Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas para el sistema operativo invitado. Están estructurados de manera tal que se explican los beneficios y las compensaciones de la implementación del control. Para realizar cambios en estos controles, utilice la PowerCLI proporcionada o vSphere Client.
Variable utilizada
Los comandos de PowerCLI de esta sección utilizan la siguiente variable:
- $VM = "virtual_machine_name"
Ruta de VMware Tools
La ruta de instalación predeterminada de VMware Tools es C:\Program Files\VMware\VMware Tools.
Configurar el arranque seguro del sistema operativo invitado
El sistema operativo invitado debe habilitar el arranque seguro.
El arranque seguro, compatible con todos los sistemas operativos invitados modernos, utiliza criptografía de clave pública para validar el firmware, el cargador de arranque, los controladores y el kernel del sistema operativo. Al evitar el arranque del sistema con validez de cadena de arranque incierta, el arranque seguro restringe el malware de forma eficaz.
- Impacto funcional potencial si se cambia el valor predeterminado
- Habilitar el arranque seguro después de instalar un sistema operativo invitado puede implicar más pasos. Consulte la documentación del sistema operativo invitado para obtener instrucciones.
- Evaluación mediante comandos de PowerCLI
-
(Get-VM -Name $VM).ExtensionData.Config.BootOptions.EfiSecureBootEnabled
- Ejemplo de corrección mediante un comando de PowerCLI
-
$VMobj = (Get-VM -Name $VM) $ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec $bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions $bootOptions.EfiSecureBootEnabled = $true $ConfigSpec.BootOptions = $bootOptions $task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
Limitar el uso de transformaciones de MSI
El sistema operativo invitado debe limitar el uso de transformaciones de MSI al volver a configurar VMware Tools.
Las transformaciones de MSI permiten cambiar la base de datos de instalación en los sistemas operativos invitados de Microsoft Windows. Esto puede ser útil, pero también presenta la oportunidad de modificar el perfil de seguridad del sistema operativo invitado desde vSphere.
- Impacto funcional potencial si se cambia el valor predeterminado
- Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
- Evaluación mediante comandos de PowerCLI
-
VMwareToolboxCmd.exe config get autoupgrade allow-msi-transforms
Desactivar Appinfo
El sistema operativo invitado debe desactivar la recopilación de información de Appinfo, a menos que sea necesaria.
Appinfo es un método de detección de aplicaciones a través de VMware Tools. Si no utiliza esta herramienta, desactive el módulo para reducir la superficie de ataque.
- Valores
- Valor predeterminado de instalación: False
- Acción necesaria
- Modifique el valor predeterminado de instalación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
- Evaluación mediante comandos de PowerCLI
-
VMwareToolboxCmd.exe config get appinfo disabled
Desactivar ContainerInfo
El sistema operativo invitado debe desactivar ContainerInfo, a menos que sea necesario.
El complemento ContainerInfo de VMware Tools para Linux recopila la lista de contenedores en ejecución dentro de un sistema operativo invitado de Linux.
- Impacto funcional potencial si se cambia el valor predeterminado
- Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
- Evaluación mediante comandos de PowerCLI
-
VMwareToolboxCmd.exe config get containerinfo poll-interval
Desactivar operaciones de invitado
Desactive las operaciones de invitado, a menos que sean necesarias.
Las operaciones de invitado son un conjunto de funciones que permiten la mayor parte de la interacción entre hosts e invitados. Desactivarlas permite reducir la superficie de ataque, pero también disminuye drásticamente la funcionalidad. Asegúrese de que el entorno no requiera estas funciones. No desactive las operaciones de invitado en las máquinas virtuales de la plantilla.
Para obtener una lista de las funciones, consulte la siguiente documentación:
- Impacto funcional potencial si se cambia el valor predeterminado
- Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Evitar volver a personalizar el sistema operativo invitado
Debe evitar que el sistema operativo invitado de las máquinas virtuales implementadas y personalizadas se vuelva a personalizar.
El proceso de implementación de máquinas virtuales ofrece muchas opciones para que los administradores de vSphere personalicen las máquinas virtuales mediante scripts y la ejecución de comandos. Estos enfoques de personalización también pueden ser una vía para que un adversario obtenga acceso a los datos dentro de una máquina virtual, al clonarlos y volver a personalizarlos. Después de implementar una máquina virtual, evite que se vuelva a personalizar. Siempre puede revertir este cambio.
- Valores
- Valor predeterminado de instalación: True
- Acción necesaria
- Modifique el valor predeterminado de instalación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Una vez configuradas, las máquinas virtuales pueden personalizarse cuando se clonan. No realice este cambio en las máquinas virtuales de la plantilla.
- Evaluación mediante comandos de PowerCLI
-
VMwareToolboxCmd.exe config get deployPkg enable-customization
- Ejemplo de corrección mediante un comando de PowerCLI
-
VMwareToolboxCmd.exe config set deployPkg enable-customization false
Desactivar las operaciones de actualización de GuestStore
El sistema operativo invitado debe desactivar las operaciones de actualización de GuestStore, a menos que sean necesarias.
La función GuestStore proporciona un mecanismo simple y flexible para distribuir contenido específico o personalizado de VMware desde un repositorio de GuestStore a varios invitados al mismo tiempo. Si no utiliza esta función, desactive el complemento para reducir la superficie de ataque.
- Impacto funcional potencial si se cambia el valor predeterminado
- Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Desactivar la detección de servicios
El sistema operativo invitado debe desactivar la detección de servicios, a menos que sea necesaria.
El complemento de detección de servicios de VMware Tools se conecta a Aria Operations y proporciona datos adicionales a ese producto sobre los sistemas operativos invitados y las cargas de trabajo. Si no utiliza esta función, desactive el complemento para reducir la superficie de ataque.
- Impacto funcional potencial si se cambia el valor predeterminado
- Es posible que los productos y servicios dentro del ecosistema de VMware requieran esta funcionalidad.
Activar el registro de VMware Tools
El sistema operativo invitado debe habilitar el registro de VMware Tools.
Asegúrese de que VMware Tools registre la información según corresponda. Consulte https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf para ver ejemplos.
Enviar registros de VMware Tools al servicio de registro del sistema
El sistema operativo invitado debe enviar registros de VMware Tools al servicio de registros del sistema.
De forma predeterminada, VMware Tools envía registros a un archivo en el disco. Configure los registros que se enviarán a syslog en los invitados de Linux y al servicio de eventos de Windows en invitados de Microsoft Windows para la administración y el archivado central.
- Impacto funcional potencial si se cambia el valor predeterminado
- Actualice los procesos que dependen de que estos archivos se encuentren en la ubicación predeterminada.
- Evaluación mediante comandos de PowerCLI
-
VMwareToolboxCmd.exe config get logging vmsvc.handler VMwareToolboxCmd.exe config get logging toolboxcmd.handler VMwareToolboxCmd.exe config get logging vgauthsvc.handler VMwareToolboxCmd.exe config get logging vmtoolsd.handler
- Ejemplo de corrección mediante un comando de PowerCLI
-
VMwareToolboxCmd.exe config set logging vmsvc.handler syslog VMwareToolboxCmd.exe config set logging toolboxcmd.handler syslog VMwareToolboxCmd.exe config set logging vgauthsvc.handler syslog VMwareToolboxCmd.exe config set logging vmtoolsd.handler syslog
Asegurarse de que la versión de VMware Tools esté actualizada
El sistema operativo invitado debe asegurarse de que VMware Tools esté actualizado.
VMware Tools es una parte importante del ecosistema de VMware. Con VMware Tools puede administrar los sistemas operativos invitados, tales como:
- Apagado correcto
- Administración del ciclo de vida
- Obtener controladores para dispositivos paravirtualizados
- Personalizar e implementar plantillas de máquinas virtuales
Al igual que con todos los software, debe administrar y actualizar VMware Tools según sea necesario. Asegúrese de estar ejecutando una versión compatible del sistema operativo invitado, tanto si se proporciona como parte de la distribución de Linux como si lo instala para Microsoft Windows.
- Valores
- Valor predeterminado de instalación: N/D
- Acción necesaria
- Audite el valor predeterminado de la instalación.
- Impacto funcional potencial si se cambia el valor predeterminado
- Ninguno
- Evaluación mediante comandos de PowerCLI
-
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
- Ejemplo de corrección mediante un comando de PowerCLI
- Específico del sitio. Existen varias formas de actualizar VMware Tools. Los controladores para VMXNET3 y PVSCSI también están disponibles a través de Windows Update, por lo que debe asegurarse de importarlos en herramientas como WSUS.
- Establecer la ubicación en vSphere Client
Desactivar GlobalConf
El sistema operativo invitado debe desactivar GlobalConf, a menos que sea necesario.
La función GlobalConf de VMware Tools proporciona la capacidad de insertar configuraciones de archivos de tools.conf en las máquinas virtuales.
- Impacto funcional potencial si se cambia el valor predeterminado
- Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
Limitar la renovación automática de las funciones de VMware Tools
El sistema operativo invitado debe limitar la eliminación automática de funciones de VMware Tools.
Los procesos de actualización automática de VMware Tools pueden agregar o eliminar funciones de la instalación de VMware Tools, lo cual puede resultar útil, pero también presenta la oportunidad de alterar el perfil de seguridad del sistema operativo invitado desde vSphere.
- Impacto funcional potencial si se cambia el valor predeterminado
- Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
- Evaluación mediante comandos de PowerCLI
-
VMwareToolboxCmd.exe config get autoupgrade allow-remove-feature
Configurar VMware Tools para actualizaciones automáticas
El sistema operativo invitado debe configurar las actualizaciones automáticas de VMware Tools según corresponda para el entorno.
vSphere puede iniciar las actualizaciones de VMware Tools, lo que puede resultar útil para mantener las versiones actuales de VMware Tools. Si administra y actualiza VMware Tools de otras maneras, desactive esta funcionalidad. En general, deje activadas las actualizaciones automáticas.
- Impacto funcional potencial si se cambia el valor predeterminado
- Los administradores deben utilizar otros métodos para actualizar y volver a configurar VMware Tools cuando sea necesario.
Comprobar la versión de hardware de la máquina virtual
El sistema operativo invitado debe asegurarse de que la versión del hardware de la máquina virtual sea la 19 o posterior siempre que sea compatible.
El hardware 19 de la máquina virtual es compatible con ESXi 7.0 Update 2 y versiones posteriores. Las versiones más recientes del hardware de las máquinas virtuales habilitan nuevas funciones y un mejor rendimiento. Considere la posibilidad de actualizar a la versión 20 del hardware de la máquina virtual si está totalmente actualizado a vSphere 8.0 o una versión posterior. Como siempre, tenga cuidado al actualizar y pruebe por completo el proceso de actualización antes de implementarlo en todo el sistema.
Tenga en cuenta todas las ubicaciones en las que se puede ejecutar una máquina virtual o en las que es posible que necesite restaurar la máquina virtual. Por ejemplo, los usuarios del servicio VMware Cloud Disaster Recovery deben tener en cuenta los niveles de vSphere de SDDC de recuperación potenciales. Si bien VMware Cloud se ejecuta sobre vSphere, es posible que no tenga las mismas versiones de hardware virtual compatibles disponibles.
Los cambios en la configuración de los dispositivos virtuales suministrados por VMware no son compatibles y pueden provocar interrupciones en el servicio.
- Valores
- Valor predeterminado de instalación: específico del sitio
- Acción necesaria
- Modifique el valor predeterminado de la instalación.
- Impacto funcional potencial si se cambia el valor predeterminado
- El cambio de las versiones de hardware de la máquina virtual cambia las versiones de los dispositivos dentro del invitado, lo cual puede tener repercusiones. Pruebe siempre la actualización de las versiones de hardware virtual y recuerde que las instantáneas también capturan la versión de la máquina virtual para poder revertir las versiones si es necesario.
- Evaluación mediante comandos de PowerCLI
-
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
- Ejemplo de corrección mediante un comando de PowerCLI
-
Set-VM -VM $VM -HardwareVersion vmx-19
