VMware vSphere Security Configuration Guide 7 – Parte 2
VMware vSphere Security Configuration Guide 7 – Parte 2

VMware vSphere Security Configuration Guide 7 – Parte 2

Hola a tod@s

En este post seguiremos viendo los principales parámetros para aumentar la seguridad de nuestra infraestructura vSphere, haciendo uso de VMware vSphere Security Configuration Guide 7.

Como lo explique en post anteriores, traté de resumir los principales datos necesarios para entender esta guía que puede llegar a ser algo confusa para algunos, por lo que la ordene de tal manera que pueda ser más simple de entender que parámetro se recomienda modificar, descripción, motivo y comando para modificarlo a través de VMware PowerCLI.

vm-7.vmrc-lock

Parámetros de configuraciónValor deseadoValor por defectoAcción necesaria
tools.guest.desktop.autolockTrueFalseModificar

Descripción: Bloquear la sesión VM guest cuando nos desconectamos de la consola remota.

Motivo para el cambio: Un atacante puede aprovecharse de las sesiones de consola que se dejan registradas.

Ejecutamos el siguiente comando para ver el valor actual del parámetro:

PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting tools.guest.desktop.autolock

Modificamos el parámetro con el comando:

PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting tools.guest.desktop.autolock | Set-AdvancedSetting -Value TRUE

Podemos modificar este parámetro en vSphere Web Client, vamos a la VM -> «Edit Settings» -> «VM Options» -> «VMware Remote Console Options«.

Marcamos la casilla «Lock the guest operating system when the last remote user disconnects»

vm-7.vmotion-encrypted

Parámetros de configuraciónValor deseadoValor por defectoAcción necesaria
RequiredOpportunisticModificar

Descripción: Encriptar las VMs durante el vMotion.

Motivo para el cambio: Por defecto, una VM utiliza la encriptación de vMotion como «opportunistic», por lo que las migraciones a otro host utilizan la encriptación solo si está disponible. Configurando esto como «required» nos aseguramos que si la encriptación no está disponible el vMotion no se ejecutara.

Para configurar la encriptación de una VM vMotion en el vSphere Web Client, vamos hasta la VM> Edit Settings> VM Options> Encryption.

Al configurar un vMotion, puede haber 3 estados de encrypted vMotion diferentes:

  • Disabled: No se usa vSphere encrypted vMotion.
  • Opportunistic : Usamos vSphere encrypted vMotion si los hosts de origen y de destino lo admiten. Solo las versiones 6.5 y posteriores de ESXi usan vSphere encrypted vMotion, por lo que si todavía tiene algunos hosts de vSphere 6.0, no se podrán usar como destino.
  • Required : Solo se permite vSphere encrypted vMotion. En este caso, si el host de origen o de destino no admite vSphere encrypted vMotion, vMotion no se ejecutara.

Para más detalles sobre Encrypted vMotion:

VMware vSphere Security with Encrypted vMotion

https://www.vembu.com/blog/vmware-vsphere-security-with-encrypted-vmotion/

VMware vSphere 7 and Encrypted vMotion – All You Need to Know

https://www.starwindsoftware.com/blog/vmware-vsphere-7-and-encrypted-vmotion-all-you-need-to-know

vm-7.limit-console-connections

Parámetros de configuraciónValor deseadoValor por defectoAcción necesaria
RemoteDisplay.maxConnections140Modificar

Descripción: Limitar el número de conexiones de la consola.

Motivo para el cambio: Varios usuarios pueden conectarse a la consola de una VM y observar la actividad. Limitando esto a 1 y evitamos este comportamiento.

Ejecutamos el siguiente comando para ver el valor actual del parámetro:

PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting RemoteDisplay.maxConnections

Modificamos el parámetro con el comando:

PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting RemoteDisplay.maxConnections | Set-AdvancedSetting -Value 1

Para modificar el parámetro desde vSphere Web Client vamos a VM -> «Edit Settings» -> «VM Options» -> «VMware Remote Console Options».

vm-7.disable-non-essential-3d-features

Parámetros de configuraciónValor deseadoValor por defectoAcción necesaria
mks.enable3dFALSEFALSEAuditar

escripción: Desactivar las funciones 3D si no las necesitamos.

Motivo para el cambio: Se sugiere que el 3D se desactive en las máquinas virtuales que no requieren la funcionalidad 3D (por ejemplo, servidores o escritorios que no utilizan aplicaciones 3D).

Como el valor por defecto es la configuración deseada, se puede auditar verificando que el parámetro está deshabilitado, o si está configurado, está establecido en FALSE.

Ejecutamos el siguiente comando para ver el valor actual del parámetro:

PS C:\WINDOWS\system32>  Get-VM | Get-AdvancedSetting mks.enable3d

Modificamos el parámetro con el comando:

PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting mks.enable3d  | Set-AdvancedSetting -Value FALSE

Para modificar el parámetro desde vSphere Web Client vamos a VM -> «Edit Settings» -> Video Card.

vm-7.disable-disk-shrinking-wiper

Parámetros de configuraciónValor deseadoValor por defectoAcción necesaria
isolation.tools.diskWiper.disableTRUETRUEAuditar

Descripción: Deshabilitar virtual disk wiping.

Motivo para el cambio: Los usuarios no administradores del sistema operativo invitado pueden reducir los discos virtuales. La reducción de un disco virtual recupera el espacio no utilizado del disco. Sin embargo, si reduce un disco virtual repetidamente, el disco puede quedar no disponible y provocar una denegación de servicio. Para evitarlo, deshabilite la capacidad de reducir los discos virtuales.

Prerrequisitos

  • Apague la máquina virtual.
  • Compruebe que tiene privilegios de root o de administrador en la máquina virtual.

Ejecutamos el siguiente comando para ver el valor actual del parámetro:

PS C:\WINDOWS\system32>  Get-VM | Get-AdvancedSetting isolation.tools.diskWiper.disable

Modificamos el parámetro con el comando:

PS C:\WINDOWS\system32>  Get-VM | Get-AdvancedSetting isolation.tools.diskWiper.disable  | Set-AdvancedSetting -Value TRUE

Nota importante:  Al deshabilitar esta característica, no puede reducir los discos de máquina virtual cuando un almacén de datos se queda sin espacio.

Prevent Virtual Disk Shrinking

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-9610FE65-3A78-4982-8C28-5B34FEB264B6.html

Espero que esta información pueda ser de ayuda, y cualquier duda o sugerencia la dejan en los comentarios. Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.