7×24小时服务热线:4006-371-371
当前位置:371数据中心 - 媒体报道 -正文

windows服务器修复Meltdown和Spectre漏洞

更新时间:18/1/25
在许多半虚拟化实例(例如Xen)和内核沙箱(例如Docker)中,崩溃可能以容器和主机内核之间共享的内核地址为目标。
Hyper-V,微软的管理程序,不使用paravirtulation,但它仍然是脆弱的。在多个服务器共享功能的环境中(比如某些云服务配置中存在的功能),这些漏洞可能意味着某人可能访问信息在另一个虚拟机中。“
早前,微软已经意识到了这些问题,公司已经安装了Azure和Hyper-V补丁来解决这些问题。但远远不够。 运行在本地或云中的Windows Server客户还需要评估是否在每个Windows Server VM guest虚拟机或物理实例中应用其他安全缓解措施。
为什么呢?因为,当您在Windows Server实例中运行不受信任的代码时(例如,允许您的客户上传二进制文件或代码片段,然后在Windows Server实例中运行),您需要这些缓解措施应用程序二进制文件或代码,以确保它不能访问Windows服务器实例中不应该有权访问的内存。您不需要应用这些缓解措施来将Windows Server虚拟机与虚拟化服务器上的其他虚拟机隔离,因为它们而是只需要隔离在特定Windows Server实例中运行的不可信代码。
要保护服务器,必须为服务器修补三个漏洞:CVE-2017-5715(分支目标注入),CVE-2017- 5753(边界检查旁路)和CVE-2017-5754(流氓数据缓存加载)。
这些修补程序不适用于所有Windows Server版本。过时的Server 2003版本以及2008和2012都是可以被攻击的。微软正在为2008年和2012年开发补丁程序。如果您还在使用Server2003,请放弃把。因为他不仅仅是这些安全漏洞问题,还有其他的安全漏洞问题。
仅仅打补丁是不够的。你需要做更多。就像在桌面Windows上一样,您必须确保使用兼容的防病毒程序进行修补,以避免BSD攻击您的服务器。如果您不在服务器上运行防病毒软件,则必须使用regedit来设置以下注册表项:
Key =“HKEY_LOCAL_MACHINE”Subkey =“SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ QualityCompat”Value =“cadca5fe-87d3-4b96-b7fb-a231484277cc”Type =“REG_DWORD”Data =“0x00000000”
反病毒与否,您还必须进行其他注册表更改。如果您的服务器是Hyper-V主机或远程桌面服务主机(RDSH),或者您的服务器实例正在运行容器或不可信的数据库扩展,不可信的Web内容或从外部源运行代码的工作负载,则情况尤其如此。总之,很多,如果不是大多数,你的服务器。
这些注册表的补充是:
reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management”/ v FeatureSettingsOverride / t REG_DWORD / d 0 / f
reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management”/ v FeatureSettingsOverrideMask / t REG_DWORD / d 3 / f
reg添加“HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization”/ v MinVmVersionForCpuBasedMitigations / t REG_SZ / d“1.0”/ f
现在,您必须将芯片固件应用于服务器的硬件。该固件应由硬件供应商提供。
做完成这一些,你需要重新启动你的服务器。
在Azure上,Microsoft将自动重新启动您的服务器和虚拟机,因为补丁已经推出。您可以看到您的虚拟机的状态,以及在Azure门户的Azure服务健康计划维护部分中是否完成重新启动。
但是,虽然微软在Hyper-V级别处理这个问题,并且说你不需要更新你的虚拟机映像,但它也警告你应该继续为你的Linux和Windows虚拟机镜像应用安全最佳实践。让我们见面吧:更新你的照片。如果这些安全问题可能会突破虚拟机,那么所有的投注都会被攻击,而您希望您的服务器实例尽可能安全地进行修补。
大多数Azure客户不应该看到这个更新会有明显的性能影响,我们一直在努力优化CPU和磁盘I / O路径,并且在修复应用之后并没有看到明显的性能影响。客户可能会遇到一些网络性能的影响,这可以通过启用Azure加速网络(Windows,Linux)来解决,Azure加速网络是所有Azure客户都可以获得的免费功能。
加速网络是一个刚刚普遍可用的新功能。它绕过了Azure的主机和虚拟交换机来加速VM网络流量。它通过减少虚拟机的负载并将其转移到Azure的内部可编程SmartNIC来工作。要使用它,您必须启动一个新的虚拟机,并在创建时为其添加一个新的网络接口卡。要管理它,您还必须使用较新的Azure资源管理器管理门户。
即使加速网络,我认为这是乐观的。我们知道打补丁Linux系统将会看到一些工作负载的减速,而不管他们在运行什么云。没有理由认为Windows Server不会面临类似的性能问题。
修补后,开始测试您的服务器,确保它们以您期望的方式工作,然后开始性能测试。您越早知道自己在处理什么问题,就能越快解决问题并开始调整您的云和服务器资源,以处理性能不佳的服务。