VMware Tools是一個可選的驅動程序和實用程序的集合，能夠提高虛擬機性能，簡化虛擬機管理。但是虛擬化專家對安裝VMware Tools的優勢是否勝過其帶來的潛在安全風險這個問題存在著爭論。

　　一方面，VMware Tools取代了很多客戶操作系統專用于物理硬件的驅動程序。經過優化的驅動程序能夠顯著提高性能并完善相關功能(例如，在主機與虛擬機之間提供復制粘貼功能)。但是安裝VMware Tools同樣給原本安全的基礎設施增加了潛在的虛擬化功能脆弱點。

　　兩位專家就運行VMware Tools的價值展開了爭論：VMware Tools導致了不必要的虛擬安全風險vs.VMware Tools激發了虛擬基礎設施的潛能。

　　VMware Tools導致了不必要的虛擬安全風險

　　VMware Tools，尤其是準虛擬化驅動，經常是虛擬機被攻擊的組件。正因為如此，我推薦盡可能使用客戶操作系統原有的驅動，僅對虛擬機必需的功能才安裝準虛擬化驅動。

　　準虛擬化驅動能夠感知到底層的虛擬化層，因此它們能夠走捷徑通過驅動程序層，尤其是能夠直接調用客戶操作系統與虛擬機對象之間的共享內存段。但是準虛擬化驅動為虛擬基礎設施增加了另一個受攻擊面。從理論上講，攻擊這些驅動可能導致服務阻斷(虛擬機宕機)，也可能導致黑客從當前虛擬機逃逸(進入主機上的其他虛擬機)——對虛擬化來說這是一件很可怕的事兒。

　　從當前虛擬機逃逸(Escape-the-VM)的攻擊方式已經在所有的type-2 hypervisor中取得了成功。type-2 hypervisor包括了VMware Fusion、VMware Player、VMware Workstation、VMware Server以及Microsoft Virtual Server和Oracle VirtualBox。但這種攻擊方式還未能進入裸機hypervisor的其他虛擬機。裸機hypervisor包括了VMware vSphere、Citrix XenServer以及Microsoft Hyper-V。

　　然而，在vSphere中VMware Tools的準虛擬化驅動已經導致了一些安全問題：

　　Vmxnet驅動為虛擬機提供了高速網絡。但是vmxnet系列驅動允許網絡數據包打亂時間戳順序，這可能導致與其他數據包的不同步。這一缺陷導致基于TCP/IP服務的失敗。導致網絡服務器網絡中斷也就意味著中斷服務。因為準虛擬化驅動導致了這一問題，因此它被認為存在虛擬化安全風險(這一問題已經被修復)。操作系統供應商提供的e1000驅動同樣能夠提供高速網絡，因此沒有必要使用準虛擬化驅動。

　　在hypervisor外部VMCI驅動用于虛擬機之間的通信(也就是虛擬機使用另一條網絡路徑)。目前沒有應用程序使用該功能，但是啟用VMCI驅動給現存的虛擬機增加了另外一個潛在的受攻擊面。

　　VMware的SVGA驅動是VMware Tools最易受到攻擊的驅動，但是只有虛擬桌面才會用到SVGA驅動。在其他情況下客戶操作系統提供的標準的SVGA驅動就能夠滿足要求而且可以限制虛擬機的受攻擊面(攻擊SVGA可能導致虛擬機宕機)。

　　僅在虛擬機必須使用準虛擬化驅動提供的功能時才使用它，為限制虛擬機風險，你應該盡可能地選擇客戶操作系統提供的驅動。