Wenn Sie unabhängige, nicht dauerhafte Festplatten mit virtuellen Maschinen verwenden, können erfolgreiche Angreifer Beweise hinsichtlich der Manipulation der Maschine durch Herunterfahren oder Neustarten des Systems beseitigen. Ohne eine dauerhafte Aufzeichnung der Aktivitäten auf einer virtuellen Maschine registrieren Administratoren einen Angriff möglicherweise überhaupt nicht. Vermeiden Sie deshalb die Verwendung unabhängiger, nicht dauerhafter Festplatten.

Prozedur

  • Stellen Sie sicher, dass die Aktivitäten der virtuellen Maschine auf einem separaten Server per Remoteprotokollierung aufgezeichnet werden, beispielsweise auf einem Syslog-Server oder einem gleichwertigen Windows-basierten Ereignis-Collector.
    Falls die Remoteprotokollierung von Ereignissen und Aktivitäten nicht für den Gast konfiguriert ist, sollte für „scsiX:Y.mode“ eine der folgenden Einstellungen verwendet werden:
    • Nicht vorhanden
    • Nicht eingestellt auf unabhängig, nicht dauerhaft

Ergebnisse

Wenn der nicht dauerhafte Modus nicht aktiviert ist, können Sie für eine virtuelle Maschine kein Rollback auf einen bekannten Status ausführen, wenn Sie das System neu starten.