Lorsque vous utilisez des disques indépendants non permanents avec des machines virtuelles, des pirates peuvent supprimer toute preuve que la machine a été compromise en arrêtant ou en redémarrant le système. Sans un enregistrement permanent des activités sur une machine virtuelle, une attaque risque de ne pas être décelée par les administrateurs. Par conséquent, évitez l'utilisation des disques indépendants non persistants.

Procédure

  1. Assurez-vous que l'activité de la machine virtuelle est consignée à distance sur un serveur séparé, par exemple un serveur syslog ou un collecteur d'événements Windows équivalent.
  2. Si la journalisation à distance des événements et des activités n'est pas configurée pour l'invité, assurez-vous que scsiX:Y.mode prend l'une des valeurs suivantes :
    • Pas présent
    • Non défini sur indépendant non permanent

Résultats

Lorsque le mode non permanent n'est pas activé, vous ne pouvez pas remettre une machine virtuelle à un état connu lors du redémarrage du système.