تخطي إلى المحتوى الرئيسي
الدعم
تسجيل الدخول
تسجيل الدخول باستخدام حساب Microsoft
تسجيل الدخول أو إنشاء حساب.
مرحباً،
تحديد استخدام حساب مختلف!
لديك حسابات متعددة
اختر الحساب الذي تريد تسجيل الدخول باستخدامه.

ملخص

تدرك Microsoft فئة جديدة تم الكشف عنها علنا من الثغرات الأمنية المعروفة باسم "هجمات قناة من جانب تنفيذ نظرية". تؤثر هذه الثغرات على العديد من المعالجات الحديثة وأنظمة التشغيل. ويتضمن ذلك رقائق من Intel و AMD ARM.

أننا لم نتلق أية معلومات للإشارة إلى أن هذه الثغرات قد استخدمت لمهاجمة العملاء حتى الآن. نواصل العمل عن كثب مع الشركاء في الصناعة لحماية العملاء. يتضمن ذلك صناع شرائح وأجهزة Oem وبائعي التطبيقات. للحصول على الحماية المتوفرة كافة، الأجهزة أو البرامج الثابتة وتحديثات البرامج مطلوبة. هذا يتضمن الرمز الصغير من شركات Oem الجهاز، وفي بعض الحالات، يمكنك تحديث برامج مكافحة الفيروسات. لقد قمنا بإصدار تحديثات متعددة للمساعدة في تقليل هذه الثغرات الأمنية. يمكن العثور على مزيد من المعلومات حول الثغرات الأمنية الموجودة في ADV180002 النصائح الإرشادية للأمانمن Microsoft. للحصول على إرشادات عامة، راجع أيضا لتخفيف الضعف قناة من جانب تنفيذ نظرية. كما اتخذنا إجراءات للمساعدة في تأمين خدماتنا مجموعة النظراء. راجع الأقسام التالية لمزيد من التفاصيل.

الإصدارات المتأثرة من ملقم Exchange

لأن هذه الهجمات على مستوى الأجهزة التي تستهدف الأنظمة المستندة إلى x86 والمستندة إلى x64 المعالج، تتأثر كافة الإصدارات المعتمدة من Microsoft Exchange Server بهذه المشكلة.

التوصيات

يصف الجدول التالي الإجراءات الموصى بها لعملاء Exchange Server. لا توجد أية تحديثات Exchange معينة مطلوبة حاليا. على الرغم من ذلك، نوصي دوماً تشغيل عملاء Exchange Server آخر تحديث تراكمي وأي تحديثات الأمان المطلوبة. من المستحسن توزيع الإصلاحات باستخدام الإجراءات ususal الخاص بك للتحقق من صحة الملفات الثنائية الجديدة قبل نشرها في بيئات الإنتاج.

سيناريو

الوصف

التوصيات

1

يتم تشغيل ملقم Exchange على المعدن (لا الأجهزة الظاهرية) ويتم تشغيل لا منطق التطبيق موثوق به آخر (مستوى التطبيق) على نفس الجهاز المعدني العارية.

 

تطبيق كافة النظام وتحديثات Exchange Server بعد اختبار التحقق من صحة ما قبل الإنتاج العادية.

تمكين Kernel الظاهري عنوان التظليل (كفاس) غير المطلوبة (انظر الفرع ذا الصلة لاحقاً في هذه المقالة).

2

يتم تشغيل ملقم Exchange على جهاز ظاهري في بيئة استضافة عام (مجموعة النظراء).

Azure: Microsoft لدى نشر تفاصيل حول جهود التخفيف لأزور (انظر 4073235 كيلو بايت للحصول على معلومات مفصلة).

لموفري خدمة مجموعة النظراء: تشير إلى توجيهاتهم.

نوصي بتثبيت كافة تحديثات نظام التشغيل في الجهاز الظاهري (VM) الضيف

راجع الدليل لاحقاً في هذه المقالة حول ما إذا كان سيتم تمكين كفاس.

3

يتم تشغيل ملقم Exchange على جهاز ظاهري في بيئة استضافة خاص.

راجع وثائق برنامج hypervisor الأمان لأفضل ممارسات الأمان. راجع 4072698 كيلو بايت لويندوز سيرفر Hyper-V.

نوصي بتثبيت كافة تحديثات نظام التشغيل في الجهاز الظاهري الضيف (guest).

راجع الدليل لاحقاً في هذه المقالة حول ما إذا كان سيتم تمكين كفاس.

4

تشغيل فعلية أو الجهاز الظاهري Exchange Server وليست منعزلة من منطق تطبيق آخر قيد التشغيل على نفس النظام.

 

نوصي بتثبيت كافة تحديثات نظام التشغيل.

نوصي العملاء نشر تحديث أحدث المنتجات المتوفرة وأي تحديثات أمان.

راجع إرشادات لاحقاً في هذه المقالة مقالة حول ما إذا كان سيتم تمكين كفاس.

أداء الاستشاري

ننصح كافة العملاء لتقييم أداء البيئة الخاصة بك عند قيامك بتثبيت التحديثات.

سيتم استخدام الحلول المتوفرة من قبل Microsoft للأنواع من مشكلات عدم الحصانة التي تمت مناقشتها هنا الآليات المستندة إلى البرامج للحماية عبر عملية الوصول إلى البيانات. ننصح كافة العملاء بتثبيت الإصدارات المحدثة من Exchange Server و Windows. يجب أن يكون هذا تأثير أداء أدنى، استناداً إلى اختبار Microsoft Exchange أعباء العمل.

لقد قمنا بقياس التأثير من Kernel الظاهري عنوان التظليل (كفاس) المتعلقة بحجم العمل المختلفة. وقد وجدنا أن بعض أعباء العمل تشهد انخفاضا كبيرا في الأداء. هو ملقم Exchange لأعباء العمل هذه التي قد تواجه انخفاضا كبيرا إذا تم تمكين كفاس. من المتوقع ملقمات إظهار استخدام CPU أو أنماط استخدام إدخال/إخراج عالية لإظهار تأثير أكبر. نوصي بشدة أولاً تقييم تأثير الأداء مما كفاس بتشغيل الاختبارات في معمل الذي يمثل احتياجات الإنتاج قبل نشرها في بيئة إنتاج. إذا تأثر الأداء لتمكين كفاس عالية جداً، النظر فيما إذا كان ملقم Exchange عزل من التعليمات البرمجية غير الموثوق بها التي قيد التشغيل على نفس النظام تخفيف أفضل للتطبيق.

مفصلة بالإضافة إلى كفاس، معلومات حول تأثير الأداء من "حقن الهدف فرع" دعم الأجهزة التخفيف (IBC) هنا. قد تواجه ملقم الذي يشغل Exchange Server وتم حل IBC عليه انخفاض ملحوظ في الأداء إذا تم تمكين الشركات التجارية الدولية.

ونحن نتوقع أن موردي الأجهزة توفر تحديثات للمنتجات الخاصة بها في شكل التحديثات الرمز الصغير. أن تجربتنا مع Exchange يشير إلى التحديثات الرمز الصغير سيزيد انخفاض الأداء. مدى حدوث ذلك يعتمد بشكل كبير على العناصر وتصميم النظام التي يتم تطبيقها. نعتقد أنه لا يوجد حل وحيد، المستندة إلى أجهزة أو برامج تستند كان كافياً للتصدي لهذا النوع من الضعف وحدها. ونحن نشجع لتقييم أداء كافة التحديثات لحساب التغير في تصميم النظام وأداء قبل وضعها في الإنتاج. تبادل الفريق لا تخطط لتحديث حجم الحاسبة المستخدمة من قبل العملاء لحساب الاختلافات الأداء حاليا. الحسابات المتوفرة من قبل هذه الأداة لن يتم مراعاة أي تغييرات في الأداء المتعلقة بإصلاحات لهذه المسائل. أننا سنواصل تقييم التعديلات التي نعتقد أنه قد يكون مطلوباً، وهذه الأداة على أساس الاستخدام الخاصة بنا والعملاء.

سوف نقوم بتحديث هذا القسم كلما توافر مزيد من المعلومات.

عنوان Kernel الظاهري تمكين النسخ المتماثل

يتم تشغيل ملقم Exchange في العديد من البيئات، بما في ذلك النظم الفيزيائية، نظام رصد السفن في بيئات سحابة القطاعين العام والخاص، وفي أنظمة تشغيل Windows. بغض النظر عن البيئة، البرنامج الموجود على نظام الفعلي أو الظاهري.  هذه البيئة، ما إذا كانت فعلية أو ظاهرية، يعرف حدودالأمان.

كافة التعليمات البرمجية داخل الحدود لديه حق الوصول إلى كافة البيانات الموجودة داخل تلك الحدود، أي إجراء مطلوب. إذا لم يكن كذلك، هو أن يكون المستأجر متعددالحدود. الثغرات الأمنية التي تم العثور عليها تجعل من الممكن لأي تعليمات برمجية يتم تشغيلها في أي عملية داخل تلك الحدود لقراءة أية بيانات أخرى ضمن تلك الحدود. يكون هذا صحيحاً حتى في ظل أذونات محدودة. في حالة تشغيل أي عملية في الحدود التعليمات البرمجية غير الموثوق بها ، تلك العملية استخدام هذه الثغرات الأمنية لقراءة البيانات من العمليات الأخرى.

للحماية من التعليمات البرمجية غير الموثوق بها في حد مؤجرة متعددة، قم بأحد الإجرائين التاليين:

  • إزالة التعليمات البرمجية غير الموثوق بها.

  • قم بتشغيل كفاس للحماية من عملية عملية القراءة. هذا سيكون له تأثير على أداء. راجع المقاطع السابقة في هذه المقالة للحصول على معلومات مفصلة.

لمزيد من المعلومات حول كيفية تمكين كفاس ل Windows، راجع 4072698 كيلو بايت.

أمثلة السيناريوهات (كفاس من المستحسن)

السيناريو 1

تشغيل VM Azure خدمة يتمكن المستخدمون غير موثوق به من إرسال تعليمات JavaScript البرمجية التي يتم تشغيلها عن طريق وجود أذونات محدودة. على نفس الجهاز الظاهري، Exchange Server قيد التشغيل وإدارة البيانات التي يجب أن يتمكن من الوصول إلى هؤلاء المستخدمين غير الموثوق بها. في هذه الحالة، مطلوب كفاس للحماية ضد كشف بين الكيانين.

السيناريو 2

نظام داخلي الفعلي الذي يستضيف خادم Exchange تشغيل برامج نصية خارجية غير موثوق بها أو الملفات القابلة للتنفيذ. أنها ضرورية لتمكين كفاس للحماية من الكشف عن تبادل البيانات للبرنامج النصي أو قابل للتنفيذ.

ملاحظة فقط لآلية القابلية للتوسعة في Exchange Server قيد الاستخدام، التي لا تلقائياً جعله غير أمن. يمكن استخدام هذه الآليات بأمان في Exchange Server طالما أن يفهم كل تبعية وموثوق بها. بالإضافة إلى ذلك، هناك بعض المنتجات الأخرى التي تم إنشاؤها على ملقم Exchange التي قد تتطلب آليات القابلية للتوسعة لتعمل بشكل صحيح. بدلاً من ذلك، كأول إجراء، قم بمراجعة كل استخدام لتحديد ما إذا كان فهم التعليمات البرمجية وموثوق بها. تقدم هذه الإرشادات لمساعدة العملاء على تحديد ما إذا كان لديهم لتمكين كفاس بسبب أكبر ضمانات الأداء.

تمكين دعم الأجهزة في الفرع الهدف حقن التخفيف (IBC)

حاوية السوائب الوسيطة بتخفيفها مقابل 5715 CVE 2017، المعروف أيضا نصف شبح أو "البديل 2" في كشف جبز.

يمكنك أيضا تمكين هذه الإرشادات لتمكين كفاس على Windows IBC. ومع ذلك، يتطلب IBC أيضا تحديث البرامج ثابتة من الشركة المصنعة للجهاز. بالإضافة إلى الإرشادات الموجودة في 4072698 كيلو بايت لتمكين الحماية في نظام التشغيل Windows، يجب أن العملاء الحصول على التحديثات وتثبيتها من الشركة المصنعة للأجهزة الخاصة بهم.

سيناريو المثال (IBC المستحسن)

السيناريو 1

في نظام داخلي الذي يستضيف خادم Exchange، موثوق به يسمح للمستخدمين تحميل وتشغيل تعليمات برمجية إجبارية JavaScript. في هذا السيناريو، نوصي بشدة الحاوية للحماية ضد كشف المعلومات العملية للعملية.

في المواقف في حاوية السوائب الوسيطة أي دعم الأجهزة غير موجود، نوصي بفصل العمليات غير موثوق بها وعملية موثوق بها إلى فعلية مختلفة أو الأجهزة الظاهرية.

آليات القابلية للتوسعة ملقم Exchange غير موثوق بها

يتضمن Exchange Server ميزات القابلية للتوسعة والآليات. تقوم العديد من واجهات برمجة التطبيقات التي لا تسمح بتعليمات برمجية غير موثوق بها للتشغيل على خادم يقوم بتشغيل Exchange Server. وكلاء النقل وإدارة الصرف شل قد تسمح تعليمات برمجية غير موثوق بها للتشغيل على خادم يقوم بتشغيل Exchange Server في حالات معينة. وفي جميع الحالات، باستثناء "وكلاء النقل"، تتطلب ميزات القابلية للتوسعة المصادقة قبل أن تتمكن من استخدامها. نوصي باستخدام ميزات القابلية للتوسعة التي تقتصر على مجموعة الحد الأدنى من الثنائيات حيثما ينطبق ذلك. كما يوصي بأن العملاء تقييد الوصول إلى الخادم لتجنب نفس نظام Exchange Server بتشغيل تعليمات برمجية عشوائية. ننصحك بتحديد ما إذا كنت تثق كل ثنائي. يجب تعطيل أو إزالة الملفات الثنائية غير موثوق به. يجب أيضا التأكد من عدم تعرض واجهات الإدارة على شبكة الإنترنت.

أي منتج من منتجات الجهات الأخرى المذكورة في هذه المقالة تابعة لشركات مستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، سواء ضمنياً أو صريحا، بخصوص أداء هذه المنتجات أو كفاءتها.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟
بالضغط على "إرسال"، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. سيتمكن مسؤول تكنولوجيا المعلومات لديك من جمع هذه البيانات. بيان الخصوصية.

نشكرك على ملاحظاتك!

×