Questi controlli di sicurezza forniscono un set di basi di confronto per le procedure consigliate del sistema operativo guest. Sono strutturati in modo da spiegare i vantaggi e i compromessi dell'implementazione del controllo. Per apportare modifiche a questi controlli, utilizzare l'istanza di PowerCLI fornita o vSphere Client.
Variabili utilizzate
I comandi di PowerCLI in questa sezione utilizzano la variabile seguente:
- $VM = "virtual_machine_name"
Percorso di VMware Tools
Il percorso di installazione predefinito è C:\Program Files\VMware\VMware Tools.
Configurazione dell'avvio sicuro del sistema operativo guest
Nel sistema operativo guest è necessario abilitare l'avvio sicuro.
L'avvio sicuro, supportato da tutti i sistemi operativi guest moderni, utilizza la crittografia a chiave pubblica per convalidare il firmware, il bootloader, i driver e il kernel del sistema operativo. Impedendo l'avvio del sistema se la validità della catena di avvio è incerta, l'avvio sicuro limita di fatto i malware.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- L'abilitazione dell'avvio sicuro dopo l'installazione di un sistema operativo guest potrebbe richiedere più passaggi. Per istruzioni, fare riferimento alla documentazione del sistema operativo guest.
- Valutazione del comando tramite PowerCLI
-
(Get-VM -Name $VM).ExtensionData.Config.BootOptions.EfiSecureBootEnabled
- Esempio di correzione del comando tramite PowerCLI
-
$VMobj = (Get-VM -Name $VM) $ConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec $bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions $bootOptions.EfiSecureBootEnabled = $true $ConfigSpec.BootOptions = $bootOptions $task = $VMobj.ExtensionData.ReconfigVM_Task($ConfigSpec)
Limitazione dell'uso delle trasformazioni MSI
Il sistema operativo guest deve limitare l'uso delle trasformazioni MSI durante la riconfigurazione di VMware Tools.
Le trasformazioni MSI consentono la modifica del database di installazione nei sistemi operativi guest Microsoft Windows. Questo può essere utile e consente anche di modificare il profilo di sicurezza del sistema operativo guest da vSphere.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Gli amministratori devono utilizzare altri metodi per aggiornare e riconfigurare VMware Tools quando è necessario.
- Valutazione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config get autoupgrade allow-msi-transforms
Disattivazione di Appinfo
Il sistema operativo guest deve disattivare la raccolta di informazioni Appinfo a meno che non sia richiesto.
Appinfo è un metodo per l'individuazione delle applicazioni tramite VMware Tools. Se non si utilizza questo strumento, disattivare il modulo per ridurre la superficie di attacco.
- Valori
- Valore predefinito dell'installazione: False
- Azione necessaria
- Modificare le impostazioni predefinite dell'installazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- I prodotti e i servizi all'interno dell'ecosistema VMware potrebbero richiedere questa funzionalità.
- Valutazione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config get appinfo disabled
Disattivazione di ContainerInfo
Il sistema operativo guest deve disattivare ContainerInfo a meno che non sia richiesto.
Il plug-in ContainerInfo di VMware Tools per Linux raccoglie l'elenco dei container in esecuzione in un sistema operativo guest Linux.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- I prodotti e i servizi all'interno dell'ecosistema VMware potrebbero richiedere questa funzionalità.
- Valutazione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config get containerinfo poll-interval
Disattivazione delle operazioni guest
Disattivare le operazioni guest, a meno che non siano necessarie.
Le operazioni guest sono un insieme di funzionalità alla base della maggior parte delle interazioni tra host e guest. La loro disattivazione riduce la superficie di attacco ma riduce anche notevolmente le funzionalità. Assicurarsi che queste funzionalità non siano necessarie nell'ambiente in uso. Non disattivare le operazioni guest nelle macchine virtuali modello.
Per un elenco delle funzionalità, vedere la documentazione seguente:
- Potenziale impatto funzionale se il valore predefinito viene modificato
- I prodotti e i servizi all'interno dell'ecosistema VMware potrebbero richiedere questa funzionalità.
Come impedire la nuova personalizzazione del sistema operativo guest
È necessario impedire che il sistema operativo guest nelle macchine virtuali distribuite e personalizzate venga personalizzato nuovamente.
Il processo di distribuzione della macchina virtuale offre molte opzioni agli amministratori di vSphere per personalizzare le macchine virtuali utilizzando script ed eseguendo comandi. Queste personalizzazioni possono infatti spianare la strada agli utenti malintenzionati che possono accedere ai dati all'interno di una macchina virtuale tramite la clonazione e la nuova personalizzazione. Dopo aver distribuito una macchina virtuale, impedire che venga nuovamente personalizzata. È sempre possibile annullare questa modifica.
- Valori
- Valore predefinito dell'installazione: True
- Azione necessaria
- Modificare le impostazioni predefinite dell'installazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Una volta impostate, le macchine virtuali possono essere personalizzate quando vengono clonate. Non apportare questa modifica alle macchine virtuali modello.
- Valutazione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config get deployPkg enable-customization
- Esempio di correzione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config set deployPkg enable-customization false
Disattivazione delle operazioni di aggiornamento di GuestStore
Il sistema operativo guest deve disattivare le operazioni di aggiornamento di GuestStore, a meno che non siano necessarie.
La funzionalità GuestStore offre un meccanismo semplice e flessibile per distribuire contenuti specifici di VMware o personalizzati da un repository GuestStore a più guest contemporaneamente. Se non si utilizza questa funzionalità, disattivare il plug-in per ridurre la superficie di attacco.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- I prodotti e i servizi all'interno dell'ecosistema VMware potrebbero richiedere questa funzionalità.
Disattivazione di Service Discovery
Il sistema operativo guest deve disattivare Service Discovery, a meno che non sia necessario.
Il plug-in VMware Tools Service Discovery si connette ad Aria Operations e fornisce a tale prodotto dati aggiuntivi relativi ai sistemi operativi guest e ai carichi di lavoro. Se non si utilizza questa funzionalità, disattivare il plug-in per ridurre la superficie di attacco.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- I prodotti e i servizi all'interno dell'ecosistema VMware potrebbero richiedere questa funzionalità.
Attivazione della registrazione di VMware Tools
Il sistema operativo guest deve abilitare la registrazione di VMware Tools.
Assicurarsi che VMware Tools registri le informazioni appropriate. Per gli esempi, vedere https://github.com/vmware/open-vm-tools/blob/master/open-vm-tools/tools.conf.
Invio dei registri di VMware Tools al servizio Registro di sistema
Il sistema operativo guest deve inviare i registri di VMware Tools al servizio Registro di sistema.
Per impostazione predefinita, VMware Tools invia i registri a un file sul disco. Configurare i registri da inviare a syslog nei guest Linux e a Windows Event Service nei guest Microsoft Windows per la gestione e l'archiviazione centrale.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Aggiornare i processi che dipendono dal fatto che questi file si trovino nella posizione predefinita.
- Valutazione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config get logging vmsvc.handler VMwareToolboxCmd.exe config get logging toolboxcmd.handler VMwareToolboxCmd.exe config get logging vgauthsvc.handler VMwareToolboxCmd.exe config get logging vmtoolsd.handler
- Esempio di correzione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config set logging vmsvc.handler syslog VMwareToolboxCmd.exe config set logging toolboxcmd.handler syslog VMwareToolboxCmd.exe config set logging vgauthsvc.handler syslog VMwareToolboxCmd.exe config set logging vmtoolsd.handler syslog
Assicurarsi che la versione di VMware Tools sia aggiornata
Il sistema operativo guest deve assicurarsi che la versione di VMware Tools sia aggiornata.
VMware Tools è una parte importante dell'ecosistema VMware. Utilizzando VMware Tools, è possibile eseguire l'amministrazione del sistema operativo guest, ad esempio:
- Arresto normale
- Gestione del ciclo di vita
- Recupero dei driver per i dispositivi paravirtualizzati
- Personalizzazione e distribuzione di modelli di macchine virtuali
Come per tutti i prodotti software, è necessario gestire e aggiornare VMware Tools in base alle esigenze. Assicurarsi di eseguire una versione supportata per il sistema operativo guest in uso, indipendentemente dal fatto che venga distribuita come parte della distribuzione di Linux o installata dall'utente per Microsoft Windows.
- Valori
- Valore predefinito dell'installazione: N/D
- Azione necessaria
- Controllare il valore predefinito dell'installazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Nessuno
- Valutazione del comando tramite PowerCLI
-
Get-VM -Name $VM | Select-Object -Property Name,@{Name='ToolsVersion';Expression={$_.Guest.ToolsVersion}}
- Esempio di correzione del comando tramite PowerCLI
- Specifico del sito. Esistono diversi modi per aggiornare VMware Tools. I driver per VMXNET3 e PVSCSI sono disponibili anche tramite Windows Update. Assicurarsi quindi di importarli in strumenti come WSUS.
- Impostazione della posizione in vSphere Client
Disattivazione di GlobalConf
Il sistema operativo guest deve disattivare GlobalConf, a meno che non sia necessario.
La funzionalità GlobalConf di VMware Tools offre la possibilità di eseguire il push delle configurazioni del file tools.conf nelle macchine virtuali.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Gli amministratori devono utilizzare altri metodi per aggiornare e riconfigurare VMware Tools quando è necessario.
Limitazione della rimozione automatica delle funzionalità di VMware Tools
Il sistema operativo guest deve limitare la rimozione automatica delle funzionalità di VMware Tools.
I processi di aggiornamento automatico di VMware Tools possono aggiungere o rimuovere funzionalità dall'installazione di VMware Tools. Questo può essere utile ma offre anche l'opportunità di modificare il profilo di sicurezza del sistema operativo guest da vSphere.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Gli amministratori devono utilizzare altri metodi per aggiornare e riconfigurare VMware Tools quando è necessario.
- Valutazione del comando tramite PowerCLI
-
VMwareToolboxCmd.exe config get autoupgrade allow-remove-feature
Configurazione di VMware Tools per gli aggiornamenti automatici
Il sistema operativo guest deve configurare gli aggiornamenti automatici di VMware Tools in base alle esigenze dell'ambiente.
Gli aggiornamenti di VMware Tools possono essere avviati da vSphere e sono utili per tenere aggiornate le versioni di VMware Tools. Se si gestiscono e si aggiornano VMware Tools in altri modi, disattivare questa funzionalità. In generale, lasciare attivati gli aggiornamenti automatici.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- Gli amministratori devono utilizzare altri metodi per aggiornare e riconfigurare VMware Tools quando è necessario.
Verifica della versione dell'hardware della macchina virtuale
Dove è possibile, il sistema operativo guest deve assicurarsi che la versione dell'hardware della macchina virtuale sia 19 o successiva.
La versione 19 dell'hardware della macchina virtuale è compatibile con ESXi 7.0 Update 2 e versioni successive. Le versioni più recenti dell'hardware della macchina virtuale includono nuove funzionalità e assicurano prestazioni migliori. È consigliabile eseguire l'aggiornamento alla versione 20 dell'hardware della macchina virtuale se è stato eseguito l'aggiornamento a vSphere 8.0 o versione successiva. Come sempre, prestare attenzione quando si esegue l'aggiornamento e testare completamente il processo di aggiornamento prima di implementarlo a livello di sistema.
Tenere presenti tutte le posizioni in cui potrebbe essere eseguita una macchina virtuale o in cui potrebbe essere necessario ripristinarla. Ad esempio, gli utenti del servizio VMware Cloud Disaster Recovery devono considerare i livelli di vSphere dei potenziali SDDC di ripristino. Anche se VMware Cloud viene eseguito su vSphere, è possibile che disponga delle stesse versioni dell'hardware virtuale supportate.
Le modifiche alla configurazione delle appliance virtuali fornite da VMware non sono supportate e possono causare interruzioni del servizio.
- Valori
- Valore predefinito dell'installazione: specifico del sito
- Azione necessaria
- Modificare il valore predefinito dell'installazione.
- Potenziale impatto funzionale se il valore predefinito viene modificato
- La modifica delle versioni dell'hardware delle macchine virtuali comporta la modifica delle versioni dei dispositivi all'interno del guest. Questo potrebbe avere ripercussioni. Testare sempre l'aggiornamento delle versioni dell'hardware delle macchine virtuale e tenere presente che gli snapshot acquisiscono anche la versione della macchina virtuale, in modo che sia possibile ripristinare le versioni, se necessario.
- Valutazione del comando tramite PowerCLI
-
(Get-VM -Name $VM | Get-View) | Select-Object -Property Name,@{Name='HW Version';Expression={$_.Config.Version}}
- Esempio di correzione del comando tramite PowerCLI
-
Set-VM -VM $VM -HardwareVersion vmx-19
