbankbenutzer benötigt nur bestimmte Rechte für den Datenbankzugriff. Außerdem sind einige Rechte nur für die Installation und das Upgrade erforderlich. Diese Rechte können entfernt werden, nachdem das Produkt installiert oder aktualisiert wurde.

Beschränken des Zugriffs auf den Datenspeicherbrowser

Mithilfe des Datenspeicherbrowsers können Benutzer mit entsprechenden Rechten Dateien auf Datenspeichern über den Webbrowser oder den vSphere Web Client anzeigen, hochladen oder herunterladen, die im Zusammenhang mit der vSphere-Bereitstellung stehen. Weisen Sie das Recht Datenspeicher > Datenspeicher durchsuchen nur Benutzern oder Gruppen zu, die tatsächlich diese Rechte benötigen.

Beschränken der Ausführung von Befehlen durch Benutzer innerhalb einer virtuellen Maschine

Standardmäßig kann ein Benutzer mit vCenter Server-Administratorrolle mit Dateien und Programmen innerhalb des Gastbetriebssystems einer virtuellen Maschine interagieren. Erstellen Sie eine Rolle ohne das Recht Gastvorgänge, um das Sicherheitsrisiko für die Vertraulichkeit, Verfügbarkeit und Integrität des Gastbetriebssystems zu verringern. Siehe Beschränken der Ausführung von Befehlen durch Benutzer innerhalb einer virtuellen Maschine.

Überprüfen der Kennwortrichtlinie für vpxuser

Standardmäßig ändert vCenter Server das vpxuser-Kennwort automatisch alle 30 Tage. Vergewissern Sie sich, dass diese Einstellung Ihre Richtlinien erfüllt, oder konfigurieren Sie die Richtlinie so, dass sie die Kennwortablaufrichtlinien Ihres Unternehmens erfüllt. Siehe Festlegen der vCenter Server-Kennwortrichtlinie.

Anmerkung:

Vergewissern sie sich, dass die Kennwortablaufrichtlinie nicht zu kurz festgelegt ist.

Überprüfen von Rechten nach einem vCenter Server-Neustart

Überprüfen Sie die erneute Zuweisung von Rechten, wenn Sie vCenter Server neu starten. Wenn der Benutzer oder die Benutzergruppe, dem/der die Administratorrolle für den Root-Ordner zugeordnet ist, während eines Neustarts nicht als gültiger Benutzer bzw. gültige Gruppe verifiziert werden kann, wird die Rolle aus diesem Benutzer oder der Gruppe entfernt. Stattdessen weist vCenter Server dem vCenter Single Sign On-Konto administrator@vsphere.local die Administratorrolle zu. Dieses Konto kann dann als Administrator fungieren.

Richten Sie erneut ein benanntes Administratorkonto ein und weisen Sie diesem Konto die Administratorrolle zu, um die Verwendung des anonymen Kontos administrator@vsphere.local zu vermeiden.

Verwenden von hohen RDP-Verschlüsselungsstufen

Vergewissern Sie sich, dass auf jedem Windows-Computer in der Infrastruktur die Einstellungen für die Remote Desktop Protocol-Hostkonfiguration (RDP) festgelegt sind, um den für Ihre Umgebung geeigneten höchsten Grad der Verschlüsselung sicherzustellen.

Überprüfen der vSphere Web Client-Zertifikate

Weisen Sie Benutzer von vSphere Web Client oder anderen Clientanwendungen an, Zertifikatverifizierungswarnungen auf keinen Fall zu ignorieren. Ohne Zertifikatverifizierung kann der Benutzer Ziel eines MiTM-Angriffs werden.