Diese Sicherheitskontrollen bieten einen Baseline-Satz an Best Practices für Gastbetriebssysteme. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden. Um Änderungen an diesen Steuerelementen vorzunehmen, verwenden Sie entweder die bereitgestellte PowerCLI oder den vSphere Client.

Verwendete Variable

Die in diesem Abschnitt vorgestellten PowerCLI-Befehle verwenden folgende Variable:

  • $VM = "virtual_machine_name"

Pfad der VMware Tools

Der Standard-Installationspfad für VMware Tools lautet C:\Program Files\VMware\VMware Tools.

Secure Boot für das Gastbetriebssystem konfigurieren

Das Gastbetriebssystem muss Secure Boot aktivieren.

Secure Boot, das von allen modernen Gastbetriebssystemen unterstützt wird, nutzt Verschlüsselung mit öffentlichem Schlüssel, um Firmware, Bootloader, Treiber und Betriebssystemkernel zu validieren. Indem Secure Boot das Starten von Systemen mit unsicherer Bootkettengültigkeit verhindert, schränkt es Malware wirksam ein.

Werte
Standardwert der Installation: Standortspezifisch
Empfohlener Baseline-Wert: True
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Für die Aktivierung von Secure Boot nach der Installation eines Gastbetriebssystems sind möglicherweise weitere Schritte erforderlich. Eine Anleitung finden Sie in der Dokumentation Ihres Gastbetriebssystems.
PowerCLI-Befehlsbeurteilung
(Get-VM -Name $VM).ExtensionData.Config.BootOptions.EfiSecureBootEnabled 
Beispiel für PowerCLI-Befehlsstandardisierung
$VMobj = (Get-VM -Name $VM)
$ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions
$bootOptions.EfiSecureBootEnabled = $true
$ConfigSpec.BootOptions = $bootOptions
$task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
Festlegen des Standorts in vSphere Client
Virtuelle Maschine > Einstellungen bearbeiten > VM-Optionen

Einschränkung der Verwendung von MSI-Transformationen

Das Gastbetriebssystem muss die Verwendung von MSI-Transformationen bei der Neukonfiguration von VMware Tools einschränken.

MSI-Transformationen ermöglichen das Ändern der Installationsdatenbank auf Microsoft Windows-Gastbetriebssystemen. Dies kann hilfreich sein, bietet aber auch die Möglichkeit, aus vSphere das Sicherheitsprofil des Gastbetriebssystems zu ändern.

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: False
Aktion erforderlich
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Administratoren müssen bei Bedarf andere Methoden nutzen, um VMware Tools zu aktualisieren und neu zu konfigurieren.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get autoupgrade allow-msi-transforms
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set autoupgrade allow-msi-transforms false
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Deaktivieren von Appinfo

Das Gastbetriebssystem muss das Erfassen von Appinfo-Informationen deaktivieren, wenn dieses nicht erforderlich ist.

Appinfo ist eine Methode zur Anwendungserkennung über VMware Tools. Wenn Sie dieses Tool nicht verwenden, deaktivieren Sie das Modul, um die Angriffsfläche zu verringern.

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: True
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get appinfo disabled
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set appinfo disabled true
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Deaktivieren von ContainerInfo

Das Gastbetriebssystem muss ContainerInfo deaktivieren, wenn dies nicht erforderlich ist.

Das VMware Tools ContainerInfo-Plug-In für Linux erfasst die Liste der in einem Linux-Gastbetriebssystem ausgeführten Container.

Werte
Standardwert der Installation: 21600
Empfohlener Baseline-Wert: 0
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get containerinfo poll-interval
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set containerinfo poll-interval 0
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Gastvorgänge deaktivieren

Deaktivieren Sie Gastvorgänge, sofern diese nicht erforderlich ist.

Bei Gastvorgängen handelt es sich um eine Reihe von Funktionen, die den meisten Host-zu-Gast-Interaktionen zugrunde liegen. Die Deaktivierung verringert die Angriffsfläche, wirkt sich aber auch erheblich auf die Funktionalität aus. Stellen Sie sicher, dass diese Funktionen in Ihrer Umgebung nicht benötigt werden. Deaktivieren Sie keine Gastvorgänge auf Vorlagen-VMs.

Eine Liste der Funktionen finden Sie in der folgenden Dokumentation:

https://vdc-download.vmware.com/vmwb-repository/dcr-public/fe08899f-1eec-4d8d-b3bc-a6664c168c2c/7fdf97a1-4c0d-4be0-9d43-2ceebbc174d9/doc/vim.vm.guest.GuestOperationsManager.html

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: True
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get guestoperations disabled
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set guestoperations disabled true
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Erneute Anpassung des Gastbetriebssystems verhindern

Sie müssen eine erneute Anpassung des Gastbetriebssystems auf bereitgestellten und angepassten virtuellen Maschinen verhindern.

Der Bereitstellungsprozess virtueller Maschinen bietet vSphere-Administratoren zahlreiche Möglichkeiten, virtuelle Maschinen mittels Skripts und dem Ausführen von Befehlen anzupassen. Diese Anpassungsansätze können einem Angreifer auch eine Möglichkeit bieten, durch das Klonen und die Neuanpassung Zugriff auf Daten innerhalb einer virtuellen Maschine zu erhalten. Verhindern Sie, dass eine virtuelle Maschine nach der Bereitstellung erneut angepasst werden kann. Diese Änderung können Sie jederzeit rückgängig machen.

Werte
Standardwert der Installation: True.
Empfohlener Baseline-Wert: False
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Virtuelle Maschinen können nach dem Einrichten beim Klonen angepasst werden. Nehmen Sie diese Änderung nicht an Vorlage-VMs vor.
Diese Änderung kann sich negativ auf Notfallwiederherstellungsprozesse auswirken, welche IP-Adressen über VMware Site Recovery Manager oder VMware Cloud Disaster Recovery ändern. Weitere Informationen finden Sie in der folgenden Dokumentation.
https://docs.vmware.com/de/VMware-Cloud-Disaster-Recovery/services/vmware-cloud-disaster-recovery/GUID-94202BE7-FEAF-4E35-8B55-15F6B3798309.html
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get deployPkg enable-customization
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set deployPkg enable-customization false
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Deaktivieren von GuestStore-Upgradevorgängen

Der Gastbetriebssystem muss GuestStore-Upgradevorgänge deaktivieren, sofern sie nicht benötigt werden.

Die GuestStore-Funktion bietet einen einfachen und flexiblen Mechanismus, um VMware-spezifische oder benutzerdefinierte Inhalte aus einem GuestStore-Repository gleichzeitig an mehrere Gäste zu verteilen. Sofern Sie diese Funktion nicht verwenden, deaktivieren Sie das Plug-In, um die Angriffsfläche zu verkleinern.

Werte
Standardwert der Installation: Manuell
Empfohlener Baseline-Wert: Aus
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get gueststoreupgrade policy
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set gueststoreupgrade policy off
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Deaktivieren der Diensterkennung

Das Gastbetriebssystem muss die Diensterkennung deaktivieren, sobald diese nicht benötigt wird.

Das VMware Tools-Plug-In für die Diensterkennung stellt eine Verbindung zu Aria Operations her und liefert dem Produkt zusätzliche Daten zu Gastbetriebssystemen und Arbeitslasten. Sofern Sie diese Funktion nicht verwenden, deaktivieren Sie das Plug-In, um die Angriffsfläche zu verkleinern.

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: True
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Produkte und Dienste innerhalb des VMware-Ökosystems erfordern diese Funktionalität möglicherweise.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get servicediscovery disabled
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set servicediscovery disabled true
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Aktivieren der Protokollierung für VMware Tools

Das Gastbetriebssystem muss die Protokollierung für VMware Tools aktivieren.

Stellen Sie sicher, dass VMware Tools Informationen korrekt protokolliert. Beispiele finden Sie unter https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf.

Werte
Standardwert der Installation: True.
Empfohlener Baseline-Wert: True
Aktion erforderlich
Überprüfen Sie die Installationsvorgabe.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get logging log
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set logging log true
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Senden von VMware Tools-Protokollen an den Systemprotokolldienst

Das Gastbetriebssystem muss VMware Tools-Protokolle an den Systemprotokolldienst senden.

Standardmäßig sendet VMware Tools Protokolle an eine Datei auf der Festplatte. Konfigurieren Sie Protokolle so, dass sie für die Verwaltung und zentrale Archivierung auf Linux-Gästen an Syslog und auf Microsoft Windows-Geräten an den Windows-Ereignisdienst gesendet werden.

Werte
Standardwert der Installation: Datei
Empfohlener Baseline-Wert: Syslog
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Aktualisieren Sie Prozesse, die darauf angewiesen sind, dass sich diese Dateien am Standardspeicherort befinden.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get logging vmsvc.handler
VMwareToolboxCmd.exe config get logging toolboxcmd.handler
VMwareToolboxCmd.exe config get logging vgauthsvc.handler
VMwareToolboxCmd.exe config get logging vmtoolsd.handler
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set logging vmsvc.handler syslog
VMwareToolboxCmd.exe config set logging toolboxcmd.handler syslog
VMwareToolboxCmd.exe config set logging vgauthsvc.handler syslog
VMwareToolboxCmd.exe config set logging vmtoolsd.handler syslog
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Sicherstellen, dass die Version von VMware Tools auf dem neuesten Stand ist

Das Gastbetriebssystem muss sicherstellen, dass VMware Tools auf dem neuesten Stand ist.

VMware Tools sind ein wichtiger Teil des VMware-Ökosystems. Mit VMware Tools können Sie die Verwaltung von Gastbetriebssystemen durchführen, z. B.:

  • Ordnungsgemäßes Herunterfahren
  • Lebenszyklusverwaltung
  • Abrufen von Treibern für paravirtualisierte Geräte
  • Anpassen und Bereitstellen von VM-Vorlagen

Wie alle Softwareprodukte muss auch VMware Tools bei Bedarf verwaltet und aktualisiert werden. Stellen Sie sicher, dass Sie eine unterstützte Version für Ihr Gastbetriebssystem ausführen – unabhängig davon, ob sie als Teil der Linux-Distribution bereitgestellt oder durch Sie für Microsoft Windows installiert wurde.

Werte
Standardwert der Installation: Nicht verfügbar
Empfohlener Baseline-Wert: Nicht verfügbar
Aktion erforderlich
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
Beispiel für PowerCLI-Befehlsstandardisierung
Standortspezifisch. VMware Tools kann auf mehreren Wegen aktualisiert werden. Treiber für VMXNET3 und PVSCSI sind auch über Windows Update verfügbar. Stellen Sie daher sicher, dass Sie diese in Tools wie WSUS importieren.
Festlegen des Standorts in vSphere Client
Virtuelle Maschine > VM-Details > VMware Tools

Deaktivieren von GlobalConf

Das Gastbetriebssystem muss GlobalConf deaktivieren, sofern es nicht erforderlich ist.

Die Funktion „GlobalConf“ von VMware Tools bietet die Möglichkeit, Konfigurationen der tools.conf-Datei auf virtuelle Maschinen zu übertragen.

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: False
Aktion erforderlich
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Bei Bedarf müssen Administratoren andere Methoden anwenden, um VMware Tools zu aktualisieren und neu zu konfigurieren.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get globalconf enabled
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set globalconf enabled false
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Begrenzen der automatischen Verlängerung von VMware Tools-Funktionen

Das Gastbetriebssystem muss das automatische Entfernen von VMware Tools-Funktionen begrenzen.

Automatische Upgradeprozesse von VMware Tools können Funktionen zur VMware Tools-Installation hinzufügen oder daraus entfernen. Dies kann hilfreich sein, eröffnet aber auch die Möglichkeit, das Sicherheitsprofil des Gastbetriebssystems aus vSphere zu ändern.

Werte
Standardwert der Installation: True.
Empfohlener Baseline-Wert: False
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Bei Bedarf müssen Administratoren andere Methoden anwenden, um VMware Tools zu aktualisieren und neu zu konfigurieren.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get autoupgrade allow-remove-feature
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set autoupgrade allow-remove-feature false
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Konfigurieren von VMware Tools für automatische Upgrades

Das Gastbetriebssystem muss VMware Tools-Upgrades automatisch für die Anforderungen der Umgebung konfigurieren.

VMware Tools-Updates können von vSphere initiiert werden, was für die Aufrechterhaltung aktueller VMware Tools-Versionen hilfreich sein kann. Deaktivieren Sie diese Funktion, wenn Sie VMware Tools auf andere Weise verwalten und aktualisieren. Lassen Sie automatische Updates grundsätzlich aktiviert.

Werte
Standardwert der Installation: True.
Empfohlener Baseline-Wert: True
Aktion erforderlich
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Bei Bedarf müssen Administratoren andere Methoden anwenden, um VMware Tools zu aktualisieren und neu zu konfigurieren.
PowerCLI-Befehlsbeurteilung
VMwareToolboxCmd.exe config get autoupgrade allow-upgrade
Beispiel für PowerCLI-Befehlsstandardisierung
VMwareToolboxCmd.exe config set autoupgrade allow-upgrade true
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Überprüfen der Hardwareversion der virtuellen Maschine

Das Gastbetriebssystem muss sicherstellen, dass die Hardware der virtuellen Maschine Version 19 oder höher ist (sofern unterstützt).

Die virtuelle Maschine (Hardwareversion 19) ist kompatibel mit ESXi 7.0 Update 2 und höher. Neuere Versionen der Hardware virtueller Maschinen ermöglichen neue Funktionen und eine bessere Leistung. Erwägen Sie ein Upgrade auf VM-Hardware 20, sofern Sie ein vollständiges Update auf vSphere 8.0 oder höher durchgeführt haben. Gehen Sie beim Upgrade wie immer umsichtig vor und testen Sie den Upgrade-Prozess gründlich, bevor Sie ihn systemweit durchführen.

Berücksichtigen Sie alle Standorte, an denen eine virtuelle Maschine ausgeführt werden könnte oder an denen Sie die virtuelle Maschine möglicherweise wiederherstellen müssen. Beispielsweise müssen Benutzer des VMware Cloud Disaster Recovery-Dienstes die vSphere-Ebenen potenzieller Wiederherstellungs-SDDCs berücksichtigen. Obwohl VMware Cloud auf vSphere ausgeführt wird, sind möglicherweise nicht dieselben unterstützten virtuellen Hardwareversionen verfügbar.

Änderungen an der Konfiguration der von VMware bereitgestellten virtuellen Appliances werden nicht unterstützt und können zu Dienstunterbrechungen führen.

Hinweis: Wenn Sie die Hardwareversion der virtuellen Maschine aktualisieren, werden auch Treiberaktualisierungen und weitere Updates durchgeführt. Die Auswirkungen sind in der Regel minimal.
Werte
Standardwert der Installation: Standortspezifisch
Empfohlener Baseline-Wert: vmx-19 oder höher
Aktion erforderlich
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Beim Ändern der Hardwareversionen virtueller Maschinen werden auch die Geräteversionen im Gast geändert, was sich negativ auswirken kann. Testen Sie Upgrades virtueller Hardwareversionen immer vorab und denken Sie daran, dass Snapshots auch die Version der virtuellen Maschine erfassen, weshalb Sie im Bedarfsfall Versionen wiederherstellen können.
Änderungen an der Konfiguration der von VMware bereitgestellten virtuellen Appliances werden nicht unterstützt und können zu Dienstunterbrechungen führen.
PowerCLI-Befehlsbeurteilung
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
Beispiel für PowerCLI-Befehlsstandardisierung
Set-VM -VM $VM -HardwareVersion vmx-19
Festlegen des Standorts in vSphere Client
Beim Erstellen einer virtuellen Maschine im Assistenten „Neue virtuelle Maschine“ legen Sie mit der Auswahl Kompatibilität auswählen die Hardwareversion der virtuellen Maschine fest.