Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas para el sistema operativo invitado. Están estructurados de manera tal que se explican los beneficios y las compensaciones de la implementación del control. Para realizar cambios en estos controles, utilice la PowerCLI proporcionada o vSphere Client.

Variable utilizada

Los comandos de PowerCLI de esta sección utilizan la siguiente variable:

  • $VM = "virtual_machine_name"

Ruta de VMware Tools

La ruta de instalación predeterminada de VMware Tools es C:\Program Files\VMware\VMware Tools.

Configurar el arranque seguro del sistema operativo invitado

El sistema operativo invitado debe habilitar el arranque seguro.

El arranque seguro, compatible con todos los sistemas operativos invitados modernos, utiliza criptografía de clave pública para validar el firmware, el cargador de arranque, los controladores y el kernel del sistema operativo. Al evitar el arranque del sistema con validez de cadena de arranque incierta, el arranque seguro restringe el malware de forma eficaz.

Valores
Valor predeterminado de instalación: específico del sitio
Valor sugerido de línea base: true
Acción necesaria
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Habilitar el arranque seguro después de instalar un sistema operativo invitado puede implicar más pasos. Consulte la documentación del sistema operativo invitado para obtener instrucciones.
Evaluación mediante comandos de PowerCLI
(Get-VM -Name $VM).ExtensionData.Config.BootOptions.EfiSecureBootEnabled 
Ejemplo de corrección mediante un comando de PowerCLI
$VMobj = (Get-VM -Name $VM)
$ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions
$bootOptions.EfiSecureBootEnabled = $true
$ConfigSpec.BootOptions = $bootOptions
$task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
Establecer la ubicación en vSphere Client
Máquina virtual > Editar configuración > Opciones de máquinas virtuales

Limitar el uso de transformaciones de MSI

El sistema operativo invitado debe limitar el uso de transformaciones de MSI al volver a configurar VMware Tools.

Las transformaciones de MSI permiten cambiar la base de datos de instalación en los sistemas operativos invitados de Microsoft Windows. Esto puede ser útil, pero también presenta la oportunidad de modificar el perfil de seguridad del sistema operativo invitado desde vSphere.

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: False
Acción necesaria
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get autoupgrade allow-msi-transforms
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set autoupgrade allow-msi-transforms false
Establecer la ubicación en vSphere Client
N/C

Desactivar Appinfo

El sistema operativo invitado debe desactivar la recopilación de información de Appinfo, a menos que sea necesaria.

Appinfo es un método de detección de aplicaciones a través de VMware Tools. Si no utiliza esta herramienta, desactive el módulo para reducir la superficie de ataque.

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: true
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get appinfo disabled
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set appinfo disabled true
Establecer la ubicación en vSphere Client
N/C

Desactivar ContainerInfo

El sistema operativo invitado debe desactivar ContainerInfo, a menos que sea necesario.

El complemento ContainerInfo de VMware Tools para Linux recopila la lista de contenedores en ejecución dentro de un sistema operativo invitado de Linux.

Valores
Valor predeterminado de instalación: 21600
Valor sugerido de línea base: 0
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get containerinfo poll-interval
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set containerinfo poll-interval 0
Establecer la ubicación en vSphere Client
N/C

Desactivar operaciones de invitado

Desactive las operaciones de invitado, a menos que sean necesarias.

Las operaciones de invitado son un conjunto de funciones que permiten la mayor parte de la interacción entre hosts e invitados. Desactivarlas permite reducir la superficie de ataque, pero también disminuye drásticamente la funcionalidad. Asegúrese de que el entorno no requiera estas funciones. No desactive las operaciones de invitado en las máquinas virtuales de la plantilla.

Para obtener una lista de las funciones, consulte la siguiente documentación:

https://vdc-download.vmware.com/vmwb-repository/dcr-public/fe08899f-1eec-4d8d-b3bc-a6664c168c2c/7fdf97a1-4c0d-4be0-9d43-2ceebbc174d9/doc/vim.vm.guest.GuestOperationsManager.html

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: true
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get guestoperations disabled
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set guestoperations disabled true
Establecer la ubicación en vSphere Client
N/C

Evitar volver a personalizar el sistema operativo invitado

Debe evitar que el sistema operativo invitado de las máquinas virtuales implementadas y personalizadas se vuelva a personalizar.

El proceso de implementación de máquinas virtuales ofrece muchas opciones para que los administradores de vSphere personalicen las máquinas virtuales mediante scripts y la ejecución de comandos. Estos enfoques de personalización también pueden ser una vía para que un adversario obtenga acceso a los datos dentro de una máquina virtual, al clonarlos y volver a personalizarlos. Después de implementar una máquina virtual, evite que se vuelva a personalizar. Siempre puede revertir este cambio.

Valores
Valor predeterminado de instalación: True
Valor sugerido de línea base: False
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Una vez configuradas, las máquinas virtuales pueden personalizarse cuando se clonan. No realice este cambio en las máquinas virtuales de la plantilla.
Realizar este cambio puede afectar los procesos de recuperación ante desastres que cambian las direcciones IP, a través de VMware Site Recovery Manager o VMware Cloud Disaster Recovery. Para obtener más información consulte la siguiente documentación:
https://docs.vmware.com/es/VMware-Cloud-Disaster-Recovery/services/vmware-cloud-disaster-recovery/GUID-94202BE7-FEAF-4E35-8B55-15F6B3798309.html
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get deployPkg enable-customization
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set deployPkg enable-customization false
Establecer la ubicación en vSphere Client
N/C

Desactivar las operaciones de actualización de GuestStore

El sistema operativo invitado debe desactivar las operaciones de actualización de GuestStore, a menos que sean necesarias.

La función GuestStore proporciona un mecanismo simple y flexible para distribuir contenido específico o personalizado de VMware desde un repositorio de GuestStore a varios invitados al mismo tiempo. Si no utiliza esta función, desactive el complemento para reducir la superficie de ataque.

Valores
Valor predeterminado de instalación: manual
Valor sugerido de línea base: desactivado
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get gueststoreupgrade policy
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set gueststoreupgrade policy off
Establecer la ubicación en vSphere Client
N/C

Desactivar la detección de servicios

El sistema operativo invitado debe desactivar la detección de servicios, a menos que sea necesaria.

El complemento de detección de servicios de VMware Tools se conecta a Aria Operations y proporciona datos adicionales a ese producto sobre los sistemas operativos invitados y las cargas de trabajo. Si no utiliza esta función, desactive el complemento para reducir la superficie de ataque.

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: true
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get servicediscovery disabled
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set servicediscovery disabled true
Establecer la ubicación en vSphere Client
N/C

Activar el registro de VMware Tools

El sistema operativo invitado debe habilitar el registro de VMware Tools.

Asegúrese de que VMware Tools registre la información según corresponda. Consulte https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf para ver ejemplos.

Valores
Valor predeterminado de instalación: True
Valor sugerido de línea base: true
Acción necesaria
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get logging log
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set logging log true
Establecer la ubicación en vSphere Client
N/C

Enviar registros de VMware Tools al servicio de registro del sistema

El sistema operativo invitado debe enviar registros de VMware Tools al servicio de registros del sistema.

De forma predeterminada, VMware Tools envía registros a un archivo en el disco. Configure los registros que se enviarán a syslog en los invitados de Linux y al servicio de eventos de Windows en invitados de Microsoft Windows para la administración y el archivado central.

Valores
Valor predeterminado de instalación: archivo
Valor sugerido de línea base: syslog
Acción necesaria
Modifique el valor predeterminado de instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Actualice los procesos que dependen de que estos archivos se encuentren en la ubicación predeterminada.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get logging vmsvc.handler
VMwareToolboxCmd.exe config get logging toolboxcmd.handler
VMwareToolboxCmd.exe config get logging vgauthsvc.handler
VMwareToolboxCmd.exe config get logging vmtoolsd.handler
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set logging vmsvc.handler syslog
VMwareToolboxCmd.exe config set logging toolboxcmd.handler syslog
VMwareToolboxCmd.exe config set logging vgauthsvc.handler syslog
VMwareToolboxCmd.exe config set logging vmtoolsd.handler syslog
Establecer la ubicación en vSphere Client
N/C

Asegurarse de que la versión de VMware Tools esté actualizada

El sistema operativo invitado debe asegurarse de que VMware Tools esté actualizado.

VMware Tools es una parte importante del ecosistema de VMware. Con VMware Tools puede administrar los sistemas operativos invitados, tales como:

  • Apagado correcto
  • Administración del ciclo de vida
  • Obtener controladores para dispositivos paravirtualizados
  • Personalizar e implementar plantillas de máquinas virtuales

Al igual que con todos los software, debe administrar y actualizar VMware Tools según sea necesario. Asegúrese de estar ejecutando una versión compatible del sistema operativo invitado, tanto si se proporciona como parte de la distribución de Linux como si lo instala para Microsoft Windows.

Valores
Valor predeterminado de instalación: N/D
Valor sugerido de línea base: N/D
Acción necesaria
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Ninguno
Evaluación mediante comandos de PowerCLI
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
Ejemplo de corrección mediante un comando de PowerCLI
Específico del sitio. Existen varias formas de actualizar VMware Tools. Los controladores para VMXNET3 y PVSCSI también están disponibles a través de Windows Update, por lo que debe asegurarse de importarlos en herramientas como WSUS.
Establecer la ubicación en vSphere Client
Máquina virtual > Detalles de la máquina virtual > VMware Tools

Desactivar GlobalConf

El sistema operativo invitado debe desactivar GlobalConf, a menos que sea necesario.

La función GlobalConf de VMware Tools proporciona la capacidad de insertar configuraciones de archivos de tools.conf en las máquinas virtuales.

Valores
Valor predeterminado de instalación: False
Valor sugerido de línea base: False
Acción necesaria
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get globalconf enabled
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set globalconf enabled false
Establecer la ubicación en vSphere Client
N/C

Limitar la renovación automática de las funciones de VMware Tools

El sistema operativo invitado debe limitar la eliminación automática de funciones de VMware Tools.

Los procesos de actualización automática de VMware Tools pueden agregar o eliminar funciones de la instalación de VMware Tools, lo cual puede resultar útil, pero también presenta la oportunidad de alterar el perfil de seguridad del sistema operativo invitado desde vSphere.

Valores
Valor predeterminado de instalación: True
Valor sugerido de línea base: False
Acción necesaria
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get autoupgrade allow-remove-feature
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set autoupgrade allow-remove-feature false
Establecer la ubicación en vSphere Client
N/C

Configurar VMware Tools para actualizaciones automáticas

El sistema operativo invitado debe configurar las actualizaciones automáticas de VMware Tools según corresponda para el entorno.

vSphere puede iniciar las actualizaciones de VMware Tools, lo que puede resultar útil para mantener las versiones actuales de VMware Tools. Si administra y actualiza VMware Tools de otras maneras, desactive esta funcionalidad. En general, deje activadas las actualizaciones automáticas.

Valores
Valor predeterminado de instalación: True
Valor sugerido de línea base: true
Acción necesaria
Audite el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
Evaluación mediante comandos de PowerCLI
VMwareToolboxCmd.exe config get autoupgrade allow-upgrade
Ejemplo de corrección mediante un comando de PowerCLI
VMwareToolboxCmd.exe config set autoupgrade allow-upgrade true
Establecer la ubicación en vSphere Client
N/C

Comprobar la versión de hardware de la máquina virtual

El sistema operativo invitado debe asegurarse de que la versión del hardware de la máquina virtual sea la 19 o posterior siempre que sea compatible.

El hardware 19 de la máquina virtual es compatible con ESXi 7.0 Update 2 y versiones posteriores. Las versiones más recientes del hardware de las máquinas virtuales habilitan nuevas funciones y un mejor rendimiento. Considere la posibilidad de actualizar a la versión 20 del hardware de la máquina virtual si está totalmente actualizado a vSphere 8.0 o una versión posterior. Como siempre, tenga cuidado al actualizar y pruebe por completo el proceso de actualización antes de implementarlo en todo el sistema.

Tenga en cuenta todas las ubicaciones en las que se puede ejecutar una máquina virtual o en las que es posible que necesite restaurar la máquina virtual. Por ejemplo, los usuarios del servicio VMware Cloud Disaster Recovery deben tener en cuenta los niveles de vSphere de SDDC de recuperación potenciales. Si bien VMware Cloud se ejecuta sobre vSphere, es posible que no tenga las mismas versiones de hardware virtual compatibles disponibles.

Los cambios en la configuración de los dispositivos virtuales suministrados por VMware no son compatibles y pueden provocar interrupciones en el servicio.

Nota: Cuando se actualiza la versión de hardware de la máquina virtual, se producen actualizaciones de controladores y de otro tipo, aunque el impacto es mínimo.
Valores
Valor predeterminado de instalación: específico del sitio
Valor sugerido de línea base: vmx-19 o más reciente
Acción necesaria
Modifique el valor predeterminado de la instalación.
Impacto funcional potencial si se cambia el valor predeterminado
El cambio de las versiones de hardware de la máquina virtual cambia las versiones de los dispositivos dentro del invitado, lo cual puede tener repercusiones. Pruebe siempre la actualización de las versiones de hardware virtual y recuerde que las instantáneas también capturan la versión de la máquina virtual para poder revertir las versiones si es necesario.
Los cambios en la configuración de los dispositivos virtuales suministrados por VMware no son compatibles y pueden provocar interrupciones en el servicio.
Evaluación mediante comandos de PowerCLI
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
Ejemplo de corrección mediante un comando de PowerCLI
Set-VM -VM $VM -HardwareVersion vmx-19
Establecer la ubicación en vSphere Client
Al crear una máquina virtual en el asistente Nueva máquina virtual, la opción Seleccionar compatibilidad establece la versión del hardware de la máquina virtual.