Comment protéger Serveur Windows à partir d'un Effondrement et le Spectre | ZDNet

Vidéo: Intel adresses Effondrement et le Spectre des failles de sécurité au ces 2018

La crise et le Spectre de processeur bugs sont préoccupantes pour les utilisateurs d'ordinateurs de bureau et avoir un ordinateur de blocage en raison d'un mal écrit Intel ou AMD CPU patch est vraiment ennuyeux. Mais la ligne de fond est: Pc, qu'ils soient sous Linux, macOS ou Windows, vous ne verrez pas beaucoup de performances. La vraie douleur de l'Effondrement et le Spectre se fera sentir sur le cloud avec le serveur, pas sur le PC.

C'est parce que l'Effondrement et le Spectre peut franchir la mémoire des murs entre les applications et votre système d'exploitation mémoire dédiée. Sur un PC, cela signifie que la pêche à la traîne pour vos mots de passe et autres. Sur un nuage, la couronne-les bijoux de votre entreprise peut être une violation loin d'être volé.

SANS un expert de la sécurité Jake William averti, "Fusion peuvent cibler le noyau des adresses qui sont partagés entre le conteneur et du noyau hôte dans de nombreux paravirtualisation instances (par exemple, Xen) et le noyau sandbox (par exemple, menu fixe)."

Hyper-V, Microsoft hyperviseur, ne pas utiliser paravirtulation, mais c'est toujours vulnérable. Terry Myserson, Microsoft vice-président exécutif de Windows et les Appareils de Groupe, a expliqué dans un blog, "Dans un contexte où plusieurs serveurs de partage de capacités (telles comme il en existe dans certains services de cloud configurations), ces vulnérabilités pourrait signifier qu'il est possible pour une personne d'accéder aux informations d'une machine virtuelle à partir d'un autre."

Microsoft est conscient de ces problèmes dès le début, et l'entreprise a installé Azure et Hyper-V de patchs pour les bloquer. Mais, Myerson averti, ce n'est pas suffisant. "Windows Server clients, en cours d'exécution soit sur site ou dans le cloud, faut également évaluer s'il faut appliquer une sécurité supplémentaire mesures d'atténuation à l'intérieur de chacun de leurs Windows Server VM ou physique instances."

Pourquoi? Parce que, "ces mesures d'atténuation sont nécessaires lors de l'exécution de code non sécurisé au sein de votre Windows instances du Serveur (par exemple, vous permettez à un de vos clients de télécharger un binaire ou un extrait de code que vous pouvez ensuite exécuter à l'intérieur de votre Serveur Windows exemple) et que vous souhaitez isoler l'application binaire ou code pour s'assurer qu'il ne peut pas accéder à la mémoire dans Windows Server instance qu'il ne devrait pas avoir accès. Vous n'avez pas besoin d'appliquer ces mesures d'atténuation pour isoler votre Windows Serveur de machines virtuelles à partir d'autres machines virtuelles sur un serveur virtualisé, comme elles sont seulement nécessaires pour isoler les non approuvé l'exécution de code spécifiques au sein d'une instance Windows Server," Myerson dit.

Pour commencer à protéger vos serveurs, qu'ils soient en cours d'exécution sur bare de fer dans votre serveur plus proche ou sur un nuage, vous devez corriger vos serveurs pour les trois problèmes: CVE-2017-5715 (direction de la cible d'injection), CVE-2017-5753 (vérification de limites de dérivation), et CVE-2017-5754 (rogue cache de données de charge).

Ces patchs ne sont pas disponibles pour tous les Windows Server versions. Tout le long, out-of-date, Server 2003 versions de 2008 et de 2012 sont ouvertes à l'attaque. Microsoft travaille sur des parcelles pour l'année 2008 et 2012. Si vous avez été traîner les pieds sur la mise à jour de 2003, arrêtez. C'est bien de passer le temps, pas seulement pour ces failles de sécurité, mais aussi pour tous les autres qui ont ouvert ces dernières années.

Patcher n'est pas suffisant. Vous aurez besoin de faire plus. Tout comme sur le bureau Windows, vous devez être certain d'utiliser un programme anti-virus pour les patchs pour éviter BSODing votre serveur. Si vous ne lancez pas le logiciel anti-virus sur votre serveur, vous devez utiliser regedit pour définir la clé de registre suivante:

Key="HKEY_LOCAL_MACHINE" sous-Clé="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD" Data="0 x 00000000"

Anti-virus ou pas, vous devez également faire d'autres modifications du registre. Cela est particulièrement vrai si votre serveur Hyper-V hôtes ou des Services Bureau à Distance Hôtes (RDSH), ou votre serveur instances sont en cours d'exécution des conteneurs ou des extensions des bases de données non fiables, non approuvé le contenu web, ou des charges de travail que de l'exécution de code à partir de sources externes. En bref, beaucoup, sinon la plupart de vos serveurs.

Ces ajouts à la base de registre sont:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualisation" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Vous n'êtes pas encore fini. Maintenant, vous devez appliquer la puce firmware pour vos serveurs de matériel. Ce firmware doit être fournie par votre fournisseur de matériel.

Une fois que tout cela est fait, vous aurez besoin de redémarrer vos serveurs.

Sur Azure, Microsoft redémarre automatiquement vos serveurs et de vos VMs que les correctifs sont mis en place. Vous pouvez voir le statut de vos VMs et si le redémarrage terminé dans l'Azur du Service de Santé Prévues à la Section Entretien de votre Portail Azure.

Mais alors que Microsoft prend en charge ce à la technologie Hyper-V, et dit que vous n'avez pas besoin de mettre à jour vos images VM -- il vous avertit également de continuer à appliquer les meilleures pratiques de sécurité de votre Linux et Windows images de machine virtuelle. Laissez-moi couper à la chasse: mise à Jour de vos images. Si ces problèmes de sécurité peuvent sortir de VMs, tous les paris sont ouverts sur ce qui peut être attaquable et vous voulez que vos instances de serveur pour être aussi sûr que possible en bidouillant.

Microsoft indique, "La majorité des clients Azure ne faut pas y voir un impact sur les performances avec cette mise à jour. Nous avons travaillé à optimiser le CPU et I/O disque chemin et ne voyez pas d'impact sur les performances après la correction a été appliquée. Un petit ensemble de clients peuvent rencontrer certains de réseautage impact sur les performances. Ce problème peut être réglé en tournant sur Azure Accéléré la mise en Réseau (Windows, Linux), qui est une libre capacité disponible pour tous les clients Azure."

Accéléré la mise en Réseau est une nouvelle fonctionnalité qui est juste devenu disponible. Il contourne Azure hôte et le commutateur virtuel pour accélérer la VM le trafic réseau. Il agit en réduisant la charge sur les ordinateurs virtuels et de le déplacer vers Azure en interne programmable SmartNICs. Pour l'utiliser, vous devez créer une nouvelle VM et de fixer une nouvelle carte d'interface réseau à ce moment de sa création. Pour cela, vous devez également utiliser la plus récente Azure Gestionnaire de Ressources du portail de gestion.

Même à l'Accélération de la mise en Réseau, je pense que c'est optimiste. Nous savons pour un fait patché les systèmes Linux va voir des ralentissements avec certaines charges de travail, indépendamment de ce que le cloud, ils sont en cours d'exécution sur. Il n'y a aucune raison de penser que Windows Server ne sera pas face à des problèmes de performances.

En outre, il ya eu quelques rapports de Azure Vm faute de après les patchs.

Par conséquent, après la mise à jour, commencer à tester vos serveurs pour s'assurer qu'ils fonctionnent de la façon dont vous vous attendez à eux, puis de démarrer les tests de performance. Le plus tôt vous savez ce que vous faites affaire avec, le plus tôt vous pouvez résoudre les problèmes et de commencer le paramétrage de votre nuage et de ressources du serveur à traiter dans le cadre de services performants.

Accrochez-vous les administrateurs système, vous allez avoir beaucoup de travail sur vos mains.

Cloud,Microsoft,Des Logiciels D'Entreprise,Windows 10,Pc,Examens