Hoe bescherm Windows Server Crisis en de Spectre

0
27

Nul

Video: Intel adressen Crisis en de Spectre beveiligingsfouten op de CES 2018

De Crisis en de Spectre processor bugs zorgen voor desktop gebruikers — en het hebben van een computer lock-up vanwege een slecht geschreven Intel of AMD CPU patch is echt vervelend. Maar de bottom line is: Pc ‘ s, of ze nu met Linux, macOS of Windows, ziet niet veel van een performance hit. De echte pijn van de Crisis en de Spectre zal worden gevoeld op de cloud met de server, niet op de PC.

Dat is omdat de Crisis en de Spectre kan breken door het geheugen muren tussen applicaties en het besturingssysteem dedicated geheugen. Op een PC, dit betekent trollen voor uw wachtwoorden en dergelijke. Op een wolk, de kroon juwelen van uw bedrijf kan een inbreuk op afstand worden gestolen.

SANS security expert Jake William gewaarschuwd, “Meltdown kan richten op kernel-adressen die worden gedeeld tussen de container en de host kernel in veel paravirtualisatie gevallen (bijvoorbeeld bij Xen) en kernel zandbakken (bijv. Docker).”

Hyper-V, Microsoft hypervisor, niet paravirtulation, maar het is nog steeds kwetsbaar. Terry Myserson, Microsoft ‘ s executive vice-president van de Windows en de Apparaten van de Groep, vertelde in een blog, “In een omgeving waar meerdere servers delen van mogelijkheden (zoals aanwezig in sommige cloud diensten configuraties), deze kwetsbaarheden kunnen betekenen dat het mogelijk is voor iemand om toegang te krijgen tot de informatie in een virtuele machine van een ander.”

Microsoft was zich bewust van deze problemen vanaf het begin, en het bedrijf heeft geïnstalleerd Azure en Hyper-V patches om ze te blokkeren. Maar, Myerson gewaarschuwd, dat is niet genoeg. “Windows Server klanten, het uitvoeren van on-premise of in de cloud, ook nodig om te beoordelen of extra beveiligingsinstelling binnen elk van hun Windows Server VM gast of fysieke exemplaren.”

Waarom? Omdat deze oplossingen zijn nodig als u werkt met niet-vertrouwde code in uw Windows Server instances (voor voorbeeld, kunt u een van uw klanten uploaden van een binaire of codefragment dat u vervolgens in uw Windows Server bijvoorbeeld) en u wilt isoleren of toepassing binaire code om te zorgen dat het geen toegang kunnen krijgen tot het geheugen in de Windows Server-exemplaar dat het geen toegang heeft. U hoeft niet toepassen van deze oplossingen voor het isoleren van uw Windows Server vm ‘s van andere vm’ s op een gevirtualiseerde server, als ze in plaats daarvan alleen nodig voor het isoleren van niet-vertrouwde code die wordt uitgevoerd binnen een bepaalde Windows Server bijvoorbeeld,” zei Myerson.

Om te beginnen met het beschermen van uw servers, of ze nu die op bare-ijzer in uw server dichterbij of op een wolk — je moet patch uw servers voor drie kwetsbaarheden: CVE-2017-5715 (branch target injectie), CVE-2017-5753 (grenzen controleer bypass), en CVE-2017-5754 (rogue gegevens uit de cache geladen).

Deze patches zijn niet beschikbaar voor alle versies van Windows Server. De lange, out-of-date Server 2003 en 2008 en 2012 zijn open voor aanvallen. Microsoft werkt aan patches voor 2008 en 2012. Als u al slepen met je voeten over het bijwerken van 2003, te stoppen. Het is ook verleden tijd, niet alleen voor deze gaten in de beveiliging, maar ook voor alle anderen die in de afgelopen jaren.

Patchen is niet voldoende. Je zult meer moeten doen. Net als op de desktop van Windows, moet u zeker zijn als u een compatibele anti-virus programma voor de patches om te voorkomen dat BSODing uw server. Als u niet uitvoeren van anti-virus software op uw server, moet u gebruik regedit om de volgende registersleutel:

Key=”HKEY_LOCAL_MACHINE” Subsleutel=”SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat” Waarde=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD” Gegevens=”0x00000000″

Anti-virus of niet, je moet ook andere wijzigingen in het register. Dit is vooral het geval als uw server Hyper-V-hosts of Extern Bureaublad-Services Host (RDSH), of uw server exemplaren uitgevoerd containers of niet-vertrouwde database-uitbreidingen, niet-vertrouwde web content, of toepassingen die de code uitvoeren van externe bronnen. In het kort, vele, zo niet de meeste, van uw servers.

Deze toevoegingen aan de registry zijn:

reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualisatie” /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d “1.0” /f

Je bent nog niet klaar. Nu moet u toepassen van de chip firmware voor uw server-hardware. Deze firmware dient te worden verstrekt van de leverancier van de hardware.

Nadat dit alles is gedaan, moet u opnieuw opstarten uw servers.

Op Azure, Microsoft automatisch herstart van uw servers en de VMs als de patches worden uitgerold. U kunt de status van uw vm ‘ s en als de reboot afgerond binnen de Azure Service Gezondheid Geplande Onderhoud in uw Azure Portal.

Maar terwijl Microsoft doet dit op de Hyper-V niveau — en zegt dat je niet moet updaten uw VM-images — waarschuwt u moet doorgaan met het toepassen van security best practices voor uw Linux-en Windows VM beelden. Laat voldaan snijden aan de jacht: het Bijwerken van uw afbeeldingen. Als deze beveiliging problemen kunnen uitbreken van de VMs, zijn alle weddenschappen af op wat kan worden te vallen en u wilt uw server instanties instellen om zo veilig mogelijk door het patchen van hen.

Microsoft stelt dat “De meerderheid van de Azure klanten moeten geen merkbare invloed op de prestaties met deze update. We hebben gewerkt aan het optimaliseren van de CPU en schijf-I/O-pad en je ziet een merkbare invloed op de prestaties na de correctie is toegepast. Een kleine groep klanten ondervinden sommige netwerken invloed op de prestaties. Dit kan worden verholpen door het draaien op Azure Versnelde Netwerken (Windows, Linux), dat is een gratis mogelijkheid beschikbaar voor alle Azure klanten.”

Versnelde Netwerken is een nieuwe functie die is gewoon algemeen beschikbaar zijn. Het omzeilt Azure de host en virtuele switch te versnellen VM netwerk verkeer. Het werkt door het verminderen van de belasting van de vm ‘ s en het verplaatsen van het Azure in huis programmeerbare SmartNICs. Om het te gebruiken, moet u beginnen met een nieuwe VM in en voeg een nieuw netwerk interface kaart wanneer het is gemaakt. Om het te beheren, moet u ook gebruik maken van de nieuwere Azure Resource Manager management portal.

Zelfs met Versnelde Netwerken, dat is denk ik optimistisch van hen. We weten voor een feit patched Linux systemen ziet een vertraging met een bepaalde werkbelasting, ongeacht van wat cloud ze over. Er is geen reden om te denken dat Windows Server niet geconfronteerd met soortgelijke problemen.

Daarnaast zijn er enkele rapporten van Azure vm ‘ s falende na de patches.

Daarom, na het patchen, beginnen met het testen van uw servers en zorg ervoor dat ze werken op de manier die u van hen verwachten, en start vervolgens de prestaties te testen. Hoe eerder je weet waar je mee bezig bent, hoe eerder je kunt problemen oplossen en start met het stemmen van uw cloud server en middelen om te gaan met het uitvoeren van diensten.

Zet je schrap systeembeheerders, je gaat een hoop werk op je handen.

Verwante verhalen

Meltdown-Spook: Vier dingen van elke Windows-admin moet doen nowMeltdown-Spectre firmware glitch: Intel waarschuwt voor het risico van plotselinge rebootsAMD processors: Niet zo veilig als je zou hebben gedacht

Verwante Onderwerpen:

Cloud

Microsoft

Enterprise Software

Windows 10

Pc ‘ s

Beoordelingen

0