安裝或升級到 ESXi 8.0 時,依預設會在主機上啟用 execInstalledOnly 進階組態執行階段選項。此選項有助於保護主機免受惡意軟體攻擊。如果 ESXi 8.0 主機仍執行來自外部來源的非 VIB 二進位檔,則可以停用 execInstalledOnly 進階組態執行階段選項。

execInstalledOnly 選項可確保 VMkernel 僅執行已作為有效 VIB 一部分進行正確封裝和簽署的二進位檔案,從而幫助保護主機免受惡意軟體攻擊。

execInstalledOnly 選項既是開機選項,也是執行階段選項。execInstalledOnly 開機選項 (也稱為核心選項) 是在 ESXi 5.5 中引入的。依預設,execInstalledOnly 開機選項處於停用狀態。從 vSphere 7.0 Update 2 開始,可以在每次使用 TPM 開機時強制執行 execInstalledOnly 開機選項。如需詳細資訊,請參閱 啟用或停用 execInstalledOnly 強制執行以確保安全的 ESXi 組態

依預設,ESXi 8.0 中新增的 execInstalledOnly 進階組態執行階段選項在主機上處於啟用狀態。依預設,execInstalledOnly 開機選項會繼續處於停用狀態,但先前啟用的 execInstalledOnly 開機選項會在您設定了這兩個選項時覆寫執行階段選項。

備註: execInstalledOnly 選項獨立於安全開機之外。安全開機會檢查所有已安裝的 VIB 是否已簽署。如需詳細資訊,請參閱 ESXi 主機的 UEFI 安全開機

停用 execInstalledOnly 執行階段選項後,會針對主機顯示 vCenter Server 警告。

必要條件

若要停用 execInstalledOnly 選項,您必須對 ESXi 主機擁有根存取權。可以使用 ESXCLI、PowerCLI或 API。接下來的工作使用 ESXCLI。
注意: 停用 execInstalledOnly 進階組態執行階段選項會讓您更容易受到攻擊。

程序

  1. 使用 SSH 連線至 ESXi 主機。
  2. 若要停用 execInstalledOnly 執行階段選項,請輸入以下 ESXCLI 命令。
    esxcli system settings advanced set -o /User/execInstalledOnly -i 0