Hvordan til at beskytte Windows-Server fra en Nedsmeltning og Spectre

0
36

Nul

Video: Intel adresser Nedsmeltning og Spectre sikkerhedshuller på CES 2018

Nedsmeltning og Spectre-processor bugs er bekymrende for desktop-brugere — og at have en computer lock-up på grund af en dårligt skrevet, Intel eller AMD CPU patch er virkelig irriterende. Men bundlinjen er: Pc ‘ er, uanset om de kører Linux, macOS eller Windows, ikke se meget af en performance hit. Den virkelige smerte fra Nedsmeltning og Spectre vil kunne mærkes på cloud server, ikke på PC ‘ en.

Det skyldes, at Nedsmeltning og Spectre kan bryde igennem hukommelse vægge mellem programmer og dit operativsystem er dedikeret hukommelse. På en PC, dette betyder, trolling efter dine adgangskoder og lignende. På en sky, krone-smykker af din virksomhed kan være et brud væk fra at blive stjålet.

SANS sikkerhed ekspert Jake William advaret om, at “Nedsmeltning kan målrette kerne-adresser, der er delt mellem beholderen og vært kernen i mange paravirtualization tilfælde (fx Xen) og kerne-sandboxes (fx Docker).”

Hyper-V, Microsofts hypervisor, ikke bruge paravirtulation, men det er stadig sårbare. Terry Myserson, Microsofts administrerende vicedirektør for Windows og Enheder Gruppen, forklarede i en blog, at “I et miljø, hvor flere servere, der er til deling (som den eksisterer i nogle af cloud-tjenester konfigurationer), disse sårbarheder kan betyde, at det er muligt for en person at få adgang til oplysninger i en virtuel maskine fra en anden.”

Microsoft blev gjort opmærksom på disse problemer tidligt, og virksomheden har installeret Azure og Hyper-V patches til at blokere dem. Men, Myerson advaret, det er ikke nok. “Windows Server kunder, der kører enten på stedet eller i skyen, også nødt til at vurdere, om der skal anvendes som supplerende sikkerhed afhjælpninger inden for hvert af deres Windows Server VM gæst eller fysiske tilfælde.”

Hvorfor? Fordi, “disse sikkerhedsproblemerne er behov for, når du kører tillid kode i din Windows Server tilfælde (for eksempel, du tillade, at en af dine kunder at uploade en binær eller kodestykke, som du derefter køre i din Windows Server eksempel), og du ønsker at isolere application binary eller kode til at sikre, at det kan du ikke få adgang til hukommelse i Windows Server eksempel, at det ikke bør have adgang til. Du behøver ikke at anvende disse afhjælpninger at isolere dit Windows Server Fos fra andre VMs på en virtualiseret server, som de er i stedet kun nødvendigt at isolere tillid kode, der kører inden for en specifik Windows Server instans,” Myerson sagde.

At begynde at beskytte dine servere-uanset om de er nøgne-jern i din server eller tættere på en sky-du skal lappe dine servere for tre sårbarheder: CVE-2017-5715 (filial mål injektion), CVE-2017-5753 (bounds ind bypass), og CVE-2017-5754 (rogue data cache belastning).

Disse patches er ikke tilgængelig for alle Windows Server versioner. Alle de lange, out-of-date Server 2003-versionerne og 2008 og 2012 er åbent for angreb. Microsoft arbejder på patches til 2008 og 2012. Hvis du har været trække dine fødder om opdatering af 2003, stop. Det er godt seneste tid-ikke bare for disse sikkerhedshuller, men for alle de andre, der er åbnet i de senere år.

Patching er ikke nok. Du bliver nødt til at gøre mere. Ligesom på Windows desktop, skal du være sikker på at bruge en kompatibel anti-virus program for patches for at undgå BSODing din server. Hvis du ikke kan køre anti-virus software på din server, skal du bruge regedit for at indstille følgende nøgle i registreringsdatabasen:

Nøgle=”HKEY_LOCAL_MACHINE” Undernøgle=”SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat” Værdi=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD” Data=”0x00000000″

Anti-virus eller ej, skal du også foretage andre ændringer i registreringsdatabasen. Dette er især tilfældet, hvis din server er Hyper-V hosts eller Remote Desktop Services Værter (RDSH), eller din server forekomster kører containere eller usikker database udvidelser, der ikke er tillid til web-indhold, eller arbejdsmængder, at køre kode fra eksterne kilder. Kort sagt, mange, hvis ikke de fleste, af dine servere.

Disse tilføjelser i registreringsdatabasen:

reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualisering” /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d “1.0” /f

Du er ikke færdig endnu. Nu, skal du anvende chip firmware til dine servere, hardware. Denne firmware skal være forsynet fra din hardware leverandør.

Når alt dette er gjort, skal du genstarte din servere.

På Azure, Microsofts automatisk genstarter dine servere og Fos som de patches er rullet ud. Du kan se status for din VMs og hvis genstart er afsluttet inden for de Azure Service Sundhed Planlagt Vedligeholdelse Afsnit i din Azure Portal.

Men mens Microsoft tager sig af dette i Hyper-V, — og siger, at du ikke behøver at opdatere din VM billeder-det advarer også om, skal du fortsætte med at anvende sikkerhed best practices for din Linux-og Windows-VM billeder. Lad opfyldt skære ind til chase: Opdater dine billeder. Hvis disse sikkerhedsproblemer kan bryde ud af Fos, er alle spil er slukket på, hvad der kan være anfægtelig, og du ønsker, at din server tilfælde at være så sikre som muligt ved at lappe dem.

Microsoft siger, at “størstedelen af Azure kunder ikke skal se en mærkbar indflydelse på ydeevnen med denne opdatering. Vi har arbejdet på at optimere den CPU og disk i/O-sti, og den er ikke at se mærkbare resultater virkning efter rettelsen er blevet anvendt. Et lille sæt af kunder kan opleve nogle netværk ydeevnen. Dette kan løses ved at dreje på Azure Accelereret Netværk (Windows, Linux), som er en gratis kapacitet til rådighed for alle Azure kunder.”

Fremskyndet Netværk er en ny funktion, der er blevet tilgængelige for alle. Det forbigår Azure, der er vært for og virtuelle switch til at fremskynde VM trafikken på netværket. Det virker ved at reducere belastningen på VMs og flytter det til Azure ‘ s in-house programmerbare SmartNICs. Til at bruge det, skal du starte en ny VM og vedhæfte en ny network interface card til det, når det er oprettet. Til at styre det, skal du også bruge de nyere Azure Resource Manager management portal.

Selv med Accelereret Netværk, jeg tror, det er optimistisk af dem. Vi kender til en kendsgerning, lappet Linux-systemer vil se afmatning med nogle arbejdsopgaver, uanset hvilken sky de kører på. Der er ingen grund til at tro, Windows Server ikke står over for lignende problemer med ydeevnen.

Hertil kommer, at der har været nogle rapporter om Azure VMs-ikke efter patches.

Derfor, efter at lappe, og begynde at teste dine servere for at sikre, at de arbejde på den måde, du forventer dem til, og derefter starte performance test. Jo før du ved, hvad du har at gøre med, jo hurtigere du kan løse problemer og start tuning din sky og server ressourcer til at beskæftige sig med under udførelse af tjenester.

Bered dig systemadministratorer, du kommer til at have en masse arbejde på dine hænder.

Relaterede historier

Nedsmeltning-Spectre: Fire ting enhver Windows admin skal gøre nowMeltdown-Spectre firmware fejl: Intel advarer om risiko for pludselige rebootsAMD processorer: Ikke så sikker som du måske har tænkt

Relaterede Emner:

Cloud

Microsoft

Virksomhedens Software

Windows 10

Pc ‘ er

Anmeldelser

0