Note sulle macchine virtuali

Requisiti

  • I sistemi dual boot (ad esempio, una macchina virtuale con due partizioni, ciascuna contenente un sistema operativo diverso) non sono supportati.
  • Quando si analizzano le macchine virtuali offline supportate da VMware, tenere presente quanto segue:
    • Non è possibile installare dischi virtuali crittografati.
    • Non è possibile installare un disco virtuale se uno dei relativi file .vmdk risulta compresso o dispone di autorizzazioni di sola lettura.
    • Non è possibile installare un disco virtuale attualmente utilizzato da una macchina virtuale in esecuzione o sospesa.
    • I cloni e le immagini compresse collegati non sono supportati.

Informazioni generali

  • Solo lo stato corrente della macchina virtuale verrà analizzato e riceverà le patch. Le snapshot di macchine virtuali non vengono analizzate né riceveranno le patch.
  • Una macchina virtuale viene conteggiata solo una volta rispetto al numero totale di postazioni di licenza disponibili, anche se viene analizzata sia in modalità online (accesa) sia in modalità offline (spenta).
  • Nei gruppi di computer e nei risultati delle analisi, icone speciali consentiranno di distinguere una macchina virtuale offline () da un computer fisico o una macchina virtuale online () da un modello di macchina virtuale ().
  • Evitare l'utilizzo di lettere di unità di rete durante la definizione di macchine virtuali offline in un gruppo di computer. La pratica raccomandata consiste invece nello specificare il percorso UNC (Universal Naming Convention), che entra in gioco quando si esegue un'analisi pianificata su una macchina virtuale offline. Le mappature delle unità di rete sono specifiche per ciascuna sessione, pertanto è molto probabile che una mappatura specificata non esista più quando viene eseguito il processo di analisi pianificato.
  • All'interno di un gruppo di computer, i filtri Analizza solo non si applicano alle macchine virtuali offline o ai modelli di macchine virtuali.
  • È possibile che due macchine virtuali offline presentino lo stesso dominio e lo stesso nome computer. Ciò si verifica quando si clona una macchina virtuale senza modificare il nome computer o il dominio su una o entrambe le macchine. In tale situazione, delle due macchine virtuali duplicate, solo l'ultima analizzata risulterà visibile in Vista computer. I computer visualizzati in Vista computer sono codificati in base al dominio e al nome computer, pertanto i duplicati non sono consentiti.
  • Le macchine virtuali offline (spente) verranno installate prima di essere analizzate. Le macchine virtuali online (accese) non devono essere montate dato che vengono trattate così come avviene con un computer fisico.
  • Quando si esegue un'analisi delle patch o un'analisi degli asset, una macchina virtuale aggiunta a un gruppo di computer come una macchina virtuale offline, ma che risulta online al momento di eseguire un'analisi, verrà analizzata qualora sia ospitata su un server ESX e siano disponibili le credenziali corrette per poter accedere a tale computer. Le macchine virtuali online ospitate sulle workstation non verranno installate né analizzate.
  • Quando si esegue un'analisi delle patch, vengono rispettate tutte le origini di download configurate in vSphere Lifecycle Manager.
  • Sono supportati gli upgrade di versioni minori, come ad esempio da 7.0.1 a 7.0.2.
  • Quando si analizza o si distribuisce a una macchina virtuale offline, la Porta TCP 902 deve essere disponibile al fine di poter installare il disco virtuale.
  • Quando si analizzano più macchine virtuali offline ospitate su un'unica workstation, è possibile raggiungere il limite di connessioni per la data workstation. Se viene raggiunto il limite di connessioni, si verificherà un errore e le analisi non verranno effettuate. Il numero massimo di connessioni simultanee supportate varia per ciascuna versione del sistema operativo Windows.

Distribuzioni di patch

  • Durante la distribuzione di patch a una macchina virtuale offline ospitata su un server, la macchina virtuale verrà accesa e le patch verranno installate, dopodiché la macchina virtuale verrà spenta. Consultare la sezione Distribuzione di patch alle macchine virtuali per ulteriori dettagli.
  • Durante la distribuzione di patch a una macchina virtuale offline ospitata su un server, sulla macchina virtuale devono essere installati gli strumenti VMware.
  • Quando si distribuiscono patch a una macchina virtuale offline ospitata su un server, sono richieste le seguenti autorizzazioni per il server VMware, al fine di gestire le snapshot e modificare lo stato di alimentazione del computer durante il processo di distribuzione:
    • VirtualMachine.State.CreateSnapshot
    • VirtualMachine.State.RemoveSnapshot
    • VirtualMachine.Interact.PowerOn
    • VirtualMachine.Interact.PowerOff
    • VirtualMachine.Interact.DeviceConnection (per disattivare/attivare la scheda di rete)
  • Per le macchine virtuali offline, i prodotti di patch installati su dischi virtuali con la modalità disco impostata su Indipendente - Persistente o Indipendente - Non persistente non sono supportati. Se una macchina virtuale ha sia dischi dipendenti che indipendenti, è comunque possibile installare le patch per i prodotti installati sui dischi dipendenti.
  • Quando si distribuiscono patch a una macchina virtuale offline che risiede su una workstation, il nuovo processo di distribuzione sovrascriverà qualsiasi precedente processo di distribuzione non ancora eseguito. Per tale motivo è necessario distribuire tutte le patch desiderate in un'unica distribuzione.
  • Esempio: si distribuisce la Patch A a una macchina virtuale offline basata su una workstation. La macchina virtuale è ancora offline un mese dopo, quando si distribuiscono le Patch B e C. Dato che il primo processo di distribuzione non è mai stato eseguito, verrà sovrascritto e solo le Patch B e C risultano ora pianificate per la distribuzione. Per evitare tale situazione è sufficiente includere la Patch A alle Patch B e C nel secondo processo di distribuzione.

    A tal fine è possibile utilizzare un gruppo di patch per definire le patch che si desidera vengano distribuite alle proprie macchine virtuali offline basate su una workstation. Quando vengono identificate nuove patch è sufficiente aggiungerle all'elenco di patch nel gruppo di patch. Ciò è particolarmente utile quando si specifica un gruppo di patch all'interno di un modello di scansione delle patch e poi si sceglie di distribuire automaticamente le patch mancanti nella finestra di dialogo Esegui operazione. Per ulteriori informazioni su queste opzioni, vedere Creazione di un nuovo modello di scansione patch e Distribuzione automatica delle patch.

Agenti

  • Le operazioni di Security Controls Agent non sono supportate sulle macchine virtuali offline.
  • Se si installa Security Controls Agent su una macchina virtuale online e successivamente si analizza la macchina virtuale mentre si trova offline, Security Controls può segnalare lo stato agente errato per tale immagine. Ad esempio, può mostrare che l'agente non è installato o può lasciare che l'utente effettui un altro tentativo di disinstallazione dell'agente. Ciò si verifica perché le operazioni di Security Controls Agent non sono supportate sulle macchine virtuali offline. Lo stato corrente verrà segnalato non appena la macchina virtuale viene riportata online e viene nuovamente analizzata da Security Controls.