Sie können execInstalledOnly-Erzwingung aktivieren oder eine zuvor aktivierte execInstalledOnly-Erzwingung deaktivieren. Sie müssen ESXCLI verwenden, um die Einstellung im TPM auf dem ESXi-Host zu ändern. UEFI Secure Boot-Erzwingung muss aktiviert sein. Erst dann kann die execInstalledOnly-Erzwingung aktiviert werden.
Diese Aufgabe gilt nur für ESXi-Hosts, die über ein TPM verfügen. Unter der Voraussetzung, dass die erweiterte ESXi-Startoption „execInstalledOnly“ auf TRUE festgelegt ist, wird garantiert, dass der VMkernel nur diejenigen Binärdateien ausführt, die als Teil des VIB gepackt und signiert wurden. Die Aktivierung dieser Startoption kann bei jedem Start mithilfe des TPM erzwungen werden.
Voraussetzungen
- Zum Aktivieren der execInstalledOnly-Erzwingung müssen Sie zuerst die UEFI Secure Boot-Erzwingung aktivieren. Die execInstalledOnly-Erzwingung baut auf der UEFI Secure Boot-Erzwingung auf. Weitere Informationen hierzu finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.
- Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
- Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI:
Prozedur
- Listen Sie die aktuellen Einstellungen auf dem ESXi-Host auf.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
Bei aktivierter execInstalledOnly-Erzwingung wird „True“ für „Ausführbare Dateien nur aus installierten VIBs anfordern“ angezeigt. Bei deaktivierter execInstalledOnly-Erzwingung wird „False“ für „Ausführbare Dateien nur aus installierten VIBs anfordern“ angezeigt. Zum Aktivieren der execInstalledOnly-Erzwingung muss die Secure Boot-Erzwingung aktiviert sein, und „Secure Boot anfordern“ ist in diesem Fall auf „True“ festgelegt.
- Aktivieren oder deaktivieren Sie execInstalledOnly-Erzwingung.
| Option |
Beschreibung |
| Aktivieren |
- Stellen Sie sicher, dass die Secure Boot-Option erzwungen wird.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Bestätigen Sie, dass „True“ für „Secure Boot anfordern“ angezeigt wird. Falls nicht, finden Sie weitere Informationen unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.
- Um den Laufzeitwert der execInstalledOnly-Startoption auf TRUE zu setzen, führen Sie den folgenden ESXCLI-Befehl aus.
esxcli system settings kernel set -s execInstalledOnly -v TRUE
- Fahren Sie den Host ordnungsgemäß herunter.
Beispiel: Klicken Sie mit der rechten Maustaste auf den ESXi-Host im vSphere Client und wählen Sie aus.
- Starten Sie den Host neu.
- Führen Sie zum Festlegen der execInstalledOnly-Erzwingung den folgenden ESXCLI-Befehl aus.
esxcli system settings encryption set --require-exec-installed-only=T
- Überprüfen Sie die Änderung.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: true
Require Secure Boot: true Vergewissern Sie sich, dass „Ausführbare Dateien nur aus installierten VIBs anfordern“ auf „true“ festgelegt ist.
- Führen Sie zum Speichern der Einstellung folgenden Befehl aus:
/sbin/auto-backup.sh
|
| Deaktivieren |
- Führen Sie den folgenden ESXCLI-Befehl aus.
esxcli system settings encryption set --require-exec-installed-only=F
- Überprüfen Sie die Änderung.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Vergewissern Sie sich, dass „Ausführbare Dateien nur aus installierten VIBs anfordern“ auf „false“ festgelegt ist.
- Führen Sie zum Speichern der Einstellung folgenden Befehl aus:
/sbin/auto-backup.sh Das TPM erzwingt die execInstalledOnly-Startoption nicht mehr.
|
Ergebnisse
Der ESXi-Host wird je nach Benutzerauswahl mit aktivierter oder deaktivierter execInstalledOnly-Erzwingung ausgeführt.
