Quando si installa o si esegue l'aggiornamento a ESXi 8.0 o versioni successive, l'opzione di runtime interno execInstalledOnly viene attivata negli host per impostazione predefinita. Questa opzione consente di proteggere gli host dagli attacchi ransomware. Se gli host ESXi 8.0 o versioni successive eseguono ancora file binari non VIB da origini esterne, è possibile disattivare l'opzione di runtime interno execInstalledOnly.

L'opzione execInstalledOnly consente di proteggere gli host da attacchi ransomware facendo in modo che VMkernel esegua in un host solo i file binari che sono stati correttamente inseriti in un pacchetto e firmati come parte di un VIB valido.

L'opzione execInstalledOnly è sia un'opzione di avvio sia un'opzione di runtime interno. L'opzione di avvio execInstalledOnly, chiamata anche opzione kernel, è stata introdotta in ESXi 5.5. L'opzione di avvio execInstalledOnly è disattivata per impostazione predefinita. In vSphere 7.0 Update 2 e versioni successive, è possibile applicare l'opzione di avvio execInstalledOnly a ogni avvio utilizzando un TPM. Per ulteriori informazioni, vedere Attivazione o disattivazione dell'imposizione execInstalledOnly per una configurazione di ESXi sicura.

L'opzione di runtime interno execInstalledOnly aggiunta in ESXi 8.0 è attivata negli host per impostazione predefinita. L'opzione di avvio execInstalledOnly continua a essere disattivata per impostazione predefinita, ma un'opzione di avvio execInstalledOnly abilitata in precedenza sovrascrive l'opzione di runtime interno se le si imposta entrambe.

Nota: L'opzione execInstalledOnly è indipendente da Avvio sicuro. Avvio sicuro verifica che tutti i VIB installati siano firmati. Per ulteriori informazioni, vedere Avvio protetto UEFI per gli host ESXi.

Quando si disattiva l'opzione di runtime interno execInstalledOnly, vengono visualizzati avvisi di vCenter Server per l'host.

Prerequisiti

Per disattivare l'opzione di runtime interno execInstalledOnly, è necessario disporre dell'accesso root all'host ESXi. È possibile utilizzare ESXCLI, PowerCLI o l'API. L'attività che segue utilizza ESXCLI.
Attenzione: La disattivazione dell'opzione di runtime interno execInstalledOnly aumenta la vulnerabilità agli attacchi.

Procedura

  1. Connettersi all'host ESXi tramite SSH.
  2. Per disattivare l'opzione di runtime interno execInstalledOnly, immettere il comando ESXCLI seguente.
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0