在本文的上半部分中，我们介绍了如何加固子操作系统以及VMware后门程序。现在我们来看看如何确保VMware后门程序的安全性。

　　确保VMware后门程序的安全性

　　通常用来保护VMware后门程序的方式是在VMware 高级设置来配置更改一些选项。现在通用的安全标准都不建议使用最小化配置，而是通过建立一些不同配置的子集来管理。这里提供了一些设置方式，可以在Advanced Options下设置虚拟机配置来保证VMware后门程序更高的安全性（或直接添加到每个虚拟机的.vmx 文件中）：

DISA STIG for ESX

• 禁止从虚拟机的远程控制端向工作站拷贝：

　　isolation.tools.copy.enable => false

• 禁止从工作站向虚拟机远程控制端粘贴：

　　isolation.tools.paste.enable => false

• 禁止改变屏幕分辨率和色度：

　　isolation.tools.setguioptions.enable => false

CISecurity ESX Benchmark

• 禁止从虚拟机的远程控制端向工作站拷贝：

　　isolation.tools.copy.enable => false

• 禁止从工作站向虚拟机远程控制端粘贴：

　　isolation.tools.paste.enable => false

• 禁止改变屏幕分辨率和色度：

　　isolation.tools.setguioptions.enable => false

• 禁止VMware工具进行配置更改的功能：

　　isolation.tools.setinfo.disable => true

VMware VI3.5加固指导

• 禁止某些情况下对vmware.log文件的访问登陆。在允许访问的情况下极大减少了访问量，可以减轻磁盘的I/O压力：

　　isolation.tools.log.disable => true

• 使vmware.log文件按照设定的字节循环滚动保存，避免vmware.log文件变得非常的庞大：

　　log.rotatesize => 100000

• 只保存设定数量的历史vmware.log文件，避免重复保存的该文件占用大量磁盘空间。在VMFS系统中，这个文件可以迅速达到32K的文件大小上限。

　　log.keepold => 10

• 限制可以发送给VMware后门程序的数据量：

　　tools.setinfo.sizeLimit => 1048576

• 禁止通过后门程序直接对虚拟机内部的一些配置信息做修改：

　　isolation.tools.setInfo.disable => true

• 禁止虚拟机通过VMware后门程序直接设置虚拟机硬件设备（软驱、光驱、网卡等）的连接状态（断开或连接）：

　　isolation.tools.connectable.disable => true
　　isolation.tools.diskshrink.disable => true

• 禁止虚拟机通过VMware后门程序直接调用diskwiper功能：

　　isolation.tools.diskwiper.disable => true

　　根据安全需求的不同，所有的选项可以被设置用来保证子系统和VMware远程控制主机之间以及在虚拟机、管理程序及文件系统之间交互的安全。这些设置可以防止一些非常有趣的（有时是让人迷茫的）由于缺少空间导致的管理程序故障。

　　对VMware后门程序的保护是非常重要的，必须强调的一点是最好适当限制使用VMware工具，而不是对驱动的访问。或者，执行集成在子操作系统内部的，像Window UAC（User Access Control）或SElinux这样的强制访问控制工具也是一样的效果。通过这些来限制什么时候可以访问VMware的后门程序。

　　虚拟机安全最主要的部分是在子操作系统之内，但是虚拟硬件设置也会起到作用。尝试去掌握和练习那些用于加固虚拟机的指导方针、基准和检查清单，帮助您更加合理地保护您的虚拟机。