当多个用户共享访问虚拟机时,VMware管理员应该考虑限制虚拟机配置及更新功能。这避免了对虚拟机的意外或恶意更改。在VMware Workstation中很容易设置。
限制对VMware Workstation共享虚拟机配置的访问在教学环境中很有用,因为学生可能会修改虚拟机配置;同时限制对共享虚拟机的配置对信息展示屏也很有用,因为虚拟机-USB连接可能会引入病毒或者其他恶意软件。
加密是一种控制对Workstation中虚拟机访问的方式,在没有密码的情况下无法访问虚拟机的所有内容。然而加密是一种孤注一掷的解决方案,受限的虚拟机可以通过应用策略进行修改。例如,你可能会禁止修改虚拟机硬件,但却允许添加或删除USB设备。
加密在启动时对虚拟机进行保护,但是限制允许用户执行必要的任务同时确保了用户不能够访问虚拟机的配置。采用密码保护的受限虚拟机避免了在没有授权的情况下升级到新版本的VMware软件,设置变更或者修改硬件配置。
如何限制VMware Workstation共享虚拟机
在Workstation的主菜单中通过“编辑虚拟机设置”控制对虚拟机的限制。在选项标签下,能够看到“访问控制”子选项下的所有选项都处于禁用状态(图1)。
图1. VMware Workstation访问控制链接用于设置如何更改虚拟机的加密及限制选项
如果你选择“启用限制”,那么你可以设置另外两个虚拟机保护策略,默认是允许虚拟机连接USB设备的。在几种场景下你可能想禁用VM-USB连接,例如,虚拟机包含重要信息时。允许虚拟机连接USB设备,意味着允许虚拟机用户拷贝虚拟机上的数据。USB连接选项将虚拟机置于受恶意软件以及病毒攻击的风险之中,除非的确需要否则应该禁用该选项。
受限虚拟机的另一个策略设置要求用户更改密码。这一选项默认是关闭的。如果开启该选项,那么在移动或者拷贝虚拟机之前用户必须先设置新的限制密码。如果你想与同事共享虚拟机那么该选项是有用的,但是在教学环境中通常并没有什么用处,在教学环境下用户应该设置他们自己的限制密码然后对虚拟机进行任意的更改。
和加密虚拟机一样,对VMware Workstation共享虚拟机进行限制同样存在风险。如果密码丢了怎么办?这时受限的虚拟机就再也不能被修改了。