Cuando instala o actualiza a ESXi 8.0, la opción de tiempo de ejecución de la configuración avanzada execInstalledOnly se activa en los hosts de forma predeterminada. Esta opción ayuda a proteger los hosts contra ataques de ransomware. Si los hosts ESXi 8.0 siguen ejecutando archivos binarios que no son de VIB de orígenes externos, puede desactivar la opción de tiempo de ejecución de la configuración avanzada execInstalledOnly.

Con la opción execInstalledOnly se protegen los hosts contra ataques de ransomware, ya que se garantiza que el VMkernel ejecute solo esos archivos binarios en un host y que se hayan empaquetado y firmado correctamente como parte de un VIB válido.

La opción execInstalledOnly es tanto una opción de arranque como una opción de tiempo de ejecución. La opción de arranque execInstalledOnly, también llamada opción de kernel, se introdujo en ESXi 5.5. La opción de arranque execInstalledOnly está desactivada de forma predeterminada. A partir de vSphere 7.0 Update 2, es posible aplicar la opción de arranque execInstalledOnly en cada arranque mediante un TPM. Para obtener más información, consulte Activar o desactivar la aplicación execInstalledOnly para una configuración de ESXi segura.

La opción de tiempo de ejecución de la configuración avanzada execInstalledOnly que se agregó en ESXi 8.0 está activada en los hosts de forma predeterminada. La opción de arranque execInstalledOnly continúa desactivada de forma predeterminada, excepto cuando una opción de arranque execInstalledOnly que se habilitó anteriormente sobrescribe la opción de tiempo de ejecución si se establecen ambas opciones.

Nota: La opción execInstalledOnly es independiente del arranque seguro. El arranque seguro comprueba que todos los VIB instalados estén firmados. Para obtener más información, consulte Arranque seguro UEFI para hosts ESXi.

Cuando se desactiva la opción de tiempo de ejecución execInstalledOnly, se muestran advertencias de vCenter Server para el host.

Requisitos previos

Para desactivar la opción execInstalledOnly, debe tener acceso raíz al host ESXi. Puede utilizar ESXCLI, PowerCLI o la API. La tarea que sigue utiliza ESXCLI.
Precaución: Si desactiva la opción de tiempo de ejecución de la configuración avanzada execInstalledOnly, estará más expuesto a sufrir ataques.

Procedimiento

  1. Conéctese al host ESXi mediante SSH.
  2. Para desactivar la opción de tiempo de ejecución execInstalledOnly, introduzca el siguiente comando ESXCLI.
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0