1.1保持ESXi系统适当的修补 |
系统和信息完整性 |
1.2验证图像轮廓和VIB接受的水平 |
系统和服务采购 |
1.3验证主机上没有未经授权的内核模块加载 |
系统和服务采购 |
1.4确保伪造传输策略设置为拒绝 |
系统和通信保护 |
1.5确保VDS Netflow交通只是被送到授权收集器IP地址 |
系统和服务采购 |
1.6限制端口级别配置覆盖在vDS公司 |
系统和服务采购 |
2.1国家结核控制规划时间同步配置 |
审计和问责制 |
2.2配置ESXi主机防火墙限制访问服务的主机上运行 |
访问控制 |
2.3浏览器禁用管理对象(群) |
访问控制,媒体保护 |
2.4不使用默认为ESXi通信自签名证书 |
系统和通信保护 |
2.6确保适当的SNMP配置——“社区名私人不存在” |
识别和身份验证 |
2.6确保适当的SNMP配置——社区名公众不存在的 |
识别和身份验证 |
2.7防止意外dvfilter网络api的使用 |
访问控制 |
2.8当添加ESXi主机活动目录使用vSphere身份验证代理保护密码 |
访问控制 |
3.1配置一个集中位置收集ESXi主机核心转储 |
配置管理 |
3.2配置主机配置文件监控和警报配置更改 |
配置管理 |
3.3所有ESXi主机配置持久化日志 |
审计和问责制 |
3.4配置远程日志ESXi主机 |
审计和问责制 |
4.1创建一个非根用户占本地管理员权限 |
配置管理 |
4.2确保vpxuser帐户的密码会自动改变每10或更少的天 |
识别和身份验证 |
4.3建立一个密码的密码策略的复杂性 |
识别和身份验证 |
4.4为当地用户身份验证使用Active Directory -启用=‘真正的’ |
识别和身份验证 |
4.4使用Active Directory为当地用户身份验证——审查领域 |
识别和身份验证 |
4.5验证Active Directory组成员的ESX管理员组 |
访问控制 |
5.2禁用ESXi壳除非诊断或故障排除所需 |
配置管理 |
5.3关闭SSH |
配置管理 |
5.4限制远程访问启用锁定模式 |
配置管理 |
5.5从SSH authorized_keys文件删除键 |
访问控制 |
5.6设置一个超时自动终止空闲ESXi壳牌和SSH会话 |
访问控制 |
5.8设置DCUI。访问允许受信任的用户覆盖锁定模式 |
访问控制 |
6.1支持双向章交通iSCSI的身份验证 |
识别和身份验证 |
6.2确保唯一性的家伙身份验证的秘密 |
识别和身份验证 |
安装7.1.1 VDS禁用网络healthcheck如果不习惯 |
访问控制 |
7.1.2确保MAC地址设置为拒绝改变政策 |
系统和通信保护 |
7.1.3确保混杂模式政策设置为拒绝 |
系统和通信保护 |
7.1.4确保没有一个分布式虚拟端口上的未使用的端口组 |
配置管理 |
7.1.5 VDS确保端口镜像流量只是被送到授权收集器港口或vlan |
审计和问责制 |
7.1.6验证VDS dvPortgroups autoexpand选项是禁用的 |
配置管理 |
7.2.1确保端口组不配置为本地VLAN的价值 |
系统和信息完整性 |
7.2.2确保端口组不配置VLAN 4095除了虚拟客人标签(VGT) |
配置管理 |
7.2.3确保端口组不配置VLAN值保留由上游物理交换机 |
安全评估和授权 |
7.3.1确保vSwitch伪造传输策略设置为拒绝 |
系统和通信保护 |
7.3.2确保vSwitch MAC地址设置为拒绝改变政策 |
系统和通信保护 |
7.3.3确保vSwitch混杂模式政策设置为拒绝 |
系统和通信保护 |
通过VMCI 8.1.1禁用虚拟机通信 |
系统和通信保护 |
8.1.2限制信息消息从VM VMX文件 |
审计和问责制 |
8.1.3限制控制台连接的共享 |
访问控制 |
8.2.1断开未经授权的设备——软盘设备 |
媒体保护 |
8.2.2断开未授权设备- CD / DVD设备 |
|
8.2.3断开未经授权的设备——并行设备 |
配置管理 |