若要保護虛擬機器,請修補客體作業系統並保護您的虛擬環境,如同保護實體機器一樣。請考慮停用不必要的功能,儘量少用虛擬機器主控台,並遵循其他最佳做法。

保護客體作業系統

若要保護您的客體作業系統,請確保該系統使用最新的修補程式以及反間諜軟體和反惡意程式碼應用程式 (如果適用)。請參閱客體作業系統廠商提供的說明文件以及手冊或網際網路中可能提供的針對該作業系統的其他資訊。

停用不必要的虛擬機器功能

確認不必要的功能已停用,以盡可能地減少潛在攻擊點。依預設,許多不常使用的功能會處於停用狀態。移除不必要的硬體並停用某些功能,例如主機-客體檔案系統 (HGFS),或者在虛擬機器與遠端主控台之間執行複製並貼上作業。

請參閱停用虛擬機器中不必要的功能

使用虛擬機器範本和指令碼式管理

虛擬機器範本可讓您設定作業系統使其滿足您的需求,然後建立具有相同設定的其他虛擬機器。

若要在初始部署後變更虛擬機器設定,請考慮使用 PowerCLI 指令碼。本說明文件主要介紹如何使用 vSphere Client 執行工作。請考慮使用指令碼而非 vSphere Client 以保持您的環境一致。在大型環境中,您可以將虛擬機器分組至各個資料夾,以最佳化指令碼。

如需範本的相關資訊,請參閱使用範本部署虛擬機器vSphere 虛擬機器管理說明文件。如需 PowerCLI 的相關資訊,請參閱 VMware PowerCLI 說明文件。

儘量少用虛擬機器主控台

虛擬機器主控台為虛擬機器提供的功能與實體伺服器上的監視器所提供的功能相同。有存取虛擬機器主控台權限的使用者可存取虛擬機器電源管理和卸除式裝置連線控制。因此,存取虛擬機器主控台可能造成對虛擬機器的惡意攻擊。

考慮虛擬機器的 UEFI 安全開機

可以將虛擬機器設定為使用 UEFI 開機。如果該作業系統支援安全 UEFI 開機,您可以針對其他安全性為虛擬機器選取該選項。請參閱對虛擬機器啟用或停用 UEFI 安全開機

考慮使用 Carbon Black Cloud Workload

您可以安裝並使用 Carbon Black Cloud 工作負載,以識別風險、防止攻擊,以及偵測異常活動。憑藉內建於 Carbon Black Cloud 平台的 AppDefense 功能,Carbon Black Cloud 工作負載是 AppDefense 的接替產品。