安装或升级到 ESXi 8.0 或更高版本时,默认情况下会在主机上激活 execInstalledOnly 内部运行时选项。此选项有助于保护主机免受勒索软件攻击。如果 ESXi 8.0 或更高版本的主机仍运行来自外部源的非 VIB 二进制文件,则可以停用 execInstalledOnly 内部运行时选项。
execInstalledOnly 选项可确保 VMkernel 仅执行已作为有效 VIB 一部分正确打包和签名的二进制文件,从而帮助保护主机免受勒索软件攻击。
execInstalledOnly 选项既是引导选项,也是内部运行时选项。execInstalledOnly 引导选项(也称为内核选项)是在 ESXi 5.5 中引入的。默认情况下,execInstalledOnly 引导选项处于停用状态。在 vSphere 7.0 Update 2 及更高版本中,可以在每次引导时使用 TPM 强制执行 execInstalledOnly 引导选项。有关详细信息,请参见激活或停用 execInstalledOnly 实施以获得安全的 ESXi 配置。
默认情况下,ESXi 8.0 中添加的 execInstalledOnly 内部运行时选项在主机上处于激活状态。默认情况下,execInstalledOnly 引导选项将继续处于停用状态,但先前启用的 execInstalledOnly 引导选项会在您设置了这两个选项时覆盖内部运行时选项。
注: execInstalledOnly 选项不受安全引导影响。安全引导会检查所有已安装的 VIB 是否已签名。有关详细信息,请参见
ESXi 主机的 UEFI 安全引导。
停用 execInstalledOnly 内部运行时选项时,将针对主机显示 vCenter Server 警告。
前提条件
小心: 停用 execInstalledOnly 内部运行时选项会让您更容易受到攻击。
