VMware vSphere 6.5增加了很多功能旨在改進虛擬機的安全性，并采用日志、報表以及被稱為ESXi安全引導以及虛擬機安全引導的新特性增強安全細節信息。

管理員可以使用這些vSphere安全工具阻止非授權窺探、篡改虛擬機，并接收更詳細的可能意味著是惡意活動的變更告警，結果就是能夠更快地牽制并糾正惡意行為。

與任何新特性一樣，了解其使用要求、對新行為進行測試以積累經驗、識別并解決任何部署問題—尤其是針對vSphere安全性而言更是如此—并在生產環境中部署新特性之前建立管理流程是很重要的。

對微軟Windows或者VMware ESXi操作系統進行未授權的變更或修改可能意味著嚴重的安全違規，但如果沒有進行精心的掃描以及其他仔細的調查可能很難甚至無法發現上述行為。

一種正在涌現出來的在操作系統啟動時保護其完整性的方法是通過可信源，如數字證書對內核進行驗證。統一可擴展固件接口（UEFI）固件提供的安全引導特性能夠驗證操作系統內核以及其他組件的數字簽名，與包含在UEFI固件中受信的數字證書進行對比。

通常情況，支持UEFI安全引導的主要操作系統組件都會有簽名。這可能包括引導程序、內核以及驅動。微軟提供了一些適合引導Windows以及某些第三方代碼比如Linux引導程序的UEFI認證。VMware還提供了在虛擬機內引導ESXi的證書。在啟動時，如果證書與簽名相匹配，那么操作系統會被認為是經過確認的，能夠繼續啟動。

VMware vSphere安全性使用ESXi安全引導進一步應用了這一驗證過程，針對所有ESXi組件增加了密碼驗證。其想法是ESXi由一系列數字簽名包構成，被整合到vSphere安裝包（VIB）中。一旦UEFI安全引導對ESXi內核進行了驗證，ESXi內核將會使用某些數字證書對每個VIB進行驗證—確保虛擬機內的所有ESXi組件完整、未被篡改。

當主機操作系統安裝了UEFI固件，虛擬機操作系統支持UEFI安全引導，并且hypervisor支持版本號為13或更高版本的虛擬硬件時，你可以在vSphere Web Client中部署ESXi安全組件。

選中目標虛擬機，打開編輯設置對話框，確認固件被設置為EFI—不是UEFI—檢查啟用安全引導復選框，然后選擇確定。

滿足了所有必要條件后，你需要在啟用安全引導前關閉虛擬機。在啟用安全引導后必須重啟虛擬機，這樣安全引導才能夠生效。

記住一旦啟用了ESXi安全引導，只有帶有合法制造商簽名的操作系統組件才能夠引導。如果簽名丟失或者任一操作系統組件不合法，那么虛擬機引導過程將會中斷并返回錯誤—無法強制安裝未簽名的操作系統組件。

生產環境嘗試啟用安全引導前在測試環境進行安全引導測試是個不錯的主意。這允許IT管理員更高效地進行故障診斷并修復可能存在的安全錯誤。