Vous pouvez choisir d'activer l'application d'execInstalledOnly ou de désactiver une application d'execInstalledOnly précédemment activée. Vous devez utiliser ESXCLI pour modifier ce paramètre dans le TPM sur l'hôte ESXi. L'application du démarrage sécurisé UEFI doit être activée avant de pouvoir activer l'application d'execInstalledOnly.
Cette tâche s'applique uniquement aux hôtes ESXi qui contiennent un TPM. L'option de démarrage ESXi avancée execInstalledOnly, lorsqu'elle est définie sur TRUE, garantit que VMkernel exécute uniquement les fichiers binaires qui ont été empaquetés et signés dans le cadre d'un VIB. L'activation de cette option de démarrage peut être appliquée à chaque démarrage à l'aide du TPM.
Conditions préalables
- Pour activer l'application d'execInstalledOnly, vous devez d'abord activer l'application du démarrage sécurisé UEFI. L'application d'execInstalledOnly est intégrée à l'application du démarrage sécurisé UEFI. Reportez-vous à la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée.
- A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
- Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI :
Procédure
- Répertoriez les paramètres actuels sur l'hôte ESXi.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
Si l'application d'execInstalledOnly est activée, l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur true. Si l'application d'execInstalledOnly est déactivée, l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur false. Pour activer l'application d'execInstalledOnly, l'application du démarrage sécurisé doit être activée et l'option Exiger le démarrage sécurisé affiche alors la valeur true.
- Activez ou désactivez l'application execInstalledOnly.
| Option |
Description |
| Activer |
- Vérifiez que l'option de démarrage sécurisé est appliquée.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur true. Si ce n'est pas le cas, consultez la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée.
- Pour configurer la valeur d'exécution de l'option de démarrage execInstalledOnly sur TRUE, exécutez la commande ESXCLI suivante.
esxcli system settings kernel set -s execInstalledOnly -v TRUE
- Arrêtez l'hôte de manière normale.
Par exemple, cliquez avec le bouton droit sur l'hôte ESXi dans vSphere Client et sélectionnez .
- Redémarrez l'hôte.
- Pour définir l'application execInstalledOnly, exécutez la commande ESXCLI suivante.
esxcli system settings encryption set --require-exec-installed-only=T
- Vérifiez la modification.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: true
Require Secure Boot: true Confirmez que l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur true.
- Pour enregistrer le paramètre, exécutez la commande suivante.
/sbin/auto-backup.sh
|
| Désactiver |
- Exécutez la commande ESXCLI suivante.
esxcli system settings encryption set --require-exec-installed-only=F
- Vérifiez la modification.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirmez que l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur false.
- Pour enregistrer le paramètre, exécutez la commande suivante.
/sbin/auto-backup.sh Le TPM n'applique plus l'option de démarrage execInstalledOnly.
|
Résultats
L'hôte ESXi s'exécute avec l'application d'execInstalledOnly activée ou désactivée, selon votre choix.
