Diese Sicherheitskontrollen stellen einen grundlegenden Satz bewährter Methoden für die vCenter Server-Sicherheit bereit. Sie sind dahingehend gegliedert, dass die Vor- und Nachteile der Implementierung der Kontrolle verdeutlicht werden. Zum Vornehmen von Änderungen können Sie je nach Steuerung vSphere Client, PowerCLI oder die vCenter Server-Verwaltungsschnittstelle verwenden.

Verwendete PowerCLI und Variablen

Für einige der hier verwendeten PowerCLI-Beispiele muss das Modul „VMware.vSphere.SsoAdmin“ installiert werden.

Die in diesem Abschnitt aufgeführten PowerCLI-Befehle verwenden folgende Variablen:

  • $VC="vcenter_server_name"
  • $VDS="vsphere_distributed_switch_name"
  • $VDPG="vsphere_distributed_port_group"

Festlegen der Zeitüberschreitung bei Inaktivität von vSphere Client

vCenter Server muss vSphere Client-Sitzungen nach 15 Minuten Inaktivität beenden.

Im Leerlauf befindliche vSphere Client-Sitzungen können unbegrenzt geöffnet bleiben, wenn ein Benutzer vergisst, sich abzumelden. Dadurch wird das Risiko eines nicht autorisierten privilegierten Zugriffs erhöht.

Werte
Installationsstandardwert: 120 Minuten
Vorgeschlagener Baseline-Wert: 15 Minuten
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar (keine öffentliche API verfügbar)
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar (keine öffentliche API verfügbar)
Festlegen des Standorts in vSphere Client
Verwaltung > Clientkonfiguration > Zeitüberschreitung der Sitzung

Festlegen des Intervalls für fehlgeschlagene Anmeldeversuche

vCenter Server muss das Intervall für die Erfassung fehlgeschlagener Anmeldeversuche auf mindestens 15 Minuten festlegen.

Durch die Begrenzung der Anzahl an fehlgeschlagenen Anmeldeversuchen wird das Risiko eines Brute-Force-Angriffs reduziert, bei dem es durch Erraten von Benutzerkennwörtern zu unbefugten Zugriffen kommt.

Werte
Installationsstandardwert: 180
Empfohlener Baseline-Wert: 900
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-SsoLockoutPolicy | Select FailedAttemptIntervalSec
Beispiel für PowerCLI-Befehlsstandardisierung
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -FailedAttemptIntervalSec 900
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Lokale Konten > Sperrrichtlinie

Konfigurieren der maximalen Versuche der vSphere-SSO-Sperrrichtlinie

vCenter Server muss nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche ein Konto sperren.

Wiederholte fehlgeschlagene Anmeldungen für ein Konto können Sicherheitsprobleme signalisieren. Sperren Sie zum Begrenzen von Brute-Force-Versuchen das Konto nach einem bestimmten Schwellenwert, um den Ausgleich zwischen der Vermeidung automatischer Verbindungsversuche und potenziellen Denial-of-Service-Angriffen zu erreichen.

Werte
Standardwert der Installation: 5
Empfohlener Baseline-Wert: 5
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-SsoLockoutPolicy | Select MaxFailedAttempts
Beispiel für PowerCLI-Befehlsstandardisierung
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -MaxFailedAttempts 5
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Lokale Konten > Sperrrichtlinie

Konfigurieren der Entsperrzeit der vSphere-SSO-Sperrrichtlinie

vCenter Server muss Konten nach einem bestimmten Zeitraum entsperren.

Wiederholte fehlgeschlagene Anmeldungen können auf Sicherheitsbedrohungen hinweisen. vCenter Server-Konten sollten nicht automatisch entsperrt werden, wenn sie aufgrund mehrerer fehlgeschlagener Anmeldungen gesperrt wurden. Stellen Sie sicher, dass Sie über Ihre [email protected] verfügen und dass sie gültig sind.

Werte
Installationsstandardwert: 300
Empfohlener Baseline-Wert: 0
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Wenn Konten nicht automatisch entsperrt werden, kann es zum Denial-of-Service kommen.
PowerCLI-Befehlsbeurteilung
Get-SsoLockoutPolicy | Select AutoUnlockIntervalSec
Beispiel für PowerCLI-Befehlsstandardisierung
Get-SsoLockoutPolicy | Set-SsoLockoutPolicy -AutoUnlockIntervalSec 0
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Lokale Konten > Sperrrichtlinie

Erzwingen der Kennwortkomplexität

vCenter Server muss Kennwortkomplexität erzwingen.

Moderne Best Practices für Kennwörter (siehe u. a. NIST 800-63B, Abschnitt 5.1.1.2) zeigen, dass bei angemessener Kennwortentropie die Sicherheit nicht dadurch verbessert wird, dass Benutzer willkürlich zur Änderung ihrer Kennwörter in bestimmten Intervallen aufgefordert werden. Viele automatisierte Sicherheitstools und Frameworks für die Einhaltung behördlicher Auflagen berücksichtigen diese Orientierungshilfe nicht und setzen diese Empfehlung möglicherweise außer Kraft.

Regeln für die Kennwortstärke und -komplexität gelten für Konten, die in vSphere SSO erstellt wurden, einschließlich [email protected] (oder administrator@mydomain, wenn Sie bei der Installation eine andere Domäne angegeben haben). Diese Regeln gelten nicht für Active Directory-Benutzer, wenn vCenter Server einer Domäne beigetreten ist, da AD diese Kennwortrichtlinien erzwingt.

Werte
Standardwert der Installation:

Maximale Länge: 20

Minimale Länge: 8

Mindestens 1 Sonderzeichen

Mindestens 2 Buchstaben

Mindestens 1 Großbuchstabe

Mindestens 1 Kleinbuchstabe

Mindestens 1 Zahl

3 identische Nachbarn

Empfohlener Baseline-Wert:

Maximale Länge: 64

Minimale Länge: 15

Mindestens 1 Sonderzeichen

Mindestens 2 Buchstaben

Mindestens 1 Großbuchstabe

Mindestens 1 Kleinbuchstabe

Mindestens 1 Zahl

3 identische Nachbarn

Empfohlene Aktion
Ändern Sie die Installationsstandardwerte.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Von anderen Produkte und Diensten im VMware-Ökosystem wird möglicherweise nicht erwartet, dass sich die Anforderungen an die Kennwortkomplexität ändern, und die Installation könnte fehlschlagen.
PowerCLI-Befehlsbeurteilung
Get-SsoPasswordPolicy
Beispiel für PowerCLI-Befehlsstandardisierung
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Lokale Konten > Kennwortrichtlinie

Konfigurieren der maximalen Anzahl an Tagen zwischen Kennwortänderungen

vCenter Server muss mit einem angemessenen maximalen Kennwortalter konfiguriert werden.

Moderne Best Practices für Kennwörter (siehe u. a. NIST 800-63B, Abschnitt 5.1.1.2) zeigen, dass bei angemessener Kennwortentropie die Sicherheit nicht dadurch verbessert wird, dass Benutzer willkürlich zur Änderung ihrer Kennwörter in bestimmten Intervallen aufgefordert werden. Viele automatisierte Sicherheitstools und Frameworks für die Einhaltung behördlicher Auflagen berücksichtigen diese Orientierungshilfe nicht und setzen diese Empfehlung möglicherweise außer Kraft.

Werte
Installationsstandardwert: 90
Empfohlener Baseline-Wert: 99999
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-SsoPasswordPolicy | Select PasswordLifetimeDays
Beispiel für PowerCLI-Befehlsstandardisierung
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -PasswordLifetimeDays 9999
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Lokale Konten > Kennwortrichtlinie

Einschränken der Kennwortwiederverwendung

Konfigurieren Sie die Einstellung für den Kennwortverlauf, um die Wiederverwendung von Kennwörtern auf vCenter Server einzuschränken.

Richtlinien zur Kennwortkomplexität führen manchmal dazu, dass Benutzer ältere Kennwörter wiederverwenden. Das Konfigurieren der Einstellung für den Kennwortverlauf auf vCenter Server kann dazu beitragen, diese Situation zu verhindern.

Werte
Standardwert der Installation: 5
Empfohlener Baseline-Wert: 5
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-SsoPasswordPolicy | Select ProhibitedPreviousPasswordsCount
Beispiel für PowerCLI-Befehlsstandardisierung
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -ProhibitedPreviousPasswordsCount 5
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Lokale Konten > Kennwortrichtlinie

Konfigurieren des Texts des Anmelde-Banners für den Zugriff über SSH

Konfigurieren Sie den vCenter Server-Text des Anmelde-Banners für den Zugriff über SSH.

vCenter Server ermöglicht eine Anmeldenachricht, die Eindringlinge abschreckt und autorisierten Benutzern Verpflichtungen vermittelt. Diese Konfiguration legt den Text fest, der angezeigt wird, wenn ein Client eine Verbindung über SSH herstellt. Der Standardtext gibt Angreifern Informationen über die Systemkonfiguration preis und sollte geändert werden.

Werte

Installationsstandardwert: VMware vCenter Server-Version

Typ: vCenter Server mit einem eingebetteten Platform Services Controller

Vorgeschlagener Baseline-Wert: Wenden Sie sich hinsichtlich des für Ihre Umgebung geltenden Texts an die Rechtsberater Ihrer Organisation.

Beispieltext: Nur autorisierte Benutzer. Die vollzogene oder versuchte unbefugte Nutzung dieses Systems ist verboten und kann straf-, zivil-, sicherheits- oder verwaltungsrechtliche Konsequenzen und/oder Sanktionen nach sich ziehen. Durch die Nutzung dieses Informationssystems erklären Sie sich mit der Überwachung und Aufzeichnung ohne vorherige Ankündigung oder Genehmigung einverstanden. Bei der Nutzung dieses Systems haben Benutzer keinen Anspruch auf Privatsphäre. Sämtliche auf diesem System gespeicherten oder über dieses System übertragenen oder durch Überwachung und/oder Aufzeichnung erlangten Informationen können für Strafverfolgungsbehörden offengelegt und/oder gemäß Bundes- und Landesgesetzen sowie den Richtlinien der Organisation verwendet werden. Verlassen Sie jetzt das System, wenn Sie kein autorisierter Benutzer dieses Systems sind.

Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-AdvancedSetting -Entity $VC -Name etc.issue
Beispiel für PowerCLI-Befehlsstandardisierung
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Anmeldenachricht

Festlegen des Aufgaben- und Aufbewahrungsintervalls

Für vCenter Server muss die Aufgaben- und Ereignisaufbewahrung auf ein geeignetes Intervall festgelegt sein.

vCenter Server behält Aufgaben- und Ereignisdaten bei, bis sie auslaufen, wodurch Speicherplatz gespart wird. Das Alter ist konfigurierbar. Dies wirkt sich nur auf die lokale Speicherung von Ereignisdaten auf der vCenter Server-Appliance aus.

Werte
Standardwert der Installation: 30
Empfohlener Baseline-Wert: 30
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar (keine öffentliche API verfügbar)
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar (keine öffentliche API verfügbar)
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Aktivieren der Remoteprotokollierung

Aktivieren Sie die Remoteprotokollierung von vCenter Server-Ereignissen.

Die Remoteprotokollierung auf einem zentralen Host erhöht die Sicherheit von vCenter Server, indem Protokolle sicher gespeichert werden. Die Remoteprotokollierung vereinfacht die Hostüberwachung und unterstützt aggregierte Analysen zur Erkennung koordinierter Angriffe. Die zentralisierte Protokollierung verhindert Manipulationen und dient als zuverlässiger langfristiger Überwachungsdatensatz. Mit der Einstellung vpxd.event.syslog.enabled wird die Remoteprotokollierung aktiviert.

Werte
Standardwert der Installation: True.
Empfohlener Baseline-Wert: True
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-AdvancedSetting -Entity $VC -Name vpxd.event.syslog.enabled
Beispiel für PowerCLI-Befehlsstandardisierung
Get-AdvancedSetting -Entity $VC -Name vpxd.event.syslog.enabled | Set-AdvancedSetting -Value true
Festlegen des Standorts in vSphere Client
vCenter Server auswählen > Konfigurieren > Erweiterte Einstellungen

FIPS aktivieren

vCenter Server muss die FIPS-validierte Kryptografie aktivieren.

Die FIPS-Kryptografie nimmt eine Reihe von Änderungen am System vor, um schwächere Verschlüsselungen zu entfernen. Die Aktivierung von FIPS führt dazu, dass vCenter Server neu gestartet wird.

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: True
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Die FIPS-Kryptografie nimmt eine Reihe von Änderungen am System vor, um schwächere Verschlüsselungen zu entfernen. Die Aktivierung von FIPS führt dazu, dass vCenter Server neu gestartet wird.
PowerCLI-Befehlsbeurteilung
Invoke-GetSystemGlobalFips
Beispiel für PowerCLI-Befehlsstandardisierung
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true
Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
Festlegen des Standorts in vSphere Client
Weitere Informationen hierzu finden Sie unter Aktivieren und Deaktivieren von FIPS auf der vCenter Server Appliance.

Konfigurieren von Überwachungsdatensätzen

vCenter Server muss Überwachungsdatensätze erstellen, die Informationen enthalten, um festzustellen, welche Art von Ereignissen aufgetreten ist.

Es ist wichtig, sicherzustellen, dass genügend Informationen in Überwachungsprotokollen für Diagnose- und Diagnosezwecke vorhanden sind. Mit der Einstellung config.log.level werden Überwachungsdatensätze konfiguriert.

Werte
Standardwert der Installation: Info
Empfohlener Baseline-Wert: Info
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-AdvancedSetting -Entity $VC -Name config.log.level
Beispiel für PowerCLI-Befehlsstandardisierung
Get-AdvancedSetting -Entity $VC -Name config.log.level | Set-AdvancedSetting -Value info
Festlegen des Standorts in vSphere Client
vCenter Server-Host > Konfigurieren > Erweiterte Einstellungen

Deaktivieren des MAC-Lernvorgangs

Alle Distributed Switch-Portgruppen müssen den MAC-Lernvorgang deaktivieren, sofern die Verwendung nicht absichtlich erfolgt.

Der MAC-Lernvorgang ermöglicht es einem Distributed Switch, Netzwerkkonnektivität für Systeme bereitzustellen, bei denen mehr als eine MAC-Adresse auf einer vNIC verwendet wird. Dies kann in speziellen Fällen nützlich sein, etwa bei verschachtelter Virtualisierung (z. B. bei der Ausführung von ESXi in ESXi). MAC Learning unterstützt auch unbekanntes Unicast Flooding. Wenn ein Paket, das von einem Port empfangen wird, eine unbekannte MAC-Zieladresse aufweist, wird das Paket normalerweise verworfen. Bei aktiviertem Flooding des Datenverkehrs vom Typ „Unbekannter Unicast“ leitet der Port diesen Datenverkehr an jeden Port auf dem Switch weiter, für den MAC Learning und unbekanntes Unicast-Flooding aktiviert wurden. Diese Eigenschaft ist standardmäßig aktiviert, wenn der MAC-Lernvorgang aktiviert ist. Deaktivieren Sie den MAC-Lernvorgang, es sei denn, er wird absichtlich für eine bekannte Arbeitslast verwendet, die dies erfordert.

Werte
Installationsstandardwert: Deaktiviert
Vorgeschlagener Baseline-Wert: Deaktiviert
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und sind von den Standardwerten und dem gewünschten Zustand negativ betroffen.
PowerCLI-Befehlsbeurteilung
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
Beispiel für PowerCLI-Befehlsstandardisierung
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy
$ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy
$ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Festlegen des Standorts in vSphere Client
Nicht verfügbar. Der MAC-Lernvorgang kann auf einer verteilten virtuellen Portgruppe mithilfe der vSphere API aktiviert werden. Weitere Informationen finden Sie in der vSphere Web Services-API-Referenz.

Konfigurieren der Details des Anmeldenachrichten-Banners

Konfigurieren Sie die Details des vCenter Server-Anmelde-Banners für vSphere Client.

vCenter Server bietet die Möglichkeit, eine Anmeldenachricht anzuzeigen. Die Anmeldenachricht wird beispielsweise dazu verwendet, Eindringlinge über die Rechtswidrigkeit ihrer Aktivitäten zu informieren und autorisierten Benutzern mitzuteilen, welche Erwartungen und Verpflichtungen sie bei der Verwendung des Systems erfüllen und akzeptieren müssen. Diese Konfiguration legt den detaillierten Text aus der Nachricht der vSphere Client-Anmeldeseite fest.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Wenden Sie sich hinsichtlich des für Ihre Umgebung geltenden Texts an die Rechtsberater Ihrer Organisation.

Beispieltext: Nur autorisierte Benutzer. Die vollzogene oder versuchte unbefugte Nutzung dieses Systems ist verboten und kann straf-, zivil-, sicherheits- oder verwaltungsrechtliche Konsequenzen und/oder Sanktionen nach sich ziehen. Durch die Nutzung dieses Informationssystems erklären Sie sich mit der Überwachung und Aufzeichnung ohne vorherige Ankündigung oder Genehmigung einverstanden. Bei der Nutzung dieses Systems haben Benutzer keinen Anspruch auf Privatsphäre. Sämtliche auf diesem System gespeicherten oder über dieses System übertragenen oder durch Überwachung und/oder Aufzeichnung erlangten Informationen können für Strafverfolgungsbehörden offengelegt und/oder gemäß Bundes- und Landesgesetzen sowie den Richtlinien der Organisation verwendet werden. Verlassen Sie jetzt das System, wenn Sie kein autorisierter Benutzer dieses Systems sind.

Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar (keine öffentliche API verfügbar)

Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:

/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile

Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.

Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Anmeldenachricht > Bearbeiten

Aktivieren des Anmelde-Banners

Aktivieren Sie das vCenter Server-Anmelde-Banner für vSphere Client.

vCenter Server bietet die Möglichkeit, eine Anmeldenachricht anzuzeigen. Die Anmeldenachricht wird beispielsweise dazu verwendet, Eindringlinge über die Rechtswidrigkeit ihrer Aktivitäten zu informieren und autorisierten Benutzern mitzuteilen, welche Erwartungen und Verpflichtungen sie bei der Verwendung des Systems erfüllen und akzeptieren müssen. Diese Konfiguration aktiviert die Anzeige der Nachricht auf der Anmeldeseite des vSphere Client.

Werte
Standardwert der Installation: False
Empfohlener Baseline-Wert: True
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.

Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.

Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Anmeldenachricht > Bearbeiten

Konfigurieren des Texts des Anmelde-Banners

Konfigurieren Sie den vCenter Server-Text des Anmelde-Banners für vSphere Client.

vCenter Server bietet die Möglichkeit, eine Anmeldenachricht anzuzeigen. Die Anmeldenachricht wird beispielsweise dazu verwendet, Eindringlinge über die Rechtswidrigkeit ihrer Aktivitäten zu informieren und autorisierten Benutzern mitzuteilen, welche Erwartungen und Verpflichtungen sie bei der Verwendung des Systems erfüllen und akzeptieren müssen. Mit dieser Konfiguration wird der Text festgelegt, der auf der Anmeldeseite von vSphere Client angezeigt wird.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Wenden Sie sich hinsichtlich des spezifischen Texts an die Rechtsberater Ihrer Organisation.

Beispieltext: Durch die Verwendung dieses Systems werden die Organisationsrichtlinien, die dieses System regeln, zur Kenntnis genommen und ihnen zugestimmt.

Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.

Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar (keine öffentliche API verfügbar)
Sie können die Anmeldenachricht konfigurieren, indem Sie den folgenden Befehl in einer Appliance-Shell ausführen:
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile

Beachten Sie, die Shell erneut zu deaktivieren, wenn Sie fertig sind.

Festlegen des Standorts in vSphere Client
Verwaltung > Single Sign-On > Konfiguration > Anmeldenachricht > Bearbeiten

Separate Authentifizierung und Autorisierung für Administratoren

vCenter Server muss die Authentifizierung und Autorisierung für Administratoren trennen.

Die Kombination aus Authentifizierung und Autorisierung, wie dies bei Diensten wie Active Directory der Fall ist, birgt im Falle von Kompromittierungen das Risiko von Infrastrukturverstößen. Stellen Sie daher für vCenter Server sicher, dass Sie Authentifizierung und Autorisierung für Administratoren trennen. Erwägen Sie nach Möglichkeit die Verwendung von lokalen SSO-Gruppen für die Autorisierung, um Risiken besser zu verwalten.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Nicht konfiguriert
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Für die Bereitstellung des vCenter Server-Zugriffs war eine Interaktion mit vCenter Server-SSO erforderlich. Automatisierung ist mit PowerCLI möglich.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar (keine öffentliche API verfügbar)
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar (keine öffentliche API verfügbar)
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Festlegen der Richtlinie für gefälschte Übertragungen auf „Ablehnen“

Legen Sie alle Distributed Switches und deren Portgruppen so fest, dass gefälschte Übertragungen abgelehnt werden.

Eine virtuelle Maschine kann die Identität von Netzwerkadaptern annehmen, indem sie MAC-Adressen ändert, was Sicherheitsbedrohungen darstellt. Indem die Option „Gefälschte Übertragungen“ auf allen Distributed Switches und Portgruppen auf „Ablehnen“ festgelegt wird, überprüft ESXi MAC-Adressen und verhindert einen solchen Identitätswechsel.

Werte
Standardwert der Installation: Ablehnen
Empfohlener Baseline-Wert: Ablehnen
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und sind standardmäßig negativ betroffen.
PowerCLI-Befehlsbeurteilung
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Beispiel für PowerCLI-Befehlsstandardisierung
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy | Set-VDSecurityPolicy -ForgedTransmits $false
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy | Set-VDSecurityPolicy -ForgedTransmits $false
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Festlegen der Richtlinie „MAC-Adressänderungen“ auf „Ablehnen“

Legen Sie die Richtlinie „MAC-Adressänderungen“ auf dem vSphere Standard-Switch und den dazu gehörigen Portgruppen auf „Ablehnen“ fest.

Das Zulassen, dass virtuelle Maschinen MAC-Adressen ändern, stellt Sicherheitsrisiken dar und ermöglicht eine mögliche Imitation von Netzwerkadaptern. Die Ablehnung von MAC-Änderungen auf allen Distributed Switches und Portgruppen verhindert dies, kann sich jedoch auf bestimmte Anwendungen wie Microsoft Clustering oder die von der MAC-Adresse abhängige Lizenzierung auswirken. Nehmen Sie bei Bedarf Ausnahmen von dieser Sicherheitsleitlinie vor.

Werte
Standardwert der Installation: Ablehnen
Empfohlener Baseline-Wert: Ablehnen
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und werden durch die Einstellung „Ablehnen“ negativ beeinflusst.
PowerCLI-Befehlsbeurteilung
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
PowerCLI-Befehlsbeurteilung
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy | Set-VDSecurityPolicy -MacChanges $false
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy | Set-VDSecurityPolicy -MacChanges $false
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Festlegen der Richtlinie „Promiskuitiver Modus“ auf „Ablehnen“

Legen Sie die Richtlinie „Promiskuitiver Modus“ auf dem vSphere Standard-Switch und dessen Portgruppen auf „Ablehnen“ fest.

Durch die Aktivierung des promiskuitiven Modus für eine Portgruppe können alle verbundenen virtuellen Maschinen alle Netzwerkpakete lesen, was ein potenzielles Sicherheitsrisiko darstellt. Obwohl das Zulassen des promiskuitiven Modus manchmal für das Debugging oder die Überwachung erforderlich ist, wird die Standardeinstellung „Ablehnen“ empfohlen. Nehmen Sie nach Bedarf Ausnahmen für bestimmte Portgruppen vor.

Werte
Standardwert der Installation: Ablehnen
Empfohlener Baseline-Wert: Ablehnen
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Einige Arbeitslasten verwenden diese Netzwerktaktiken rechtmäßig und werden durch die Einstellung „Ablehnen“ negativ beeinflusst.
PowerCLI-Befehlsbeurteilung
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
Beispiel für PowerCLI-Befehlsstandardisierung
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy | Set-VDSecurityPolicy -AllowPromiscuous $false
Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy | Set-VDSecurityPolicy -AllowPromiscuous $false
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Zurücksetzen von Portkonfigurationen beim Trennen von virtuellen Maschinen

vCenter Server muss die Portkonfiguration zurücksetzen, wenn virtuelle Maschinen getrennt werden.

Wenn eine virtuelle Maschine vom virtuellen Switch-Port getrennt wird, ist es wünschenswert, sollte die Portkonfiguration zurückgesetzt werden, damit eine andere virtuelle Maschine, die angehängt wird, über einen Port in einem bekannten Zustand verfügt.

Werte
Standardwert der Installation: Aktiviert
Empfohlener Baseline-Wert: Aktiviert
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
Beispiel für PowerCLI-Befehlsstandardisierung
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy
$ConfigSpec.Policy.PortConfigResetAtDisconnect = $true
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Deaktivieren von Cisco Discovery Protocol oder Link Layer Discovery Protocol

Deaktivieren Sie die Teilnahme am Cisco Discovery Protocol (CDP) oder LLDP (Link Layer Discovery Protocol) auf Distributed Switches, sofern nicht absichtlich verwendet.

Der vSphere Distributed Virtual Switch kann CDP oder LLDP einbinden und potenziell vertrauliche unverschlüsselte Informationen wie IP-Adressen und Systemnamen im Netzwerk teilen. So können CDP und LLDP Angreifern dabei helfen, Ihre Umgebung zu verstehen oder zu imitieren. CDP und LLDP sind jedoch auch äußerst hilfreich für legitime Anwendungsfälle. Deaktivieren Sie CDP und LLDP, es sei denn, dies ist für die Fehlerbehebung oder Konfigurationsvalidierung erforderlich.

Werte
Installationsstandardwert: Überwachen
Vorgeschlagener Baseline-Wert: Keine
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
Beispiel für PowerCLI-Befehlsstandardisierung
$VDview = Get-VDSwitch -Name $VDS | Get-View
$ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec
$ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig
$ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp'
$ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none'
$ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion
$VDview.ReconfigureDvs_Task($ConfigSpec)
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Sicherstellen des NetFlow-Datenverkehrempfangs durch autorisierte Collectors

vCenter Server muss sicherstellen, dass NetFlow-Datenverkehr an autorisierte Collectors gesendet wird.

Die vSphere Distributed Switch kann unverschlüsselte NetFlow-Daten exportieren und Details zu virtuellen Netzwerken und Datenverkehrsmustern anzeigen. Stellen Sie sicher, dass die NetFlow-Nutzung autorisiert und ordnungsgemäß konfiguriert ist, um Datenlecks zu verhindern.

Werte
Installationsstandardwert: Überwachen
Vorgeschlagener Baseline-Wert: Keine
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
Beispiel für PowerCLI-Befehlsstandardisierung
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy
$ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false
$ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Konfigurieren der Portsicherheit für virtuelle Maschinen

Der vCenter Server darf die Portgruppeneinstellungen auf Portebene auf Distributed Switches nicht außer zum Blockieren von Ports außer Kraft setzen.

Für die Einrichtung eindeutiger virtueller Maschinen sind möglicherweise Außerkraftsetzungen der Konfiguration auf Portebene erforderlich. Achten Sie jedoch darauf, diese zu überwachen, um eine nicht autorisierte Verwendung zu verhindern. Nicht überwachte Außerkraftsetzungen können einen breiteren Zugriff ermöglichen, wenn eine weniger sichere Distributed Switch-Konfiguration ausgenutzt wird.

Werte
Standardwert der Installation:

Außerkraftsetzung von „Ports blockieren“: TRUE

Alle anderen Außerkraftsetzungen: FALSE

Empfohlener Baseline-Wert:

Außerkraftsetzung von „Ports blockieren“: TRUE

Alle anderen Außerkraftsetzungen: FALSE

Empfohlene Aktion
Überwachen Sie die Standardeinstellung für die Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy
Beispiel für PowerCLI-Befehlsstandardisierung
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View 
$ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec
$ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting
$ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy
$ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false
$ConfigSpec.Policy.BlockOverrideAllowed = $true
$ConfigSpec.Policy.LivePortMovingAllowed = $false
$ConfigSpec.Policy.VlanOverrideAllowed = $false
$ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false
$ConfigSpec.Policy.VendorConfigOverrideAllowed = $false
$ConfigSpec.Policy.ShapingOverrideAllowed = $false
$ConfigSpec.Policy.IpfixOverrideAllowed = $false
$ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false
$ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion
$VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Entfernen des Port-Mirroring

vCenter Server muss nicht autorisierte Port-Mirroring-Sitzungen auf Distributed Switches entfernen.

Der vSphere Distributed Switch kann den Datenverkehr zwischen Ports spiegeln, wodurch die Datenverkehrsbeobachtung aktiviert wird. Zur Aufrechterhaltung der Sicherheit müssen alle nicht autorisierten Port-Mirroring-Sitzungen auf Distributed Switches entfernt werden.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Nicht konfiguriert
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
(Get-VDSwitch -Name $VDS).ExtensionData.config.VspanSession
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Einschränken von Virtual Guest Tagging

vCenter Server muss die Verwendung von Virtual Guest Tagging (VGT) auf Distributed Switches einschränken.

Wenn Sie eine Portgruppe auf VLAN 4095 festlegen, wird Virtual Guest Tagging (VGT) ermöglicht, sodass die virtuelle Maschine VLAN-Tags verarbeiten muss. Aktivieren Sie VGT nur für die virtuellen Maschinen, die zur Verwaltung von VLAN-Tags autorisiert und ausgestattet sind. Eine unangemessene Verwendung kann zu Denial-of-Service-Szenarien oder nicht autorisierten VLAN-Datenverkehrsinteraktionen führen.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Nicht konfiguriert
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-VDPortgroup -Name $VDPG | Where {$_.ExtensionData.Config.Uplink -ne "True"} | Select Name,VlanConfiguration
Beispiel für PowerCLI-Befehlsstandardisierung
Get-VDPortgroup $VDPG | Set-VDVlanConfiguration -VlanId "New_VLAN#"
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation vSphere-Netzwerk.

Prüfung auf VMware-Wartung in der vCenter Server-Version

Stellen Sie sicher, dass die vCenter Server-Version nicht den VMware-Status „Ende des allgemeinen Supports“ erreicht hat.

Werte
Standardwert der Installation: Nicht verfügbar
Empfohlener Baseline-Wert: Nicht verfügbar
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar
Festlegen des Speicherorts in der vCenter Server-Verwaltungsschnittstelle
Aktualisieren

Einschränken des Zugriffs auf SSH

Der vCenter Server-SSH-Dienst muss deaktiviert werden.

vCenter Server Appliance wird als Appliance bereitgestellt und ist für die Verwaltung über die vCenter Server-Verwaltungsschnittstelle, vSphere Client und die APIs vorgesehen. SSH ist ein Fehlerbehebungs- und Support-Tool, das nur bei Bedarf aktiviert werden sollte. vCenter Server High Availability verwendet SSH, um die Replizierung und das Failover zwischen den Knoten zu koordinieren. Die Verwendung dieser Funktion erfordert, dass SSH aktiviert bleibt.

Werte
Installationsstandardwert: Deaktiviert
Vorgeschlagener Baseline-Wert: Deaktiviert
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
(Get-CisService -Name "com.vmware.appliance.access.ssh").get()
Beispiel für PowerCLI-Befehlsstandardisierung
(Get-CisService -Name "com.vmware.appliance.access.ssh").set($false)
Festlegen des Speicherorts in der vCenter Server-Verwaltungsschnittstelle
Zugriff

Überprüfen des Ablaufs des Root-Benutzerkennworts

Der Kennwortablauf des vCenter Server-Root-Kontos muss entsprechend konfiguriert werden.

Moderne Best Practices für Kennwörter (u. a. NIST 800-63B, Abschnitt 5.1.1.2) zeigen, dass bei angemessener Kennwortentropie die Sicherheit nicht dadurch verbessert wird, dass Benutzer willkürlich zur Änderung ihrer Kennwörter in bestimmten Intervallen aufgefordert werden. Viele automatisierte Sicherheitstools und Frameworks für die Einhaltung behördlicher Auflagen berücksichtigen diese Orientierungshilfe nicht und setzen diese Empfehlung möglicherweise außer Kraft.

Werte
Standardwert der Installation: Ja
Empfohlener Baseline-Wert: Nein
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Wenn das Kennwort vor seinem Ablauf nicht zurückgesetzt werden kann, sind Wiederherstellungsverfahren erforderlich.
PowerCLI-Befehlsbeurteilung
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
(Get-CisService -Name "com.vmware.appliance.local_accounts.policy").get()
Beispiel für PowerCLI-Befehlsstandardisierung
(Get-CisService -Name "com.vmware.appliance.local_accounts.policy").set(@{max_days=9999; min_days=1; warn_days=7})
Festlegen des Speicherorts in der vCenter Server-Verwaltungsschnittstelle
Administration

Konfigurieren der dateibasierten Sicherung und Wiederherstellung

Konfigurieren Sie die dateibasierte Sicherung und Wiederherstellung, sodass Sie Ihre vCenter Server Appliance und deren Konfiguration mithilfe des Installationsprogramms für vCenter Server wiederherstellen können. Die Sicherung und Wiederherstellung ist ein wichtiger Bestandteil beim Schützen Ihrer Umgebung.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Konfiguriert
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar
Festlegen des Speicherorts in der vCenter Server-Verwaltungsschnittstelle
Sicherung

Konfigurieren der Firewall, sodass nur Datenverkehr von autorisierten Netzwerken zugelassen wird

vCenter Server Appliance muss die Firewall so konfigurieren, dass nur Datenverkehr von autorisierten Netzwerken zugelassen wird.

Stellen Sie sicher, dass der gesamte eingehende und ausgehende Netzwerkdatenverkehr blockiert wird, sofern nicht explizit zugelassen, wodurch die Angriffsfläche reduziert und nicht autorisierter Zugriff auf das System verhindert wird. Ausgehender (Egress-)Datenverkehr wird weder blockiert noch sind verwandte oder hergestellte Verbindungen vorhanden, sodass vCenter Server Appliance weiterhin mit Systemen kommunizieren kann, auf denen die Verbindung initiiert wird. Verwenden Sie Perimeter-Firewalls, um diese Verbindungstypen zu drosseln.

Werte
Installationsstandardwert: Verbindungen von jeder IP-Adresse zulässig.
Vorgeschlagener Baseline-Wert: Verbindungen sind nur von autorisierten Infrastruktur- und Verwaltungsarbeitsstationen zulässig.
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Konnektivitätsverlust. Stellen Sie sicher, dass Sie eine Zulassungsregel für sich selbst konfigurieren, bevor Sie eine Regel vom Typ „Alle verweigern“ konfigurieren.
PowerCLI-Befehlsbeurteilung
Nicht verfügbar
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar
Festlegen des Speicherorts in der vCenter Server-Verwaltungsschnittstelle
Firewall

Konfigurieren des Remoteprotokollservers

Konfigurieren Sie einen Remoteprotokollserver für vCenter Server.

Die Remoteprotokollierung auf einem zentralen Host erhöht die Sicherheit von vCenter Server, indem Protokolle sicher gespeichert werden. Die Remoteprotokollierung vereinfacht die Hostüberwachung und unterstützt aggregierte Analysen zur Erkennung koordinierter Angriffe. Die zentralisierte Protokollierung verhindert Manipulationen und dient als zuverlässiger langfristiger Überwachungsdatensatz.

Werte
Standardwert der Installation: Nicht konfiguriert
Vorgeschlagener Baseline-Wert: Sitespezifischer Protokollserver
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
(Get-CisService -Name "com.vmware.appliance.logging.forwarding").get()
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Konfigurieren der Uhrzeitsynchronisierung

vCenter Server muss über zuverlässige Zeitsynchronisierungsquellen verfügen.

Kryptografie, Überwachungsprotokollierung, Clustervorgänge sowie Reaktion auf Vorfälle und Forensik sind stark von der synchronisierten Uhrzeit abhängig. Für NTP (Network Time Protocol) müssen mindestens vier Quellen verfügbar sein. Wenn Sie sich zwischen zwei Quellen oder einer Quelle entscheiden müssen, sollten Sie eine Quelle vorziehen.

Werte
Standardwert der Installation: Nicht definiert
Vorgeschlagener Baseline-Wert: sitespezifisch oder:

0.vmware.pool.ntp.org,

1.vmware.pool.ntp.org,

2.vmware.pool.ntp.org,

3.vmware.pool.ntp.org

Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Hinweis: Sie müssen zuerst mithilfe des Connect-CISServer-Cmdlets eine Verbindung mit dem vCenter Server-Host herstellen.
(Get-CisService -Name ""com.vmware.appliance.timesync"").get()
(Get-CisService -Name ""com.vmware.appliance.ntp"").get()
Beispiel für PowerCLI-Befehlsstandardisierung
(Get-CisService -Name ""com.vmware.appliance.timesync"").set(""NTP"")
(Get-CisService -Name ""com.vmware.appliance.ntp"").set(""0.vmware.pool.ntp.org,1.vmware.pool.ntp.org,2.vmware.pool.ntp.org,3.vmware.pool.ntp.org"")
Festlegen des Standorts in vSphere Client
Nicht verfügbar

Installieren von Software-Updates

Stellen Sie sicher, dass in vCenter Server alle Software-Updates installiert sind.

Indem vCenter Server-Patches auf dem neuesten Stand gehalten werden, können Schwachstellen verringert werden. Angreifer können bekannte Schwachstellen ausnutzen, wenn sie versuchen, nicht autorisierten Zugriff zu erlangen oder Rechte zu erhöhen.

Aktualisieren Sie beim Anwenden von Updates zuerst vCenter Server, wenn ein Update verfügbar ist, und fahren Sie dann mit der Aktualisierung von ESXi fort. Diese Reihenfolge stellt sicher, dass die Verwaltungsebene aktualisiert wird, bevor die ESXi-Hosts aktualisiert werden.

Werte
Standardwert der Installation: Nicht verfügbar
Empfohlener Baseline-Wert: Nicht verfügbar
Empfohlene Aktion
Ändern Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Nicht verfügbar
Beispiel für PowerCLI-Befehlsstandardisierung
Nicht verfügbar
Festlegen des Standorts in vSphere Client
Informationen finden Sie in der Dokumentation Verwalten des Lebenszyklus von Host und Cluster.

Rotieren des vpxuser-Kennworts

vCenter Server muss das vpxuser-Kennwort so konfigurieren, dass es in einem geeigneten Intervall rotiert wird.

Mit der Einstellung VirtualCenter.VimPasswordExpirationInDays wird der Rotationszeitraum konfiguriert. Stellen Sie sicher, dass vCenter Server das Kennwort, das automatisch auf den ESXi-Hosts festgelegt wird, ordnungsgemäß rotiert.

Werte
Standardwert der Installation: 30
Empfohlener Baseline-Wert: 30
Empfohlene Aktion
Überprüfen Sie den Standardwert der Installation.
Mögliche funktionale Auswirkungen einer Änderung des Standardwerts
Keine
PowerCLI-Befehlsbeurteilung
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays
Beispiel für PowerCLI-Befehlsstandardisierung
Get-AdvancedSetting -Entity $VC -Name VirtualCenter.VimPasswordExpirationInDays | Set-AdvancedSetting -Value 30
Festlegen des Standorts in vSphere Client
vCenter Server auswählen > Konfigurieren > Erweiterte Einstellungen