Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Entfernung überflüssiger Hardwaregeräte<br />
Benutzer und Prozesse ohne Berechtigungen <strong>für</strong> die virtuelle Maschine können Hardwaregeräte wie Netzwerkadapter<br />
oder CD-ROM-Laufwerke einbinden oder trennen. Das Entfernen überflüssiger Hardwaregeräte<br />
kann somit Angriffe verhindern.<br />
Angreifer können diese Fähigkeit auf verschiedene Arten nutzen, um die Sicherheit einer virtuellen Maschine<br />
zu gefährden. So kann zum Beispiel ein Angreifer mit Zugang zu einer virtuellen Maschine ein nicht verbundenes<br />
CD-ROM-Laufwerk einbinden und auf vertrauliche Informationen auf dem Medium zugreifen, das sich<br />
im Laufwerk befindet, oder einen Netzwerkadapter trennen, um die virtuelle Maschine vom Netzwerk zu<br />
isolieren, was zu einem Denial-Of-Service führt.<br />
Als allgemeine Sicherheitsmaßnahme sollten Sie Befehle auf der Registerkarte [Konfiguration] auf dem<br />
vSphere-Client verwenden, um alle nicht benötigten oder ungenutzten Hardwaregeräte zu entfernen. Obwohl<br />
diese Maßnahme die Sicherheit der virtuellen Maschinen erhöht, aber ist sie keine gute Lösung, wenn ein<br />
ungenutztes Gerät später reaktiviert werden soll.<br />
Verhindern, dass ein Benutzer oder Prozess auf einer virtuellen Maschine die Verbindung<br />
zu Geräten trennt<br />
Wenn Sie ein Gerät nicht dauerhaft entfernen möchten, können Sie verhindern, dass ein Benutzer oder Prozess<br />
einer virtuellen Maschine das Gerät aus dem Gastbetriebssystem heraus einbindet oder trennt.<br />
Vorgehensweise<br />
1 Melden Sie sich mit dem vSphere-Client bei einem vCenter Server-System an.<br />
2 Wählen Sie die virtuelle Maschine im Bestandslistenfenster aus.<br />
3 Klicken Sie auf der Registerkarte [Übersicht (Summary)] auf [Einstellungen bearbeiten (Edit Set‐<br />
tings)] .<br />
4 Wählen Sie [Optionen] > [Allgemeine Optionen] aus und notieren Sie den Pfad, der im Textfeld<br />
[Konfigurationsdatei der virtuellen Maschine] angezeigt wird.<br />
5 Verwenden Sie den Befehl vifs, um eine Kopie der Konfigurationsdateien der virtuellen Maschine von<br />
dem Speicherort ab<strong>zur</strong>ufen, den Sie in Schritt 4 notiert haben.<br />
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/,<br />
wobei es sich bei um den Namen des Speichergeräts handelt, auf dem die<br />
Dateien der virtuellen Maschine sich befinden. Wenn beispielsweise die Konfigurationsdatei der virtuellen<br />
Maschine, die Sie im Dialogfeld „Eigenschaften der virtuellen Maschine“ abgerufen haben, [vol1]vmfinance/vm-finance.vmx<br />
ist, verwenden Sie den folgenden Befehl:<br />
vifs --server --username --get /vmfs/volumes/vol1/vm-finance/vm-fi-<br />
nance.vmx /vm-finance.vmx<br />
6 Fügen Sie der .vmx-Datei mit einem Texteditor die folgende Zeile hinzu, wobei der Name<br />
des Geräts ist, das geschützt werden soll (z. B. ethernet1):<br />
.allowGuestConnectionControl = "false"<br />
HINWEIS Standardmäßig ist Ethernet 0 so konfiguriert, dass die Trennung des Geräts nicht möglich ist.<br />
Der einzige Grund, der Sie dazu veranlassen könnte, dies zu ändern, ist dann gegeben, wenn ein vorheriger<br />
Administrator .allowGuestConnectionControl auf true. gesetzt hat.<br />
7 Speichern Sie die Änderungen, und schließen Sie die Datei.<br />
Kapitel 14 Empfehlungen <strong>für</strong> den Schutz von Implementierungen<br />
<strong>VMware</strong>, Inc. 181