Cuando actualiza a ESXi 8.0 o una versión posterior, o bien la instala, la opción interna de tiempo de ejecución de execInstalledOnly se activa en los hosts de forma predeterminada. Esta opción ayuda a proteger los hosts contra ataques de ransomware. Si los hosts ESXi 8.0 o una versión posterior siguen ejecutando archivos binarios que no son de VIB de orígenes externos, puede desactivar la opción interna de tiempo de ejecución de execInstalledOnly.

Con la opción execInstalledOnly se protegen los hosts contra ataques de ransomware, ya que se garantiza que el VMkernel ejecute solo esos archivos binarios en un host y que se hayan empaquetado y firmado correctamente como parte de un VIB válido.

La opción execInstalledOnly es tanto una opción de arranque como una opción interna de tiempo de ejecución. La opción de arranque execInstalledOnly, también llamada opción de kernel, se introdujo en ESXi 5.5. La opción de arranque execInstalledOnly está desactivada de forma predeterminada. En vSphere 7.0 Update 2 o versiones posteriores, es posible aplicar la opción de arranque execInstalledOnly en cada arranque mediante un TPM. Para obtener más información, consulte Activar o desactivar la aplicación execInstalledOnly para una configuración de ESXi segura.

La opción interna de tiempo de ejecución de execInstalledOnly que se agregó en ESXi 8.0 está activada en los hosts de forma predeterminada. La opción de arranque de execInstalledOnly continúa desactivada de forma predeterminada, excepto cuando una opción de arranque execInstalledOnly que se habilitó anteriormente sobrescribe la opción interna de tiempo de ejecución si se establecen ambas opciones.

Nota: La opción execInstalledOnly es independiente del arranque seguro. El arranque seguro comprueba que todos los VIB instalados estén firmados. Para obtener más información, consulte Arranque seguro UEFI para hosts ESXi.

Cuando se desactiva la opción interna de tiempo de ejecución de execInstalledOnly, se muestran advertencias de vCenter Server para el host.

Requisitos previos

Para desactivar la opción interna de tiempo de ejecución de execInstalledOnly, debe tener acceso raíz al host ESXi. Puede utilizar ESXCLI, PowerCLI o la API. La tarea que sigue utiliza ESXCLI.
Precaución: Si desactiva la opción interna de tiempo de ejecución de execInstalledOnly, estará más expuesto a sufrir ataques.

Procedimiento

  1. Conéctese al host ESXi mediante SSH.
  2. Para desactivar la opción interna de tiempo de ejecución de execInstalledOnly, introduzca el siguiente comando ESXCLI.
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0