启用或禁用 execInstalledOnly 实施以获得安全的 ESXi 配置

您可以选择启用 execInstalledOnly 实施，也可以禁用以前启用的 execInstalledOnly 实施。必须使用 ESXCLI 在 ESXi 主机上的 TPM 中更改此设置。必须先启用 UEFI 安全引导实施，然后才能启用 execInstalledOnly 实施。

此任务仅适用于具有 TPM 的 ESXi 主机。execInstalledOnly 高级 ESXi 引导选项（设置为 TRUE 时）可确保 VMkernel 仅执行已作为 VIB 的一部分进行打包和签名的二进制文件。每次引导时都可以使用 TPM 强制启用此引导选项。

前提条件

要启用 execInstalledOnly 实施，必须先启用 UEFI 安全引导实施。execInstalledOnly 实施建立在 UEFI 安全引导实施的基础上。请参见启用或禁用安全引导实施以获得安全的 ESXi 配置。
有权访问 ESXCLI 命令集。可以远程或在 ESXi Shell 中运行 ESXCLI 命令。
具有使用 ESXCLI 独立版本或 PowerCLI 所需的特权：主机.配置.设置

启用或禁用execInstalledOnly实施。

选项	描述
启用	确认已强制执行安全引导选项。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true 确认“需要安全引导”显示 true。否则，请参见启用或禁用安全引导实施以获得安全的 ESXi 配置。要将 execInstalledOnly 引导选项的运行时值配置为 TRUE，请运行以下 ESXCLI 命令。 esxcli system settings kernel set -s execInstalledOnly -v TRUE 正常关闭主机。例如，右键单击 vSphere Client 中的 ESXi 主机，然后选择电源 > 关机。重新启动主机。要设置 execInstalledOnly 防护，请运行以下 ESXCLI 命令。 esxcli system settings encryption set --require-exec-installed-only=T 验证更改。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: true Require Secure Boot: true 确认“需要仅来自已安装 VIB 的可执行文件”显示 true。要保存设置，请运行以下命令。 /sbin/auto-backup.sh
禁用	运行以下 ESXCLI 命令。 esxcli system settings encryption set --require-exec-installed-only=F 验证更改。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true 确认“需要仅来自已安装 VIB 的可执行文件”显示 false。要保存设置，请运行以下命令。 /sbin/auto-backup.sh TPM 不再强制执行 execInstalledOnly 引导选项。

选项

描述

启用

确认已强制执行安全引导选项。
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
确认“需要安全引导”显示 true。否则，请参见启用或禁用安全引导实施以获得安全的 ESXi 配置。
要将 execInstalledOnly 引导选项的运行时值配置为 TRUE，请运行以下 ESXCLI 命令。
```
esxcli system settings kernel set -s execInstalledOnly -v TRUE
```
正常关闭主机。
例如，右键单击 vSphere Client 中的 ESXi 主机，然后选择电源 > 关机。
重新启动主机。

要设置 execInstalledOnly 防护，请运行以下 ESXCLI 命令。

esxcli system settings encryption set --require-exec-installed-only=T

验证更改。

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true

确认“需要仅来自已安装 VIB 的可执行文件”显示 true。

禁用

运行以下 ESXCLI 命令。

esxcli system settings encryption set --require-exec-installed-only=F

验证更改。

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

确认“需要仅来自已安装 VIB 的可执行文件”显示 false。

ESXi 主机运行，execInstalledOnly 实施处于启用还是禁用状态，取决于您的选择。