Например, пользователь на терминальном\citrix сервере без прав администратора может запустить VMware tools, затем отключить сетевую карту. Отключится она для всего сервера(всей ВМ).
Лечится прописыванием в vmx параметров
isolation.device.connectable.disable = "true"
isolation.device.edit.disable = "true"
Еще, пользователь не администратор может там же изменить настройку "Синхронизовать время с SC". Опять же, это может доставить неприятностей.
Рекомендации:
isolation.device.connectable.disable = "true"
isolation.device.edit.disable = "true"
isolation.tools.setOption.disable = "true"
isolation.tools.log.disable = "true"
isolation.tools.diskWiper.disable = "true"
isolation.tools.diskShrink.disable = "true"
isolation.tools.copy.disable = "true"
isolation.tools.paste.disable = "true"
isolation.tools.setGUIOptions.enable = "false"
log.rotateSize = "100000"
log.keepOld = "10"
vlance.noOprom = "true"
vmxnet.noOprom = "true"
# PXE boot on the e1000 vNIC can be disabled with this directive:
ethernet0.opromsize = "0"
Источник
и еще один - Hardening the VMX File: How Your Servers May Already be 0wned by Your Users
Комментариев нет:
Отправить комментарий