Hola a tod@s
En este post seguiremos viendo los principales parámetros para aumentar la seguridad de nuestra infraestructura vSphere, haciendo uso de VMware vSphere Security Configuration Guide 7.
Como lo explique en post anteriores, traté de resumir los principales datos necesarios para entender esta guía que puede llegar a ser algo confusa para algunos, por lo que la ordene de tal manera que pueda ser más simple de entender que parámetro se recomienda modificar, descripción, motivo y comando para modificarlo a través de VMware PowerCLI.
vm-7.vmrc-lock
| Parámetros de configuración | Valor deseado | Valor por defecto | Acción necesaria |
| tools.guest.desktop.autolock | True | False | Modificar |
Descripción: Bloquear la sesión VM guest cuando nos desconectamos de la consola remota.
Motivo para el cambio: Un atacante puede aprovecharse de las sesiones de consola que se dejan registradas.
Ejecutamos el siguiente comando para ver el valor actual del parámetro:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting tools.guest.desktop.autolock
Modificamos el parámetro con el comando:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting tools.guest.desktop.autolock | Set-AdvancedSetting -Value TRUE
Podemos modificar este parámetro en vSphere Web Client, vamos a la VM -> “Edit Settings” -> “VM Options” -> “VMware Remote Console Options“.
Marcamos la casilla “Lock the guest operating system when the last remote user disconnects”
vm-7.vmotion-encrypted
| Parámetros de configuración | Valor deseado | Valor por defecto | Acción necesaria |
| – | Required | Opportunistic | Modificar |
Descripción: Encriptar las VMs durante el vMotion.
Motivo para el cambio: Por defecto, una VM utiliza la encriptación de vMotion como “opportunistic”, por lo que las migraciones a otro host utilizan la encriptación solo si está disponible. Configurando esto como “required” nos aseguramos que si la encriptación no está disponible el vMotion no se ejecutara.
Para configurar la encriptación de una VM vMotion en el vSphere Web Client, vamos hasta la VM> Edit Settings> VM Options> Encryption.
Al configurar un vMotion, puede haber 3 estados de encrypted vMotion diferentes:
- Disabled: No se usa vSphere encrypted vMotion.
- Opportunistic : Usamos vSphere encrypted vMotion si los hosts de origen y de destino lo admiten. Solo las versiones 6.5 y posteriores de ESXi usan vSphere encrypted vMotion, por lo que si todavía tiene algunos hosts de vSphere 6.0, no se podrán usar como destino.
- Required : Solo se permite vSphere encrypted vMotion. En este caso, si el host de origen o de destino no admite vSphere encrypted vMotion, vMotion no se ejecutara.
Para más detalles sobre Encrypted vMotion:
VMware vSphere Security with Encrypted vMotion
https://www.vembu.com/blog/vmware-vsphere-security-with-encrypted-vmotion/
VMware vSphere 7 and Encrypted vMotion – All You Need to Know
https://www.starwindsoftware.com/blog/vmware-vsphere-7-and-encrypted-vmotion-all-you-need-to-know
vm-7.limit-console-connections
| Parámetros de configuración | Valor deseado | Valor por defecto | Acción necesaria |
| RemoteDisplay.maxConnections | 1 | 40 | Modificar |
Descripción: Limitar el número de conexiones de la consola.
Motivo para el cambio: Varios usuarios pueden conectarse a la consola de una VM y observar la actividad. Limitando esto a 1 y evitamos este comportamiento.
Ejecutamos el siguiente comando para ver el valor actual del parámetro:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting RemoteDisplay.maxConnections
Modificamos el parámetro con el comando:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting RemoteDisplay.maxConnections | Set-AdvancedSetting -Value 1
Para modificar el parámetro desde vSphere Web Client vamos a VM -> “Edit Settings” -> “VM Options” -> “VMware Remote Console Options”.
vm-7.disable-non-essential-3d-features
| Parámetros de configuración | Valor deseado | Valor por defecto | Acción necesaria |
| mks.enable3d | FALSE | FALSE | Auditar |
escripción: Desactivar las funciones 3D si no las necesitamos.
Motivo para el cambio: Se sugiere que el 3D se desactive en las máquinas virtuales que no requieren la funcionalidad 3D (por ejemplo, servidores o escritorios que no utilizan aplicaciones 3D).
Como el valor por defecto es la configuración deseada, se puede auditar verificando que el parámetro está deshabilitado, o si está configurado, está establecido en FALSE.
Ejecutamos el siguiente comando para ver el valor actual del parámetro:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting mks.enable3d
Modificamos el parámetro con el comando:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting mks.enable3d | Set-AdvancedSetting -Value FALSE
Para modificar el parámetro desde vSphere Web Client vamos a VM -> “Edit Settings” -> Video Card.
vm-7.disable-disk-shrinking-wiper
| Parámetros de configuración | Valor deseado | Valor por defecto | Acción necesaria |
| isolation.tools.diskWiper.disable | TRUE | TRUE | Auditar |
Descripción: Deshabilitar virtual disk wiping.
Motivo para el cambio: Los usuarios no administradores del sistema operativo invitado pueden reducir los discos virtuales. La reducción de un disco virtual recupera el espacio no utilizado del disco. Sin embargo, si reduce un disco virtual repetidamente, el disco puede quedar no disponible y provocar una denegación de servicio. Para evitarlo, deshabilite la capacidad de reducir los discos virtuales.
Prerrequisitos
- Apague la máquina virtual.
- Compruebe que tiene privilegios de root o de administrador en la máquina virtual.
Ejecutamos el siguiente comando para ver el valor actual del parámetro:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting isolation.tools.diskWiper.disable
Modificamos el parámetro con el comando:
PS C:\WINDOWS\system32> Get-VM | Get-AdvancedSetting isolation.tools.diskWiper.disable | Set-AdvancedSetting -Value TRUE
Nota importante: Al deshabilitar esta característica, no puede reducir los discos de máquina virtual cuando un almacén de datos se queda sin espacio.
Prevent Virtual Disk Shrinking
Espero que esta información pueda ser de ayuda, y cualquier duda o sugerencia la dejan en los comentarios. Saludos.
Hola:
En la parte de vm-7.limit-console-connections, tienes un problema, si no existe la variable, no lo va a sacar, solo de los vCLS:
PS C:\> Get-VM | Get-AdvancedSetting RemoteDisplay.maxConnections | Select Entity,Name,Value
Entity Name Value
—— —- —–
vCLS-********************* RemoteDisplay.maxConnections 1
vCLS-********************* RemoteDisplay.maxConnections 1
vCLS-********************* RemoteDisplay.maxConnections 1
Habría que crear la variable con la máquina apagada o hacerlo por PS y la próxima vez que se reinicie, estaría, ya configurado.-
Hola Rober
Te recomiendo leer mi post sobre esta VMs: https://witcherit.com/2021/05/14/vsphere-clustering-service-vcls/
“La máquina virtural de vCLS es esencialmente una máquina virtual de “appliance” o “service” que permite que un clúster de vSphere siga funcionando en caso de que vCenter Server deje de estar disponible. Mantendrá la salud y los servicios de ese grupo.
Se recomienda no modificar los parámetros de estas VM.
Saludos,