各 ESXi ホストを正しく認証し監査するには、ESXi ホストに対して少なくとも読み取り専用のアクセス権を持つサービス資格情報が必要です。
一部のコントールのスキャンの場合、アカウントには、SNMP、Software、VIB、User、および Kernel の各モジュールを読み取る権限も必要です。ヒント - システム定義の読み取り専用ロールは変更できないため、権限を追加するにはクローンを作成する必要があります。
追加の権限を必要とするコントロールについては、以下を参照してください。すべてのコントロールのスキャンを行う必要がない場合、追加の権限は必要ありません。
1)スキャナアカウントに割り当てられたロールを編集します。
2)ロールに権限を追加します(下記の表を参照)。
3)「OK」をクリックして、変更を保存します。
4)スキャナアカウントに適切なロールが割り当てられていることを確認し、認証レコードに追加します。ESXi 資格情報を使用している場合は VMware ESXi レコードに追加し、vCenter 資格情報を使用している場合は vCenter レコードに追加します。
ESXi ホストが Active Directory ドメインに属している場合は、ドメインレベルの資格情報が使用できます。属していない場合は、各対象マシンに個別の資格情報が必要になります。
|
バージョン |
必要な権限 |
影響を受けるコントロール |
|
ESXi 7.0、6.5、6.0、5.5、5.0 |
Global.Settings 設定方法: 「Global」を展開し、「Settings」を選択します。 |
1129、6094、6097 9394、9393(ESXi バージョン 7.0 は適用外) |
|
ESXi 7.0、6.5、6.0、5.5、5.0 |
Host.Config.Change settings
設定方法: 「Host」->「Configuration」を展開し、「Change settings」を選択します。 |
9012 |
|
ESXi 7.0、6.5、6.0 |
Authorization.ModifyPermissions
設定方法: 「Permissions」を展開し、「Modify permission」を選択します。 |
8972 |
|
バージョン |
必要な権限 |
影響を受けるコントロール |
|
すべてのバージョン |
Global.Settings
設定方法: 「Global」を展開し、「Settings」を選択します。 |
9394、9393 |
|
すべてのバージョン |
Host.Config.Change settings
設定方法: 「Host」->「Configuration」を展開し、「Change settings」を選択します。 |
9012 |
|
コントロール ID(CID) |
コントロール文 |
|
1129 |
「Simple Network Management Protocol(SNMP)」サービスのステータス(Linux/Unix/ESXi) |
|
6094 |
ESXi ホストの「SNMP Trap」設定のステータス |
|
6097 |
ESXi ホストの「readCommunities」SNMP コミュニティ文字列のステータス |
|
9394 |
ESXi ホストの各 VIB の「Acceptance Level」のステータス |
|
9393 |
ホストにインストールされた vSphere Installation Bundle(VIB)バージョンのステータス |
|
9012 |
メモリに読み込まれたカーネルモジュールのステータス |
|
8972 |
ホストでシェルアクセス権を持つユーザのステータス |