Lorsque vous installez ou mettez à niveau ESXi 8.0 ou version ultérieure, l'option d'exécution interne execInstalledOnly est activée sur les hôtes par défaut. Cette option permet de protéger vos hôtes contre les attaques par rançongiciel. Si vos hôtes ESXi 8.0 ou version ultérieure exécutent encore des fichiers binaires non-VIB à partir de sources externes, vous pouvez désactiver l'option d'exécution interne execInstalledOnly.

L'option execInstalledOnly permet de protéger vos hôtes contre les attaques par rançongiciel en veillant à ce que VMkernel exécute uniquement ces fichiers binaires sur un hôte qui a été correctement empaqueté et signé dans le cadre d'un VIB valide.

L'option execInstalledOnly est à la fois une option de démarrage et une option d'exécution interne. L'option de démarrage execInstalledOnly, également appelée option de noyau, a été introduite dans ESXi 5.5. L'option de démarrage execInstalledOnly est désactivée par défaut. Dans vSphere 7.0 Update 2 et versions ultérieures, vous pouvez appliquer l'option de démarrage execInstalledOnly à chaque démarrage à l'aide d'un TPM. Pour plus d'informations, consultez Activer ou désactiver l'application d'execInstalledOnly pour une configuration d'ESXi sécurisée.

L'option d'exécution interne execInstalledOnly ajoutée dans ESXi 8.0 est activée par défaut sur les hôtes. L'option de démarrage execInstalledOnly continue d'être désactivée par défaut, sauf qu'une option de démarrage execInstalledOnly précédemment activée remplace l'option d'exécution interne si vous définissez les deux.

Note : L'option execInstalledOnly est indépendante du démarrage sécurisé. Le démarrage sécurisé vérifie que tous les VIB installés sont signés. Pour plus d'informations, consultez Démarrage sécurisé UEFI des hôtes ESXi.

Lorsque vous désactivez l'option d'exécution interne execInstalledOnly, des avertissements vCenter Server s'affichent pour l'hôte.

Conditions préalables

Pour désactiver l'option d'exécution interne execInstalledOnly, vous devez disposer d'un accès racine à l'hôte ESXi. Vous pouvez utiliser ESXCLI, PowerCLI ou l'API. La tâche qui suit utilise ESXCLI.
Attention : La désactivation de l'option d'exécution interne execInstalledOnly vous rend plus vulnérable aux attaques.

Procédure

  1. Connectez-vous à l'hôte ESXi par SSH.
  2. Pour désactiver l'option d'exécution interne execInstalledOnly, exécutez la commande ESXCLI suivante.
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0