ESXi 8.0 以降をインストール、またはこれにアップグレードすると、ホストの execInstalledOnly 内部ランタイム オプションがデフォルトで有効になります。このオプションは、ランサムウェア攻撃からホストを保護するのに役立ちます。ESXi 8.0 以降のホストで引き続き外部ソースの非 VIB バイナリを実行する場合は、execInstalledOnly 内部ランタイム オプションを無効にできます。

execInstalledOnly オプションでは、VMkernel がホスト上で実行可能なバイナリを有効な VIB の一部として適切にパッケージ化され署名されたものに制限することで、ランサムウェア攻撃からホストを保護できます。

execInstalledOnly オプションは、起動オプションであり、内部ランタイム オプションでもあります。execInstalledOnly 起動オプションは、カーネル オプションとも呼ばれ、ESXi 5.5 で導入されました。execInstalledOnly 起動オプションは、デフォルトで無効になっています。vSphere 7.0 Update 2 以降では、TPM を使用して、起動のたびに execInstalledOnly 起動オプションを適用できます。詳細については、『セキュアな ESXi 構成の execInstalledOnly の適用の有効化/無効化』を参照してください。

ESXi 8.0 で追加された execInstalledOnly 内部ランタイム オプションは、ホストのデフォルトで有効になります。execInstalledOnly 起動オプションは、デフォルトでは引き続き無効です。ただし、以前にこの起動オプションを有効にしている場合、内部ランタイム オプションも設定すると、内部ランタイム オプションは起動オプションによって上書きされます。

注: execInstalledOnly オプションは、セキュア ブートとは無関係です。セキュア ブートでは、すべてのインストール済み VIB が署名されていることを確認します。詳細については、『 ESXi ホストの UEFI セキュア ブート』を参照してください。

execInstalledOnly 内部ランタイム オプションを無効にすると、ホストに vCenter Server 警告が表示されます。

前提条件

execInstalledOnly 内部ランタイム オプションを無効にするには、 ESXi ホストへの root アクセス権が必要です。ESXCLI、PowerCLI、または API を使用できます。次のタスクでは、ESXCLI を使用します。
注意: execInstalledOnly 内部ランタイム オプションを無効にすると、攻撃に対する脆弱性が高まります。

手順

  1. SSH を使用して ESXi ホストに接続します。
  2. execInstalledOnly 内部ランタイム オプションを無効にするには、次の ESXCLI コマンドを実行します。
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0