Referenz zu Sicherheitskontrollen für virtuelle Maschinen

Verwendete Variable

Die in diesem Abschnitt vorgestellten PowerCLI-Befehle verwenden folgende Variable:

$VM = "virtual_machine_name"

mks.enable3d

Deaktiviert 3D-Grafikfunktionen auf virtuellen Maschinen, die nicht benötigt werden, um potenzielle Angriffsvektoren zu reduzieren und so die allgemeine Systemsicherheit zu verbessern.

Werte: Standardwert der Installation: False; Empfohlener Baseline-Wert: False

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting mks.enable3d

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting mks.enable3d | Set-AdvancedSetting -Value FALSE

ethernet.filter.name

Beschränkt den Zugriff auf virtuelle Maschinen über die Netzwerk-API „dvFilter“.

Die Schnittstelle „dvFilter“ wird von Tools wie NSX zum Filtern und Überprüfen des Netzwerkdatenverkehrs verwendet. Sie kann auch von anderen Tools verwendet werden. Stellen Sie sicher, dass diese Tools autorisiert sind.

Werte: Installationsstandardwert: nicht vorhanden; Vorgeschlagener Baseline-Wert: nicht vorhanden

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Legitime Netzwerktools, einschließlich NSX, erfordern möglicherweise diese Funktionalität.

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting "ethernet*.filter*.name*"

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting "ethernet*.filter*.name*" | Remove-AdvancedSetting

Verhindern, dass virtuelle Maschinen von nicht autorisierten Quellen gestartet werden

Virtuelle Maschinen müssen das Starten von nicht autorisierten Quellen verhindern.

Ein nicht autorisierter Zugriff auf eine virtuelle Maschine kann auftreten, wenn das primäre Startvolume nicht verfügbar ist und die EFI-Firmware alternative Startquellen sucht, etwa den Netzwerkstart. Dies kann durch Netzwerksteuerungen sowie durch die erweiterten Parameter bios.bootDeviceClasses, bios.bootOrder und bios.hddOrder verringert werden.

bios.bootDeviceClasses hat das Format „allow:XXXX“ oder „deny:XXXX“, wobei XXXX eine kommagetrennte Liste von Startklassen ist. Zu den Startklassen zählen „net“ (Netzwerk-PXE-Start), „usb“ (von angehängten USB-Geräten), „pcmcia“ (PCMCIA-Erweiterungskarten, derzeit nicht verwendet), „cd“ (von angehängten virtuellen CD-/DVD-Geräten), „hd“ (von angehängten virtuellen Festplatten), „fd“ (von virtuellen Diskettenlaufwerken), „reserved“ (von unbekannten Geräten), efishell (in die EFI-Shell) und „all“ oder „any“ (mit „all“ identisch).

Die Verwendung von „allow“ oder „deny“ gibt auch implizit das Gegenteil an. Beispiel:

„deny:all“ verbietet alle Startklassen.
„deny:net“ lässt den Netzwerkstart nicht zu, lässt aber alle anderen zu.
„allow:hd“ lässt nur den Festplattenstart zu und verweigert alle anderen.
„allow:hd,cd“ lässt den Festplattenstart und dann den Start des CD-Geräts zu und verweigert alle anderen.

Es kann sein, dass für neue virtuelle Maschinen ein CD-/DVD-Start erforderlich ist. Zudem kann es sein, dass einige dynamische Umgebungen, etwa Labs, den Netzwerkstart verwenden. Legen Sie diese Umgebungen entsprechend fest, und dokumentieren Sie Ihre Begründung.

Werte: Installationsstandardwert: allow:all; Vorgeschlagener Baseline-Wert: allow:hd (sobald das Gastbetriebssystem installiert ist)

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Die virtuelle Maschine kann nicht mehr von nicht spezifizierten Quellen gestartet werden, was sich negativ auf Situationen auswirken kann, in denen PXE-Start- oder Wiederherstellungsmedien erforderlich sind. Der Parameter kann jedoch problemlos über PowerCLI skaliert werden. Ein alternativer Ansatz besteht darin, verweigerte Methoden wie „deny:net“ anzugeben.

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting bios.bootDeviceClasses

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting bios.bootDeviceClasses | Set-AdvancedSetting -Value "allow:hd"

RemoteDisplay.maxConnections

Beschränkt die Anzahl der Konsolenverbindungen mit einer virtuellen Maschine.

Die Begrenzung der gemeinsamen Nutzung der Konsole für die virtuelle Maschine auf einen Benutzer verhindert mehrere Beobachter und erhöht so die Sicherheit. Dies kann jedoch versehentlich dazu führen, dass Dienste abgelehnt werden.

Werte: Installationsstandardwert: -1; Empfohlener Baseline-Wert: 1

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Es kann zu einer Denial-of-Service-Bedingung kommen, bei der die Konsole nicht verwendet werden kann, weil der eine Benutzer verbunden ist oder eine getrennte Konsolensitzung weiterhin besteht. Für andere Produkte, etwa VMware Cloud Director, kann es sein, dass diese Option auf einen höheren Wert festgelegt werden muss.

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting RemoteDisplay.maxConnections

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting RemoteDisplay.maxConnections | Set-AdvancedSetting -Value 1

Begrenzen der Passthrough-Funktionalität des PCI-Geräts

Virtuelle Maschinen müssen die Passthrough-Funktionalität des PCI-Geräts begrenzen.

DirectPath E/A-Funktionen ermöglichen virtuellen Maschinen den direkten Zugriff auf Systemhardware, was sich auf Tools zur Risikominderung wie vMotion, DRS und Hochverfügbarkeit auswirkt. DirectPath E/A-Funktionen bieten Angreifern möglicherweise auch privilegierten Hardwarezugriff. Stellen Sie sicher, dass nur erforderliche virtuelle Maschinen über dieses Recht verfügen, was durch Gastbetriebssystem-Sicherheitskontrollen kompensiert wird.

Werte: Installationsstandardwert: nicht vorhanden; Vorgeschlagener Baseline-Wert: nicht vorhanden

Aktion erforderlich: Überwachungsprotokoll

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Passthrough-Geräte, etwa GPUs, wären negativ betroffen, wenn sie getrennt werden. Überwachen und dokumentieren Sie die geschäftlichen Anforderungen für diese virtuellen Maschinen.

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-PassthroughDevice

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-PassthroughDevice | Remove-PassthroughDevice

Entfernen unnötiger virtueller Hardwaregeräte für virtuelle Maschinen

Virtuelle Maschinen müssen unnötige virtuelle Hardware entfernen.

Vermeiden Sie unnötige virtuelle Hardware von virtuellen Maschinen, um potenzielle Angriffsflächen zu reduzieren. Selten verwendete Ports, temporäre CD-/DVD-Laufwerke und Hardware, die durch Migrationen eingeführt werden, könnten anfällig sein. Wenn Sie diese entfernen, verringert sich das Risiko, dass Software eingeführt wird oder Daten aus einer geschützten Umgebung herausgeschleust werden.

Werte: Installationsstandardwert: Konfiguriert; Vorgeschlagener Baseline-Wert: nicht vorhanden

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Das Entfernen des CD-ROM-Geräts kann sich auf die Installation und Wartung von VMware Tools auswirken. Das Entfernen von XHCI-Controllern kann sich für einige Gastbetriebssysteme auswirken auf die Konnektivität von Tastatur und Maus der Konsole.

PowerCLI-Befehlsbeurteilung

$VMview = Get-VM -Name $VM | Get-View
$UnnecessaryHardware = "VirtualUSBController|VirtualUSBXHCIController|VirtualParallelPort|VirtualFloppy|VirtualSerialPort|VirtualHdAudioCard|VirtualAHCIController|VirtualEnsoniq1371|VirtualCdrom"

$VMview.Config.Hardware.Device | Where-Object {$_.GetType().Name -match $UnnecessaryHardware} | Foreach-Object {
	$devname = $_.GetType().Name
	Write-Host "$VM`: [WARNING] VM has a $devname device. Please evaluate and consider removing." -ForegroundColor Yellow
}

Beispiel für PowerCLI-Befehlsstandardisierung: Nicht verfügbar

Festlegen des Standorts in vSphere Client: Virtuelle Maschine > Einstellungen bearbeiten > Virtuelle Hardware

tools.guestlib.enableHostInfo

Verhindert, dass virtuelle Maschinen Hostinformationen über den Hypervisor abrufen.

Indem verhindert wird, dass virtuelle Maschinen Hostinformationen über den Hypervisor abrufen, verringert sich das Risiko erweiterter Angriffe, da Angreifern wichtige Details zum physischen Host verweigert werden.

Werte: Standardwert der Installation: False; Vorgeschlagener Baseline-Wert: „Falsch“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting tools.guestlib.enableHostInfo

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting tools.guestlib.enableHostInfo | Remove-AdvancedSetting

Festlegen des Standorts in vSphere Client: Nicht verfügbar. Dies ist eine VMX-Dateieinstellung.

Festlegen der Verschlüsselung für Fault Tolerance

Virtuelle Maschinen müssen für Fault Tolerance eine Verschlüsselung anfordern.

Die Anforderung einer Verschlüsselung für Fault Tolerance in virtuellen Maschinen gewährleistet eine sichere Datenübertragung. Während die standardmäßige „opportunistische“ Verschlüsselung wahrscheinlich aufgrund der allgegenwärtigen AES-NI-Unterstützung in vSphere-kompatibler Hardware zu einer Verschlüsselung führt, garantiert das Erzwingen der „erforderlichen“ Verschlüsselung keine unverschlüsselten Vorgänge.

Werte: Installationsstandardwert: ftEncryptionOpportunistic; Vorgeschlagener Baseline-Wert: ftEncryptionRequired

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

(Get-VM -Name $VM).ExtensionData.Config.FtEncryptionMode

Beispiel für PowerCLI-Befehlsstandardisierung

$VMview = Get-VM -Name $VM | Get-View 
$ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$ConfigSpec.FtEncryptionMode = New-object VMware.Vim.VirtualMachineConfigSpecEncryptedFtModes
$ConfigSpec.FtEncryptionMode = "ftEncryptionRequired" 
$VMview.ReconfigVM_Task($ConfigSpec)

Festlegen des Standorts in vSphere Client: Virtuelle Maschine > Einstellungen bearbeiten > VM-Optionen > Verschlüsselung

isolation.tools.copy.disable

Deaktiviert Konsolenkopiervorgänge auf virtuellen Maschinen.

Durch das Deaktivieren von Konsolenkopiervorgängen auf virtuellen Maschinen wird das Kopieren von Daten zwischen der virtuellen Maschine und dem lokalen Client verhindert, unabhängig davon, ob der Benutzer über die Web-Konsole, VMRC oder eine andere Methode auf zugreift.

Werte: Standardwert der Installation: True.; Vorgeschlagener Baseline-Wert: „True“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.copy.disable

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.copy.disable | Remove-AdvancedSetting

isolation.tools.paste.disable

Deaktiviert Konsolen-Einfügevorgänge auf virtuellen Maschinen.

Durch Deaktivieren von Konsolen-Einfügevorgängen auf virtuellen Maschinen wird die Datenübertragung vom lokalen Client zur virtuellen Maschine blockiert, unabhängig davon, ob der Benutzer die Web-Konsole, VMRC oder eine andere Konsole verwendet.

Werte: Standardwert der Installation: True.; Vorgeschlagener Baseline-Wert: „True“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.paste.disable

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.paste.disable | Remove-AdvancedSetting

isolation.tools.diskShrink.disable

Deaktiviert das Verkleinern virtueller Festplatten auf virtuellen Maschinen.

Durch das Deaktivieren der Verkleinerung von virtuellen Festplatten auf virtuellen Maschinen werden Probleme in Bezug auf die Nichtverfügbarkeit von Festplatten vermieden. Benutzer ohne administrative Rechte können diesen Vorgang in der Gastumgebung in der Regel nur eingeschränkt durchführen.

Werte: Standardwert der Installation: True.; Vorgeschlagener Baseline-Wert: „True“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.diskShrink.disable

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.diskShrink.disable | Remove-AdvancedSetting

isolation.tools.diskWiper.disable

Deaktiviert Vorgänge zum Löschen virtueller Festplatten auf virtuellen Maschinen.

Durch das Deaktivieren des Löschens von virtuellen Festplatten auf virtuellen Maschinen werden Probleme in Bezug auf die Nichtverfügbarkeit von Festplatten vermieden. Benutzer ohne administrative Rechte können diesen Vorgang in der Gastumgebung in der Regel nur eingeschränkt durchführen.

Werte: Standardwert der Installation: True.; Vorgeschlagener Baseline-Wert: „True“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.diskWiper.disable

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.diskWiper.disable | Remove-AdvancedSetting

isolation.device.connectable.disable

Verhindert, dass virtuelle Maschinen unbefugt entfernt, verbunden und Geräte geändert werden.

Durch das Verhindern nicht autorisierter Geräteänderungen auf virtuellen Maschinen wird verhindert, dass nicht administrative Benutzer oder Prozesse Geräteeinstellungen verbinden, trennen oder anpassen können. Diese Maßnahme dämmt unbefugte Zugriffe und Betriebsunterbrechungen ein, reduziert Denial-of-Service-Risiken sowie einige Möglichkeiten zum Herausschleusen von Daten.

Werte: Standardwert der Installation: True.; Vorgeschlagener Baseline-Wert: „True“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting isolation.device.connectable.disable

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting isolation.device.connectable.disable | Remove-AdvancedSetting

isolation.tools.dnd.disable

Deaktiviert Drag-and-Drop-Vorgänge auf Konsolen für die virtuelle Maschine.

Durch das Deaktivieren von Drag-and-Drop-Vorgängen in der Konsole einer virtuellen Maschine wird verhindert, dass Benutzer Daten zwischen der virtuellen Maschine und dem lokalen Client übertragen, unabhängig vom Konsolentyp, was wiederum die Datensicherheit erhöht.

Werte: Standardwert der Installation: True.; Vorgeschlagener Baseline-Wert: „True“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.dnd.disable

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting isolation.tools.dnd.disable | Remove-AdvancedSetting

tools.setInfo.sizeLimit

Begrenzt die von der virtuellen Maschine auf die VMX-Datei übergebenen Informationsmeldungen.

Durch die Begrenzung der Informationsmeldungen der virtuellen Maschine auf die VMX-Datei wird verhindert, dass die Standardgröße von 1 MB überschritten wird. Diese Option verhindert potenzielle Denial-of-Service-Situationen, die auftreten können, wenn der Datenspeicher voll ist.

Werte: Installationsstandardwert: 1048576; Vorgeschlagener Baseline-Wert: 1048576 oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting tools.setInfo.sizeLimit

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting tools.setInfo.sizeLimit | Remove-AdvancedSetting

Aktivieren der Protokollierung

Virtuelle Maschinen müssen die Diagnoseprotokollierung aktivieren.

Die Diagnoseprotokollierung für virtuelle Maschinen hilft bei der Diagnose und Fehlerbehebung.

Werte: Standardwert der Installation: True.; Empfohlener Baseline-Wert: True

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Where {$_.ExtensionData.Config.Flags.EnableLogging -ne "True"}

Beispiel für PowerCLI-Befehlsstandardisierung

$VMview = Get-VM -Name $VM | Get-View 
$ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$ConfigSpec.Flags = New-Object VMware.Vim.VirtualMachineFlagInfo
$ConfigSpec.Flags.EnableLogging = $true
$VMview.ReconfigVM_Task($ConfigSpec)

log.keepOld

Begrenzt die Anzahl der aufbewahrten Diagnoseprotokolle der virtuellen Maschine.

Indem Sie die Anzahl der aufbewahrten Diagnoseprotokolle einschränken, vermeiden Sie, dass Datenspeicher gefüllt wird, ohne dass Sie dabei die Diagnosefunktionalität beeinträchtigen.

Werte: Installationsstandardwert: 10; Vorgeschlagener Baseline-Wert 10 oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting log.keepOld

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting log.keepOld | Remove-AdvancedSetting

log.rotateSize

Begrenzt die Größe der Diagnoseprotokolle der virtuellen Maschine.

Durch die Begrenzung der Größe von Diagnoseprotokollen auf virtuellen Maschinen wird ein übermäßiger Speicherplatzverbrauch verhindert, insbesondere bei virtuellen Maschinen mit langer Ausführungsdauer. Der empfohlene Mindestgrenzwert beträgt 2 MB.

Werte: Installationsstandardwert: 2048000; Vorgeschlagener Baseline-Wert: 2048000 oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting log.rotateSize

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting log.rotateSize | Remove-AdvancedSetting

tools.guestlib.enableHostInfo

Deaktiviert die Funktion zum Senden von Hostinformationen an Gäste.

Durch die Konfiguration einer virtuellen Maschine zum Abrufen detaillierter Informationen über den physischen Host könnte ein Angreifer diese Informationen möglicherweise verwenden, um weitere Angriffe auf dem Host durchzuführen. Da der Standardzustand der gewünschte Zustand ist, können Sie die Überwachung vornehmen, indem Sie überprüfen, ob diese Einstellung nicht oder auf „False“ festgelegt ist.

Werte: Standardwert der Installation: False; Vorgeschlagener Baseline-Wert: „Falsch“ oder „Nicht definiert“

Aktion erforderlich: Überprüfen Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Wenn es innerhalb des Gastbetriebssystems nicht möglich ist, Leistungsinformationen über den Host abzurufen, kann die Fehlerbehebung erschwert werden.

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting tools.guestlib.enableHostInfo

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting tools.guestlib.enableHostInfo | Remove-AdvancedSetting

tools.guest.desktop.autolock

Sperrt die Gastsitzung der virtuellen Maschine, wenn die Remote-Konsole getrennt wird.

Durch das Sperren virtueller Maschinen beim Schließen der letzten Konsolenverbindung kann ein potenzieller nicht autorisierter Zugriff durch Angreifer verhindert werden, die angemeldete Konsolensitzungen ausnutzen.

Werte: Standardwert der Installation: False; Empfohlener Baseline-Wert: True

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

Get-VM -Name $VM | Get-AdvancedSetting tools.guest.desktop.autolock

Beispiel für PowerCLI-Befehlsstandardisierung

Get-VM -Name $VM | Get-AdvancedSetting tools.guest.desktop.autolock | Remove-AdvancedSetting

Aktivieren der Verschlüsselung für vMotion

Virtuelle Maschinen müssen für vMotion eine Verschlüsselung anfordern.

Die Anforderung einer Verschlüsselung für vMotion auf virtuellen Maschinen gewährleistet eine sichere Datenübertragung. Die standardmäßige „opportunistische“ Verschlüsselung führt wahrscheinlich zu einer Verschlüsselung aufgrund der weit verbreiteten AES-NI-Unterstützung in vSphere-kompatibler Hardware. Durch das Erzwingen der „erforderlichen“ Verschlüsselung werden jedoch unverschlüsselte Vorgänge verhindert.

Werte: Installationsstandardwert: Opportunistisch; Vorgeschlagener Baseline-Wert: Erforderlich

Aktion erforderlich: Ändern Sie den Standardwert der Installation.

Mögliche funktionale Auswirkungen einer Änderung des Standardwerts: Keine

PowerCLI-Befehlsbeurteilung

(Get-VM -Name $VM).ExtensionData.Config.MigrateEncryption

Beispiel für PowerCLI-Befehlsstandardisierung

$VMview = Get-VM -Name $VM | Get-View 
$ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$ConfigSpec.MigrateEncryption = New-Object VMware.Vim.VirtualMachineConfigSpecEncryptedVMotionModes
$ConfigSpec.MigrateEncryption = "required"
$VMview.ReconfigVM_Task($ConfigSpec)