Diese Sicherheitskontrollen bieten einen Baseline-Satz an Best Practices für Gastbetriebssysteme. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden. Um Änderungen an diesen Steuerelementen vorzunehmen, verwenden Sie entweder die bereitgestellte PowerCLI oder den vSphere Client.
Verwendete Variable
Die in diesem Abschnitt vorgestellten PowerCLI-Befehle verwenden folgende Variable:
- $VM = "virtual_machine_name"
Pfad der VMware Tools
Der Standard-Installationspfad für VMware Tools lautet C:\Program Files\VMware\VMware Tools.
Secure Boot für das Gastbetriebssystem konfigurieren
Das Gastbetriebssystem muss Secure Boot aktivieren.
Secure Boot, das von allen modernen Gastbetriebssystemen unterstützt wird, nutzt Verschlüsselung mit öffentlichem Schlüssel, um Firmware, Bootloader, Treiber und Betriebssystemkernel zu validieren. Indem Secure Boot das Starten von Systemen mit unsicherer Bootkettengültigkeit verhindert, schränkt es Malware wirksam ein.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Für die Aktivierung von Secure Boot nach der Installation eines Gastbetriebssystems sind möglicherweise weitere Schritte erforderlich. Eine Anleitung finden Sie in der Dokumentation Ihres Gastbetriebssystems.
- PowerCLI-Befehlsbeurteilung
-
(Get-VM -Name $VM).ExtensionData.Config.BootOptions.EfiSecureBootEnabled
- Beispiel für PowerCLI-Befehlsstandardisierung
-
$VMobj = (Get-VM -Name $VM) $ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec $bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions $bootOptions.EfiSecureBootEnabled = $true $ConfigSpec.BootOptions = $bootOptions $task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
Einschränkung der Verwendung von MSI-Transformationen
Das Gastbetriebssystem muss die Verwendung von MSI-Transformationen bei der Neukonfiguration von VMware Tools einschränken.
MSI-Transformationen ermöglichen das Ändern der Installationsdatenbank auf Microsoft Windows-Gastbetriebssystemen. Dies kann hilfreich sein, bietet aber auch die Möglichkeit, aus vSphere das Sicherheitsprofil des Gastbetriebssystems zu ändern.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Administratoren müssen bei Bedarf andere Methoden nutzen, um VMware Tools zu aktualisieren und neu zu konfigurieren.
Deaktivieren von Appinfo
Das Gastbetriebssystem muss das Erfassen von Appinfo-Informationen deaktivieren, wenn dieses nicht erforderlich ist.
Appinfo ist eine Methode zur Anwendungserkennung über VMware Tools. Wenn Sie dieses Tool nicht verwenden, deaktivieren Sie das Modul, um die Angriffsfläche zu verringern.
- Werte
- Standardwert der Installation: False
- Aktion erforderlich
- Ändern Sie den Standardwert der Installation.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
- PowerCLI-Befehlsbeurteilung
-
VMwareToolboxCmd.exe config get appinfo disabled
Deaktivieren von ContainerInfo
Das Gastbetriebssystem muss ContainerInfo deaktivieren, wenn dies nicht erforderlich ist.
Das VMware Tools ContainerInfo-Plug-In für Linux erfasst die Liste der in einem Linux-Gastbetriebssystem ausgeführten Container.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
Gastvorgänge deaktivieren
Deaktivieren Sie Gastvorgänge, sofern diese nicht erforderlich ist.
Bei Gastvorgängen handelt es sich um eine Reihe von Funktionen, die den meisten Host-zu-Gast-Interaktionen zugrunde liegen. Die Deaktivierung verringert die Angriffsfläche, wirkt sich aber auch erheblich auf die Funktionalität aus. Stellen Sie sicher, dass diese Funktionen in Ihrer Umgebung nicht benötigt werden. Deaktivieren Sie keine Gastvorgänge auf Vorlagen-VMs.
Eine Liste der Funktionen finden Sie in der folgenden Dokumentation:
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
Erneute Anpassung des Gastbetriebssystems verhindern
Sie müssen eine erneute Anpassung des Gastbetriebssystems auf bereitgestellten und angepassten virtuellen Maschinen verhindern.
Der Bereitstellungsprozess virtueller Maschinen bietet vSphere-Administratoren zahlreiche Möglichkeiten, virtuelle Maschinen mittels Skripts und dem Ausführen von Befehlen anzupassen. Diese Anpassungsansätze können einem Angreifer auch eine Möglichkeit bieten, durch das Klonen und die Neuanpassung Zugriff auf Daten innerhalb einer virtuellen Maschine zu erhalten. Verhindern Sie, dass eine virtuelle Maschine nach der Bereitstellung erneut angepasst werden kann. Diese Änderung können Sie jederzeit rückgängig machen.
- Werte
- Standardwert der Installation: True.
- Aktion erforderlich
- Ändern Sie den Standardwert der Installation.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Virtuelle Maschinen können nach dem Einrichten beim Klonen angepasst werden. Nehmen Sie diese Änderung nicht an Vorlage-VMs vor.
- PowerCLI-Befehlsbeurteilung
-
VMwareToolboxCmd.exe config get deployPkg enable-customization
- Beispiel für PowerCLI-Befehlsstandardisierung
-
VMwareToolboxCmd.exe config set deployPkg enable-customization false
Deaktivieren von GuestStore-Upgradevorgängen
Der Gastbetriebssystem muss GuestStore-Upgradevorgänge deaktivieren, sofern sie nicht benötigt werden.
Die GuestStore-Funktion bietet einen einfachen und flexiblen Mechanismus, um VMware-spezifische oder benutzerdefinierte Inhalte aus einem GuestStore-Repository gleichzeitig an mehrere Gäste zu verteilen. Sofern Sie diese Funktion nicht verwenden, deaktivieren Sie das Plug-In, um die Angriffsfläche zu verkleinern.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
Deaktivieren der Diensterkennung
Das Gastbetriebssystem muss die Diensterkennung deaktivieren, sobald diese nicht benötigt wird.
Das VMware Tools-Plug-In für die Diensterkennung stellt eine Verbindung zu Aria Operations her und liefert dem Produkt zusätzliche Daten zu Gastbetriebssystemen und Arbeitslasten. Sofern Sie diese Funktion nicht verwenden, deaktivieren Sie das Plug-In, um die Angriffsfläche zu verkleinern.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
Aktivieren der Protokollierung für VMware Tools
Das Gastbetriebssystem muss die Protokollierung für VMware Tools aktivieren.
Stellen Sie sicher, dass VMware Tools Informationen korrekt protokolliert. Beispiele finden Sie unter https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf.
Senden von VMware Tools-Protokollen an den Systemprotokolldienst
Das Gastbetriebssystem muss VMware Tools-Protokolle an den Systemprotokolldienst senden.
Standardmäßig sendet VMware Tools Protokolle an eine Datei auf der Festplatte. Konfigurieren Sie Protokolle so, dass sie für die Verwaltung und zentrale Archivierung auf Linux-Gästen an Syslog und auf Microsoft Windows-Geräten an den Windows-Ereignisdienst gesendet werden.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Aktualisieren Sie Prozesse, die darauf angewiesen sind, dass sich diese Dateien am Standardspeicherort befinden.
- PowerCLI-Befehlsbeurteilung
-
VMwareToolboxCmd.exe config get logging vmsvc.handler VMwareToolboxCmd.exe config get logging toolboxcmd.handler VMwareToolboxCmd.exe config get logging vgauthsvc.handler VMwareToolboxCmd.exe config get logging vmtoolsd.handler
- Beispiel für PowerCLI-Befehlsstandardisierung
-
VMwareToolboxCmd.exe config set logging vmsvc.handler syslog VMwareToolboxCmd.exe config set logging toolboxcmd.handler syslog VMwareToolboxCmd.exe config set logging vgauthsvc.handler syslog VMwareToolboxCmd.exe config set logging vmtoolsd.handler syslog
Sicherstellen, dass die Version von VMware Tools auf dem neuesten Stand ist
Das Gastbetriebssystem muss sicherstellen, dass VMware Tools auf dem neuesten Stand ist.
VMware Tools sind ein wichtiger Teil des VMware-Ökosystems. Mit VMware Tools können Sie die Verwaltung von Gastbetriebssystemen durchführen, z. B.:
- Ordnungsgemäßes Herunterfahren
- Lebenszyklusverwaltung
- Abrufen von Treibern für paravirtualisierte Geräte
- Anpassen und Bereitstellen von VM-Vorlagen
Wie alle Softwareprodukte muss auch VMware Tools bei Bedarf verwaltet und aktualisiert werden. Stellen Sie sicher, dass Sie eine unterstützte Version für Ihr Gastbetriebssystem ausführen – unabhängig davon, ob sie als Teil der Linux-Distribution bereitgestellt oder durch Sie für Microsoft Windows installiert wurde.
- Werte
- Standardwert der Installation: Nicht verfügbar
- Aktion erforderlich
- Überprüfen Sie den Standardwert der Installation.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Keine
- PowerCLI-Befehlsbeurteilung
-
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
- Beispiel für PowerCLI-Befehlsstandardisierung
- Standortspezifisch. VMware Tools kann auf mehreren Wegen aktualisiert werden. Treiber für VMXNET3 und PVSCSI sind auch über Windows Update verfügbar. Stellen Sie daher sicher, dass Sie diese in Tools wie WSUS importieren.
- Festlegen des Standorts in vSphere Client
Deaktivieren von GlobalConf
Das Gastbetriebssystem muss GlobalConf deaktivieren, sofern es nicht erforderlich ist.
Die Funktion „GlobalConf“ von VMware Tools bietet die Möglichkeit, Konfigurationen der tools.conf
-Datei auf virtuelle Maschinen zu übertragen.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Bei Bedarf müssen Administratoren andere Methoden anwenden, um VMware Tools zu aktualisieren und neu zu konfigurieren.
Begrenzen der automatischen Verlängerung von VMware Tools-Funktionen
Das Gastbetriebssystem muss das automatische Entfernen von VMware Tools-Funktionen begrenzen.
Automatische Upgradeprozesse von VMware Tools können Funktionen zur VMware Tools-Installation hinzufügen oder daraus entfernen. Dies kann hilfreich sein, eröffnet aber auch die Möglichkeit, das Sicherheitsprofil des Gastbetriebssystems aus vSphere zu ändern.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Bei Bedarf müssen Administratoren andere Methoden anwenden, um VMware Tools zu aktualisieren und neu zu konfigurieren.
Konfigurieren von VMware Tools für automatische Upgrades
Das Gastbetriebssystem muss VMware Tools-Upgrades automatisch für die Anforderungen der Umgebung konfigurieren.
VMware Tools-Updates können von vSphere initiiert werden, was für die Aufrechterhaltung aktueller VMware Tools-Versionen hilfreich sein kann. Deaktivieren Sie diese Funktion, wenn Sie VMware Tools auf andere Weise verwalten und aktualisieren. Lassen Sie automatische Updates grundsätzlich aktiviert.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Bei Bedarf müssen Administratoren andere Methoden anwenden, um VMware Tools zu aktualisieren und neu zu konfigurieren.
Überprüfen der Hardwareversion der virtuellen Maschine
Das Gastbetriebssystem muss sicherstellen, dass die Hardware der virtuellen Maschine Version 19 oder höher ist (sofern unterstützt).
Die virtuelle Maschine (Hardwareversion 19) ist kompatibel mit ESXi 7.0 Update 2 und höher. Neuere Versionen der Hardware virtueller Maschinen ermöglichen neue Funktionen und eine bessere Leistung. Erwägen Sie ein Upgrade auf VM-Hardware 20, sofern Sie ein vollständiges Update auf vSphere 8.0 oder höher durchgeführt haben. Gehen Sie beim Upgrade wie immer umsichtig vor und testen Sie den Upgrade-Prozess gründlich, bevor Sie ihn systemweit durchführen.
Berücksichtigen Sie alle Standorte, an denen eine virtuelle Maschine ausgeführt werden könnte oder an denen Sie die virtuelle Maschine möglicherweise wiederherstellen müssen. Beispielsweise müssen Benutzer des VMware Cloud Disaster Recovery-Dienstes die vSphere-Ebenen potenzieller Wiederherstellungs-SDDCs berücksichtigen. Obwohl VMware Cloud auf vSphere ausgeführt wird, sind möglicherweise nicht dieselben unterstützten virtuellen Hardwareversionen verfügbar.
Änderungen an der Konfiguration der von VMware bereitgestellten virtuellen Appliances werden nicht unterstützt und können zu Dienstunterbrechungen führen.
- Werte
- Standardwert der Installation: Standortspezifisch
- Aktion erforderlich
- Ändern Sie den Standardwert der Installation.
- Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
- Beim Ändern der Hardwareversionen virtueller Maschinen werden auch die Geräteversionen im Gast geändert, was sich negativ auswirken kann. Testen Sie Upgrades virtueller Hardwareversionen immer vorab und denken Sie daran, dass Snapshots auch die Version der virtuellen Maschine erfassen, weshalb Sie im Bedarfsfall Versionen wiederherstellen können.
- PowerCLI-Befehlsbeurteilung
-
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
- Beispiel für PowerCLI-Befehlsstandardisierung
-
Set-VM -VM $VM -HardwareVersion vmx-19