Wenn Sie ESXi 8.0 installieren oder ein Upgrade darauf durchführen, wird die Laufzeitoption für erweiterte Konfiguration „execInstalledOnly“ auf Hosts standardmäßig aktiviert. Mit dieser Option können Sie Ihre Hosts vor Ransomware-Angriffen schützen. Wenn auf Ihren ESXi 8.0-Hosts weiterhin Nicht-VIB-Binärdateien aus externen Quellen ausgeführt werden, können Sie die Laufzeitoption für erweiterte Konfiguration „execInstalledOnly“ deaktivieren.

Die Option „execInstalledOnly“ schützt Ihre Hosts vor Ransomware-Angriffen, indem sichergestellt wird, dass der VMkernel nur die Binärdateien auf einem Host ausführt, die ordnungsgemäß verpackt und als Teil eines gültigen VIB signiert wurden.

Die Option „execInstalledOnly“ ist sowohl eine Start- als auch eine Laufzeitoption. Die Startoption „execInstalledOnly“, auch Kernel-Option genannt, wurde in ESXi 5.5 eingeführt. Die Startoption „execInstalledOnly“ ist standardmäßig deaktiviert. Ab vSphere 7.0 Update 2 können Sie die Startoption „execInstalledOnly“ bei jedem Start mithilfe eines TPM erzwingen. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der execInstalledOnly-Erzwingung für eine sichere ESXi-Konfiguration.

Die in ESXi 8.0 hinzugefügte Laufzeitoption für erweiterte Konfiguration „execInstalledOnly“ ist auf Hosts standardmäßig aktiviert. Die Startoption „execInstalledOnly“ ist weiterhin standardmäßig deaktiviert, außer dass eine zuvor aktivierte Startoption „execInstalledOnly“ die Laufzeitoption überschreibt, wenn Sie beide festlegen.

Hinweis: Die Option „execInstalledOnly“ ist unabhängig von Secure Boot. Secure Boot überprüft, ob alle installierten VIBs signiert sind. Weitere Informationen finden Sie unter UEFI Secure Boot für ESXi-Hosts.

Wenn Sie die Laufzeitoption „execInstalledOnly“ deaktivieren, werden vCenter Server-Warnungen für den Host angezeigt.

Voraussetzungen

Zum Deaktivieren der Option „execInstalledOnly“ benötigen Sie Root-Zugriff auf den ESXi-Host. Sie können ESXCLI, PowerCLI oder die API verwenden. Die folgende Aufgabe verwendet ESXCLI.
Vorsicht: Durch das Deaktivieren der Laufzeitoption für erweiterte Konfiguration „execInstalledOnly“ sind Sie anfälliger für Angriffe.

Prozedur

  1. Stellen Sie mithilfe von SSH eine Verbindung zum ESXi-Host her.
  2. Um die Laufzeitoption „execInstalledOnly“ zu deaktivieren, geben Sie den folgenden ESXCLI-Befehl ein.
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0