execInstalledOnly 内部ランタイムオプションの無効化

ESXi 8.0 以降をインストール、またはこれにアップグレードすると、ホストの execInstalledOnly 内部ランタイムオプションがデフォルトで有効になります。このオプションは、ランサムウェア攻撃からホストを保護するのに役立ちます。ESXi 8.0 以降のホストで引き続き外部ソースの非 VIB バイナリを実行する場合は、execInstalledOnly 内部ランタイムオプションを無効にできます。

execInstalledOnly オプションでは、VMkernel がホスト上で実行可能なバイナリを有効な VIB の一部として適切にパッケージ化され署名されたものに制限することで、ランサムウェア攻撃からホストを保護できます。

execInstalledOnly オプションは、起動オプションであり、内部ランタイムオプションでもあります。execInstalledOnly 起動オプションは、カーネルオプションとも呼ばれ、ESXi 5.5 で導入されました。execInstalledOnly 起動オプションは、デフォルトで無効になっています。vSphere 7.0 Update 2 以降では、TPM を使用して、起動のたびに execInstalledOnly 起動オプションを適用できます。詳細については、『セキュアな ESXi 構成の execInstalledOnly の適用の有効化/無効化』を参照してください。

ESXi 8.0 で追加された execInstalledOnly 内部ランタイムオプションは、ホストのデフォルトで有効になります。execInstalledOnly 起動オプションは、デフォルトでは引き続き無効です。ただし、以前にこの起動オプションを有効にしている場合、内部ランタイムオプションも設定すると、内部ランタイムオプションは起動オプションによって上書きされます。

注： execInstalledOnly オプションは、セキュアブートとは無関係です。セキュアブートでは、すべてのインストール済み VIB が署名されていることを確認します。詳細については、『 ESXi ホストの UEFI セキュアブート』を参照してください。

execInstalledOnly 内部ランタイムオプションを無効にすると、ホストに vCenter Server 警告が表示されます。

前提条件

execInstalledOnly 内部ランタイムオプションを無効にするには、 ESXi ホストへの root アクセス権が必要です。ESXCLI、PowerCLI、または API を使用できます。次のタスクでは、ESXCLI を使用します。

注意： execInstalledOnly 内部ランタイムオプションを無効にすると、攻撃に対する脆弱性が高まります。

手順

SSH を使用して ESXi ホストに接続します。
execInstalledOnly 内部ランタイムオプションを無効にするには、次の ESXCLI コマンドを実行します。
```
esxcli system settings advanced set -o /User/execInstalledOnly -i 0
```