嚴格控制不同 vCenter Server 元件的存取權,以提高系統的安全性。

下列準則可協助確保環境的安全性。

使用具名帳戶

  • 如果目前本機 Windows 管理員帳戶具有 vCenter Server 的管理員角色,請移除該角色並將該角色指派給一或多個具名 vCenter Server 管理員帳戶。將管理員角色僅授與需要擁有該角色的管理員。對於擁有較多限制權限的管理員,您可以建立自訂角色或使用無密碼編譯管理員角色。請勿將此角色套用到其成員資格未受到嚴格控制的任何群組。

    備註︰

    從 vSphere 6.0 開始,本機管理員預設不再具有 vCenter Server 的完整管理權限。

  • 使用服務帳戶而不使用 Windows 帳戶安裝 vCenter Server。服務帳戶必須是本機電腦上的管理員。

  • 確保應用程式在連線至 vCenter Server 系統時使用唯一服務帳戶。

監控 vCenter Server 管理員使用者的權限

並非所有管理員使用者都必須具有管理員角色。相反,可以建立具有一組適當權限的自訂角色,然後將其指派給其他管理員。

具有 vCenter Server 管理員角色的使用者擁有階層中所有物件的權限。例如,依預設,管理員角色可讓使用者與虛擬機器客體作業系統內的檔案和程式進行互動。將該角色指派給過多的使用者可能會降低虛擬機器資料的機密性、可用性或完整性。建立一個能夠為管理員提供所需權限,而不是移除部分虛擬機器管理權限的角色。

最小化存取權

請勿允許使用者直接登入 vCenter Server 主機。已登入 vCenter Server 主機的使用者可能會因更改設定和修改程序而有意或無意地造成傷害。這些使用者還可以存取 vCenter 認證,例如 SSL 憑證。僅允許要執行合法工作的使用者登入系統,並確保對這些登入事件進行稽核。

vCenter Server 資料庫使用者授與最低權限

資料庫使用者僅需要專屬於資料庫存取權的特定權限。

某些權限僅在安裝和升級時需要。您可以在安裝或升級 vCenter Server 後,從資料庫管理員移除這些權限。

限制資料存放區瀏覽器存取權

僅將資料存放區 > 瀏覽資料存放區權限指派給真正需要這些權限的使用者或群組。具有權限的使用者可以透過網頁瀏覽器或 vSphere Web Client 檢視、上傳或下載資料存放區上與 vSphere 部署相關聯的檔案。

限制使用者在虛擬機器中執行命令

依預設,具有 vCenter Server 管理員角色的使用者可與虛擬機器客體作業系統內的檔案和程式進行互動。若要降低破壞客體機密性、可用性或完整性的風險,請建立沒有客體作業權限的自訂非客體存取角色。請參閱限制使用者在虛擬機器中執行命令

考量修改 vpxuser 的密碼原則

依預設,vCenter Server 每 30 天自動變更一次 vpxuser 密碼。請確保此設定符合公司原則,或設定 vCenter Server 密碼原則。請參閱設定 vCenter Server 密碼原則

備註︰

確保密碼使用期限原則不會過短。

vCenter Server 重新啟動後檢查權限

重新啟動 vCenter Server 時應檢查權限重新指派。如果在重新啟動期間無法驗證在根資料夾上具有管理員角色的使用者或群組,則角色會從該使用者或群組中移除。vCenter Server 會改為將管理員角色授與 vCenter Single Sign-On 管理員 (依預設為 administrator@vsphere.local) 代替。此帳戶即可充當 vCenter Server 管理員。

重新建立具名管理員帳戶,然後將管理員角色指派給該帳戶以避免使用匿名 vCenter Single Sign-On 管理員帳戶 (依預設為 administrator@vsphere.local)。

使用高 RDP 加密層級

在基礎結構中的每台 Windows 電腦上,請確定已設定 [遠端桌面主機組態] 設定,以確保適用於環境的最高加密層級。

驗證 vSphere Web Client 憑證

指示其中一個 vSphere Web Client 或其他用戶端應用程式的使用者絕不忽略憑證驗證警告。在沒有憑證驗證的情況下,使用者可能會受到 MiTM 攻擊。