Informationen zur Verwendung von Vorlagen für virtuelle Maschinen (auch "VM-Vorlagen" genannt) in Patchscans, Assetscans und Patchbereitstellungen finden Sie unter Roadmap der Tasks.
Um welchen Typ von Vorlage für virtuelle Maschinen (Servervorlage, Workstation-Vorlage usw.) es sich handelt, spielt keine Rolle. Sie werden allesamt von Security Controls unterstützt.
Nur Vorlagen für virtuelle Maschinen, die auf einem VMware-Server gehostet sind, werden von Security Controls unterstützt. Die Vorlagen werden über die Registerkarte Gehostete virtuelle Maschinen zur Computergruppe hinzugefügt. Virtuelle Maschinen, die sich auf einzelnen Workstations befinden, werden nicht unterstützt.
Zur Identifizierung von VM-Vorlagen wird ein eindeutiges Symbol () verwendet. Dieses Symbol sehen Sie, wenn Sie eine Vorlage zu einer Computergruppe hinzufügen und wenn Sie Scanergebnisse in der Scanansicht und in der Computeransicht anzeigen.
Wie auch bei anderen Vorgängen, an denen Komponenten in einem Netzwerk beteiligt sind, können Fehler auftreten, wenn Verbindungen schlecht werden, wenn Server heruntergefahren werden, ein Vorlage geändert wird, während Security Controls usw. darauf zugreift. Generell sollten die Vorlagen während des Scan- oder Patchbereitstellungsprozesses zu keinem Zeitpunkt angefasst werden.
Wenn Sie einen Patchscan oder einen Assetscan für eine VM-Vorlage ausführen, scannt Security Controls die Vorlagen in ihrem gegenwärtigen Zustand und meldet die Ergebnisse auf dieselbe Weise, wie dies bei virtuellen Maschinen und physikalischen Computern geschieht.
Während eines Scans wird unter Verwendung der VMware Server-Anmeldeinformationen auf die Vorlage zugegriffen. Alle für diese Vorlage angegebenen, individuellen Anmeldeinformationen werden ignoriert.
Für alle VM-Vorlagen, die in einem Patchbereitstellungsprozess eingeschlossen werden, sollten Sie Online-Anmeldeinformationen angeben. Während des Patchbereitstellungsprozesses wird die Vorlage in eine virtuelle Maschine konvertiert und eingeschaltet -- Security Controls benötigt die angegebenen Anmeldeinformationen für den Zugriff auf die virtuelle Maschine im Onlinezustand.
Für das Scannen oder Bereitstellen auf einer Vorlage für einen virtuellen Offlinecomputer wird TCP-Port 902 benötigt, damit die virtuelle Festplatte geladen werden kann.
Patchbereitstellungen
Bei der Bereitstellung von Patches für eine VM-Vorlage werden die folgenden VMware Server-Berechtigungen zur Verwaltung von Snapshots und zur Durchführung der Bereitstellung benötigt.
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
Wenn Sie eine Patchbereitstellung für eine VM-Vorlage initiieren, führt Security Controls die folgenden Schritte aus:
Konvertierung der VM-Vorlage in eine virtuelle Maschine im Offlinezustand.
(Optional) Erstellung eines Snapshots, wenn die Patch-Bereitstellungsvorlage so konfiguriert wurde, dass sie einen Snapshot vor der Bereitstellung erstellt.
(Optional) Löschung alter Snapshots, sofern einer der Snapshot-Schwellenwerte überschritten wird, der auf der Patchbereitstellungsvorlage definiert wurde.
Push-Übertragung der Patches auf die virtuelle Maschine im Offlinezustand.
Neukonfigurierung folgender Optionen auf der virtuelle Maschine im Offlinezustand:
Deaktivieren Sie die Option Beim Einschalten verbinden des Netzwerkadapters. Dies geschieht, um die Maschine vom Netzwerk zu isolieren, während der Patchprozess ausgeführt wird.
Wenn Sysprep zur Ausführung geplant ist, deaktivieren Sie es, damit das Betriebssystem der virtuellen Maschine nicht automatisch beim ersten Einschalten konfiguriert wird.
Einschalten der virtuellen Maschine.
Installieren der Patches.
Ausschalten der virtuellen Maschine.
Zurücksetzen der Maschinenkonfiguration auf ihre ursprünglichen Netzwerkverbindungs- und Sysprep-Einstellungen.
(Optional) Erstellung eines Snapshots, wenn die Patch-Bereitstellungsvorlage so konfiguriert wurde, dass sie einen Snapshot nach der Bereitstellung erstellt.
(Optional) Löschung alter Snapshots, sofern einer der Snapshot-Schwellenwerte überschritten wird, der auf der Patchbereitstellungsvorlage definiert wurde.
Rückkonvertierung der virtuellen Maschine im Offlinezustand in eine VM-Vorlage.
In der von Ihnen verwendeten Patchbereitstellungsvorlage darf keinesfalls die Verwendung eines Verteilungsservers vorgegeben sein. Die virtuelle Maschine im Offlinezustand ist vom Netzwerk getrennt und kann die Patches nicht vom Verteilungsserver herunterladen.
Die von Ihnen verwendete Patchbereitstellungsvorlage darf keinen Neustart vor der Bereitstellung vorgeben (sonst kann das Programm den Neustart nicht initiieren, weil die Maschine offline ist) und sollte immer einen Neustart nach der Bereitstellung durchführen (dies ist eine bewährte Methode oder "Best Practice" bei der Bereitstellung von Patches). Bei Bereitstellungen, die an Vorlagen für virtuelle Maschinen vorgenommen werden, empfiehlt es sich, die Bereitstellungsvorlage Standard für virtuelle Maschinen zu verwenden.
Während einer Patchbereitstellung wird eine VM-Vorlage, die normalerweise nur für einen Administrator verfügbar ist, auch für andere Benutzer sichtbar. Der Grund hierfür ist, dass die Vorlage während des Prozesses der Patchbereitstellung vorübergehend in eine virtuelle Maschine konvertiert und eingeschaltet wird.
) verwendet. Dieses Symbol sehen Sie, wenn Sie eine Vorlage zu einer Computergruppe hinzufügen und wenn Sie Scanergebnisse in der Scanansicht und in der Computeransicht anzeigen.