Algunos ajustes de VMware Tools podrían exponerle a riesgos de seguridad. Por ejemplo, VMware Tools permite conectar dispositivos virtuales, como puertos serie y paralelos, a máquinas virtuales. Un dispositivo conectado podría ser un canal de ataque potencial. Para hacer más fuerte una máquina virtual y reducir los riesgos de seguridad todo lo posible, deshabilite las características de VMware Tools que pudieran ser vulnerables a amenazas de seguridad.

Para obtener información completa sobre la implementación segura de VMware vSphere en un entorno de producción, incluidas las recomendaciones de seguridad para hosts, máquinas virtuales, componentes de administración e infraestructuras de red, consulte la Guía de fortalecimiento de vSphere. La configuración de VMware Tools solo está relacionada con el aspecto de una implementación de la máquina virtual.

Las máquinas virtuales están encapsuladas en una pequeña cantidad de archivos. Uno de los archivos importantes es el archivo de configuración (archivo .vmx). Este archivo controla el rendimiento del hardware virtual y otros ajustes. Puede utilizar varios métodos para ver y modificar los ajustes de configuración:

  • Abra el archivo .vmx directamente en un editor de texto.

  • Utilice vSphere Web Client para editar la configuración de la máquina virtual. En vSphere Web Client, la edición de estos parámetros de configuración es una opción avanzada del cuadro de diálogo Edit Settings (Editar configuración) de la máquina virtual.

  • Utilice vSphere Client para editar la configuración de la máquina virtual. En vSphere Client, la edición de estos parámetros de configuración es una opción avanzada del cuadro de diálogo Edit Settings (Editar configuración) de la máquina virtual.

  • Utilice una herramienta basada en vSphere API, como Power CLI, para ver y modificar los parámetros de .vmx.

Después de editar una configuración, el cambio no se aplica hasta que reinicie la máquina virtual.

Consulte la siguiente lista de potenciales amenazas de seguridad y los parámetros de VMware Tools correspondientes para establecerlos en el archivo .vmx de la máquina virtual. Los valores predeterminados de muchos de estos parámetros ya están establecidos para proteger las máquinas virtuales frente a estas amenazas.

Amenazas asociadas a cuentas de usuario sin privilegios

Característica de reducción de disco

La reducción de un disco virtual recupera espacio en disco no utilizado. Los usuarios y los procesos sin privilegios raíz o de administrador pueden ejecutar este procedimiento. Debido a que el proceso de reducción de disco puede tardar un tiempo considerable en completarse, la ejecución constante del procedimiento de reducción de disco puede causar una denegación de servicio. El disco virtual no se encuentra disponible durante el proceso de reducción. Utilice la siguiente configuración de .vmx para deshabilitar la reducción de disco:

isolation.tools.diskWiper.disable = "TRUE"
isolation.tools.diskShrink.disable = "TRUE"

Característica de copiar y pegar

De manera predeterminada, la función de copiar y pegar texto, gráficos y archivos está deshabilitada, al igual que la de arrastrar y soltar archivos. Cuando se habilita esta característica, puede copiar y pegar texto enriquecido y, según el producto VMware, gráficos y archivos del portapapeles al sistema operativo invitado en una máquina virtual. Es decir, en cuanto la ventana de la consola de una máquina virtual logre el enfoque, los usuarios y los procesos sin privilegios que se ejecutan en la máquina virtual pueden acceder al portapapeles del equipo en el que se ejecuta la ventana de la consola. Para evitar los riesgos asociados a esta característica, mantenga la siguiente configuración de .vmx, que deshabilita la función de copiar y pegar:

isolation.tools.copy.disable = "TRUE"
isolation.tools.paste.disable = "TRUE"

Amenazas asociadas a los dispositivos virtuales

Conexión y modificación de dispositivos

De manera predeterminada, la capacidad de conectar y desconectar dispositivos se encuentra deshabilitada. Cuando se habilite esta característica, los usuarios y procesos sin privilegios raíz o de administrador pueden conectar dispositivos, como adaptadores de red y unidades de CD-ROM, y pueden modificar la configuración de los dispositivos. Es decir, un usuario puede conectar una unidad de CD-ROM desconectada y acceder a información confidencial del medio insertado en la unidad. Un usuario también puede desconectar un adaptador de red para aislar a la máquina virtual de su red, lo que representa una denegación de servicio. Para evitar los riesgos asociados a esta característica, mantenga la siguiente configuración de .vmx, que deshabilita la función de conectar y desconectar dispositivos o modificar la configuración de dispositivos:

isolation.device.connectable.disable = "TRUE"
isolation.device.edit.disable = "TRUE"

Amenazas asociadas al flujo de información de la máquina virtual

Configuración del número de registros de máquinas virtuales

En función de la configuración del registro, podrían crearse nuevos archivos de registro cada vez que el archivo antiguo supere los 100 KB. La generación de registros sin control puede provocar una denegación de servicio si el almacén de datos se queda sin espacio en disco. VMware recomienda guardar 10 archivos de registro. De manera predeterminada, el tamaño máximo de los archivos de registro es de 100 KB, y no puede cambiar este valor a nivel de la máquina virtual. Utilice la siguiente configuración de .vmx para establecer la cantidad de archivos de registro:

vmx.log.keepOld = "10"

Puede limitar la cantidad de archivos de registro para todas las máquinas virtuales de un host editando el archivo /etc/vmware/config. Si la propiedad vmx.log.keepOld no está definida en el archivo, puede agregarla. Por ejemplo, para mantener 10 archivos de registro para cada máquina virtual, agregue lo siguiente a /etc/vmware/config:

vmx.log.keepOld = "10"

También puede utilizar un script de PowerCLI para cambiar esta propiedad en todas las máquinas virtuales de un host.

Una estrategia más extrema consiste en deshabilitar por completo la generación de registros de la máquina virtual. Deshabilitar la generación de registros representa un desafío para la solución de problemas y dificulta la asistencia. No considere deshabilitar la generación de registros a menos que el enfoque de rotación de los archivos de registro demuestre ser insuficiente. Utilice la siguiente configuración de .vmx para deshabilitar por completo la generación de registros:

logging = "FALSE"

Tamaño del archivo VMX

De manera predeterminada, el archivo de configuración está limitado a un tamaño de 1 MB debido a que un tamaño sin control de este archivo puede provocar una denegación de servicio si el almacén de datos se queda sin espacio en disco. En algunas ocasiones se envían mensajes informativos desde la máquina virtual al archivo .vmx. Estos mensajes setinfo definen los identificadores o características de la máquina virtual mediante la escritura de los pares nombre-valor en el archivo. Es posible que necesite aumentar el tamaño del archivo si se deben almacenar cantidades grandes de información personalizada en el archivo. El nombre de la propiedad es tools.setInfo.sizeLimit y el valor se especifica en kilobytes. Mantenga la siguiente configuración de .vmx:

tools.setInfo.sizeLimit = "1048576"

Envío de contadores de rendimiento a PerfMon

Puede integrar los contadores de rendimiento de la CPU y la memoria de la máquina virtual a PerfMon en sistemas operativos invitados Linux y Microsoft Windows. Esta característica permite que la información detallada sobre el host físico esté disponible en el sistema operativo invitado. Un adversario podría utilizar esta información como base para futuros ataques en el host. De manera predeterminada, esta característica está deshabilitada. Mantenga la siguiente configuración de .vmx para evitar que la información del host se envíe a la máquina virtual:

tools.guestlib.enableHostInfo = "FALSE"

Esta configuración bloquea algunas métricas, pero no todas. Si establece esta propiedad en FALSE, se bloquearán las siguientes métricas:

  • GUESTLIB_HOST_CPU_NUM_CORES

  • GUESTLIB_HOST_CPU_USED_MS

  • GUESTLIB_HOST_MEM_SWAPPED_MB

  • GUESTLIB_HOST_MEM_SHARED_MB

  • GUESTLIB_HOST_MEM_USED_MB

  • GUESTLIB_HOST_MEM_PHYS_MB

  • GUESTLIB_HOST_MEM_PHYS_FREE_MB

  • GUESTLIB_HOST_MEM_KERN_OVHD_MB

  • GUESTLIB_HOST_MEM_MAPPED_MB

  • GUESTLIB_HOST_MEM_UNMAPPED_MB

Características no expuestas en vSphere que podrían causar vulnerabilidades

Debido a que las máquinas virtuales de VMware funcionan en varios productos de VMware además de vSphere, algunos parámetros de máquina virtual no se aplican a los entornos de vSphere. A pesar de que estas características no aparecen en las interfaces de usuario de vSphere, al deshabilitarlas se reduce la cantidad de vectores por los que los sistemas operativos invitados podrían acceder a un host. Utilice la siguiente configuración de .vmx para deshabilitar estas características:

isolation.tools.unity.push.update.disable = "TRUE"
isolation.tools.ghi.launchmenu.change = "TRUE"
isolation.tools.ghi.autologon.disable = "TRUE"
isolation.tools.hgfsServerSet.disable = "TRUE"
isolation.tools.memSchedFakeSampleStats.disable = "TRUE"
isolation.tools.getCreds.disable = "TRUE"