嚴格控制不同 vCenter Server 元件的存取權,以提高系統的安全性。

下列準則可協助確保環境的安全性。

使用具名帳戶

  • 如果目前本機 Windows 管理員帳戶具有 vCenter Server 的完整管理權限,請移除這些存取權限並將這些權限授與一或多個具名 vCenter Server 管理員帳戶。僅可將完整管理權限授與需要該權限的管理員。請勿將該權限授與其成員未受到嚴格控制的任何群組。

    備註︰

    從 vSphere 6.0 開始,本機管理員預設不再具有 vCenter Server 的完整管理權限。不建議使用本機作業系統使用者。

  • 使用服務帳戶而不使用 Windows 帳戶安裝 vCenter Server。服務帳戶必須是本機電腦上的管理員。

  • 確保應用程式在連線至 vCenter Server 系統時使用唯一服務帳戶。

最小化存取權

避免允許使用者直接登入 vCenter Server 主機。已登入 vCenter Server 的使用者可能會因更改設定和修改程序而有意或無意地造成傷害。這些使用者還可以存取 vCenter 認證,例如 SSL 憑證。僅允許要執行合法工作的使用者登入系統,並確保對這些登入事件進行稽核。

監控 vCenter Server 管理員使用者的權限

並非所有管理員使用者都必須具有管理員角色。相反,可以建立具有一組適當權限的自訂角色,然後將其指派給其他管理員。

具有 vCenter Server 管理員角色的使用者擁有階層中所有物件的權限。例如,依預設,管理員角色可讓使用者與虛擬機器客體作業系統內的檔案和程式進行互動。將該角色指派給過多的使用者可能會降低虛擬機器資料的機密性、可用性或完整性。建立一個能夠為管理員提供所需權限,而不是移除部分虛擬機器管理權限的角色。

vCenter Server 資料庫使用者授與最低權限

資料庫使用者僅需要專屬於資料庫存取權的特定權限。此外,某些權限僅在安裝和升級時需要。在安裝或升級產品之後,可以移除這些權限。

限制資料存放區瀏覽器存取權

資料存放區瀏覽器功能可讓具有適當權限的使用者透過網頁瀏覽器或 vSphere Web Client 檢視、上傳或下載資料存放區上與 vSphere 部署相關聯的檔案。僅將資料存放區 > 瀏覽資料存放區權限指派給真正需要這些權限的使用者或群組。

限制使用者在虛擬機器中執行命令

依預設,具有 vCenter Server 管理員角色的使用者可與虛擬機器客體作業系統內的檔案和程式進行互動。若要降低破壞客體機密性、可用性或完整性的風險,請建立沒有客體作業權限的非客體存取角色。請參閱 限制使用者在虛擬機器中執行命令

驗證 vpxuser 的密碼原則

依預設,vCenter Server 每 30 天自動變更一次 vpxuser 密碼。確保此設定符合您的原則,或設定原則以符合您公司的密碼使用期限原則。請參閱 設定 vCenter Server 密碼原則

備註︰

確保密碼使用期限原則不會過短。

vCenter Server 重新啟動後檢查權限

重新啟動 vCenter Server 時應檢查權限重新指派。如果在根資料夾上指派了管理員角色的使用者或使用者群組無法在重新啟動期間被驗證為有效的使用者或群組,則角色會從該使用者或群組中移除。在其位置上,vCenter Server 會將管理員角色授與 vCenter Single Sign-On 帳戶 administrator@vsphere.local。然後,此帳戶即可充當管理員。

重新建立具名管理員帳戶,然後將管理員角色指派給該帳戶以避免使用匿名 administrator@vsphere.local 帳戶。

使用高 RDP 加密層級

在基礎結構中的每台 Windows 電腦上,請確定已設定 [遠端桌面主機組態] 設定,以確保適用於環境的最高加密層級。

驗證 vSphere Web Client 憑證

指示其中一個 vSphere Web Client 或其他用戶端應用程式的使用者絕不忽略憑證驗證警告。在沒有憑證驗證的情況下,使用者可能會受到 MiTM 攻擊。