限制 ESXi 存取

依預設，ESXi Shell 和 SSH 服務未在執行中，並且僅根使用者可以登入 Direct Console 使用者介面 (DCUI)。如果您決定啟用 ESXi 或 SSH 存取，可以設定逾時來限制未經授權存取的風險。可以存取 ESXi 主機的使用者必須具有管理主機的權限。您可以從管理主機的 vCenter Server 系統對主機物件設定權限。

請參閱使用 ESXi Shell。

使用具名使用者和最少的權限

依預設，根使用者可以執行許多工作。不允許管理員使用根使用者帳戶登入 ESXi 主機。而是從 vCenter Server 建立具名管理員使用者，並為這些使用者指派管理員角色。您也可以為這些使用者指派自訂角色。請參閱建立 vCenter Server 自訂角色。

如果您直接管理主機上的使用者，則會限制角色管理選項。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。

將開啟的 ESXi 防火牆連接埠數目降至最低

依預設，僅在您啟動對應的服務時，ESXi 主機上的防火牆連接埠才處於開啟狀態。您可以使用 vSphere Client、ESXCLI 或 PowerCLI 命令來檢查並管理防火牆連接埠狀態。

請參閱設定 ESXi 防火牆。

自動化 ESXi 主機管理

由於同一資料中心中的不同主機處於同步狀態通常很重要，因此，請使用指令碼式安裝或 vSphere Auto Deploy 佈建主機。您可以使用指令碼管理主機。主機設定檔是指令碼式管理的替代。您可設定參考主機，匯出主機設定檔，並將主機設定檔套用到所有主機。您可以直接套用主機設定檔，或者做為使用 Auto Deploy 進行佈建的一部分。

如需有關 vSphere Auto Deploy 的資訊，請參閱使用指令碼管理 ESXi 主機組態設定和 vCenter Server 安裝和設定說明文件。

利用 ESXi 鎖定模式

在鎖定模式下，依預設僅能透過 vCenter Server 存取 ESXi 主機。您可以選取嚴格鎖定模式或一般鎖定模式。您可以定義例外使用者，以允許直接存取備份代理程式等服務帳戶。

請參閱在 ESXi 主機上設定和管理鎖定模式。

檢查 VIB 套件完整性

每個 vSphere 安裝服務包 (VIB) 套件都具有相關聯的接受程度。僅當 VIB 的接受程度等同於或優於 ESXi 主機的接受程度時，才可以將此 VIB 新增至此主機。不得將接受程度為 CommunitySupported 或 PartnerSupported 的 VIB 新增至主機，除非您明確變更主機的接受程度。

請參閱管理 ESXi 主機和 vSphere 安裝服務包的接受程度。

管理 ESXi 憑證

VMware Certificate Authority (VMCA) 預設會使用將 VMCA 做為根憑證授權機構的已簽署憑證佈建每台 ESXi 主機。如果公司原則需要，您可以將現有憑證取代為由第三方或企業憑證授權機構簽署的憑證。

請參閱管理 ESXi 主機的憑證。

考量為 ESXi 使用智慧卡驗證

ESXi 支援使用智慧卡驗證，而不是使用者名稱和密碼驗證。vCenter Server 也支援雙因素驗證。您可以同時設定使用者名稱和密碼驗證及智慧卡驗證。

請參閱設定和管理用於 ESXi 的智慧卡驗證。

考量 ESXi 帳戶鎖定

請參閱ESXi 密碼及帳戶鎖定。