013 - Segurança do vSphere

Prévia do material em texto

Segurança do vSphere
Atualizar 3
VMware vSphere 7.0
VMware ESXi 7.0
vCenter Server 7.0
Este documento foi traduzido automaticamente do inglês. Se você observar 
algum erro de tradução, deixe seu feedback na parte inferior da página 
específica da publicação no VMware Docs.
Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:
https://docs.vmware.com/br/
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware Brasil
Rua Surubim, 504 4º andar CEP 04571-050
Cidade Monções
São Paulo
SÃO PAULO: 04571-050
Brasil
Tel: +55 11 55097200
Fax: + 55. 11. 5509-7224
www.vmware.com/br
Copyright 
©
 2009-2021 VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais e 
marca registrada.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 2
https://docs.vmware.com/br/
https://docs.vmware.com/copyright-trademark.html
https://docs.vmware.com/copyright-trademark.html
Conteúdo
Sobre a segurança do vSphere 14
1 Segurança no ambiente vSphere 17
Protegendo o ESXi hipervisor 17
Protegendo vCenter Server sistemas e serviços associados 19
Protegendo máquinas virtuais 21
Protegendo a camada de rede virtual 22
Senhas no seu ambiente vSphere 24
Melhores práticas e recursos de segurança 25
2 Permissões do vSphere e tarefas de gerenciamento de usuários 27
Entendendo a autorização no vSphere 28
Herança hierárquica de permissões 32
Várias configurações de permissão 35
Exemplo 1: Herança de permissão de vários grupos 35
Exemplo 2: permissões herdeiras substituindo as permissões principais 36
Exemplo 3: função do usuário substituindo a função do grupo 37
Gerenciando permissões para componentes do vCenter 37
Adicionar uma permissão a um objeto de inventário 38
Alterar ou remover permissões 39
Alterar as configurações de validação do usuário 39
Permissões globais 40
Adicionar uma permissão global 41
Permissões em objetos de tag 42
Usando funções para atribuir privilégios 43
Criar uma função personalizada do vCenter Server 45
vCenter Server Funções do sistema 46
Práticas recomendadas para funções e permissões 47
Privilégios necessários para tarefas comuns 48
3 Protegendo ESXi hosts 53
Recomendações de segurança ESXi gerais 54
Configurações avançadas do sistema 56
Configurar ESXi hosts com perfis de host 59
Usar scripts para gerenciar as definições de configuração do host 59
ESXi Senhas e bloqueio de conta 61
Geração de chave criptográfica 63
Segurança SSH 65
VMware, Inc. Traduzido automaticamente 3
ESXi Chaves SSH 65
Dispositivos PCI e PCIe e ESXi 67
Desativar o navegador de objetos gerenciados 68
ESXi Recomendações de segurança de rede 69
Modificando as configurações de proxy da Web ESXi 69
Considerações sobre a segurança do vSphere Auto Deploy 70
Controlar o acesso para ferramentas de monitoramento de hardware baseadas em CIM
71
Gerenciamento de certificados para ESXi hosts 72
Atualizações de host e certificados 74
Fluxos de trabalho de alternância de modo de certificado 75
Configurações padrão do certificado do ESXi 78
Alterar as configurações padrão do certificado 79
Exibir informações de expiração de certificado para vários ESXi hosts 80
Exibir detalhes do certificado para um único host ESXi 80
Renovar ou atualizar ESXi certificados 81
Alterar o modo de certificado 82
Substituindo ESXi certificados e chaves SSL 83
Requisitos para ESXi solicitações de assinatura de certificado 84
Substitua o certificado e a chave padrão do ESXi Shell 84
Substituir um certificado e uma chave padrão pelo comando vifs 85
Substituir um certificado padrão usando HTTPS PUT 86
Atualizar o vCenter Server TRUSTED_ROOTS Store (certificados personalizados) 87
Usar certificados personalizados com implantação automática 88
Restaurar ESXi certificado e arquivos de chave 89
Personalizando hosts com o perfil de segurança 90
ESXi Configuração de firewall 91
Gerenciar ESXi configurações de firewall 91
Adicionar endereços IP permitidos para um host ESXi 92
Portas de firewall de entrada e saída para ESXi hosts 93
Comportamento do firewall do cliente NFS 93
ESXi Comandos de firewall ESXCLI 94
Personalização de ESXi serviços do perfil de segurança 95
Ativar ou desativar um serviço 97
Modo de bloqueio 98
Comportamento do modo de bloqueio 98
Ativar modo de bloqueio 99
Desativar o modo de bloqueio 100
Ativar ou desativar o modo de bloqueio normal na interface de usuário do console direto
101
Especificando contas com privilégios de acesso no modo de bloqueio 102
Usando VIBs para realizar atualizações seguras 103
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 4
Gerenciar os níveis de aceitação de hosts e VIBs 104
Atribuindo privilégios para ESXi hosts 106
Usando o Active Directory para gerenciar ESXi usuários 109
Configurar um host para usar Active Directory 109
Adicionar um host a um domínio de serviço de diretório 110
Exibir configurações do serviço de diretório 111
Usando o vSphere Authentication Proxy 111
Habilitar o vSphere Authentication Proxy 112
Adicione um domínio a vSphere Authentication Proxy com o vSphere Client 113
Adicione um domínio ao vSphere Authentication Proxy com o comando camconfig 114
Use vSphere Authentication Proxy para adicionar um host a um domínio 115
Habilitar autenticação de cliente para vSphere Authentication Proxy 115
Importe o certificado do vSphere Authentication Proxy para o host do ESXi 116
Gerar um novo certificado para vSphere Authentication Proxy 117
Configurar o vSphere Authentication Proxy para usar certificados personalizados 118
Configurando a autenticação de cartão inteligente para ESXi 120
Habilitar autenticação de cartão inteligente 121
Desativar autenticação de cartão inteligente 122
Autenticação com nome de usuário e senha em caso de problemas de conectividade 122
Usando a autenticação de cartão inteligente no modo de bloqueio 122
Usando o ESXi Shell 123
Ative o acesso ao ESXi Shell 124
Criar um tempo limite para a disponibilidade de ESXi Shell 124
Criar um tempo limite para sessões ESXi Shell ociosas 125
Use a interface de usuário do console direto para habilitar o acesso ao ESXi Shell 126
Definir tempo limite de disponibilidade ou tempo limite de inatividade para o ESXi Shell
126
Faça login no ESXi Shell para solução de problemas 127
UEFI Secure Boot for ESXi Hosts 128
Executar o script de validação de inicialização segura em um host ESXi atualizado 129
Protegendo ESXi hosts com o Trusted Platform Module 130
Exibir o status do atestado de host do ESXi 132
Solucionar problemas de ESXi atestado de host 132
ESXi Arquivos de log 133
Configurar o Syslog em ESXi Hosts 133
ESXi Localizações do arquivo de log 135
Protegendo o tráfego de log de tolerância a falhas 136
Ativar criptografia de tolerância a falhas 136
Gerenciando ESXi registros de auditoria 137
Protegendo a configuração do ESXi 138
Protegendo a visão geral da configuração do ESXi 138
Visão geral das políticas de selagem do TPM 140
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 5
Gerenciando uma configuração ESXi segura 141
Liste o conteúdo da chave de recuperação de configuração ESXi segura 142
Alternar a chave de recuperação de configuração ESXi segura 142
Solução de problemas e recuperação da configuração ESXi segura 143
Recuperar a configuração do ESXi seguro 143
Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi 
segura 144
Ativar ou desativar a aplicação execInstalledOnly para uma configuração ESXi segura
147
4 Protegendo os sistemas vCenter Server 151
vCenter Server Práticas recomendadas de segurança 151
Práticas recomendadas para o controle de acesso de vCenter Server 151
Defina a política de senha do vCenter Server 153
Removendo certificados e logs expirados ou revogados de instalações com falha 153
Limitando a conectividade de rede vCenter Server 154
Avalie o uso de clientes Linux com CLIs e SDKs 154
Examinar os plug-ins do cliente 155
vCenter Server Práticas recomendadas de segurança156
Requisitos de senha e comportamento de bloqueio do vCenter 156
Verificar impressões digitais para hosts ESXi legados 157
Portas necessárias para vCenter Server 158
5 Protegendo máquinas virtuais 160
Ativar ou desativar a inicialização segura do UEFI para uma máquina virtual 160
Limitar mensagens informativas de máquinas virtuais a arquivos VMX 162
Práticas recomendadas de segurança de máquina virtual 163
Proteção geral da máquina virtual 164
Usar modelos para implantar máquinas virtuais 165
Minimize o uso do console da máquina virtual 165
Impedir que máquinas virtuais assumam recursos 166
Desativar funções desnecessárias dentro de máquinas virtuais 166
Remover dispositivos de hardware desnecessários 167
Desativar recursos de exibição não utilizados 168
Desativar recursos não expostos 168
Desativar VMware pastas compartilhadas que compartilham arquivos do host com a 
máquina virtual 169
Desativar operações de copiar e colar entre o sistema operacional convidado e o console 
remoto 170
Limitando a exposição de dados confidenciais copiados para a área de transferência
171
Impedir que os usuários executem comandos em uma máquina virtual 171
Impedir que um usuário ou processo de máquina virtual desconecte dispositivos 172
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 6
Impedir que processos do sistema operacional guest enviem mensagens de configuração 
para o host 173
Evite o uso de discos não persistentes independentes 173
Protegendo máquinas virtuais com as extensões de proteção de software da Intel 174
Visão geral do vSGX 174
Habilitar o vSGX em uma máquina virtual 175
Habilitar o vSGX em uma máquina virtual existente 176
Remover o vSGX de uma máquina virtual 177
Protegendo máquinas virtuais com o estado seguro criptografado pela virtualização 
criptografada da AMD 177
Visão geral do estado criptografado da virtualização criptografada da AMD 177
Adicione o estado criptografado de virtualização criptografado da AMD a uma máquina 
virtual com o vSphere Client 179
Adicionar o estado criptografado de virtualização criptografado da AMD a uma máquina 
virtual 180
Habilitar o estado criptografado de virtualização criptografado por AMD em uma máquina 
virtual existente com o vSphere Client 181
Habilitar o estado criptografado de virtualização criptografado da AMD em uma máquina 
virtual existente 182
Desativar o estado criptografado de virtualização criptografado da AMD em uma máquina 
virtual com o vSphere Client 184
Desativar o estado seguro de criptografia de virtualização criptografada da AMD em uma 
máquina virtual 184
6 Criptografia da máquina virtual 186
Comparação de provedores de chave do vSphere 187
Como o vSphere Virtual Machine Encryption protege seu ambiente 189
Componentes do vSphere Virtual Machine Encryption 194
Fluxo do processo de criptografia 197
Criptografia de disco virtual 200
Erros de criptografia da máquina virtual 202
Pré-requisitos e privilégios necessários para tarefas de criptografia 203
Criptografado vSphere vMotion 205
Práticas recomendadas de criptografia, advertências e interoperabilidade 208
Práticas recomendadas de criptografia de máquina virtual 208
Advertências de criptografia de máquina virtual 211
Interoperabilidade de criptografia de máquina virtual 213
Visão geral da persistência da chave 214
7 Configurando e gerenciando um provedor de chave padrão 216
Visão geral do provedor de chave padrão 216
Configurar o provedor de chave padrão 217
Adicionar um provedor de chave padrão usando o vSphere Client 217
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 7
Estabelecer uma conexão confiável do provedor de chave padrão por meio da troca de 
certificados 219
Use a opção de certificado de autoridade de certificação raiz para estabelecer uma 
conexão confiável do provedor de chave padrão 220
Use a opção de certificado para estabelecer uma conexão confiável do provedor de 
chave padrão 221
Use a opção Carregar certificado e chave privada para estabelecer uma conexão 
confiável do provedor de chave padrão 222
Use a opção de solicitação de assinatura de novo certificado para estabelecer uma 
conexão confiável do provedor de chave padrão 222
Definir o provedor de chave padrão 223
Concluir a configuração de confiança para um provedor de chave padrão 224
Configurar provedores de chaves separados para usuários diferentes 225
8 Configurando e gerenciando o vSphere Native Key Provider 226
Visão geral do provedor de chave nativa do vSphere 226
Fluxos de processo do provedor de chave nativa do vSphere 229
Configurar um vSphere Native Key Provider 230
Fazer backup de um provedor de chaves nativas do vSphere 231
Recuperando um Provedor de Chave Nativa do vSphere 233
Restaurar um provedor de chave nativa do vSphere usando o vSphere Client 233
Atualizar um provedor de chave nativa do vSphere 234
Excluir um provedor de chave nativa do vSphere 235
9 vSphere Trust Authority 236
vSphere Trust Authority Conceitos e recursos 236
Como o vSphere Trust Authority protege seu ambiente 236
Visão geral da infraestrutura confiável 240
vSphere Trust Authority Fluxos de processo 243
vSphere Trust Authority Topologia 247
Pré-requisitos e privilégios necessários para vSphere Trust Authority 247
vSphere Trust Authority Práticas recomendadas, advertências e interoperabilidade 250
Ciclo de vida do vSphere Trust Authority 252
Configurando o vSphere Trust Authority 253
Configure sua estação de trabalho 256
Habilitar o administrador do Trust Authority 256
Habilitar o estado da autoridade de confiança 257
Colete informações sobre ESXi hosts e vCenter Server para ser confiável 259
Exportar e importar um certificado de chave de endosso do TPM 264
Importar as informações do host confiável para o cluster do Trust Authority 269
Criar o provedor de chave no cluster do Trust Authority 272
Carregar o certificado do cliente para estabelecer uma conexão confiável do provedor 
de chave 278
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 8
Carregar o certificado e a chave privada para estabelecer uma conexão confiável de 
provedor de chave 280
Criar uma solicitação de assinatura de certificado para estabelecer uma conexão 
confiável de provedor de chave 282
Exportar as informações do cluster do Trust Authority 284
Importar as informações do cluster do Trust Authority para os hosts confiáveis 285
Configurar o provedor de chave confiável para hosts confiáveis usando o vSphere Client
290
Configurar o provedor de chaves confiáveis para hosts confiáveis usando a linha de 
comando 291
Gerenciando vSphere Trust Authority em seu ambiente vSphere 292
Iniciar, parar e reiniciar os serviços do vSphere Trust Authority 293
Exibir os hosts de autoridade de confiança 293
Exibir o estado do cluster do vSphere Trust Authority 293
Reiniciar o serviço de host confiável 294
Adicionando e removendo vSphere Trust Authority hosts 294
Adicionar um host a um cluster confiável com o vSphere Client 294
Adicionar um host a um cluster confiável com a CLI 295
Desativar hosts confiáveis de um cluster confiável 296
Fazendo backup da configuração do vSphere Trust Authority 298
Alterar a chave primária de um provedor de chave 299
Visão geral dos relatórios de atestado de host confiável 300
Exibir o status do atestado de cluster confiável 301
Solucionar problemas de atestado de host confiável 302
Verificando e corrigindo a integridade do cluster confiável 303
Visão geral da integridade e da correção do cluster confiável 303
Verificar a integridade do cluster confiável 304
Corrigir um cluster confiável 305
10 Use criptografia em seu ambiente vSphere 307
Criar uma política de armazenamento de criptografia 307
Habilitar o modo de criptografia do host explicitamente 308
Desativar o modo de criptografia do host 309
Criar uma máquina virtual criptografada 309
Clonar uma máquina virtual criptografada 311
Criptografar uma máquina virtual ou um disco virtual existente 312
Descriptografar uma máquina virtualou um disco virtual criptografado 314
Alterar a política de criptografia para discos virtuais 315
Resolver problemas de chave ausentes 316
Desbloquear máquinas virtuais bloqueadas 318
Resolver ESXi problemas no modo de criptografia do host 319
Reativar o modo de criptografia do ESXi host 319
Definir limite de expiração de certificado do servidor de gerenciamento de chaves 320
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 9
vSphere Virtual Machine Encryption and Core Dumps 321
Colete um pacote vm-support para um ESXi host que usa criptografia 322
Descriptografar ou criptografar novamente um despejo de núcleo criptografado 324
Ativar e desativar a persistência de chave em um host ESXi 325
11 Protegendo máquinas virtuais com o módulo de plataforma confiável virtual 327
Visão geral do Virtual Trusted Platform Module 327
Criar uma máquina virtual com um módulo de plataforma confiável virtual 329
Habilitar o Virtual Trusted Platform Module para uma máquina virtual existente 330
Remover o módulo de plataforma confiável virtual de uma máquina virtual 331
Identificar máquinas virtuais ativadas pelo Virtual Trusted Platform Module 332
Exibir certificados de dispositivo do Virtual Trusted Platform Module 333
Exportar e substituir certificados de dispositivo do Virtual Trusted Platform Module 333
12 Protegendo sistemas operacionais convidados do Windows com segurança 
baseada em virtualização 335
Práticas recomendadas de segurança baseadas em virtualização 336
Ativar segurança baseada em virtualização em uma máquina virtual 337
Ativar segurança baseada em virtualização em uma máquina virtual existente 338
Habilitar a segurança baseada em virtualização no sistema operacional convidado 340
Desativar segurança baseada em virtualização 340
Identificar máquinas virtuais habilitadas para VBS 341
13 Protegendo o vSphere Networking 342
Introdução ao vSphere Network Security 342
Protegendo a rede com firewalls 344
Firewalls para configurações com o vCenter Server 345
Conectando-se a vCenter Server por meio de um firewall 345
Conexão de hosts ESXi por meio de firewalls 346
Firewalls para configurações sem vCenter Server 346
Conectando-se ao console da máquina virtual por meio de um firewall 346
Proteja o switch físico 347
Protegendo portas de switch padrão com políticas de segurança 348
Protegendo vSphere Standard switches 349
Alterações de endereço MAC 350
Transmissões forjadas 350
Operação em modo promíscuo 351
Proteção de switch padrão e VLANs 351
Secure vSphere Distributed Switches e Distributed Port Groups 353
Protegendo máquinas virtuais com VLANs 354
Considerações de segurança para VLANs 355
VLANs seguras 356
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 10
Criando várias redes em um único ESXi host 356
Segurança de protocolo de internet 359
Listar associações de segurança disponíveis 359
Adicionar uma associação de segurança IPsec 359
Remover uma associação de segurança IPsec 361
Listar políticas de segurança IPsec disponíveis 361
Criar uma política de segurança IPSec 361
Remover uma política de segurança IPsec 362
Garanta a configuração adequada do SNMP 363
Práticas recomendadas de segurança de rede do vSphere 363
Recomendações gerais de segurança de rede 364
Rotulando componentes de rede 365
Documentar e verificar o ambiente de VLAN do vSphere 366
Adotando práticas de isolamento de rede 366
Use switches virtuais com o vSphere Network Appliance API somente se necessário 368
14 Práticas recomendadas que envolvem vários componentes do vSphere 370
Sincronizando relógios na rede vSphere 370
Sincronizar relógios ESXi com um servidor de horário de rede 371
Definindo as configurações de sincronização de horário em vCenter Server 372
Use VMware Ferramentas de Sincronização de Horário 372
Adicionar ou substituir servidores NTP na configuração do vCenter Server 373
Sincronizar a hora em vCenter Server com um servidor NTP 374
Práticas recomendadas de segurança de armazenamento 374
Protegendo o armazenamento iSCSI 375
Protegendo dispositivos iSCSI 375
Protegendo uma SAN iSCSI 375
Mascaramento e zoneamento de recursos SAN 376
Usando o Kerberos para NFS 4.1 377
Verifique se o envio de dados de desempenho do host para convidados está desativado 378
Definindo tempos limite para o ESXi Shell e o vSphere Client 379
15 Gerenciando a configuração do protocolo TLS com o utilitário TLS Configurator
381
Portas que suportam a desativação de versões TLS 381
Ativando ou desativando versões TLS no vSphere 382
Realizar um backup manual opcional 383
Ativar ou desativar versões TLS em vCenter Server sistemas 384
Ativar ou desativar versões TLS em ESXi hosts 384
Verifica vCenter Server em busca de protocolos TLS ativados 386
Reverter alterações de configuração do TLS 386
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 11
16 Privilégios definidos 388
Privilégios de alarmes 390
Implantação automática e privilégios de perfil de imagem 391
Privilégios de certificados 392
Privilégios de autoridade de certificação 392
Privilégios de gerenciamento de certificado 392
Privilégios Cns 393
Privilégios da biblioteca de conteúdo 393
Privilégios de operações criptográficas 396
Privilégios do grupo dvPort 398
Privilégios de switch distribuído 399
Privilégios do centro de dados 399
Privilégios do datastore 400
Privilégios de cluster do datastore 401
ESX Agent Manager Privilégios 402
Privilégios de extensão 402
Privilégios de provedor de estatísticas externas 403
Privilégios de pasta 403
Privilégios globais 403
Privilégios do provedor de atualização de integridade 405
Privilégios CIM do host 405
Privilégios de configuração do host 405
Inventário de hosts 406
Privilégios de operações locais do host 407
Privilégios de vSphere Replication host 408
Privilégios de perfil de host 408
vSphere with Tanzu Privileges 409
Privilégios de rede 409
Privilégios de desempenho 410
Privilégios de permissões 410
Privilégios de armazenamento orientados por perfil 411
Privilégios de recursos 411
Privilégios de tarefa agendada 412
Privilégios das sessões 413
Privilégios de visualizações de armazenamento 413
Privilégios de tarefas 414
Transferir privilégios de serviço 414
VcTrusts / VcIdentity Privileges 414
Privilégios de administrador de infraestrutura confiável 415
Privilégios do vApp 416
Privilégios de VcIdentityProviders 418
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 12
VMware vSphere Lifecycle Manager Privilégios de configuração 418
VMware vSphere Lifecycle Manager ESXi Privilégios de perspectiva de integridade 419
VMware vSphere Lifecycle Manager Privilégios gerais 419
VMware vSphere Lifecycle Manager Privilégios de compatibilidade de hardware 420
VMware vSphere Lifecycle Manager Privilégios de imagem 420
VMware vSphere Lifecycle Manager Privilégios de correção de imagem 421
VMware vSphere Lifecycle Manager Privilégios de configuração 422
VMware vSphere Lifecycle Manager Gerenciar privilégios de linha de base 422
VMware vSphere Lifecycle Manager Gerenciar Patches e Privilégios de Atualizações 423
VMware vSphere Lifecycle Manager Privilégios de arquivo de carregamento 424
Privilégios de configuração de máquina virtual 424
Privilégios de operações de convidado da máquina virtual 427
Privilégios de interação da máquina virtual 428
Privilégios de inventário de máquina virtual 431
Privilégios de provisionamento de máquina virtual 431
Privilégios de configuração do serviço de máquina virtual 433
Privilégios de gerenciamento de snapshot da máquina virtual 434
Privilégios de vSphere Replication máquina virtual 434
Privilégios de vServices 435
Privilégios de marcação do vSphere 435
vSphere Client Privilégios 436
17 Compreendendo o vSphere Hardening and Compliance 437
Segurança versus conformidade no ambiente vSphere 437
Understanding the vSphere Security Configuration Guide 440
Sobre o Instituto Nacional de Padrões e Tecnologia 443
Sobre DISA STIGs 443
Sobre o VMwareciclo de vida de desenvolvimento de segurança 444
Log de auditoria 444
Eventos de auditoria de logon único 445
Noções básicas sobre segurança e conformidade Próximas etapas 446
vCenter Server e FIPS 447
Módulos FIPS 447
Ativar e desativar FIPS no vCenter Server Appliance 448
Considerações ao usar FIPS 449
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 13
Sobre a segurança do vSphere
O Segurança do vSphere fornece informações sobre como proteger seu ambiente do vSphere® 
para o VMware® vCenter® Server e o VMware ESXi.
Em VMware, valorizamos a inclusão. Para promover esse princípio dentro de nossa comunidade 
de clientes, parceiros e interna, criamos conteúdo usando uma linguagem inclusiva.
Para ajudá-lo a proteger seu ambiente do vSphere, esta documentação descreve os recursos de 
segurança disponíveis e as medidas que você pode tomar para proteger seu ambiente contra 
ataques.
Tabela 1-1. Segurança do vSphere Destaques
Tópicos Destaques do conteúdo
Permissões e gerenciamento de usuários n Modelo de permissões (funções, grupos, objetos).
n Criando funções personalizadas.
n Configurando permissões.
n Gerenciando permissões globais.
Recursos de segurança do host n Modo de bloqueio e outros recursos de perfil de 
segurança.
n Autenticação de cartão inteligente do host.
n vSphere Authentication Proxy.
n UEFI Secure Boot.
n Trusted Platform Module (TPM).
n VMware® vSphere Trust Authority™.
n Configuração segura ESXi e selagem da configuração
Criptografia da máquina virtual n VMware vSphere® Chave nativa Provider™.
n Como funciona a criptografia da VM?
n Configuração do KMS.
n Criptografar e descriptografar VMs.
n Solução de problemas e práticas recomendadas.
Segurança do sistema operacional convidado n Virtual Trusted Platform Module (vTPM).
n Virtualization Based Security (VBS).
Gerenciando a configuração do protocolo TLS Alterar a configuração do protocolo TLS usando um 
utilitário de linha de comando.
VMware, Inc. Traduzido automaticamente 14
Tabela 1-1. Segurança do vSphere Destaques (continuação)
Tópicos Destaques do conteúdo
Boas práticas de segurança e reforço Práticas recomendadas e conselhos de VMware 
especialistas em segurança.
n Segurança do vCenter Server
n Segurança do host
n Segurança da máquina virtual
n Segurança de rede
Privilégios do vSphere Lista completa de todos os privilégios do vSphere com 
suporte nesta versão.
Documentação relacionada
Um documento complementar, Autenticação do vSphere , explica como você pode usar os 
serviços de autenticação, por exemplo, para gerenciar a autenticação com o vCenter Single 
Sign-On e para gerenciar certificados no seu ambiente do vSphere.
Além desses documentos, VMware publica o vSphere Security Configuration Guide 
(anteriormente conhecido como o Hardening Guide ) para cada versão do vSphere, acessível 
em https://core.vmware.com/security. O vSphere Security Configuration Guide contém diretrizes 
sobre configurações de segurança que podem ou devem ser definidas pelo cliente, e 
configurações de segurança fornecidas por VMware que devem ser auditadas pelo cliente para 
garantir que elas ainda estejam definidas como padrão .
O que aconteceu com o Platform Services Controller
A partir do vSphere 7.0, a implantação de um novo vCenter Server ou a atualização para 
o vCenter Server 7.0 requer o uso do dispositivo do vCenter Server, uma máquina virtual 
pré-configurada otimizada para executar o vCenter Server. O novo vCenter Server contém 
todos os serviços do Platform Services Controller, preservando a funcionalidade e os fluxos 
de trabalho, incluindo autenticação, gerenciamento de certificados, tags e licenciamento. Não é 
mais necessário nem possível implantar e usar um Platform Services Controller externo. Todos os 
serviços do Platform Services Controller são consolidados em vCenter Server, e a implantação e 
a administração são simplificadas.
Como esses serviços agora fazem parte de vCenter Server, eles não são mais descritos como 
parte de Platform Services Controller. No vSphere 7.0, a publicação Autenticação do vSphere 
substitui a publicação Administração do Platform Services Controller . A nova publicação 
contém informações completas sobre autenticação e gerenciamento de certificados. Para obter 
informações sobre como atualizar ou migrar de implantações do vSphere 6.5 e 6.7 usando 
um dispositivo externo existente do Platform Services Controller para o vSphere 7.0 usando o 
vCenter Server appliance, consulte a documentação do Upgrade do vSphere .
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 15
https://core.vmware.com/security
Público-alvo
Essas informações são para administradores de sistema experientes que estão familiarizados 
com a tecnologia de máquina virtual e operações de centro de dados.
Certificações
VMware publica uma lista pública de VMware produtos que concluíram as certificações 
de Critérios Comuns. Para verificar se uma determinada versão do produto VMware foi 
certificada, consulte a página da Web de avaliação e validação de critérios comuns em https://
www.vmware.com/security/certifications/common-criteria.html.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 16
https://www.vmware.com/security/certifications/common-criteria.html
https://www.vmware.com/security/certifications/common-criteria.html
Segurança no ambiente vSphere 1
Os componentes de um ambiente vSphere são protegidos por vários recursos, como 
autenticação, autorização, um firewall em cada ESXi host e assim por diante. Você pode 
modificar a configuração padrão de várias maneiras. Por exemplo, você pode definir permissões 
em objetos do vCenter, abrir portas de firewall ou alterar os certificados padrão. Você pode 
tomar medidas de segurança para diferentes objetos na hierarquia de objetos do vCenter, 
por exemplo, vCenter Server sistemas, ESXi hosts, máquinas virtuais e objetos de rede e 
armazenamento.
Uma visão geral de alto nível das diferentes áreas do vSphere que exigem atenção ajuda 
a planejar sua estratégia de segurança. Você também se beneficia de outros recursos de 
segurança do vSphere no site do VMware.
Este capítulo inclui os seguintes tópicos:
n Protegendo o ESXi hipervisor
n Protegendo vCenter Server sistemas e serviços associados
n Protegendo máquinas virtuais
n Protegendo a camada de rede virtual
n Senhas no seu ambiente vSphere
n Melhores práticas e recursos de segurança
Protegendo o ESXi hipervisor
O hipervisor ESXi é protegido imediatamente. Você pode proteger ainda mais os hosts do 
ESXi usando o modo de bloqueio e outros recursos integrados. Para consistência, você pode 
configurar um host de referência e manter todos os hosts em sincronia com o perfil do host de 
referência. Você também pode proteger seu ambiente executando o gerenciamento com script, 
o que garante que as alterações sejam aplicadas a todos os hosts.
Você pode melhorar a proteção de ESXi hosts gerenciados pelo vCenter Server com as 
seguintes ações. Consulte a Segurança do artigo técnico de VMware vSphere Hypervisor para 
obter informações sobre o histórico e os detalhes.
Limitar o acesso a ESXi
VMware, Inc. Traduzido automaticamente 17
Por padrão, os serviços ESXi Shell e SSH não estão em execução e apenas o usuário raiz 
pode fazer login na interface de usuário do console direto (DCUI). Se você decidir ativar 
o ESXi ou o acesso SSH, poderá definir tempos limite para limitar o risco de acesso não 
autorizado.
Os usuários que podem acessar o host ESXi devem ter permissões para gerenciar o host. 
Você define permissões no objeto de host do sistema vCenter Server que gerencia o host.
Usar usuários nomeados e privilégios mínimos
Por padrão, o usuário raiz pode realizar muitas tarefas. Não permitir que os administradores 
façam login no host ESXi usando a conta de usuário raiz. Em vez disso, crie usuários 
administradores nomeados a partir de vCenter Server e atribua a esses usuários a função 
de Administrador. Você também pode atribuir a essesusuários uma função personalizada. 
Consulte Criar uma função personalizada do vCenter Server.
Se você gerenciar usuários diretamente no host, as opções de gerenciamento de função 
serão limitadas. Consulte a documentação do vSphere Single Host Management - VMware 
Host Client .
Minimize o número de portas de firewall ESXi abertas
Por padrão, as portas de firewall no host ESXi são abertas apenas quando você inicia 
um serviço correspondente. Você pode usar os comandos vSphere Client ou ESXCLI ou 
PowerCLI para verificar e gerenciar o status da porta do firewall.
Consulte ESXi Configuração de firewall.
Automatizar o gerenciamento de ESXi host
Como muitas vezes é importante que hosts diferentes no mesmo centro de dados estejam 
sincronizados, use a instalação com script ou o vSphere Auto Deploy para provisionar hosts. 
Você pode gerenciar os hosts usando scripts. Os perfis de host são uma alternativa ao 
gerenciamento com script. Você configura um host de referência, exporta o perfil do host e 
aplica o perfil do host a todos os hosts. Você pode aplicar o perfil do host diretamente ou 
como parte do provisionamento com o Auto Deploy.
Consulte Usar scripts para gerenciar as definições de configuração do host e consulte a 
documentação do vCenter Server Instalação e configuração para obter informações sobre 
vSphere Auto Deploy.
Aproveite o modo de bloqueio
No modo de bloqueio, ESXi hosts podem ser acessados apenas por meio de vCenter Server 
por padrão. Você pode selecionar o modo de bloqueio estrito ou o modo de bloqueio 
normal. Você pode definir Usuários de exceção para permitir acesso direto a contas de 
serviço, como agentes de backup.
Consulte Modo de bloqueio.
Verifique a integridade do pacote VIB
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 18
Cada pacote VIB tem um nível de aceitação associado. Você pode adicionar um VIB a um 
host ESXi somente se o nível de aceitação do VIB for o mesmo ou melhor do que o nível 
de aceitação do host. Não é possível adicionar um VIB com suporte da comunidade ou com 
suporte por parceiro a um host, a menos que você altere explicitamente o nível de aceitação 
do host.
Consulte Gerenciar os níveis de aceitação de hosts e VIBs.
Gerenciar ESXi certificados
O VMware Certificate Authority (VMCA) provisiona cada host ESXi com um certificado 
assinado que tem o VMCA como a autoridade de certificação raiz por padrão. Se a política 
da sua empresa exigir, você poderá substituir os certificados existentes por certificados 
assinados por uma autoridade de certificação de terceiros ou corporativa.
Consulte Gerenciamento de certificados para ESXi hosts.
Considere a autenticação de cartão inteligente
O ESXi oferece suporte ao uso de autenticação de cartão inteligente em vez de autenticação 
de nome de usuário e senha. Para segurança adicional, você pode configurar a autenticação 
de cartão inteligente. A autenticação de dois fatores também é compatível com vCenter 
Server. Você pode configurar a autenticação de nome de usuário e senha e a autenticação 
de cartão inteligente ao mesmo tempo.
Consulte Configurando a autenticação de cartão inteligente para ESXi.
Considere o bloqueio de conta de ESXi
O bloqueio de conta tem suporte para acesso por meio de SSH e por meio do vSphere Web 
Services SDK. Por padrão, um máximo de 10 tentativas com falha é permitido antes que a 
conta seja bloqueada. A conta é desbloqueada após dois minutos por padrão.
Observação O Direct Console Interface (DCUI) e o ESXi Shell não oferecem suporte ao 
bloqueio de conta.
Consulte ESXi Senhas e bloqueio de conta.
As considerações de segurança para hosts autônomos são semelhantes, embora as tarefas 
de gerenciamento possam ser diferentes. Consulte a documentação do vSphere Single Host 
Management - VMware Host Client .
Protegendo vCenter Server sistemas e serviços associados
Seu sistema do vCenter Server e os serviços associados são protegidos por autenticação por 
meio de vCenter Single Sign-On e por autorização por meio do modelo de permissões vCenter 
Server. Você pode modificar o comportamento padrão e tomar medidas para limitar o acesso ao 
seu ambiente.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 19
Ao proteger seu ambiente do vSphere, considere que todos os serviços associados às instâncias 
do vCenter Server devem ser protegidos. Em alguns ambientes, você pode proteger várias 
instâncias de vCenter Server.
Reforçar todas as máquinas host do vCenter
A primeira etapa na proteção do ambiente do vCenter é proteger cada máquina na qual o 
vCenter Server ou um serviço associado é executado. Considerações semelhantes se aplicam 
a uma máquina física ou virtual. Sempre instale os patches de segurança mais recentes 
para o seu sistema operacional e siga as práticas recomendadas padrão da indústria para 
proteger a máquina host.
Saiba mais sobre o modelo de certificado do vCenter
Por padrão, o VMware Certificate Authority provisiona cada host ESXi e cada máquina no 
ambiente com um certificado assinado pelo VMCA. Se a política da sua empresa exigir, você 
poderá alterar o comportamento padrão. Consulte a documentação do Autenticação do 
vSphere para obter detalhes.
Para proteção adicional, remova explicitamente certificados expirados ou revogados e 
instalações com falha.
Configurar o vCenter Single Sign-On
vCenter Server e os serviços associados são protegidos pela estrutura de autenticação do 
vCenter Single Sign-On. Ao instalar o software pela primeira vez, você especifica uma senha 
para o administrador do domínio vCenter Single Sign-On, administrator@vsphere.local por 
padrão. Somente esse domínio está inicialmente disponível como uma fonte de identidade. 
Você pode adicionar um provedor de identidade externo, como o Microsoft Active Directory 
Federation Services (AD FS), para autenticação federada. Você pode adicionar outras fontes 
de identidade, Active Directory ou LDAP, e definir uma fonte de identidade padrão. Os 
usuários que podem se autenticar em uma dessas origens de identidade podem exibir 
objetos e executar tarefas se estiverem autorizados a fazê-lo. Consulte a documentação do 
Autenticação do vSphere para obter detalhes.
Atribuir funções a usuários ou grupos nomeados
Para obter um melhor registro em log, associe cada permissão que você concede a um 
objeto com um usuário ou grupo nomeado e uma função predefinida ou personalizada. O 
modelo de permissões do vSphere permite grande flexibilidade por meio de várias maneiras 
de autorizar usuários ou grupos. Consulte Entendendo a autorização no vSphere e Privilégios 
necessários para tarefas comuns.
Restrinja os privilégios de administrador e o uso da função de administrador. Se possível, não 
use o usuário administrador anônimo.
Configurar PTP ou NTP
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 20
Configure o PTP ou NTP para cada nó em seu ambiente. A infraestrutura de certificado 
requer um carimbo de data / hora preciso e não funciona corretamente se os nós estiverem 
fora de sincronia.
Consulte Sincronizando relógios na rede vSphere.
Protegendo máquinas virtuais
Para proteger suas máquinas virtuais, mantenha os sistemas operacionais convidados com 
patches e proteja seu ambiente da mesma forma que você protege sua máquina física. 
Considere desativar funcionalidades desnecessárias, minimizar o uso do console da máquina 
virtual e seguir outras práticas recomendadas.
Proteger o sistema operacional convidado
Para proteger seu sistema operacional convidado, certifique-se de que ele use os patches 
mais recentes e, se apropriado, os aplicativos anti-spyware e anti-malware. Consulte a 
documentação do fornecedor do sistema operacional convidado e, potencialmente, outras 
informações disponíveis em livros ou na Internet para esse sistema operacional.
Desativar funcionalidade desnecessária
Verifique se a funcionalidade desnecessária está desativada para minimizar os pontos 
de ataque em potencial. Muitos dos recursos que são usados com poucafrequência 
são desativados por padrão. Remova o hardware desnecessário e desative determinados 
recursos, como o sistema de arquivos host-guest (HGFS) ou copie e cole entre a máquina 
virtual e um console remoto.
Consulte Desativar funções desnecessárias dentro de máquinas virtuais.
Usar modelos e gerenciamento de scripts
Os modelos de máquina virtual permitem que você configure o sistema operacional para que 
ele atenda aos seus requisitos e crie outras VMs com as mesmas configurações.
Se você quiser alterar as configurações da máquina virtual após a implantação inicial, 
considere o uso de scripts, por exemplo, PowerCLI. Esta documentação explica como realizar 
tarefas usando a GUI. Considere o uso de scripts em vez da GUI para manter seu ambiente 
consistente. Em ambientes grandes, você pode agrupar máquinas virtuais em pastas para 
otimizar os scripts.
Para obter informações sobre modelos, consulte Usar modelos para implantar máquinas 
virtuais e a documentação do Administração da máquina virtual do vSphere . Para obter 
informações sobre PowerCLI, consulte a documentação do VMware PowerCLI.
Minimize o uso do console da máquina virtual
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 21
O console da máquina virtual fornece a mesma função para uma máquina virtual que um 
monitor em um servidor físico fornece. Os usuários com acesso a um console de máquina 
virtual têm acesso ao gerenciamento de energia da máquina virtual e aos controles de 
conectividade do dispositivo removível. Como resultado, o acesso ao console da máquina 
virtual pode permitir um ataque mal-intencionado em uma máquina virtual.
Considere a inicialização segura da UEFI
Você pode configurar sua máquina virtual para usar a inicialização UEFI. Se o sistema 
operacional oferecer suporte à inicialização segura da UEFI, você poderá selecionar essa 
opção para suas VMs para segurança adicional. Consulte Ativar ou desativar a inicialização 
segura do UEFI para uma máquina virtual.
Considere a Carbon carga de trabalho da nuvem negra
Você pode instalar e usar o Carbon Black Cloud Workload para identificar riscos, evitar 
ataques e detectar atividades incomuns. Com a funcionalidade AppDefense integrada à 
plataforma Carbon Black Cloud, a Carbon Black Cloud Workload é o produto sucessor do 
AppDefense.
Protegendo a camada de rede virtual
A camada de rede virtual inclui adaptadores de rede virtual, switches virtuais, switches virtuais 
distribuídos e portas e grupos de portas. O ESXi depende da camada de rede virtual para 
oferecer suporte à comunicação entre as VMs e seus usuários. Além disso, o ESXi usa a camada 
de rede virtual para se comunicar com SANs iSCSI, armazenamento NAS e assim por diante.
O vSphere inclui a matriz completa de recursos necessários para uma infraestrutura de rede 
segura. Você pode proteger cada elemento da infraestrutura, como switches virtuais, switches 
virtuais distribuídos e adaptadores de rede virtual, separadamente. Além disso, considere 
as seguintes diretrizes, discutidas em mais detalhes em Capítulo 13 Protegendo o vSphere 
Networking.
Isolar o tráfego de rede
O isolamento do tráfego de rede é essencial para um ambiente ESXi seguro. Redes diferentes 
exigem acesso e nível de isolamento diferentes. Uma rede de gerenciamento isola o tráfego 
de cliente, a interface de linha de comando (CLI) ou o tráfego de API e o tráfego de software 
de terceiros do tráfego normal. Certifique-se de que a rede de gerenciamento seja acessível 
apenas por administradores de sistema, rede e segurança.
Consulte ESXi Recomendações de segurança de rede.
Use firewalls para proteger elementos de rede virtual
Você pode abrir e fechar portas de firewall e proteger cada elemento na rede virtual 
separadamente. Para hosts ESXi, as regras de firewall associam serviços aos firewalls 
correspondentes e podem abrir e fechar o firewall de acordo com o status do serviço.
Você também pode abrir portas em instâncias de vCenter Server explicitamente.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 22
Para obter a lista de todas as portas e protocolos compatíveis em VMware produtos, 
incluindo vSphere e vSAN, consulte o VMware Ports and Protocols Tool™ em https://
ports.vmware.com/. Você pode pesquisar portas por VMware produto, criar uma lista 
personalizada de portas e imprimir ou salvar listas de portas.
Considere as políticas de segurança de rede
As políticas de segurança de rede fornecem proteção de tráfego contra a representação de 
endereço MAC e a verificação de porta indesejada. A política de segurança de um switch 
padrão ou distribuído é implementada na Camada 2 (Camada de Link de Dados) da pilha de 
protocolos de rede. Os três elementos da política de segurança são o modo promíscuo, as 
alterações de endereço MAC e as transmissões forjadas.
Consulte a documentação do Rede do vSphere para obter instruções.
Rede de VM segura
Os métodos que você usa para proteger a rede da VM dependem de vários fatores, 
incluindo:
n O sistema operacional convidado que está instalado
n Se as VMs operam em um ambiente confiável
Os switches virtuais e os switches virtuais distribuídos fornecem proteção significativa 
quando usados com outras práticas de segurança comuns, como a instalação de firewalls.
Consulte Capítulo 13 Protegendo o vSphere Networking.
Considere VLANs para proteger seu ambiente
O ESXi é compatível com VLANs IEEE 802.1q. As VLANs permitem que você segmente uma 
rede física. Você pode usar VLANs para proteger ainda mais a rede da VM ou a configuração 
de armazenamento. Quando você usa VLANs, duas VMs na mesma rede física não podem 
enviar ou receber pacotes uma da outra, a menos que estejam na mesma VLAN.
Consulte Protegendo máquinas virtuais com VLANs.
Conexões seguras com o armazenamento virtualizado
Uma VM armazena arquivos do sistema operacional, arquivos de aplicativos e outros dados 
em um disco virtual. Cada disco virtual aparece para a VM como uma unidade SCSI que está 
conectada a um controlador SCSI. Uma VM é isolada dos detalhes de armazenamento e não 
pode acessar as informações sobre o LUN em que seu disco virtual reside.
O Virtual Machine File System (VMFS) é um sistema de arquivos distribuído e gerenciador 
de volume que apresenta volumes virtuais ao host ESXi. Você é responsável por proteger 
a conexão com o armazenamento. Por exemplo, se você estiver usando o armazenamento 
iSCSI, poderá configurar seu ambiente para usar o CHAP. Se exigido pela política da empresa, 
você pode configurar o CHAP mútuo. Use o vSphere Client ou CLIs para configurar o CHAP.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 23
https://ports.vmware.com/
https://ports.vmware.com/
Consulte Práticas recomendadas de segurança de armazenamento.
Avalie o uso do IPSec
O ESXi oferece suporte a IPSec sobre IPv6. Não é possível usar IPSec sobre IPv4.
Consulte Segurança de protocolo de internet.
Além disso, avalie se VMware NSX for vSphere é uma boa solução para proteger a camada de 
rede em seu ambiente.
Senhas no seu ambiente vSphere
Restrições de senha, expiração de senha e bloqueio de conta no seu ambiente do vSphere 
dependem do sistema que o usuário se destina, quem é o usuário e como as políticas são 
definidas.
ESXi Senhas
As restrições de senha de ESXi são determinadas por certos requisitos. Consulte ESXi Senhas e 
bloqueio de conta.
Senhas para vCenter Server e outros serviços do vCenter
O vCenter Single Sign-On gerencia a autenticação para todos os usuários que fazem login no 
vCenter Server e em outros serviços do vCenter. As restrições de senha, expiração de senha e 
bloqueio de conta dependem do domínio do usuário e de quem o usuário é.
Administrador do vCenter Single Sign-On
A senha para o usuário administrator@vsphere.local ou o usuário administrator @ mydomain 
se você tiver selecionado um domínio diferente durante a instalação, não expira e não está 
sujeita à política de bloqueio. Em todos os outros aspectos, a senha deve seguir as restriçõesdefinidas na política de senha do vCenter Single Sign-On. Consulte Autenticação do vSphere 
para obter mais detalhes.
Se você esquecer a senha deste usuário, pesquise o sistema da Base de Dados de 
Conhecimento do VMware para obter informações sobre como redefinir essa senha. A 
redefinição requer privilégios adicionais, como acesso raiz ao sistema vCenter Server.
Outros usuários do domínio vCenter Single Sign-On
As senhas para outros usuários vsphere.local, ou usuários do domínio que você especificou 
durante a instalação, devem seguir as restrições definidas pela política de senha e de 
bloqueio do vCenter Single Sign-On. Consulte Autenticação do vSphere para obter mais 
detalhes. Essas senhas expiram após 90 dias por padrão. Os administradores podem alterar 
a expiração como parte da política de senha.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 24
Se você esquecer a senha do vsphere.local, um usuário administrador poderá redefinir a 
senha usando o comando dir-cli.
Outros usuários
Restrições de senha, expiração de senha e bloqueio de conta para todos os outros usuários 
são determinados pelo domínio (origem da identidade) no qual o usuário pode se autenticar.
vCenter Single Sign-On oferece suporte a uma fonte de identidade padrão. Os usuários 
podem fazer login no domínio correspondente com o vSphere Client com seus nomes de 
usuário. Se os usuários quiserem fazer login em um domínio não padrão, eles poderão incluir 
o nome do domínio, ou seja, especificar usuário @ domínio ou domínio \\} usuário . Os 
parâmetros de senha de domínio se aplicam a cada domínio.
Senhas para vCenter Server usuários da interface de usuário do 
console direto
O appliance do vCenter Server é uma máquina virtual pré-configurada otimizada para executar o 
vCenter Server e os serviços associados.
Ao implantar o vCenter Server, você especifica essas senhas.
n Senha para o usuário raiz
n Senha para o administrador do domínio vCenter Single Sign-On, administrator@vsphere.local 
por padrão.
Você pode alterar a senha do usuário raiz e realizar outras vCenter Server tarefas de 
gerenciamento de usuário local na interface de gerenciamento do vCenter Server. Consulte o 
vCenter Server Configuração .
Melhores práticas e recursos de segurança
Se você seguir as práticas recomendadas, seu ESXi e vCenter Server podem ser tão seguros 
quanto ou até mais seguros do que um ambiente que não inclui a virtualização.
Este manual inclui práticas recomendadas para os diferentes componentes da sua infraestrutura 
do vSphere.
Tabela 1-1. Práticas recomendadas de segurança
Componente vSphere Recurso
ESXi host Capítulo 3 Protegendo ESXi hosts
vCenter Server sistema vCenter Server Práticas recomendadas de segurança
Máquina virtual Práticas recomendadas de segurança de máquina virtual
Rede do vSphere Práticas recomendadas de segurança de rede do vSphere
Este manual é apenas uma das fontes que você deve usar para garantir um ambiente seguro.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 25
VMware recursos de segurança, incluindo alertas de segurança e downloads, estão disponíveis 
na web.
Tabela 1-2. VMware Recursos de segurança na web
Tópico Recurso
Informações sobre ESXi e vCenter 
Server segurança e operações, incluindo 
configuração segura e segurança de 
hipervisor.
https://core.vmware.com/security
VMware política de segurança, alertas 
de segurança atualizados, downloads de 
segurança e discussões de foco de tópicos de 
segurança.
http://www.vmware.com/go/security
Política de resposta de segurança corporativa http://www.vmware.com/support/policies/security_response.html
VMware está empenhada em ajudá-lo a manter um ambiente 
seguro. Os problemas de segurança são corrigidos em tempo 
hábil. A VMware Política de Resposta de Segurança declara nosso 
compromisso em resolver possíveis vulnerabilidades em nossos 
produtos.
Política de suporte a software de terceiros http://www.vmware.com/support/policies/
O VMware oferece suporte a uma variedade de sistemas de 
armazenamento, agentes de software, como agentes de backup, 
agentes de gerenciamento de sistema e assim por diante. Você 
pode encontrar listas de agentes, ferramentas e outros softwares 
que ofereçam suporte a ESXi pesquisando http://www.vmware.com/
vmtn/resources/ ESXi guias de compatibilidade.
A indústria oferece mais produtos e configurações do que a VMware 
pode testar. Se VMware não listar um produto ou configuração em 
um guia de compatibilidade, o suporte técnico tentará ajudá-lo com 
qualquer problema, mas não poderá garantir que o produto ou a 
configuração possa ser usado. Sempre avalie os riscos de segurança 
para produtos ou configurações sem suporte com cuidado.
Padrões de conformidade e segurança, 
soluções de parceiros e conteúdo detalhado 
sobre virtualização e conformidade
https://core.vmware.com/compliance
Informações sobre certificações e validações 
de segurança, como CCEVS e FIPS, para 
diferentes versões dos componentes do 
vSphere.
https://www.vmware.com/support/support-resources/
certifications.html
Guias de configuração de segurança 
(anteriormente conhecidos como guias de 
reforço) para diferentes versões do vSphere 
e outros VMware produtos.
https://core.vmware.com/security
Segurança do artigo técnico de VMware 
vSphere Hypervisor 
http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-
hyprvsr-uslet-101.pdf
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 26
https://core.vmware.com/security
http://www.vmware.com/go/security
http://www.vmware.com/support/policies/security_response.html
http://www.vmware.com/support/policies/
http://www.vmware.com/vmtn/resources/
http://www.vmware.com/vmtn/resources/
https://core.vmware.com/compliance
https://www.vmware.com/support/support-resources/certifications.html
https://www.vmware.com/support/support-resources/certifications.html
https://core.vmware.com/security
http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsr-uslet-101.pdf
http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsr-uslet-101.pdf
Permissões do vSphere e tarefas 
de gerenciamento de usuários 2
A autenticação e a autorização governam o acesso. O vCenter Single Sign-On oferece suporte 
à autenticação, o que significa que determina se um usuário pode fazer login nos componentes 
do vSphere. Cada usuário também deve ter autorização para visualizar ou manipular objetos do 
vSphere.
O vSphere oferece suporte a vários mecanismos de autorização diferentes, discutidos em 
Entendendo a autorização no vSphere. Esta seção se concentra em como o modelo de 
permissão do vCenter Server funciona e como realizar tarefas de gerenciamento de usuários.
O vCenter Server permite um controle refinado sobre a autorização com permissões e funções. 
Ao atribuir uma permissão a um objeto na hierarquia de objetos vCenter Server, você especifica 
qual usuário ou grupo tem quais privilégios nesse objeto. Para especificar os privilégios, use 
funções, que são conjuntos de privilégios.
Inicialmente, apenas o usuário administrador do domínio vCenter Single Sign-On está autorizado 
a fazer login no sistema do vCenter Server. O domínio padrão é vsphere.local e o administrador 
padrão é administrator@vsphere.local. Você pode alterar o domínio padrão durante a instalação 
do vSphere.
O usuário administrador pode proceder da seguinte maneira:
1 Adicione uma origem de identidade na qual os usuários e grupos são definidos para vCenter 
Single Sign-On. Consulte a documentação do Autenticação do vSphere .
2 Conceda privilégios a um usuário ou grupo selecionando um objeto, como uma máquina 
virtual ou um sistema do vCenter Server, e atribuindo uma função nesse objeto para o 
usuário ou grupo.
Atribuição de funções e permissões usando o vSphere Client 
(http://link.brightcove.com/services/player/bcpid2296383276001?
bctid=ref:video_vsphere7_roles)
Este capítulo inclui os seguintes tópicos:
n Entendendo a autorização no vSphere
n Gerenciando permissões paracomponentes do vCenter
n Permissões globais
n Usando funções para atribuir privilégios
VMware, Inc. Traduzido automaticamente 27
http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere7_roles
http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere7_roles
n Práticas recomendadas para funções e permissões
n Privilégios necessários para tarefas comuns
Entendendo a autorização no vSphere
O vSphere oferece suporte a vários modelos para determinar se um usuário tem permissão para 
realizar uma tarefa. A associação de grupo em um grupo do vCenter Single Sign-On decide o que 
você tem permissão para fazer. Sua função em um objeto ou sua permissão global determina se 
você tem permissão para realizar outras tarefas.
Visão geral da autorização
O vSphere permite que usuários com privilégios concedam a outros usuários permissões para 
realizar tarefas. Você pode usar permissões globais ou pode usar permissões locais do vCenter 
Server para autorizar outros usuários para instâncias individuais do vCenter Server.
A figura a seguir ilustra como as permissões globais e locais funcionam.
Figura 2-1. Permissões globais e permissões locais
Global Permission 
Root Object
vCenter Server 1 
Root Folder
vCenter Server 2 
Root Folder
1
2
3
Nesta figura:
1 Você atribui uma permissão global no nível do objeto raiz com "Propagar para filhos" 
selecionado.
2 vCenter Server propaga as permissões para as hierarquias de objeto vCenter Server 1 e 
vCenter Server 2 no ambiente.
3 Uma permissão local na pasta raiz em vCenter Server 2 substitui a permissão global.
Permissões de vCenter Server
O modelo de permissão para sistemas vCenter Server depende da atribuição de permissões 
a objetos na hierarquia de objetos. Os usuários obtêm permissões das seguintes maneiras.
n De uma permissão específica para o usuário ou dos grupos dos quais o usuário é membro
n De uma permissão no objeto ou por meio da herança de permissão de um objeto pai
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 28
Cada permissão concede a um usuário ou grupo um conjunto de privilégios, ou seja, 
uma função para um objeto selecionado. Você pode usar o vSphere Client para adicionar 
permissões. Por exemplo, você pode clicar com o botão direito do mouse em uma máquina 
virtual, selecionar Adicionar permissão (Add Permission) e preencher a caixa de diálogo 
para atribuir uma função a um grupo de usuários. Essa função concede a esses usuários os 
privilégios correspondentes na máquina virtual.
Figura 2-2. Adicionando permissões a uma máquina virtual usando o vSphere Client
Permissões globais
As permissões globais dão a um usuário ou grupo privilégios para exibir ou gerenciar todos 
os objetos em cada uma das hierarquias de inventário das soluções na implantação. Ou 
seja, as permissões globais são aplicadas a um objeto raiz global que abrange hierarquias 
de inventário de solução. (As soluções incluem vCenter Server, vRealize Orchestrator e 
assim por diante.) Permissões globais também se aplicam a objetos globais, como tags e 
bibliotecas de conteúdo. Por exemplo, considere uma implantação que consiste em duas 
soluções, vCenter Server e vRealize Orchestrator. Você pode usar permissões globais para 
atribuir uma função a um grupo de usuários que tenha privilégios somente leitura para todos 
os objetos nas hierarquias de objeto vCenter Server e vRealize Orchestrator.
As permissões globais são replicadas no domínio vCenter Single Sign-On (vsphere.local por 
padrão). As permissões globais não fornecem autorização para serviços gerenciados por 
meio dos grupos de domínio do vCenter Single Sign-On. Consulte Permissões globais.
Associação de grupo em vCenter Single Sign-On grupos
Os membros de um grupo de domínio vCenter Single Sign-On podem realizar determinadas 
tarefas. Por exemplo, você pode executar o gerenciamento de licenças se for um membro 
do grupo LicenseService.Administrators. Consulte a documentação do Autenticação do 
vSphere .
ESXi Permissões de host local
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 29
Se você estiver gerenciando um host ESXi autônomo que não é gerenciado por um sistema 
do vCenter Server, poderá atribuir uma das funções predefinidas aos usuários. Consulte a 
documentação do vSphere Single Host Management - VMware Host Client .
Para hosts gerenciados, atribua funções ao objeto de host ESXi no inventário do vCenter 
Server.
Compreendendo o modelo de permissão de nível de objeto
Você autoriza um usuário ou grupo a realizar tarefas em objetos vCenter Server usando 
permissões no objeto. Do ponto de vista programático, quando um usuário tenta realizar uma 
operação, um método de API é executado. vCenter Server verifica as permissões para esse 
método para ver se o usuário está autorizado a realizar a operação. Por exemplo, quando um 
usuário tenta adicionar um host, o método AddStandaloneHost_Task(addStandaloneHost) é 
chamado. Este método requer que a função para o usuário tenha o privilégio Host . Inventário . 
Adicionar host autônomo . Se a verificação não encontrar esse privilégio, o usuário terá a 
permissão negada para adicionar o host.
Os seguintes conceitos são importantes.
Permissões
Cada objeto na hierarquia de objetos vCenter Server tem permissões associadas. Cada 
permissão especifica para um grupo ou usuário quais privilégios esse grupo ou usuário tem 
no objeto. As permissões podem se propagar para objetos herdeiros.
Usuários e Grupos
Em sistemas do vCenter Server, você pode atribuir privilégios apenas a usuários autenticados 
ou grupos de usuários autenticados. Os usuários são autenticados por meio do vCenter 
Single Sign-On. Os usuários e os grupos devem ser definidos na origem da identidade que o 
vCenter Single Sign-On usa para autenticar. Defina usuários e grupos usando as ferramentas 
na sua origem de identidade, por exemplo, Active Directory.
Privilégios
Privilégios são controles de acesso refinados. Você pode agrupar esses privilégios em 
funções, que podem ser mapeadas para usuários ou grupos.
Funções
As funções são conjuntos de privilégios. As funções permitem que você atribua permissões 
em um objeto com base em um conjunto típico de tarefas que os usuários executam. As 
funções do sistema, como Administrador, são predefinidas em vCenter Server e não podem 
ser alteradas. O vCenter Server também fornece algumas funções de amostra padrão, como 
Administrador do Pool de Recursos, que você pode modificar. Você pode criar funções 
personalizadas do zero ou clonando e modificando funções de amostra. Consulte Criar uma 
função personalizada do vCenter Server.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 30
A figura a seguir ilustra como uma permissão é construída a partir de privilégios e funções e 
atribuída a um usuário ou grupo para um objeto do vSphere.
Figura 2-3. Permissões do vSphere
Permission
vSphere object
User or group
Role
Privilege
Privilege
Privilege
Privilege
Para atribuir permissões a um objeto, siga estas etapas:
1 Selecione o objeto ao qual você deseja aplicar a permissão na hierarquia de objetos vCenter 
Server.
2 Selecione o grupo ou usuário que deve ter privilégios no objeto.
3 Selecione privilégios individuais ou uma função, que é um conjunto de privilégios, que o 
grupo ou usuário deve ter no objeto.
Por padrão, a opção Propagar para filhos não está selecionada. Você deve marcar a caixa 
de seleção para que o grupo ou usuário tenha a função selecionada no objeto selecionado e 
seus objetos herdeiros.
O vCenter Server oferece funções de amostra, que combinam conjuntos de privilégios usados 
com frequência. Você também pode criar funções personalizadas combinando um conjunto de 
funções.
As permissões geralmente devem ser definidas em um objeto de origem e um objeto de destino. 
Por exemplo, se você mover uma máquina virtual, precisará de privilégios nessa máquina virtual, 
mas também de privilégios no centro de dados de destino.Consulte as seguintes informações.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 31
Para saber mais sobre ... Consulte…
Criando funções personalizadas. Criar uma função personalizada do vCenter Server
Todos os privilégios e os objetos aos quais você pode 
aplicar os privilégios
Capítulo 16 Privilégios definidos
Conjuntos de privilégios que são necessários em 
diferentes objetos para diferentes tarefas.
Privilégios necessários para tarefas comuns
O modelo de permissões para hosts ESXi autônomos é mais simples. Consulte Atribuindo 
privilégios para ESXi hosts.
vCenter Server Validação do usuário
Os sistemas vCenter Server que usam um serviço de diretório regularmente validam usuários 
e grupos em relação ao domínio de diretório do usuário. A validação ocorre em intervalos 
regulares especificados nas configurações de vCenter Server. Por exemplo, suponha que o 
usuário Smith tenha atribuído uma função em vários objetos. O administrador do domínio altera o 
nome para Smith2. O host conclui que Smith não existe mais e remove as permissões associadas 
a esse usuário dos objetos do vSphere quando ocorre a próxima validação.
Da mesma forma, se o usuário Smith for removido do domínio, todas as permissões associadas a 
esse usuário serão removidas quando a próxima validação ocorrer. Se um novo usuário Smith for 
adicionado ao domínio antes que a próxima validação ocorra, o novo usuário Smith substituirá o 
antigo usuário Smith em permissões em qualquer objeto.
Herança hierárquica de permissões
Ao atribuir uma permissão a um objeto, você pode escolher se a permissão se propaga para 
baixo na hierarquia do objeto. Você define a propagação para cada permissão. A propagação 
não é aplicada universalmente. As permissões definidas para um objeto filho sempre substituem 
as permissões que são propagadas de objetos pai.
A figura a seguir ilustra a hierarquia do inventário e os caminhos pelos quais as permissões 
podem ser propagadas.
Observação Permissões globais oferecem suporte à atribuição de privilégios em soluções de 
um objeto raiz global. Consulte Permissões globais.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 32
Figura 2-4. Hierarquia de inventário do vSphere
template host VDS datastore
cluster
vApp
vApp
vApp
virtual
machine
virtual
machine
resource
pool
resource
pool
virtual
machine
virtual
machine
resource
pool
standard
switch
datastore
cluster
distributed
port group
VM folder host folder
data center
vCenter Server
(vCenter Server instance level) 
network
folder
storage 
folder
data center
folder
top level object 
(global permission level)
content library
Sobre esta figura:
n Você não pode definir permissões diretas na VM, no host, na rede e nas pastas de 
armazenamento. Ou seja, essas pastas agem como contêineres e, como tal, não são visíveis 
para os usuários.
n Você não pode definir permissões em switches padrão.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 33
A maioria dos objetos de inventário herda permissões de um único objeto pai na hierarquia. 
Por exemplo, um armazenamento de dados herda permissões de sua pasta de armazenamento 
de dados principal ou do centro de dados principal. As máquinas virtuais herdam permissões 
da pasta da máquina virtual principal e do host, cluster ou pool de recursos principal 
simultaneamente.
Por exemplo, você pode definir permissões para um switch distribuído e seus grupos de portas 
distribuídas associados, definindo permissões em um objeto pai, como uma pasta ou um centro 
de dados. Você também deve selecionar a opção para propagar essas permissões para objetos 
herdeiros.
As permissões assumem várias formas na hierarquia:
Entidades gerenciadas
Entidades gerenciadas referem-se aos seguintes objetos do vSphere. Entidades gerenciadas 
oferecem operações específicas que variam dependendo do tipo de entidade. Os usuários 
privilegiados podem definir permissões em entidades gerenciadas. Consulte a documentação 
do vSphere API para obter mais informações sobre objetos, propriedades e métodos do 
vSphere.
n Clusters
n Centros de dados
n Repositórios de dados
n Clusters de armazenamento de dados
n Pastas
n Hosts
n Redes (exceto vSphere Distributed Switches)
n Grupos de portas distribuídas
n Pools de recursos
n Modelos
n Máquinas virtuais
n vSphere vApps
Entidades globais
Você não pode modificar permissões em entidades que derivam permissões do sistema 
vCenter Server raiz.
n Campos personalizados
n Licenças
n Funções
n Intervalos estatísticos
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 34
n Sessões
Várias configurações de permissão
Os objetos podem ter várias permissões, mas apenas uma permissão para cada usuário 
ou grupo. Por exemplo, uma permissão pode especificar que GroupAdmin tem a função 
de Administrador em um objeto. Outra permissão pode especificar que o GroupVMAdmin 
tem a função de Administrador de Máquina Virtual no mesmo objeto. No entanto, o grupo 
GroupVMAdmin não pode ter outra permissão para o mesmo GroupVMAdmin neste objeto.
Um objeto filho herda as permissões de seu pai se a propriedade de propagação do pai 
estiver definida como true. Uma permissão definida diretamente em um objeto filho substitui 
a permissão no objeto pai. Consulte Exemplo 2: permissões herdeiras substituindo as permissões 
principais.
Se várias funções de grupo forem definidas no mesmo objeto, e um usuário pertencer a dois ou 
mais desses grupos, duas situações serão possíveis:
n Nenhuma permissão para o usuário é definida diretamente no objeto. Nesse caso, o usuário 
obtém a união das permissões que os grupos têm no objeto.
n Uma permissão para o usuário é definida diretamente no objeto. Nesse caso, as permissões 
para o usuário têm precedência sobre todas as permissões de grupo.
Exemplo 1: Herança de permissão de vários grupos
Este exemplo ilustra como um objeto pode herdar várias permissões de grupos que têm 
permissão em um objeto pai.
Neste exemplo, duas permissões são atribuídas no mesmo objeto para dois grupos diferentes.
n PowerOnVMRole pode ligar máquinas virtuais.
n O SnapShotRole pode tirar snapshots de máquinas virtuais.
n O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM, com a permissão definida 
para propagar para objetos herdeiros.
n O SnapShotGroup recebe o SnapShotRole na pasta da VM, com a permissão definida para 
propagar para objetos herdeiros.
n O usuário 1 não tem privilégios específicos atribuídos.
O usuário 1, que pertence ao PowerOnVMGroup e ao SnapShotGroup, faz login. O usuário 1 pode 
ligar e tirar snapshots da VM A e da VM B.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 35
Figura 2-5. Exemplo 1: Herança de permissão de vários grupos
PowerOnVMGroup + PowerOnVMRole
SnapShotGroup + SnapShotRole
VM Folder
VM A
User 1 has privileges
of PowerOnVMRole
and SnapShotRole
VM B
Exemplo 2: permissões herdeiras substituindo as permissões principais
Este exemplo ilustra como as permissões atribuídas a um objeto filho podem substituir as 
permissões atribuídas a um objeto pai. Você pode usar esse comportamento de substituição 
para restringir o acesso do usuário a áreas específicas do inventário.
Neste exemplo, as permissões são definidas em dois objetos diferentes para dois grupos 
diferentes.
n PowerOnVMRole pode ligar máquinas virtuais.
n O SnapShotRole pode tirar snapshots de máquinas virtuais.
n O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM, com a permissão definida 
para propagar para objetos herdeiros.
n O SnapShotGroup recebe o SnapShotRole na VM B.
O usuário 1, que pertence ao PowerOnVMGroup e ao SnapShotGroup, faz login. Como o 
SnapShotRole é atribuído em um ponto inferior na hierarquia do que o PowerOnVMRole, ele 
substitui o PowerOnVMRole na VM B. O usuário 1 pode ligar a VM A, mas não pode tirar 
snapshots. O usuário 1 pode tirar snapshots da VM B, mas não pode ligá-la.
Figura 2-6. Exemplo 2: permissões herdeiras substituindo as permissões principaisPowerOnVMGroup + PowerOnVMRole
SnapShotGroup + SnapShotRole
VM Folder
VM A User 1 has privilegesof PowerOnVMRole only
VM B User 1 has privilegesof SnapShotRole only
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 36
Exemplo 3: função do usuário substituindo a função do grupo
Este exemplo ilustra como a função atribuída diretamente a um usuário individual substitui os 
privilégios associados a uma função atribuída a um grupo.
Neste exemplo, as permissões são definidas no mesmo objeto. Uma permissão associa um grupo 
a uma função, a outra permissão associa um usuário individual a uma função. O usuário é um 
membro do grupo.
n PowerOnVMRole pode ligar máquinas virtuais.
n O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM.
n O usuário 1 recebe a função NoAccess na pasta da VM.
O usuário 1, que pertence ao PowerOnVMGroup, faz login. A função NoAccess concedida ao 
Usuário 1 na pasta da VM substitui a função atribuída ao grupo. O usuário 1 não tem acesso à 
pasta da VM ou às VMs A e B. As VMs A e B não são visíveis na hierarquia para o usuário 1.
Figura 2-7. Exemplo 3: permissões de usuário substituindo permissões de grupo
PowerOnVMGroup + PowerOnVMRole
User 1 + no access
VM Folder
VM A
User 1 has no access
to the folder 
or the virtual machines
VM B
Gerenciando permissões para componentes do vCenter
Uma permissão é definida em um objeto na hierarquia de objetos do vCenter. Cada permissão 
associa o objeto a um grupo ou usuário e à função de acesso do grupo ou do usuário. Por 
exemplo, você pode selecionar um objeto de máquina virtual, adicionar uma permissão que 
concede a função ReadOnly ao Grupo 1 e adicionar uma segunda permissão que concede a 
função Administrador ao Usuário 2.
Ao atribuir uma função diferente a um grupo de usuários em objetos diferentes, você controla 
as tarefas que esses usuários podem realizar no seu ambiente do vSphere. Por exemplo, para 
permitir que um grupo configure a memória para o host, selecione esse host e adicione uma 
permissão que conceda uma função a esse grupo que inclui a Configuração do . host . Privilégio 
de configuração de memória .
Para obter informações conceituais sobre permissões, consulte a discussão em Compreendendo 
o modelo de permissão de nível de objeto.
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 37
Você pode atribuir permissões a objetos em diferentes níveis da hierarquia, por exemplo, você 
pode atribuir permissões a um objeto de host ou a um objeto de pasta que inclui todos 
os objetos de host. Consulte Herança hierárquica de permissões. Você também pode atribuir 
permissões de propagação a um objeto raiz global para aplicar as permissões a todos os objetos 
em todas as soluções. Consulte Permissões globais.
Adicionar uma permissão a um objeto de inventário
Depois de criar usuários e grupos e definir funções, você deve atribuir os usuários e grupos e 
suas funções aos objetos de inventário relevantes. Você pode atribuir as mesmas permissões de 
propagação a vários objetos simultaneamente movendo os objetos para uma pasta e definindo 
as permissões na pasta.
Quando você atribui permissões, os nomes de usuário e de grupo devem corresponder 
exatamente a Active Directory, incluindo maiúsculas e minúsculas. Se você tiver atualizado de 
versões anteriores do vSphere, verifique se há inconsistências entre maiúsculas e minúsculas se 
tiver problemas com grupos.
Pré-requisitos
No objeto cujas permissões você deseja modificar, você deve ter uma função que inclua o 
privilégio de permissão Permissões . Modificar .
Procedimentos
1 Navegue até o objeto para o qual você deseja atribuir permissões no navegador de objetos 
vSphere Client.
2 Clique na guia Permissions (Permissions).
3 Clique em Adicionar(Add).
4 (Opcional) Se você tiver configurado um provedor de identidade externo para autenticação 
federada, o domínio desse provedor de identidade estará disponível para seleção no menu 
suspenso Domínio (Domain).
5 Selecione o usuário ou grupo que terá os privilégios definidos pela função selecionada.
a No menu suspenso Domínio (Domain), selecione o domínio para o usuário ou grupo.
b Digite um nome na caixa Pesquisar.
O sistema pesquisa nomes de usuário e nomes de grupo.
c Selecione o usuário ou o grupo.
6 Selecione uma função no menu suspenso Função (Role).
7 (Opcional) Para propagar as permissões, marque a caixa de seleção Propagar para filhos 
(Propagate to children).
A função é aplicada ao objeto selecionado e se propaga para os objetos herdeiros.
8 Clique em Okey(OK).
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 38
Alterar ou remover permissões
Depois que um par de usuário ou grupo e função é definido para um objeto de inventário, 
você pode alterar a função emparelhada com o usuário ou grupo ou alterar a configuração da 
caixa de seleção Propagar para filhos (Propagate to children). Você também pode remover a 
configuração de permissão.
Procedimentos
1 Navegue até o objeto no navegador de objetos vSphere Client.
2 Clique na guia Permissions (Permissions).
3 Clique em uma linha para selecionar uma permissão.
Tarefa Etapas
Alterar permissões a Clique no ícone Change Role (Change Role).
b Selecione uma função para o usuário ou grupo no menu suspenso 
Função (Role).
c Alterne a caixa de seleção Propagar para filhos (Propagate to children) 
para alterar a herança de permissão.
d Clique em Okey(OK).
Remover permissões Clique no ícone Remove Permission (Remove Permission).
 
Alterar as configurações de validação do usuário
O vCenter Server valida periodicamente suas listas de usuários e grupos em relação aos usuários 
e grupos no diretório de usuários. Em seguida, remove usuários ou grupos que não existem mais 
no domínio. Você pode desativar a validação ou alterar o intervalo entre as validações. Se você 
tiver domínios com milhares de usuários ou grupos, ou se as pesquisas levarem muito tempo 
para serem concluídas, considere ajustar as configurações de pesquisa.
Para versões de vCenter Server anteriores a vCenter Server 5.0, essas configurações se aplicam 
a um Active Directory associado a vCenter Server. Para o vCenter Server 5.0 e posterior, essas 
configurações se aplicam a vCenter Single Sign-On origens de identidade.
Observação Este procedimento se aplica apenas a vCenter Server listas de usuários. Você não 
pode pesquisar ESXi listas de usuários da mesma maneira.
Procedimentos
1 Navegue até o sistema vCenter Server no navegador de objetos vSphere Client.
2 Selecione Configurar (Configure) e clique em Configurações (Settings) > Geral (General).
3 Clique em Editar (Edit) e selecione Diretório do usuário (User directory).
Segurança do vSphere
VMware, Inc. Traduzido automaticamente 39
4 Altere os valores conforme necessário e clique em Salvar (Save).
Opção Descrição
Tempo limite do diretório do usuário Intervalo de tempo limite, em segundos, para se conectar ao servidor Active 
Directory. Este valor especifica a quantidade máxima de tempo que vCenter 
Server permite que uma pesquisa seja executada no domínio selecionado. 
Pesquisar domínios grandes pode levar muito tempo.
Limite de consultas Ative para definir um número máximo de usuários e grupos que o vCenter 
Server exibe.
Tamanho limite de consulta Número máximo de usuários e grupos do domínio selecionado que vCenter 
Server exibe na caixa de diálogo Selecionar usuários ou grupos (Select 
Users or Groups). Se você inserir 0 (zero), todos os usuários e grupos serão 
exibidos.
Validação Desative para desativar a validação.
Período de validação Especifica com que frequência o vCenter Server valida as permissões, em 
minutos.
 
Permissões globais
Permissões globais são aplicadas a um objeto raiz global que abrange soluções. Em um SDDC 
local, as permissões globais podem abranger vCenter Server e vRealize Orchestrator. Mas, para 
qualquer vSphere SDDC, as permissões globais se aplicam a objetos globais, como tags e 
bibliotecas de conteúdo.
Você pode atribuir permissões