セキュアな ESXi 構成の execInstalledOnly の適用の有効化/無効化

execInstalledOnly の適用を有効にするか、以前に有効にした execInstalledOnly の適用を無効にするかを選択できます。ESXi ホストの TPM の設定を変更するには、ESXCLI を使用する必要があります。execInstalledOnly の適用を有効にする前に、UEFI セキュアブートの適用を有効にする必要があります。

このタスクは、TPM を備えた ESXi ホストにのみ適用されます。execInstalledOnly の高度な ESXi ブートオプションを TRUE に設定すると、VMkernel が VIB の一部としてパッケージ化および署名されたバイナリのみを実行することが保証されます。このブートオプションの有効化は、TPM を使用してすべてのブートで実行できます。

前提条件

execInstalledOnly の適用を有効にするには、最初に UEFI セキュアブートの適用を有効にする必要があります。execInstalledOnly の適用は、UEFI セキュアブートの適用の上に構築されます。セキュアな ESXi 構成のセキュアブートの適用の有効化/無効化を参照してください。
ESXCLI コマンドセットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
ESXCLI スタンドアローンバージョンまたは PowerCLI を使用するために必要な権限：ホスト.構成.設定

手順

ESXi ホストの現在の設定を一覧表示します。
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
execInstalledOnly の適用が有効になっている場合、[インストールされた VIB からのみ実行可能ファイルを要求する] に「true」と表示されます。execInstalledOnly の適用が無効になっている場合、[インストールされた VIB からのみ実行可能ファイルを要求する] に「false」と表示されます。execInstalledOnly の適用を有効にするには、セキュアブートの適用を有効にする必要があります。この場合、[セキュアブートが必要] には「true」と表示されます。
モードが NONE と表示される場合は、ホストのファームウェアで TPM を有効にし、次のコマンドを実行してモードを設定する必要があります。
```
esxcli system settings encryption set --mode=TPM
```
また、[セキュアブートが必要] に「False」と表示されている場合は、セキュアな ESXi 構成のセキュアブートの適用の有効化/無効化を参照して適用を有効にします。

execInstalledOnly の適用を有効または無効にする

オプション	説明
有効化	セキュアブートオプションが適用されていることを確認します。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [セキュアブートが必要] に「true」と表示されていることを確認します。表示されていない場合は、セキュアな ESXi 構成のセキュアブートの適用の有効化/無効化を参照してください。 execInstalledOnly ブートオプションの実行時の値を TRUE に構成するには、次の ESXCLI コマンドを実行します。 esxcli system settings kernel set -s execInstalledOnly -v TRUE ホストを正常にシャットダウンします。たとえば、vSphere Client の ESXi ホストを右クリックし、[電源] > [シャットダウン] を選択します。ホストを再起動します。 execInstalledOnly の適用を設定するには、次の ESXCLI コマンドを実行します。 esxcli system settings encryption set --require-exec-installed-only=T 変更を確認します。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: true Require Secure Boot: true [インストールされた VIB からのみ実行可能ファイルを要求する] に「true」と表示されていることを確認します。設定を保存するには、次のコマンドを実行します。 /sbin/auto-backup.sh
無効化	次の ESXCLI コマンドを実行します。 esxcli system settings encryption set --require-exec-installed-only=F 変更を確認します。 esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [インストールされた VIB からのみ実行可能ファイルを要求する] に「false」と表示されていることを確認します。設定を保存するには、次のコマンドを実行します。 /sbin/auto-backup.sh TPM は、execInstalledOnly ブートオプションを適用しなくなりました。

オプション

説明

有効化

セキュアブートオプションが適用されていることを確認します。
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
[セキュアブートが必要] に「true」と表示されていることを確認します。表示されていない場合は、セキュアな ESXi 構成のセキュアブートの適用の有効化/無効化を参照してください。
execInstalledOnly ブートオプションの実行時の値を TRUE に構成するには、次の ESXCLI コマンドを実行します。
```
esxcli system settings kernel set -s execInstalledOnly -v TRUE
```
ホストを正常にシャットダウンします。
たとえば、vSphere Client の ESXi ホストを右クリックし、[電源] > [シャットダウン] を選択します。
ホストを再起動します。
execInstalledOnly の適用を設定するには、次の ESXCLI コマンドを実行します。
```
esxcli system settings encryption set --require-exec-installed-only=T 
```
変更を確認します。
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true
```
[インストールされた VIB からのみ実行可能ファイルを要求する] に「true」と表示されていることを確認します。
設定を保存するには、次のコマンドを実行します。
```
/sbin/auto-backup.sh
```

無効化

次の ESXCLI コマンドを実行します。

esxcli system settings encryption set --require-exec-installed-only=F

変更を確認します。
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
[インストールされた VIB からのみ実行可能ファイルを要求する] に「false」と表示されていることを確認します。
設定を保存するには、次のコマンドを実行します。
```
/sbin/auto-backup.sh
```
TPM は、execInstalledOnly ブートオプションを適用しなくなりました。

結果

ESXi ホストは、選択に応じて、execInstalledOnly の適用を有効または無効にして実行されます。