Exchange Serveri juhiseid kaitsta spekulatiivne täitmise külg-channel nõrkused

Kokkuvõte

Microsoft on teadlik avalikustatud uutel turvaauke, mida nimetatakse "spekulatiivne täitmise külg-channel rünnakud." Haavatavused mõjutada paljusid tänapäeva protsessorid ja operatsioonisüsteemid. See hõlmab kiibistikud Intel, AMD ja ARM.

Me ei ole veel saanud teavet, et haavatavused on kasutatud klientide suhtes. Me jätkame tihedat koostööd valdkonna partneritega, et kaitsta kliente. See hõlmab kiibi tegijad, riistvara OEM-ide ja rakenduse tarnijad. Kõik saadaval kaitse saamiseks riistvara või püsivara ja tarkvara värskendused on vajalikud. See hõlmab mikrotasandil: seadme OEM-ide ja mõnel juhul värskendab viirusetõrjetarkvara. Oleme avaldanud mitmeid uuendusi aidata leevendada haavatavused. Microsoft Security Advisory ADV180002leiate lisateavet turvaauke. Üldised juhised ka leiate juhised leevendada spekulatiivne täitmise külg-channel nõrkused. Oleme ka astunud samme turbeks meie pilveteenused. Vaadake lisateavet järgmistes jaotistes.

Mõjutatud Exchange Serveri versiooni

Kuna need on riistvaraline rünnakud, mis on suunatud x64 ja x86 protsessoriga süsteemid, mõjutab kõigi toetatud versioonid Microsoft Exchange Serveri probleem.

Soovitused

Järgmises tabelis kirjeldatakse Exchange Serveri klientidele soovitatud meetmeid. Pole vaja praegu kindla Exchange värskendusi. Siiski soovitame alati klientidele käivitada Exchange Serveri viimases koondvärskenduses ja kõik vajalikud turvavärskendused. Soovitame juurutada parandusi kiletelgi protseduuride abil kontrollida uus kahendfaile enne nende juurutamist tootmiskeskkondadesse.

Stsenaarium

Kirjeldus

Soovitused

1

Exchange Server töötab tühjal metal (virtuaalsete arvutite) ja ühtegi muud ebausaldusväärne Rakendusloogika (rakenduse järgu) sama tühjal metal arvutis käivitada.

 

Kehtivad kõik süsteemi ja Exchange Serveri värskenduste pärast tavalise tootmise ettevalmistamise valideerimise testimise.

Lubamise tuuma virtuaalmälu aadress varjustus (KVAS) ei ole vajalik (vt käesoleva artikli jaotist seotud).

2.

Exchange Server töötab virtual machine avaliku hosting keskkonnas (pilve).

Azure: Microsoft on postitanud üksikasjad leevendamine jõupingutusi Azure (vt lisateavet KB 4073235 ).

Muud pilve pakkujate: vaadake oma juhiseid.

Soovitame installida kõik OS värskendused guest virtuaalarvuti (VM).

Vt selle kohta, kas lubada KVAS käesoleva artikli juhiseid.

3

Exchange Server töötab virtual machine privaatne hosting keskkonnas.

Lugege parimad hypervisor turvalisuse dokumentatsiooni. Vaadake KB 4072698 Windows Serveri ja Hyper-V.

Soovitame installida kõik OS värskendused guest VM kohta.

Vt käesoleva artikli kohta, kas lubada KVAS hiljem juhiseid.

4

Exchange Serveri füüsiline või virtuaalarvuti töötab ja ei ole isoleeritud teiste rakenduste loogikat, mis töötab sama süsteemi.

 

Soovitame installida kõik OS-i värskendused.

Soovitame klientidel juurutada on uusim tootevärskendus ja nendega seotud värskendusi.

Vt käesoleva artikli artikli kohta, kas lubada KVAS juhiseid.

Jõudluse nõustamine

Soovitame kõigile klientidele hindavad teie konkreetses keskkonnas kui rakendate värskendused.

Lahendused, mida pakub Microsoft turvaauke, mida on käsitletud siin tüüpi kasutatakse tarkvarapõhist mehhanisme risti protsessi andmetele juurdepääsu eest kaitsmiseks. Soovitame kõigile klientidele installida värskendatud versiooni Exchange Server ja Windows. See peaks olema minimaalne jõudluse efekt, lähtudes Microsofti Väljalaske Exchange töökoormuste.

Meil on mõõdetud erinevate töökoormuste mõju, tuuma virtuaalmälu aadress varjustus (KVAS). Oleme leidnud mõned töökoormuste tekkida jõudluse langus. Exchange Server on üks nende töökoormus, mis võivad ilmneda oluliselt KVAS on lubatud. Serverid, mis näitavad suur CPU kasutus või suur I/O mustreid oodatakse suurimat mõju. Soovitame esmalt hinnata jõudlus tagajärjel KVAS käivitades katsed lab, mis kajastab teie tootmise vajadustele enne juurutamist tootmiskeskkonnas. Kui jõudlus lubamine KVAS on liiga suur, kaaluma, kas isoleerivad Exchange Serveri ebausaldusväärne koodi, mis töötab sama süsteemi on parem leevendamine rakenduse.

Lisaks KVAS, on üksikasjalik teave jõudluse alates haru Target injektsioon leevendamine riistvara tugi (IBC) siin. Server, milles töötab Exchange Server ja IBC lahendus, kasutusele võtta selle, millel on võimalus jõudluse langus kui IBC on lubatud.

Eeldame, et riistvara tarnijad pakuvad mikrotasandil värskenduste kujul nende toodete värskendusi. Meie kogemust Exchange näitab tõuseb mikrotasandil värskenduste, jõudluse langus. Mis sel juhul on sõltuvad komponendid ja neid kasutatakse süsteemi ehitus. Me usume, et pole ühest lahendust, kas tarkvara või riistvara töötavas on piisavalt seda tüüpi üksi haavatavuse lahendamiseks. Soovitame teil hinnata kõik värskendused konto varieeruvus projekteerimine jõudlus ja jõudlus enne panna tootmine. Exchange'i meeskond on plaanis suuruse kalkulaatori, mis kasutavad kliendid moodustavad jõudlus erinevused praegu värskendada. See tööriist arvutused ei võta arvesse muudatusi jõudlus seotud probleemide lahendusi. Me jätkame seda tööriista ja muudatusi, mida me usume, võib vaja minna, oma kasutuse ja klientidele.

Värskendame selles jaotises Lisateave kättesaadavaks tegemisel.

Lubamise tuuma virtuaalmälu aadressiruumis varjustus

Exchange Serveri käivitamisel palju keskkondades, kaasa arvatud füüsilise VMs avaliku ja privaatse pilve keskkondades ja Windowsi operatsioonisüsteemidele. Sõltumata keskkonna programm asub füüsilise süsteemimälu või VM.  Selles keskkonnas füüsiline ja virtuaalne, nimetatakse turvalisuse piiri.

Kui kõik koodi piiri juurdepääsu kõik andmed selle piir jooksul, on vajalik ühtegi toimingut. Kui see pole nii, piir on väidetavalt mitme eksemplariga. Haavatavuse, mis on leitud võimaldavad koodi, mis töötab iga protsessi nimetatud piiri muid andmeid jooksul nimetatud piiri. See kehtib ka alusel piiratud õigused. Kui mis tahes protsessi piir on ebausaldusväärne koodi käivitamist, võib see protsess haavatavused abil andmeid lugeda muud protsessid.

Kaitsta ebausaldusväärne koodi mitme rentniku piir, tehke ühte järgmistest

  • Ebausaldusväärne koodi eemaldada.

  • Lülitage sisse KVAS kaitsta protsess protsess on järgmine. See on jõudluse mõju. Üksikasjalikku teavet selles artiklis varem lõigud.

Windowsi KVAS lubamise kohta lisateabe saamiseks vaadake KB 4072698.

Stsenaariumide (KVAS on tungivalt soovitatav)

1. stsenaarium

Azure'i VM töötab teenus, kus saate ebausaldusväärsetel kasutajatel esitada JavaScript koodi, mis käivitatakse, millel on piiratud õigused. Sama VM Exchange Server töötab ja andmed, mis peaksid olema kättesaadavad nende ebausaldusväärsetel kasutajatel hallata. Sellisel juhul on vaja KVAS nende kahe üksuse avaldamise eest kaitsmiseks.

2. stsenaarium

Asutusesisese füüsilise süsteemimälu, mis hostib Exchange Serveri saate käivitada ebausaldusväärne kolmanda osapoole skriptid või Käivitusfailid. See on vajalik KVAS skripti Exchange'i andmete avaldamise eest kaitsmiseks või käivitatava.

Märkus Lihtsalt kuna laiendatavus mehhanism jooksul Exchange Server kasutab, mis ei automaatselt oleks ohtlik. Need mehhanismid saab ohutult jooksul Exchange Serveri seni, kuni iga sõltuvus arusaadav ja usaldusväärne. Lisaks on muid tooteid, mis on loodud Exchange'i serveris, mis võib olla vajalik laiendatavus mehhanismid töökorras. Hoopis teie esimene tegevus läbi iga kasutada kas koodi arusaadav ja usaldusväärne. Juhendi eesmärgiks on aidata klientidel välja selgitada, kas neil on luba KVAS tõttu suuremad mõjud jõudlusele.

Haru Target injektsioon leevendamine (IBC) riistvara toe lubamine

IBC vähendab CVE 2017-5715, tuntud ka kui pool viirastus või "variant 2" Fyn avaldamise eest.

KVAS Windowsis, mis võimaldab neid juhiseid saate lubada IBC. Siiski nõuab IBC püsivara värskendust oma riistvara tootjalt. Lisaks juhiseid KB 4072698 lubamiseks Windows, klientidel hankida ja installida värskendused oma riistvara tootjalt.

Näiteks sel juhul (IBC on tungivalt soovitatav)

1. stsenaarium

Asutusesisese füüsilise süsteemi hostib Exchange Server, ebausaldusväärsetel kasutajatel on lubatud üles laadida ja käivitada suvalise JavaScript koodi. Selle stsenaariumi puhul soovitame IBC protsessi käigus teabe avalikustamise eest kaitsta.

Olukordades, mille IBC riistvara tugi ei ole olemas, soovitame eraldi ebausaldusväärne protsessid ja usaldusväärne protsessi erinevaid füüsilise või virtuaalarvutid.

Ebausaldusväärne Exchange Serveri laiendatavus mehhanismid

Exchange Server sisaldab laiendatavus funktsioonid ja mehhanisme. Paljud neist põhinevad API-d, mis ei võimalda ebausaldusväärne koodi käivitada serveris, milles töötab Exchange Server. Transpordi esindajatele ja Exchange Management shelli võib lubada ebausaldusväärne koodi käivitada serveris, milles töötab Exchange Server teatud olukordades. Kõikidel juhtudel, välja arvatud transpordi agendid laiendatavus funktsioonid nõuavad autentimist enne, kui neid kasutada. Soovitame kasutada laiendatavus funktsioonid, mis on piiratud kahendfaile minimaalne komplekt võimaluse. Samuti soovitame klientidel piirata juurdepääsu failiserveri vältida omavolilise koodi käivitada süsteemidel, kui Exchange Server. Soovitame teil teha kindlaks, kas usaldate binaarne. Tuleks keelata või eemaldada ebausaldusväärne kahendfaile. Samuti veenduge, et halduse liidesed on avatud Internetis.

Muude tootjate toodete käesolevas artiklis käsitletavaid teiste tootjate programme toodavad ettevõtted, mis pole seotud Microsoftiga. Microsoft ei garanteeri, mingit kaudset ega jõudlusele ega töökindlusele nende toodete kohta.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×