Come proteggere Windows Server dal Tracollo e Spectre

0
46

Zero

Video: Intel indirizzi di Crollo e di Spettro di falle di sicurezza al CES 2018

La crisi e lo Spettro del processore bug sono preoccupanti per gli utenti desktop — e avere un computer lock-up a causa di un male scritto CPU Intel o AMD patch è veramente fastidioso. Ma la linea di fondo è: Pc, se si esegue Linux, macOS o Windows, non di vedere un calo di prestazioni. Il vero dolore dal Tracollo e Spectre sarà sentito su cloud con il server, non sul PC.

Questo perché il Tracollo e Spectre può rompere attraverso la memoria di mura tra le applicazioni e il sistema operativo memoria dedicata. Su un PC, questo significa che traina per le tue password e simili. Su una nuvola, la corona gioielli della vostra azienda può essere una violazione di distanza da essere rubato.

SANS esperto di sicurezza Jake William ha avvertito, “Scioglimento obiettivo kernel indirizzi condivisi tra il contenitore e il kernel host in molti paravirtualizzazione casi (ad esempio, Xen) e kernel sandbox (ad esempio, la finestra Mobile).”

Hyper-V, Microsoft hypervisor, non utilizzare paravirtulation, ma è ancora vulnerabile. Terry Myserson di Microsoft, executive VP di Windows e Dispositivi di Gruppo, ha spiegato in un blog, “In un ambiente in cui più server con funzionalità di condivisione (come esiste in alcuni servizi cloud configurazioni), queste vulnerabilità può dire, è possibile che qualcuno di accesso alle informazioni in una macchina virtuale da un altro.”

Microsoft è stata fatta a conoscenza di questi problemi all’inizio, e l’azienda ha installato Azure e Hyper-V patch per bloccare loro. Ma, Myerson ha avvertito, che non è abbastanza. “Windows Server i clienti, esecuzione, sia on-premise o nel cloud, anche la necessità di valutare la possibilità di applicare una protezione supplementare attenuazioni all’interno di ciascuno di loro di Windows Server VM guest fisica o istanze.”

Perché? Perché “queste limitazioni sono necessarie durante l’esecuzione di codice maligno all’interno del vostro Windows Server casi (per esempio, permettere a uno dei tuoi clienti per caricare un file binario o frammento di codice che viene eseguito all’interno del vostro Windows Server istanza) e si desidera isolare il binario dell’applicazione o codice per assicurarsi che non può accedere alla memoria in Windows Server istanza che non dovrebbe avere accesso. Non è necessario applicare queste strategie di riduzione del rischio di isolare il vostro Windows Server Vm da altre macchine virtuali su un server virtualizzato, come sono invece necessari solo per isolare il codice non attendibile in esecuzione all’interno di una specifica istanza di Windows Server,” Myerson ha detto.

Per iniziare a proteggere il vostro server, sia che siano in esecuzione sul nudo ferro nel vostro server più vicino o su un cloud, è necessario patch server per tre vulnerabilità: CVE-2017-5715 (branch target di iniezione), CVE-2017-5753 (limiti di controllo bypass), e CVE-2017-5754 (rogue cache di dati di carico).

Queste patch non sono disponibili per tutte le versioni di Windows Server. Tutti i long, out-of-data Server 2003 e il 2008 e il 2012 sono aperti agli attacchi. Microsoft è al lavoro sulla patch per il 2008 e il 2012. E se vi state trascinando i piedi sull’aggiornamento 2003, stop. E ‘ ben oltre il tempo-non solo per queste falle di sicurezza, ma per tutti gli altri che hanno aperto negli ultimi anni.

Patch non è sufficiente. Avrai bisogno di fare di più. Proprio come sul desktop di Windows, è necessario essere certi di utilizzare una compatibile con il programma anti-virus per le patch per evitare BSODing server. Se non si esegue il software anti-virus sul vostro server, è necessario utilizzare regedit per impostare la seguente chiave di registro:

Key=”HKEY_LOCAL_MACHINE” Sottochiave=”SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD” Data=”0x00000000″

Anti-virus o non, è necessario apportare ulteriori modifiche al registro di sistema. Questo è particolarmente vero se il server host Hyper-V o Host di Servizi Desktop Remoto (RDSH), o le istanze server sono in esecuzione contenitori o non attendibili database estensioni, non attendibile il contenuto web o carichi di lavoro che consente di eseguire codice da sorgenti esterne. In breve, molti, se non la maggior parte dei server.

Queste aggiunte al registro di sistema sono:

reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualizzazione” /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d “1.0” /f

Non hai ancora fatto. Ora, è necessario applicare il chip del firmware per il vostro server hardware. Questo firmware dovrebbe essere fornito dal vostro fornitore di hardware.

Una volta fatto tutto questo, è necessario riavviare il server.

Su Azure, Microsoft automaticamente il riavvio del server e macchine virtuali come le patch sono rotolato fuori. È possibile vedere lo stato della Vm e se il riavvio completato entro l’Azzurro del Servizio Sanitario Manutenzione Programmata Sezione del Portale Azure.

Ma mentre Microsoft si prende cura di questo, al di Hyper-V livello-e dice che non hanno bisogno di aggiornare le vostre immagini VM — si avverte, inoltre, si dovrebbe continuare ad applicare le migliori pratiche di sicurezza per Linux e Windows VM immagini. Lasciate incontrato al sodo: Aggiornamento immagini. Se questi problemi di sicurezza, si può rompere, macchine virtuali, tutte le scommesse sono spenti su quello che potrebbe essere attaccabile e volete che il vostro server istanze per essere il più sicuro possibile con l’applicazione di patch.

Microsoft afferma: “La maggior parte delle Azzurre, i clienti non dovrebbero vedere un notevole impatto sulle prestazioni con questo aggiornamento. Abbiamo lavorato per ottimizzare la CPU e I/O del disco percorso e non si vede notevole impatto sulle prestazioni dopo la correzione è stata applicata. Un piccolo gruppo di clienti possono sperimentare alcuni networking impatto sulle prestazioni. Questo può essere affrontato girando su Azure Accelerato di Rete (Windows, Linux), che è una libera capacità a disposizione di tutti Azure clienti.”

Accelerato la Rete è una nuova funzionalità che è appena diventato generalmente disponibili. Si bypassa Azure host virtuale e passare a velocità fino VM traffico di rete. Funziona riducendo il carico delle macchine virtuali e spostamento in Azzurro in casa programmabile SmartNICs. Per utilizzarlo, è necessario avviare una nuova VM e montare una nuova scheda di interfaccia di rete quando viene creato. Per fare ciò, è necessario utilizzare anche il più recente Azure Gestione Risorse gestione del portale.

Anche con Accelerato Networking, penso che sia ottimista. Sappiamo che per un fatto di patch Linux sistemi di vedere rallentamenti con alcuni carichi di lavoro, a prescindere di ciò che il cloud si sta eseguendo. Non c’è alcun motivo per pensare di Windows Server non si trovano ad affrontare simili problemi di prestazioni.

In aggiunta, ci sono stati alcuni rapporti di Azure Vm errori dopo la patch.

Quindi, dopo l’applicazione di patch, iniziare a testare i server per assicurarsi che funzionino come ci si potrebbe aspettare, e quindi avviare il test delle prestazioni. La prima si sa cosa si sta trattando, la prima si può risolvere i problemi e iniziare il processo di ottimizzazione del tuo cloud server e risorse per affrontare con la prestazione di servizi.

Preparati gli amministratori di sistema, si sta andando ad avere un sacco di lavoro sulle vostre mani.

Storie correlate

Meltdown-Spectre: Quattro cose che ogni amministratore di Windows deve fare nowMeltdown-Spectre firmware glitch: Intel avverte del rischio di improvvisa rebootsAMD processori: Non è sicuro come si potrebbe pensare

Argomenti Correlati:

Cloud

Microsoft

Enterprise Software

Windows 10

Pc

Recensioni

0