Ces contrôles de sécurité fournissent un ensemble de lignes de base de meilleures pratiques en matière de système d'exploitation invité. Ils sont structurés de manière à expliquer les avantages et les contreparties de la mise en œuvre du contrôle. Pour apporter des modifications à ces contrôles, utilisez le module PowerCLI fourni ou le vSphere Client.
Variable utilisée
Les commandes PowerCLI de cette section utilisent la variable suivante :
- $VM = « virtual_machine_name »
Chemin d'accès à VMware Tools
Le répertoire d'installation par défaut de VMware Tools est C:\Program Files\VMware\VMware Tools.
Configurer le démarrage sécurisé du système d'exploitation invité
Le système d'exploitation invité doit activer le démarrage sécurisé.
Le démarrage sécurisé, pris en charge par tous les systèmes d'exploitation invités modernes, utilise le chiffrement à clé publique pour valider le microprogramme, le chargeur de démarrage, les pilotes et le noyau du système d'exploitation. En empêchant le démarrage du système avec une validité de chaîne de démarrage incertaine, le démarrage sécurisé limite efficacement les logiciels malveillants.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- L'activation du démarrage sécurisé après l'installation d'un système d'exploitation invité peut impliquer d'autres étapes. Pour obtenir des instructions, reportez-vous à la documentation de votre système d'exploitation invité.
- Évaluation de la commande PowerCLI
-
(Get-VM -Name $VM).ExtensionData.Config.BootOptions.EfiSecureBootEnabled
- Exemple de correction de la commande PowerCLI
-
$VMobj = (Get-VM -Name $VM) $ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec $bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions $bootOptions.EfiSecureBootEnabled = $true $ConfigSpec.BootOptions = $bootOptions $task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
Limiter l'utilisation des transformations MSI
Le fonctionnement client doit limiter l'utilisation des transformations MSI lors de la reconfiguration de VMware Tools.
Les transformations MSI permettent de modifier la base de données d'installation sur les systèmes d'exploitation invités Microsoft Windows. Cela peut être utile, mais offre également l'occasion de modifier le profil de sécurité du système d'exploitation invité de vSphere.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les administrateurs doivent utiliser d'autres méthodes pour mettre à jour et reconfigurer VMware Tools lorsque cela est nécessaire.
Désactiver Appinfo
Le système d'exploitation invité doit désactiver la collecte d'informations Appinfo, sauf si nécessaire.
Appinfo est une méthode de découverte d'applications via VMware Tools. Si vous n'utilisez pas cet outil, désactivez le module pour réduire la surface d'attaque.
- Valeurs
- Valeur par défaut de l'installation : false
- Action nécessaire
- Modifiez la valeur par défaut de l'installation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les produits et services de l'écosystème VMware peuvent nécessiter cette fonctionnalité.
- Évaluation de la commande PowerCLI
-
VMwareToolboxCmd.exe config get appinfo disabled
Désactiver ContainerInfo
Le système d'exploitation invité doit désactiver ContainerInfo, sauf si nécessaire.
Le plug-in ContainerInfo de VMware Tools pour Linux rassemble la liste des conteneurs en cours d'exécution à l'intérieur d'un système d'exploitation invité Linux.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les produits et services de l'écosystème VMware peuvent nécessiter cette fonctionnalité.
Désactiver les opérations d'invité
Désactivez les opérations d'invité, sauf si nécessaire.
Les opérations d'invité sont un ensemble de fonctions qui sous-tendent la plupart des interactions hôte-invité. Leur désactivation réduit la surface d'attaque, mais réduit également considérablement les fonctionnalités. Assurez-vous que votre environnement ne nécessite pas ces fonctions. Ne désactivez pas les opérations d'invité sur des machines virtuelles modèles.
Pour obtenir la liste des fonctions, reportez-vous à la documentation suivante :
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les produits et services de l'écosystème VMware peuvent nécessiter cette fonctionnalité.
Empêcher la repersonnalisation du système d'exploitation invité
Vous devez empêcher la repersonnalisation du système d'exploitation invité sur les machines virtuelles déployées et personnalisées.
Le processus de déploiement de machine virtuelle offre de nombreuses options permettant aux administrateurs vSphere de personnaliser les machines virtuelles à l'aide de scripts et de commandes en cours d'exécution. Ces approches de personnalisation peuvent également permettre à un adversaire d'accéder aux données à l'intérieur d'une machine virtuelle, par clonage et repersonnalisation. Après le déploiement d'une machine virtuelle, empêchez-la d'être à nouveau personnalisée. Vous pouvez toujours annuler cette modification.
- Valeurs
- Valeur par défaut de l'installation : True
- Action nécessaire
- Modifiez la valeur par défaut de l'installation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Une fois définies, les machines virtuelles peuvent être personnalisées lorsqu'elles sont clonées. N'effectuez pas cette modification sur les machines virtuelles de modèle.
- Évaluation de la commande PowerCLI
-
VMwareToolboxCmd.exe config get deployPkg enable-customization
- Exemple de correction de la commande PowerCLI
-
VMwareToolboxCmd.exe config set deployPkg enable-customization false
Désactiver les opérations de mise à niveaude GuestStore
Le fonctionnement invité doit désactiver les opérations de mise à niveau de GuestStore, sauf si nécessaire.
La fonctionnalité GuestStore fournit un mécanisme simple et flexible pour distribuer simultanément le contenu VMware spécifique ou personnalisé d'un référentiel GuestStore vers plusieurs invités. Si vous n'utilisez pas cette fonctionnalité, désactivez le plug-in pour réduire la surface d'attaque.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les produits et services de l'écosystème VMware peuvent nécessiter cette fonctionnalité.
Désactiver la détection de services
Le système d'exploitation invité doit désactiver la détection de services, sauf si nécessaire.
Le plug-in de détection de services VMware Tools se connecte à Aria Operations et fournit des données supplémentaires à ce produit sur les systèmes d'exploitation invités et les charges de travail. Si vous n'utilisez pas cette fonctionnalité, désactivez le plug-in pour réduire la surface d'attaque.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les produits et services de l'écosystème VMware peuvent nécessiter cette fonctionnalité.
Activer la journalisation de VMware Tools
Le système d'exploitation invité doit activer la journalisation de VMware Tools.
Assurez-vous que VMware Tools consigne les informations de manière appropriée. Reportez-vous à la section https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf pour voir des exemples.
Envoyer les journaux de VMware Tools au service de journaux système
Le système d'exploitation invité doit envoyer les journaux VMware Tools au service de journalisation système.
Par défaut, VMware Tools envoie les journaux à un fichier sur disque. Configurez les journaux à envoyer à Syslog sur des invités Linux et au service d'événements Windows sur les invités Microsoft Windows, pour la gestion et l'archivage central.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Mettez à jour les processus qui reposent sur l'emplacement par défaut de ces fichiers.
- Évaluation de la commande PowerCLI
-
VMwareToolboxCmd.exe config get logging vmsvc.handler VMwareToolboxCmd.exe config get logging toolboxcmd.handler VMwareToolboxCmd.exe config get logging vgauthsvc.handler VMwareToolboxCmd.exe config get logging vmtoolsd.handler
- Exemple de correction de la commande PowerCLI
-
VMwareToolboxCmd.exe config set logging vmsvc.handler syslog VMwareToolboxCmd.exe config set logging toolboxcmd.handler syslog VMwareToolboxCmd.exe config set logging vgauthsvc.handler syslog VMwareToolboxCmd.exe config set logging vmtoolsd.handler syslog
S'assurer que la version de VMware Tools est à jour
Le système d'exploitation invité doit s'assurer que VMware Tools est à jour.
VMware Tools est une partie importante de l'écosystème VMware. VMware Tools vous permet d'effectuer l'administration du système d'exploitation invité, par exemple :
- Arrêt normal
- Gestion du cycle de vie
- Obtention des pilotes pour les périphériques paravirtualisés
- Personnalisation et déploiement de modèles de machines virtuelles
Comme pour tous les logiciels, vous devez gérer et mettre à jour VMware Tools si nécessaire. Assurez-vous que vous exécutez une version prise en charge pour votre système d'exploitation invité, qu'elle est fournie dans le cadre de la distribution Linux ou installée par vous pour Microsoft Windows.
- Valeurs
- Valeur par défaut de l'installation : S/O
- Action nécessaire
- Contrôlez la valeur par défaut de l'installation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Aucun
- Évaluation de la commande PowerCLI
-
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
- Exemple de correction de la commande PowerCLI
- Spécifique au site. Il existe plusieurs façons de mettre à jour VMware Tools. Les pilotes pour VMXNET3 et PVSCSI sont également disponibles via la mise à jour Windows. Assurez-vous de les importer dans des outils tels que WSUS.
- Emplacement du paramètre dans vSphere Client
Désactiver GlobalConf
Le système d'exploitation invité doit désactiver GlobalConf, sauf si nécessaire.
La fonctionnalité GlobalConf de VMware Tools permet de transférer des configurations de fichiers tools.conf aux machines virtuelles.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les administrateurs doivent utiliser d'autres méthodes pour mettre à jour et reconfigurer VMware Tools lorsque cela est nécessaire.
Limiter le renouvellement automatique des fonctionnalités de VMware Tools
Le système d'exploitation invité doit limiter la suppression automatique des fonctionnalités de VMware Tools.
Les processus de mise à niveau automatique de VMware Tools peuvent ajouter ou supprimer des fonctionnalités de l'installation de VMware Tools, ce qui peut s'avérer utile, mais également l'occasion de modifier le profil de sécurité du système d'exploitation invité de vSphere.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les administrateurs doivent utiliser d'autres méthodes pour mettre à jour et reconfigurer VMware Tools lorsque cela est nécessaire.
Configurer VMware Tools pour les mises à niveau automatiques
Le système d'exploitation invité doit configurer des mises à niveau automatiques de VMware Tools en fonction de l'environnement.
Les mises à jour de VMware Tools peuvent être lancées par vSphere, ce qui peut être utile pour maintenir les versions actuelles de VMware Tools. Si vous gérez et mettez à jour VMware Tools d'une autre manière, désactivez cette fonctionnalité. En général, laissez les mises à jour automatiques activées.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- Les administrateurs doivent utiliser d'autres méthodes pour mettre à jour et reconfigurer VMware Tools lorsque cela est nécessaire.
Vérifier la version matérielle de la machine virtuelle
Le système d'exploitation invité doit s'assurer que le matériel de la machine virtuelle est de version 19 ou ultérieure lorsqu'il est pris en charge.
Cette version 19 du matériel de la machine virtuelle est compatible avec ESXi 7.0 Update 2 et versions ultérieures. Les nouvelles versions du matériel de machine virtuelle permettent de nouvelles fonctionnalités et de meilleures performances. Envisagez la mise à niveau vers le matériel de machine virtuelle de version 20 si vous avez effectué la mise à jour complète vers vSphere 8.0 ou version ultérieure. Comme toujours, soyez prudent lors de la mise à niveau et testez entièrement le processus de mise à niveau avant de déployer à l'échelle du système.
Tenez compte de tous les emplacements où une machine virtuelle peut s'exécuter ou où vous devrez peut-être restaurer la machine virtuelle. Par exemple, les utilisateurs du service VMware Cloud Disaster Recovery doivent tenir compte des niveaux vSphere de SDDC de récupération potentiels. Bien que VMware Cloud s'exécute au-dessus de vSphere, il se peut que les versions de matériel virtuel prises en charge ne soient pas disponibles.
Les modifications apportées à la configuration des dispositifs virtuels fournis par VMware ne sont pas prises en charge et peuvent entraîner des interruptions de service.
- Valeurs
- Valeur par défaut de l'installation : spécifique au site
- Action nécessaire
- Modifiez la valeur par défaut de l'installation.
- Incidence fonctionnelle potentielle si la valeur par défaut est modifiée
- La modification des versions matérielles d'une machine virtuelle modifie les versions de périphérique à l'intérieur de l'invité, ce qui peut avoir des répercussions. Testez toujours la mise à niveau des versions du matériel virtuel et n'oubliez pas que les snapshots capturent également la version de la machine virtuelle, afin de pouvoir restaurer les versions si nécessaire.
- Évaluation de la commande PowerCLI
-
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
- Exemple de correction de la commande PowerCLI
-
Set-VM -VM $VM -HardwareVersion vmx-19
