嚴格控制不同 vCenter Server 元件的存取權,以提高系統的安全性。
下列準則可協助確保環境的安全性。
使用具名帳戶存取 vCenter Server
- 將管理員角色僅授與需要擁有該角色的管理員。對於擁有較多限制權限的管理員,您可以建立自訂角色或使用無密碼編譯管理員角色。請勿將此角色套用到其成員資格未受到嚴格控制的任何群組。
- 確保應用程式在連線至 vCenter Server 系統時使用唯一服務帳戶。
監控 vCenter Server 管理員使用者的權限
並非所有管理員使用者都必須具有管理員角色。相反,可以建立具有一組適當權限的自訂角色,然後將其指派給其他管理員。
具有 vCenter Server 管理員角色的使用者擁有階層中所有物件的權限。例如,依預設,管理員角色可讓使用者與虛擬機器客體作業系統內的檔案和程式進行互動。將該角色指派給過多的使用者可能會降低虛擬機器資料的機密性、可用性或完整性。建立一個能夠為管理員提供所需權限,而不是移除部分虛擬機器管理權限的角色。另請參閱權限記錄器。
最大程度地減少對 vCenter Server Appliance 的存取
請勿允許使用者直接登入 vCenter Server Appliance。已登入 vCenter Server Appliance 的使用者可能會因更改設定和修改程序而有意或無意地造成傷害。這些使用者還可以存取 vCenter Server 認證,例如 SSL 憑證。僅允許要執行合法工作的使用者登入系統,並確保對這些登入事件進行稽核。
為資料庫使用者授與最低權限
資料庫使用者僅需要專屬於資料庫存取權的特定權限。
某些權限僅在安裝和升級時需要。您可以在安裝或升級 vCenter Server 後,從資料庫管理員移除這些權限。
限制資料存放區瀏覽器存取權
僅將權限指派給真正需要該權限的使用者或群組。具有權限的使用者可以透過網頁瀏覽器或 vSphere Client 檢視、上傳或下載資料存放區上與 vSphere 部署相關聯的檔案。
限制使用者在虛擬機器中執行命令
依預設,具有管理員角色的使用者可以與虛擬機器內客體作業系統的檔案和程式進行互動。若要降低破壞客體機密性、可用性或完整性的風險,請建立沒有 權限的自訂非客體存取角色。請參閱限制使用者在虛擬機器中執行命令。
考量修改 vpxuser 的密碼原則
重新啟動 vCenter Server 後檢查權限
重新啟動 vCenter Server 時應檢查權限重新指派。如果在重新啟動期間無法驗證在根資料夾上具有管理員角色的使用者或群組,則角色會從該使用者或群組中移除。vCenter Server 會改為將管理員角色授與 vCenter Single Sign-On 管理員 (依預設為 [email protected]) 代替。此帳戶即可充當 vCenter Server 管理員。
重新建立具名管理員帳戶,然後將管理員角色指派給該帳戶以避免使用匿名 vCenter Single Sign-On 管理員帳戶 (依預設為 [email protected])。
對遠端桌面通訊協定使用高加密層級
在基礎結構中的每台 Windows 電腦上,請確定已設定 [遠端桌面通訊協定 (RDP) 主機組態] 設定,以確保適用於環境的最高加密層級。
驗證 vSphere Client 憑證
指示 vSphere Client 或其他用戶端應用程式的使用者留意憑證驗證警告。在沒有憑證驗證的情況下,使用者可能會受到 MiTM 攻擊。
設定 vCenter Server 密碼原則
依預設,vCenter Server 每 30 天自動變更一次 vpxuser 密碼。您可以從 vSphere Client 中變更該值。
程序
- 使用 vSphere Client 登入 vCenter Server 系統。
- 在物件階層中,選取 vCenter Server 系統。
- 按一下設定。
- 按一下進階設定,然後按一下編輯設定。
- 按一下篩選器圖示,然後輸入 VimPasswordExpirationInDays。
- 設定 VirtualCenter.VimPasswordExpirationInDays 以符合您的需求。
從失敗的安裝移除到期或撤銷的憑證和記錄
在 vCenter Server 系統上保留到期或撤銷的憑證,或保留已失敗安裝的 vCenter Server 安裝記錄可能會影響您的環境。
如果不從 vCenter Server 系統移除到期或撤銷的憑證,環境可能會受到 MiTM 攻擊
- 在某些情況下,如果 vCenter Server 安裝失敗,則會在系統上建立一個包含純文字資料庫密碼的記錄檔。闖入 vCenter Server 系統的攻擊者可能會存取此密碼,並同時存取 vCenter Server 資料庫。
