Certains paramètres VMware Tools peuvent présenter des risques de sécurité. Par exemple, VMware Tools permet de connecter des périphériques virtuels, tels que des ports série et parallèles à des machines virtuelles. Un périphérique connecté peut être le canal potentiel d'une attaque. Pour renforcer une machine virtuelle et réduire au maximum les risques de sécurité, désactivez les fonctionnalités de VMware Tools qui peuvent présenter des menaces de sécurité.

Pour des informations complètes sur le déploiement sécurisé de VMware vSphere dans un environnement de production, notamment sur les recommandations de sécurité pour les hôtes, les machines virtuelles, les composants de gestion et une infrastructure réseau, consultez le document vSphere Hardening Guide. Les paramètres VMware Tools s'appliquent uniquement à l'aspect machine virtuelle d'un déploiement.

Les machines virtuelles sont encapsulées dans un petit nombre de fichiers. Parmi eux, le fichier de configuration (fichier .vmx) régit les performances du matériel virtuel et d'autres paramètres. Vous pouvez utiliser plusieurs méthodes pour afficher et modifier les paramètres de configuration :

  • Utilisez vSphere Web Client pour modifier les paramètres de la machine virtuelle. Dans vSphere Web Client, la modification de ces paramètres de configuration est une option avancée de la boîte de dialogue Modifier les paramètres de la machine virtuelle.
  • Utilisez vSphere Host Client pour modifier les paramètres de la machine virtuelle. Dans vSphere Host Client, la modification de ces paramètres de configuration est une option avancée de la boîte de dialogue Modifier les paramètres de la machine virtuelle.
  • Utilisez un outil API vSphere, tel que l'interface CLI Power, pour afficher et modifier les paramètres .vmx.

Lorsque vous modifiez un paramètre, la modification n'est appliquée qu'après le redémarrage de la machine virtuelle.

Vous pouvez éliminer plusieurs menaces potentielles en réglant des paramètres de manière appropriée dans les paramètres correspondants de VMware Tools à définir dans le fichier .vmx de la machine virtuelle. La valeur par défaut de la plupart des paramètres est déjà définie pour protéger les machines virtuelles contre ces menaces.

Menaces associées aux comptes d'utilisateur sans privilèges

Copier-coller
Par défaut, la fonction copier-coller du texte, des graphiques et des fichiers est désactivée, ainsi que la fonction glisser-déplacer pour les fichiers. Lorsque cette option est activée, vous pouvez copier et coller du texte enrichi et, selon le produit VMware, les graphiques et les fichiers du Presse-papiers vers le système d'exploitation invité dans une machine virtuelle. Cela signifie que lorsque la fenêtre de console d'une machine virtuelle est activée, les utilisateurs et les processus sans privilèges exécutés dans la machine virtuelle peuvent accéder au Presse-papiers de l'ordinateur sur lequel s'exécute la fenêtre de console. Pour éviter les risques associés à cette fonctionnalité, conservez les paramètres .vmx suivants qui désactivent la fonction copier-coller :
isolation.tools.copy.disable = "TRUE"
isolation.tools.paste.disable = "TRUE"

Menaces associées aux périphériques virtuels

Connexion et modification des périphériques
Par défaut, la connexion et la déconnexion de périphériques sont désactivées. Lorsque cette fonctionnalité est activée, les utilisateurs et les processus sans privilèges racine ou d'administrateur peuvent connecter des périphériques, tels que des adaptateurs réseau et des lecteurs de CD-ROM, et modifier les paramètres des périphériques. Ainsi, un utilisateur peut connecter un lecteur de CD-ROM déconnecté et accéder aux informations sensibles sur le disque qui se trouve dans le lecteur. Il peut également déconnecter un adaptateur réseau pour isoler la machine virtuelle de son réseau, ce qui constitue un déni de service. Pour éviter les risques de sécurité associés à cette fonctionnalité, conservez les paramètres .vmx suivants qui empêchent de connecter et de déconnecter des périphériques ou de modifier leurs paramètres :
isolation.device.connectable.disable = "TRUE"
isolation.device.edit.disable = "TRUE"

Menaces associées au flux d'informations de machine virtuelle

Taille du fichier VMX
Par défaut, le fichier de configuration est limité à 1 Mo, car une taille incontrôlée du fichier peut générer un déni de service si la banque de données manque d'espace disque. Des messages d'information sont parfois envoyés par la machine virtuelle au fichier .vmx. Ces messages setinfo définissent les caractéristiques ou les identifiants de la machine virtuelle en écrivant des paires nom-valeur dans le fichier. Il peut être nécessaire d'augmenter la taille du fichier si d'importants volumes d'informations personnalisées doivent être stockés dans le fichier. Le nom de propriété est tools.setInfo.sizeLimit et vous définissez la valeur en kilo-octets. Conservez le paramètre .vmx suivant :
tools.setInfo.sizeLimit = "1048576"
Envoi des compteurs de performances dans PerfMon
Vous pouvez intégrer des compteurs de performances de machine virtuelle pour le processeur et la mémoire dans PerfMon pour les systèmes d'exploitation invités Linux et Microsoft Windows. Cette fonctionnalité fournit des informations détaillées sur l'hôte physique disponible pour le système d'exploitation invité. Un utilisateur malveillant pourrait utiliser ces informations pour lancer d'autres attaques sur l'hôte. Cette fonctionnalité est désactivée par défaut. Conservez le paramètre .vmx suivant pour empêcher l'envoi des informations de l'hôte à la machine virtuelle :
tools.guestlib.enableHostInfo = "FALSE"

Ce paramètre ne bloque pas toutes les mesures. Si vous affectez la valeur FALSE à cette propriété, les mesures suivantes sont bloquées :

  • GUESTLIB_HOST_CPU_NUM_CORES
  • GUESTLIB_HOST_CPU_USED_MS
  • GUESTLIB_HOST_MEM_SWAPPED_MB
  • GUESTLIB_HOST_MEM_SHARED_MB
  • GUESTLIB_HOST_MEM_USED_MB
  • GUESTLIB_HOST_MEM_PHYS_MB
  • GUESTLIB_HOST_MEM_PHYS_FREE_MB
  • GUESTLIB_HOST_MEM_KERN_OVHD_MB
  • GUESTLIB_HOST_MEM_MAPPED_MB
  • GUESTLIB_HOST_MEM_UNMAPPED_MB
Fonctionnalités non exposées dans vSphere qui peuvent générer des vulnérabilités
Comme les machines virtuelles VMware s'exécutent sur un grand nombre de produits VMware en plus de vSphere, certains paramètres de machine virtuelle ne s'appliquent pas dans un environnement vSphere. Bien que ces fonctionnalités n'apparaissent pas dans les interfaces utilisateur vSphere, leur désactivation réduit le nombre de vecteurs d'accès d'un système d'exploitation invité à un hôte. Utilisez le paramètre .vmx suivant pour désactiver ces fonctionnalités :
isolation.tools.unity.push.update.disable = "TRUE"
isolation.tools.ghi.launchmenu.change = "TRUE"
isolation.tools.ghi.autologon.disable = "TRUE"
isolation.tools.hgfsServerSet.disable = "TRUE"
isolation.tools.memSchedFakeSampleStats.disable = "TRUE"
isolation.tools.getCreds.disable = "TRUE"