Ativar ou desativar a aplicação execInstalledOnly para uma configuração ESXi segura

Você pode optar por ativar a aplicação execInstalledOnly ou desativar uma aplicação execInstalledOnly ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi. A aplicação de inicialização segura da UEFI deve ser ativada antes que você possa ativar a aplicação execInstalledOnly.

Esta tarefa aplica-se apenas a ESXi hosts que têm um TPM. A opção de inicialização execInstalledOnly advanced ESXi, quando definida como TRUE, garante que o VMkernel execute apenas os binários que foram empacotados e assinados como parte de um VIB. A ativação dessa opção de inicialização pode ser aplicada a cada inicialização usando o TPM.

Pré-requisitos

Para ativar a aplicação execInstalledOnly, você deve primeiro ativar a aplicação de inicialização segura do UEFI. A aplicação execInstalledOnly é construída sobre a aplicação de inicialização segura da UEFI. Consulte o Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.
Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI: Host . Config . Settings

Procedimento

Liste as configurações atuais no host ESXi.
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
Se a aplicação execInstalledOnly estiver ativada, Exigir apenas executáveis de VIBs instalados exibirá true. Se a aplicação execInstalledOnly estiver desativada, Exigir executáveis somente de VIBs instalados exibirá falso. Para ativar a aplicação execInstalledOnly, a aplicação de inicialização segura deve ser ativada e Require Secure Boot exibe true neste caso.

Ative ou desative a aplicação execInstalledOnly.

Opção	Descrição
Ativar	Verifique se a opção de inicialização segura é aplicada. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true Confirme que Exigir Inicialização Segura exibe true. Caso contrário, consulte Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura. Para definir o valor de tempo de execução da opção de inicialização execInstalledOnly como TRUE, execute o seguinte comando ESXCLI. esxcli system settings kernel set -s execInstalledOnly -v TRUE Desligue o host normalmente. Por exemplo, clique com o botão direito do mouse no host ESXi em vSphere Client e selecione Power (Power) > Shut Down (Shut Down). Reinicie o host. Para definir a opção de inicialização execInstalledOnly, execute o seguinte comando ESXCLI. esxcli system settings encryption set –require-exec-installed-only=T Verifique a alteração. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: true Require Secure Boot: true Confirme se a mensagem Executables Only From Installed VIBs exibe true. Para salvar a configuração, execute o seguinte comando. /sbin/auto-backup.sh
Desabilitar	Execute o seguinte comando ESXCLI. esxcli system settings encryption set --require-exec-installed-only=F Verifique a alteração. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true Confirme se a opção Executáveis somente de VIBs instalados exibe false. Para salvar a configuração, execute o seguinte comando. /sbin/auto-backup.sh O TPM não impõe mais a opção de inicialização execInstalledOnly.

Opção

Descrição

Ativar

Verifique se a opção de inicialização segura é aplicada.
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
Confirme que Exigir Inicialização Segura exibe true. Caso contrário, consulte Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.
Para definir o valor de tempo de execução da opção de inicialização execInstalledOnly como TRUE, execute o seguinte comando ESXCLI.
```
esxcli system settings kernel set -s execInstalledOnly -v TRUE
```
Desligue o host normalmente.
Por exemplo, clique com o botão direito do mouse no host ESXi em vSphere Client e selecione Power (Power) > Shut Down (Shut Down).
Reinicie o host.
Para definir a opção de inicialização execInstalledOnly, execute o seguinte comando ESXCLI.
```
esxcli system settings encryption set –require-exec-installed-only=T 
```

Verifique a alteração.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true

Confirme se a mensagem Executables Only From Installed VIBs exibe true.

Para salvar a configuração, execute o seguinte comando.
```
/sbin/auto-backup.sh
```

Desabilitar

Execute o seguinte comando ESXCLI.

esxcli system settings encryption set --require-exec-installed-only=F

Verifique a alteração.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

Confirme se a opção Executáveis somente de VIBs instalados exibe false.

Para salvar a configuração, execute o seguinte comando.
```
/sbin/auto-backup.sh
```
O TPM não impõe mais a opção de inicialização execInstalledOnly.

Resultados

O host ESXi é executado com a aplicação execInstalledOnly ativada ou desativada, dependendo da sua escolha.