您可以選擇啟用 execInstalledOnly 強制執行,或停用先前啟用的 execInstalledOnly 強制執行。必須使用 ESXCLI,才能變更 ESXi 主機上 TPM 中的設定。必須先啟用 UEFI 安全開機強制執行,然後才能啟用 execInstalledOnly 強制執行。

此工作僅適用於具有 TPM 的 ESXi 主機。execInstalledOnly 進階 ESXi 開機選項設定為 TRUE 時,可保證 VMkernel 僅執行作為 VIB 一部分進行封裝和簽署的二進位檔案。每次開機後,都可以使用 TPM 強制啟用此開機選項。

必要條件

  • 若要啟用 execInstalledOnly 強制執行,您必須先啟用 UEFI 安全開機強制執行。execInstalledOnly 強制執行建立於 UEFI 安全開機強制執行之上。請參閱啟用或停用安全開機強制執行以確保安全的 ESXi 組態
  • 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
  • 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:主機.組態.設定

程序

  1. 列出 ESXi 主機上的目前設定。
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    如果 execInstalledOnly 強制執行已啟用,則 Require Executables Only From Installed VIBs 會顯示為 true。如果 execInstalledOnly 強制執行已停用,則 Require Executables Only From Installed VIBs 會顯示為 false。若要啟用 execInstalledOnly 強制執行,則安全開機強制執行必須處於啟用狀態,並且 Require Secure Boot 在此案例中顯示為 true。
    如果模式顯示為 NONE,您必須在主機的韌體中啟用 TPM,並透過執行以下命令設定模式:
    esxcli system settings encryption set --mode=TPM
    此外,如果 [需要安全開機] 顯示為 False,請參閱 啟用或停用安全開機強制執行以確保安全的 ESXi 組態以啟用實作。
  2. 啟用或停用 execInstalledOnly 強制執行。
    選項 說明
    啟用
    1. 確認已強制執行安全開機選項。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      確認 Require Secure Boot 顯示為 true。若非如此,請參閱啟用或停用安全開機強制執行以確保安全的 ESXi 組態

    2. 若要將 execInstalledOnly 開機選項的執行階段值設定為 TRUE,請執行下列 ESXCLI 命令。
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. 正常關閉主機。

      例如,在 vSphere Client 中的 ESXi 主機上按一下滑鼠右鍵,然後選取電源 > 關閉

    4. 重新啟動主機。
    5. 若要設定 execInstalledOnly 強制執行,請執行下列 ESXCLI 命令。
      esxcli system settings encryption set --require-exec-installed-only=T 
    6. 驗證變更。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: true
         Require Secure Boot: true

      確認 Require Executables Only From Installed VIBs 顯示為 true。

    7. 若要儲存設定,請執行下列命令。
      /sbin/auto-backup.sh
    停用
    1. 執行下列 ESXCLI 命令。
      esxcli system settings encryption set --require-exec-installed-only=F
    2. 驗證變更。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      確認 Require Executables Only From Installed VIBs 顯示為 false。

    3. 若要儲存設定,請執行下列命令。
      /sbin/auto-backup.sh

      TPM 不再強制執行 execInstalledOnly 開機選項。

結果

ESXi 主機會在啟用或停用 execInstalledOnly 強制執行的情況下執行,視您的選擇而定。