Algunos ajustes de VMware Tools podrían exponerle a riesgos de seguridad. Por ejemplo, VMware Tools permite conectar dispositivos virtuales, como puertos serie y paralelos, a máquinas virtuales. Un dispositivo conectado podría ser un canal de ataque potencial. Para hacer más fuerte una máquina virtual y reducir los riesgos de seguridad todo lo posible, deshabilite las funciones de VMware Tools que pudieran ser vulnerables a amenazas de seguridad.
Para obtener información completa sobre la implementación segura de VMware vSphere en un entorno de producción, incluidas las recomendaciones de seguridad para hosts, máquinas virtuales, componentes de administración e infraestructuras de red, consulte la Guía de fortalecimiento de vSphere. La configuración de VMware Tools solo está relacionada con el aspecto de una implementación de la máquina virtual.
Las máquinas virtuales están encapsuladas en una pequeña cantidad de archivos. En estas máquinas, el archivo de configuración (archivo .vmx) rige el rendimiento del hardware virtual y otras opciones. Puede utilizar varios métodos para ver y modificar los ajustes de configuración:
- Utilice vSphere Web Client para editar la configuración de la máquina virtual. En vSphere Web Client, la edición de estos parámetros de configuración es una opción avanzada del cuadro de diálogo Editar configuración de la máquina virtual.
- Utilice vSphere Host Client para editar la configuración de la máquina virtual. En vSphere Host Client, la edición de estos parámetros de configuración es una opción avanzada del cuadro de diálogo Editar configuración de la máquina virtual.
- Utilice una herramienta basada en vSphere API, como Power CLI, para ver y modificar los parámetros de .vmx.
Después de editar una configuración, el cambio no se aplica hasta que reinicie la máquina virtual.
Puede eliminar varias amenazas potenciales si establece los valores correctos en los parámetros correspondientes de VMware Tools que se deben configurar en el archivo de .vmx de la máquina virtual. Los valores predeterminados de muchos de estos parámetros ya están establecidos para proteger las máquinas virtuales frente a estas amenazas.
Amenazas asociadas a cuentas de usuario sin privilegios
- Copiar y pegar
-
De manera predeterminada, la función de copiar y pegar texto, gráficos y archivos está deshabilitada, al igual que la de arrastrar y soltar archivos. Cuando se habilita esta opción, puede copiar y pegar texto enriquecido y, en función del producto VMware, gráficos y archivos del portapapeles al sistema operativo invitado en una máquina virtual. Es decir, cuando la ventana de la consola de una máquina virtual está en primer plano, los usuarios y los procesos sin privilegios que se ejecutan en la máquina virtual pueden acceder al portapapeles del equipo en el que se está ejecutando la ventana de la consola. Para evitar los riesgos asociados a esta función, mantenga la siguiente configuración de
.vmx, que deshabilita la función de copiar y pegar:
isolation.tools.copy.disable = "TRUE" isolation.tools.paste.disable = "TRUE"
Amenazas asociadas a los dispositivos virtuales
- Conexión y modificación de dispositivos
-
De manera predeterminada, la capacidad de conectar y desconectar dispositivos se encuentra deshabilitada. Cuando se habilite esta función, los usuarios y procesos sin privilegios raíz o de administrador pueden conectar dispositivos, como adaptadores de red y unidades de CD-ROM, y pueden modificar la configuración de los dispositivos. Es decir, un usuario puede conectar una unidad de CD-ROM desconectada y acceder a información confidencial del medio que está en la unidad. Un usuario también puede desconectar un adaptador de red para aislar a la máquina virtual de su red, lo que representa una denegación de servicio. Para evitar los riesgos asociados a esta función, mantenga la siguiente configuración de
.vmx, que deshabilita la función de conectar y desconectar dispositivos o modificar la configuración de dispositivos:
isolation.device.connectable.disable = "TRUE" isolation.device.edit.disable = "TRUE"
Amenazas asociadas al flujo de información de la máquina virtual
- Tamaño del archivo VMX
-
De manera predeterminada, el archivo de configuración está limitado a un tamaño de 1 MB ya que un tamaño sin control de dicho archivo puede provocar una denegación de servicio si el almacén de datos se queda sin espacio de disco. En algunas ocasiones se envían mensajes informativos desde la máquina virtual al archivo
.vmx. Estos mensajes setinfo definen los identificadores o características de la máquina virtual mediante la escritura de los pares nombre-valor en el archivo. Es posible que necesite aumentar el tamaño del archivo si se deben almacenar cantidades grandes de información personalizada en el archivo. El nombre de la propiedad es
tools.setInfo.sizeLimit y el valor se especifica en kilobytes. Mantenga la siguiente configuración de
.vmx:
tools.setInfo.sizeLimit = "1048576"
- Envío de contadores de rendimiento a PerfMon
-
Puede integrar los contadores de rendimiento de la CPU y la memoria de la máquina virtual a PerfMon en sistemas operativos invitados de Linux y Microsoft Windows. Esto proporciona información detallada sobre el host físico disponible en el sistema operativo invitado. Un usuario malicioso podría utilizar esta información como base para futuros ataques en el host. De manera predeterminada, esta función está deshabilitada. Mantenga la siguiente configuración de
.vmx para evitar que la información del host se envíe a la máquina virtual:
tools.guestlib.enableHostInfo = "FALSE"
Esta configuración bloquea algunas métricas, pero no todas. Si establece esta propiedad en
FALSE
, se bloquearán las siguientes métricas:- GUESTLIB_HOST_CPU_NUM_CORES
- GUESTLIB_HOST_CPU_USED_MS
- GUESTLIB_HOST_MEM_SWAPPED_MB
- GUESTLIB_HOST_MEM_SHARED_MB
- GUESTLIB_HOST_MEM_USED_MB
- GUESTLIB_HOST_MEM_PHYS_MB
- GUESTLIB_HOST_MEM_PHYS_FREE_MB
- GUESTLIB_HOST_MEM_KERN_OVHD_MB
- GUESTLIB_HOST_MEM_MAPPED_MB
- GUESTLIB_HOST_MEM_UNMAPPED_MB
- Funciones no expuestas en vSphere que podrían causar vulnerabilidades
-
Debido a que las máquinas virtuales de VMware funcionan en varios productos de VMware además de vSphere, algunos parámetros de máquina virtual no se aplican a los entornos de vSphere. A pesar de que estas funciones no aparecen en las interfaces de usuario de vSphere, al deshabilitarlas se reduce la cantidad de vectores por los que los sistemas operativos invitados podrían acceder a un host. Utilice la siguiente configuración de
.vmx para deshabilitar estas funciones:
isolation.tools.unity.push.update.disable = "TRUE" isolation.tools.ghi.launchmenu.change = "TRUE" isolation.tools.ghi.autologon.disable = "TRUE" isolation.tools.hgfsServerSet.disable = "TRUE" isolation.tools.memSchedFakeSampleStats.disable = "TRUE" isolation.tools.getCreds.disable = "TRUE"