Noll
Video: Intel adresser Härdsmälta och Spectre säkerhetsbrister på CES 2018
Härdsmälta och Spectre-processor buggar är oroande för desktop-användare-och om att ha en dator lock-up på grund av en dåligt skriven Intel eller AMD CPU-patch är verkligen irriterande. Men summan av kardemumman är: Datorer, oavsett om de kör Linux, macOS eller Windows, kommer inte se mycket av en prestanda hit. Den verkliga smärtan från Härdsmälta och Spectre kommer att märkas på moln med servern, inte på DATORN.
Det beror på att Kollapsen och Spectre kan bryta igenom minnet väggar mellan applikationer och operativsystemet är dedikerat minne. På en PC, detta innebär trolling för att ditt lösenord och liknande. På ett moln, krona-juveler av ditt företag kan vara en överträdelse bort från att bli stulna.
SANS säkerhetsexpert Jake William varnade: “Härdsmälta kan rikta kärnan adresser som delas mellan behållaren och värd kärnan i många paravirtualisering fall (t ex Xen) och kernel sandlådor (t ex Docker).”
Hyper-V, Microsofts hypervisor, inte använda paravirtulation, men det är fortfarande sårbart. Terry Myserson, Microsoft, vice vd för Fönster och Enheter Grupp, förklarade i en blogg, “I en miljö där flera servrar som delar på funktioner (som finns i en del moln-tjänster-konfigurationer), dessa sårbarheter kan innebära att det är möjligt för någon att få tillgång till information i en virtuell maskin från en annan.”
Microsoft var medvetna om dessa problem tidigt och företaget har installerat Azure och Hyper-V patchar för att blockera dem. Men, Myerson varnade för, det är inte tillräckligt. “Windows Server kunder, kör antingen lokalt eller i molnet, också behovet av att utvärdera om att tillämpa ytterligare säkerhetsbegränsningar inom vart och ett av sina Windows Server VM gäst eller fysisk fall.”
Varför? Eftersom “den här åtgärden behövs när du kör opålitlig kod i ditt Windows Server-instanser (till exempel, du tillåta att en av dina kunder för att ladda upp en binär eller kodsnutt som du sedan köra i ditt Windows Server-instans) och du vill isolera ansökan eller binär kod, så det kan inte komma åt minnet inom Windows Server-instans att den inte borde ha tillgång till. Du behöver inte tillämpa dessa i åtgärder för att isolera ditt Windows Server VMs från andra VMs på en virtualiserad server, eftersom de är det enda som behövs för att isolera opålitlig kod körs i en viss Windows-Server-instans,” Myerson sagt.
Att börja skydda dina servrar — om de är igång på bare-järn i din server närmare eller på ett moln-du måste patch dina servrar för tre sårbarheter: CVE-2017-5715 (branch target injektion), CVE-2017-5753 (bounds in manuellt), och CVE-2017-5754 (rogue data cache-belastning).
Dessa fläckar är inte tillgängligt för alla Windows-Server-versioner. Alla långa, out-of-date Server 2003-versioner och 2008 och 2012 är öppen för attack. Microsoft arbetar på patchar för 2008 och 2012. Om du har varit att dra fötterna om att uppdatera 2003, sluta. Det är väl senaste tiden-inte bara för dessa säkerhetshål, men för alla andra som har öppnats under de senaste åren.
Lapp är inte tillräckligt. Du kommer att behöva göra mer. Precis som på skrivbordet i Windows, måste du vara säker på att du använder en kompatibel anti-virus program för patchar för att undvika BSODing din server. Om du inte kör antivirusprogram på din server måste du använda regedit för att ange följande registernyckel:
Key=”HKEY_LOCAL_MACHINE” Undernyckel=”SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat” Värde=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Typ=”REG_DWORD” Data=”0x00000000″
Anti-virus eller inte, du måste också göra andra ändringar i registret. Detta är särskilt sant om din server Hyper-V-värdar eller Remote Desktop Services-Värdar (RDSH), eller din server-instanser som körs behållare eller opålitliga databas extensions, icke tillförlitligt innehåll på webben, eller arbetsbelastning att köra kod från externa källor. Kort sagt, många, om inte de flesta, av dina servrar.
Dessa tillägg till registret är:
reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” – /v FeatureSettingsOverride /t REG_DWORD /d-0 /f
reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” – /v FeatureSettingsOverrideMask /t REG_DWORD /d-3 /f
reg add “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualisering” /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d “1.0”. /f
Du är inte klar ännu. Nu måste du installera chip firmware till din servers hårdvara. Denna firmware bör ges från maskinvaruleverantören.
När allt detta är gjort, måste du starta om din servrar.
På Azure, Microsoft startar automatiskt om din servrar och virtuella maskiner som plåster rullas ut. Du kan se status för din VMs och om omstarten klar inom Azure-Tjänst Hälsa Planerat Underhåll Avsnitt i din Azure-Portalen.
Men även Microsoft tar hand om detta på Hyper-V-nivå — och säger att du inte behöver uppdatera din VM bilder-den varnar också du ska fortsätta att gälla säkerhet för din Linux-och Windows-VM bilder. Låt träffade rakt på sak: Uppdatera dina bilder. Om dessa säkerhetsproblem som kan bryta ut av VMs, alla satsningar är avstängd på vad som kan vara attackable och du vill att din server-instanser för att vara så säker som möjligt genom att lappa dem.
Microsoft uppger att “majoriteten av Azure kunder inte ska se en märkbar påverkan på prestanda i och med denna uppdatering. Vi har arbetat för att optimera CPU och disk-i/O-väg och inte ser märkbar påverkan på prestanda efter korrigering har gjorts. Ett litet antal kunder kan uppleva vissa nätverk påverkan på prestanda. Detta kan åtgärdas genom att vrida på Azure Snabbare Nätverk (Windows, Linux), som är en gratis kapacitet tillgänglig för alla Azure kunder.”
Snabbare Nätverk är en ny funktion som bara blivit allmänt tillgängliga. Det förbi Azure är värd och virtuell switch för att snabba upp VM-nätverkstrafik. Det fungerar genom att minska belastningen på VMs och flytta den till Azure i huset programmerbara SmartNICs. För att använda den, måste du starta en ny VM och bifoga ett nytt nätverkskort till att det när det skapas. För att hantera det, du måste också använda de nyare Azure Resource Manager management portal.
Även med Snabbare Nätverk, jag tror att det är optimistisk av dem. Vi vet för ett faktum lappat Linux-system kommer att se nedgångar med några arbetsbelastning oavsett vad molnet som de kör på. Det finns ingen anledning att tro att Windows Server inte inför liknande problem med prestanda.
Dessutom har det kommit in några rapporter om Azure VMs misslyckas efter plåster.
Därför, efter att ha patchat, börja testa dina servrar för att se till att de fungerar på det sätt du räknar dem till, och sedan börja funktionskontroll. Ju tidigare du vet vad du sysslar med, desto snabbare kan du åtgärda problem och börja trimma din cloud server och resurser för att ta itu med under-utför tjänster.
Håll i dig systemadministratörer, du kommer att ha en hel del arbete på händerna.
Släkt historier
Härdsmälta-Spectre: Fyra saker varje Windows-admin behöver göra nowMeltdown-Spectre firmware glitch: Intel varnar för risken för plötslig rebootsAMD processorer: Inte lika säker som du kanske har tänkt
Relaterade Ämnen:
Cloud
Microsoft
Affärssystem
Windows-10
St
Recensioner
0