啟用或連線的任何裝置都可能代表潛在攻擊通道。虛擬機器上不具有權限的使用者和程序可以連線或中斷連線硬體裝置 (如網路介面卡和 CD-ROM 光碟機)。攻擊者可利用該能力破壞虛擬機器安全性。移除不必要的硬體裝置可以協助防止攻擊。

使用以下準則提高虛擬機器安全性。

  • 確保不與未經授權的裝置連線,並移除所有不需要或未使用的硬體裝置。

  • 從虛擬機器中停用不必要的虛擬裝置。具有虛擬機器存取權限的攻擊者可以連線已中斷連線的 CD-ROM 光碟機,並存取遺留在磁碟機中媒體上的敏感資訊,或者中斷連線網路介面卡,將虛擬機器與其網路隔離,從而導致拒絕服務。

  • 確保不會將任何非必要的裝置連線到虛擬機器。序列埠和平行埠很少在資料中心環境中用於虛擬機器,而 CD/DVD 光碟機通常僅在軟體安裝期間暫時連線。

  • 針對非必要的不太常用的裝置,參數不應呈現或其值必須為 false。確保以下參數未呈現或設定為 false,除非需要裝置。

    參數

    裝置

    floppyX.present

    false

    軟碟機

    serialX.present

    false

    序列埠

    parallelX.present

    false

    平行埠

    usb.present

    false

    USB 控制器

    ideX:Y.present

    false

    CD-ROM