使用獨立非持續性磁碟時,成功的攻擊者可移除機器已受到系統關閉或重新開機影響的任何證據。若無虛擬機器上活動的持續記錄,管理員可能無法感知到攻擊。因此,您應避免使用獨立非持續性磁碟。
程序
- ♦ 請確保已在個別伺服器 (例如 syslog 伺服器或同等 Windows 系統的事件收集器) 上遠端記錄虛擬機器活動。
如果還沒有為客體設定遠端記錄事件和活動,則 scsiX:Y.mode 應為下列其中一個設定:
- 不存在
- 未設為獨立非持續性
結果
未啟用非持續性模式時,您無法將虛擬機器復原為重新啟動系統時的已知狀態。