Steuern Sie den Zugriff auf die einzelnen vCenter Server-Komponenten streng, um die Systemsicherheit zu erhöhen.

Die folgenden Richtlinien tragen dazu bei, die Sicherheit Ihrer Umgebung zu sichern.

Verwenden von benannten Konten

  • Wenn das lokale Windows-Administratorkonto aktuell die Administratorrolle vCenter Server aufweist, entfernen Sie diese Rolle und weisen Sie die Rolle einem oder mehreren benannten vCenter Server-Administratorkonten zu. Gewähren Sie die Administratorrolle nur Administratoren, die diese Rolle benötigen. Sie können benutzerdefinierte Rollen erstellen oder die Rolle „Kein Kryptografie-Administrator“ für Administratoren mit eingeschränkteren Rechten verwenden. Wenden Sie diese Rolle nicht auf eine Gruppe an, deren Mitgliedschaft nicht streng kontrolliert wird.

    Anmerkung:

    Ab vSphere 6.0 hat der lokale Administrator standardmäßig keine vollständigen Administratorrechte mehr für vCenter Server.

  • Installieren Sie vCenter Server mit einem Dienstkonto und nicht mit einem Windows-Konto. Das Dienstkonto muss ein Konto mit Administratorrechten für die lokale Maschine sein.

  • Vergewissern Sie sich, dass die Anwendungen eindeutige Dienstkonten verwenden, wenn sie eine Verbindung zu einem vCenter Server-System herstellen.

Überwachen der Rechte von vCenter Server-Administratorbenutzern

Nicht alle Administratorbenutzer benötigen die Administratorrolle. Stattdessen können Sie eine benutzerdefinierte Rolle mit den geeigneten Rechten erstellen und diese den anderen Administratoren zuweisen.

Benutzer mit der vCenter Server-Administratorrolle haben Rechte für alle Objekte in der Hierarchie. Standardmäßig ermöglicht z. B. die Administratorrolle Benutzern die Interaktion mit Dateien und Programmen innerhalb des Gastbetriebssystems einer virtuellen Maschine. Wenn diese Rolle zu vielen Benutzern zugewiesen wird, kann dies die Vertraulichkeit, Verfügbarkeit oder Integrität der Daten auf der virtuellen Maschine beeinträchtigen. Erstellen Sie eine Rolle, die den Administratoren die benötigten Rechte zuweist, aber entfernen Sie einige der Verwaltungsrechte für die virtuelle Maschine.

Minimieren des Zugriffs

Sorgen Sie dafür, dass sich keine Benutzer direkt bei der vCenter Server-Hostmaschine anmelden können. Benutzer, die bei der vCenter Server-Hostmaschine angemeldet sind, können absichtlich oder unabsichtlich Schaden anrichten, indem sie Einstellungen und Prozesse ändern. Diese Benutzer haben auch potenziell Zugriff auf vCenter-Anmeldedaten wie das SSL-Zertifikat. Erlauben Sie nur Benutzern mit legitimen Aufgaben, sich beim System anzumelden, und vergewissern Sie sich, dass diese Anmeldeereignisse überprüft werden.

Gewähren von minimalen Rechten für vCenter Server-Datenbankbenutzer

Der Datenbankbenutzer benötigt nur bestimmte Rechte für den Datenbankzugriff.

Einige Rechte sind nur für die Installation und das Upgrade erforderlich. Nach der Installation bzw. dem Upgrade von vCenter Server können Sie diese Rechte für den Datenbankadministrator entfernen.

Beschränken des Zugriffs auf den Datenspeicherbrowser

Weisen Sie das Recht Datenspeicher > Datenspeicher durchsuchen nur Benutzern oder Gruppen zu, die tatsächlich diese Rechte benötigen. Benutzer mit diesem Recht können über den Webbrowser oder den vSphere Web Client Dateien in Datenspeichern, die der vSphere-Bereitstellung zugeordnet sind, anzeigen, hochladen oder herunterladen.

Beschränken der Ausführung von Befehlen durch Benutzer innerhalb einer virtuellen Maschine

Standardmäßig kann ein Benutzer mit der vCenter Server-Administratorrolle mit Dateien und Programmen innerhalb des Gastbetriebssystems einer virtuellen Maschine interagieren. Erstellen Sie eine benutzerdefinierte Rolle ohne das Recht Gastvorgänge, um das Sicherheitsrisiko für die Vertraulichkeit, Verfügbarkeit und Integrität des Gastbetriebssystems zu verringern. Weitere Informationen hierzu finden Sie unter Beschränken der Ausführung von Befehlen durch Benutzer innerhalb einer virtuellen Maschine.

Ändern der Kennwortrichtlinie für vpxuser

Standardmäßig ändert vCenter Server das vpxuser-Kennwort automatisch alle 30 Tage. Stellen Sie sicher, dass diese Einstellung die Unternehmensrichtlinien erfüllt, oder konfigurieren Sie andernfalls die vCenter Server-Kennwortrichtlinie. Weitere Informationen hierzu finden Sie unter Festlegen der vCenter Server-Kennwortrichtlinie.

Anmerkung:

Vergewissern sie sich, dass die Kennwortablaufrichtlinie nicht zu kurz festgelegt ist.

Überprüfen von Rechten nach einem vCenter Server-Neustart

Überprüfen Sie die erneute Zuweisung von Rechten, wenn Sie vCenter Server neu starten. Wenn der Benutzer oder die Gruppe mit der Administratorrolle für den Stammordner während eines Neustarts nicht überprüft werden kann, wird die Rolle für diesen Benutzer bzw. diese Gruppe entfernt. Stattdessen gewährt vCenter Server dem vCenter Single Sign On-Administrator (administrator@vsphere.local) standardmäßig die Administratorrolle. Dieses Konto kann dann als vCenter Server-Administrator fungieren.

Richten Sie erneut ein benanntes Administratorkonto ein und weisen Sie diesem Konto die Administratorrolle zu, um die Verwendung des anonymen vCenter Single Sign On-Administratorkontos (standardmäßig administrator@vsphere.local) zu vermeiden.

Verwenden von hohen RDP-Verschlüsselungsstufen

Vergewissern Sie sich, dass auf jedem Windows-Computer in der Infrastruktur die Einstellungen für die Remote Desktop Protocol-Hostkonfiguration (RDP) festgelegt sind, um den für Ihre Umgebung geeigneten höchsten Grad der Verschlüsselung sicherzustellen.

Überprüfen der vSphere Web Client-Zertifikate

Weisen Sie Benutzer von vSphere Web Client oder anderen Clientanwendungen an, Zertifikatverifizierungswarnungen auf keinen Fall zu ignorieren. Ohne Zertifikatverifizierung kann der Benutzer Ziel eines MiTM-Angriffs werden.