请选择 进入手机版 | 继续访问电脑版
APP下载
扫码下载官方APP
手机版
手机扫描直接访问
| |
服务热线:400-123-45678
| | 快捷导航

海外服务器租用

17783937202

24小时全年无休,欢迎致电

IDC名录
查看: 114|回复: 0

[国际资讯] 如何修复Windows Server的Meltdown和Spectre漏洞

[复制链接]

尚未签到

74

主题

0

好友

0

IDC币

网站编辑

Rank: 8Rank: 8

发表于 2018-1-13 09:48 | 显示全部楼层 |阅读模式
       Meltdown和Spectre处理器的错误主要影响的是桌面用户,由于英特尔或AMD CPU补丁写得不好而导致计算机死机真的很烦人。但无论是运行Linux,MacOS还是Windows,个人电脑都不会有太大的表现。 Meltdown和Spectre的真正问题在服务器上感受到,而不是在PC上。
       这是因为Meltdown和Spectre可以突破应用程序和操作系统专用内存之间的内存空间。在PC电脑上,意味着你的密码以及类似的东西面临泄露。在云端上,可能企业的一些重要资料会被偷走。
       在许多半虚拟化实例(例如Xen)和内核沙箱(例如Docker)中,崩溃可能以容器和主机内核之间共享的内核地址为目标。
       Hyper-V,微软的管理程序,不使用paravirtulation,但它仍然是脆弱的。在多个服务器共享功能的环境中(比如某些云服务配置中存在的功能),这些漏洞可能意味着某人可能访问信息在另一个虚拟机中。“
       早前,微软已经意识到了这些问题,公司已经安装了Azure和Hyper-V补丁来解决这些问题。但远远不够。 运行在本地或云中的Windows Server客户还需要评​​估是否在每个Windows Server VM guest虚拟机或物理实例中应用其他安全缓解措施。
      为什么呢?因为,当您在Windows Server实例中运行不受信任的代码时(例如,允许您的客户上传二进制文件或代码片段,然后在Windows Server实例中运行),您需要这些缓解措施应用程序二进制文件或代码,以确保它不能访问Windows服务器实例中不应该有权访问的内存。您不需要应用这些缓解措施来将Windows Server虚拟机与虚拟化服务器上​​的其他虚拟机隔离,因为它们而是只需要隔离在特定Windows Server实例中运行的不可信代码。
      要保护服务器,必须为服务器修补三个漏洞:CVE-2017-5715(分支目标注入),CVE-2017- 5753(边界检查旁路)和CVE-2017-5754(流氓数据缓存加载)。
      这些修补程序不适用于所有Windows Server版本。过时的Server 2003版本以及2008和2012都是可以被攻击的。微软正在为2008年和2012年开发补丁程序。如果您还在使用Server2003,请放弃把。因为他不仅仅是这些安全漏洞问题,还有其他的安全漏洞问题。
      仅仅打补丁是不够的。你需要做更多。就像在桌面Windows上一样,您必须确保使用兼容的防病毒程序进行修补,以避免BSD攻击您的服务器。如果您不在服务器上运行防病毒软件,则必须使用regedit来设置以下注册表项:
Key =“HKEY_LOCAL_MACHINE”Subkey =“SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ QualityCompat”Value =“cadca5fe-87d3-4b96-b7fb-a231484277cc”Type =“REG_DWORD”Data =“0x00000000”
      反病毒与否,您还必须进行其他注册表更改。如果您的服务器是Hyper-V主机或远程桌面服务主机(RDSH),或者您的服务器实例正在运行容器或不可信的数据库扩展,不可信的Web内容或从外部源运行代码的工作负载,则情况尤其如此。总之,很多,如果不是大多数,你的服务器。
      这些注册表的补充是:
      reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management”/ v FeatureSettingsOverride / t REG_DWORD / d 0 / f
      reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management”/ v FeatureSettingsOverrideMask / t REG_DWORD / d 3 / f
      reg添加“HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization”/ v MinVmVersionForCpuBasedMitigations / t REG_SZ / d“1.0”/ f
      现在,您必须将芯片固件应用于服务器的硬件。该固件应由硬件供应商提供。
      做完成这一些,你需要重新启动你的服务器。
      在Azure上,Microsoft将自动重新启动您的服务器和虚拟机,因为补丁已经推出。您可以看到您的虚拟机的状态,以及在Azure门户的Azure服务健康计划维护部分中是否完成重新启动。
      但是,虽然微软在Hyper-V级别处理这个问题,并且说你不需要更新你的虚拟机映像,但它也警告你应该继续为你的Linux和Windows虚拟机镜像应用安全最佳实践。让我们见面吧:更新你的照片。如果这些安全问题可能会突破虚拟机,那么所有的投注都会被攻击,而您希望您的服务器实例尽可能安全地进行修补。
      大多数Azure客户不应该看到这个更新会有明显的性能影响,我们一直在努力优化CPU和磁盘I / O路径,并且在修复应用之后并没有看到明显的性能影响。客户可能会遇到一些网络性能的影响,这可以通过启用Azure加速网络(Windows,Linux)来解决,Azure加速网络是所有Azure客户都可以获得的免费功能。
      加速网络是一个刚刚普遍可用的新功能。它绕过了Azure的主机和虚拟交换机来加速VM网络流量。它通过减少虚拟机的负载并将其转移到Azure的内部可编程SmartNIC来工作。要使用它,您必须启动一个新的虚拟机,并在创建时为其添加一个新的网络接口卡。要管理它,您还必须使用较新的Azure资源管理器管理门户。
      即使加速网络,我认为这是乐观的。我们知道打补丁Linux系统将会看到一些工作负载的减速,而不管他们在运行什么云。没有理由认为Windows Server不会面临类似的性能问题。
      修补后,开始测试您的服务器,确保它们以您期望的方式工作,然后开始性能测试。您越早知道自己在处理什么问题,就能越快解决问题并开始调整您的云和服务器资源,以处理性能不佳的服务。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系我们
400-123-45678

工作日:周一至周五9:00-17:00

mail#a5idc.com
重庆渝中区大坪英利国际5栋6-1
社会化关注

微信公众号

微信号:IDC家

扫一扫关注我们

QQ交流群

群号:200940660

欢迎加入IDC大家庭

Powered by IDC之家 X3.4© 2001-2013 idcjia Inc.( 渝ICP备17007481号-4 )