Wenn Sie ESXi 8.0 oder höher installieren oder ein Upgrade auf 8.0 durchführen, wird auf Hosts standardmäßig die interne Laufzeitoption „execInstalledOnly“ aktiviert. Mit dieser Option können Sie Ihre Hosts vor Ransomware-Angriffen schützen. Wenn auf Ihren Hosts mit ESXi 8.0 oder höher weiterhin Nicht-VIB-Binärdateien aus externen Quellen ausgeführt werden, können Sie die interne Laufzeitoption „execInstalledOnly“ deaktivieren.
Die Option „execInstalledOnly“ schützt Ihre Hosts vor Ransomware-Angriffen, indem sichergestellt wird, dass der VMkernel nur die Binärdateien auf einem Host ausführt, die ordnungsgemäß verpackt und als Teil eines gültigen VIB signiert wurden.
Die Option „execInstalledOnly“ ist sowohl eine Start- als auch eine interne Laufzeitoption. Die Startoption „execInstalledOnly“, auch Kernel-Option genannt, wurde in ESXi 5.5 eingeführt. Die Startoption „execInstalledOnly“ ist standardmäßig deaktiviert. In vSphere 7.0 Update 2 oder höher können Sie die Startoption „execInstalledOnly“ bei jedem Start mithilfe eines TPM erzwingen. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der execInstalledOnly-Erzwingung für eine sichere ESXi-Konfiguration.
Die in ESXi 8.0 hinzugefügte interne Laufzeitoption „execInstalledOnly“ ist auf Hosts standardmäßig aktiviert. Die Startoption „execInstalledOnly“ ist weiterhin standardmäßig deaktiviert, außer dass eine zuvor aktivierte Startoption „execInstalledOnly“ die interne Laufzeitoption überschreibt, wenn Sie beide festlegen.
Wenn Sie die interne Laufzeitoption „execInstalledOnly“ deaktivieren, werden vCenter Server-Warnungen für den Host angezeigt.
