Santrauka
"Microsoft" žino viešai naujuose pažeidžiamumai, kurie yra žinomi kaip "spekuliacinis vykdymo pusėje kanalo atakų." Šiuos pažeidžiamumas įtakos daug šiuolaikinių procesorių ir operacinės sistemos. Tai apima lustų iš "Intel" ir AMD ARM.
Mes dar negavau jokios informacijos nurodyti šiuos pažeidžiamumas išnaudotos pulti klientams. Mes ir toliau glaudžiai bendradarbiauja su pramonės partneriais, siekdami apsaugoti klientus. Tai apima lusto kūrėjai, aparatūros OEM ir taikomosios programos tiekėjams. Norėdami gauti visą galima apsaugą, būtini aparatūros arba programinės-aparatinės įrangos ir programinės įrangos naujinimai. Tai apima microcode iš OĮG įrenginio ir, kai kuriais atvejais, naujinimus ir antivirusinę programinę įrangą. Mes išleido kelis naujinimus, kad padėtų sumažinti šių pažeidžiamumą. Daugiau informacijos apie rasite "Microsoft" Saugos patarimą ADV180002. Bendrojo pobūdžio, taip pat žr. rekomendacijos sumažinti spekuliacinių vykdymo pusėje kanalo pažeidžiamumą. Mes taip pat ėmėsi priemonių siekdama padėti apsaugoti mūsų debesų kompiuterijos paslaugos. Tolesniuose skyriuose, jei norite gauti daugiau informacijos žr.
Exchange serverio versijų
Dėl to, kad tai yra aparatūros lygio atakų, kurios nukreipia x64 64 ir x86 procesorių sistemoms, ši problema turi įtakos visoms palaikomoms versijoms Microsoft Exchange Server.
Rekomendacijos
Šioje lentelėje pateikiami Rekomenduojami veiksmai Exchange serverio klientams. Konkrečių Exchange naujinimų, kurių reikia šiuo metu nėra. Tačiau mes rekomenduojame, kad klientai visada paleisti naujausią kaupiamąjį naujinimą Exchange Server ir saugos naujinimų. Rekomenduojame įdiegti pataisos, naudodami savo visada tvarka patvirtinti naują dvejetainiai failai, prieš diegdami jų gamybos aplinkoje.
|
Scenarijus |
Aprašymas |
Rekomendacijos |
|
1 |
Exchange Server paleidžiamas po kritinės trikties (virtualiųjų mašinų) ir jokių kitų nepatikimas programos logika (programos pakopa) vykdomas tame pačiame po kritinės metalo įrenginyje.
|
Taikyti visus sistemos ir Exchange serverio naujinimus po paprastai, prieš pradedant gaminti tikrinimo veiksmų. Įgalinimas branduolio virtualusis adresas stebėjimas (KVAS) nėra būtina (žr. susijusios skyrių šiame straipsnyje). |
|
2 |
Exchange Server paleidžiamas virtualiosios mašinos viešųjų išteklių nuomos aplinkoje (debesies). |
Azure: Microsoft paskelbė informaciją apie mažinimas pastangas Azure (išsamesnės informacijos rasite KB 4073235 ). Dėl kitų debesies paslaugų teikėjų: jų taisyklėmis. Mes rekomenduojame įdiegti visus naujinimus OS svečio virtualiosios mašinos (VM). Žr. šio straipsnio apie tai, ar norite įgalinti KVAS patarimų. |
|
3 |
Exchange Server paleidžiamas virtualiosios mašinos privačių išteklių nuomos aplinkoje. |
Žiūrėkite saugos geriausios praktikos hypervisor saugos dokumentus. KB 4072698 ieškokite Windows Server "ir" Hyper-V. Rekomenduojame įdiegti visus naujinimus OS svečio VM. Perduoti vėliau patarimų apie tai, ar norite įgalinti KVAS šiame straipsnyje. |
|
4 |
Exchange Server paleidžiamas fizinės arba virtualiosios mašinos ir nėra atskirai nuo kitų taikomųjų programų logika, kuriame veikia ta pati sistema.
|
Mes rekomenduojame įdiegti visus OS naujinimus. Vadovautis šiame straipsnyje straipsnį apie tai, ar norite įgalinti KVAS pateiktais nurodymais. |
Efektyvumo konsultavimo paslaugos
Rekomenduojame visiems klientams įvertinti efektyvumą jūsų aplinkoje, kai pritaikote naujinimų.
Sprendimus, kuriuos "Microsoft" pažeidžiamumas, aprašytus čia tipų naudoti programinės įrangos mechanizmai apsisaugoti nuo kryžminės procesas prieigą prie duomenų. Rekomenduojame visiems klientams įdiegti atnaujintą Exchange Server "ir" Windows versijose. Tai turėtų būti mažiausią efektyvumo poveikis, atsižvelgiant į Microsoft Exchange apkrovos bandymas.
Turite nustatyti įvairių apkrovos poveikį, branduolio virtualusis adresas stebėjimas (KVAS). Mes nustatėme, kad kai kurių programų, kyla efektyvumo sumažėjimas. Exchange Server yra vienas iš tų apkrovos, gali kilti Įgalinus KVAS sumažėjimas. Serverių, daug CPU išteklių arba daug įvesties/išvesties naudojimo reikmėms turėtų Rodyti didžiausią poveikį. Rekomenduojame pirmiausia įvertinti efektyvumo poveikį, leidžianti KVAS iš testų laboratorijos, kuris nurodo jūsų gamybos poreikius, prieš diegdami į gamybos aplinkoje. Jei įgalinimas KVAS efektyvumo poveikis yra per didelis, apsvarstyti, ar uždarymo Exchange serverio iš nepatikimo kodo, kuriame veikia ta pati sistema yra geriau mažinimas taikomajai programai.
Be to, KVAS, pateikiama informacijos apie efektyvumo poveikis iš srities Target įdėjimas mažinimas aparatūros palaikymas (IBC) čia. Serveryje, kuriame veikia Exchange Server ir, kurio IBC sprendimų, įdiegta į jį gali kilti efektyvumo sumažėjimas IBC yra įjungtas.
Tikimės, kad aparatūros tiekėjai pasiūlys savo produktus, microcode naujinimus sudaro naujinimai. Mūsų patirtį su "Exchange" rodo, kad microcode naujinimai bus padidinti efektyvumo išskleidžiamojo. Kai tai įvyksta yra labai priklauso nuo komponentai ir sistemos, kai jie taikomi. Manome, kad vieno sprendimo, ar programinės įrangos arba aparatūros pagrindo, įvertinti šios rūšies pažeidžiamumo tik. Rekomenduojame įvertinti ir visus naujinimus, atsižvelgiant į sistemos dizaino įvairovės ir prieš juos į gamybos. Ne Exchange komanda planuoja atnaujinti dydžio keitimo skaičiuoklė, kurį naudoja klientams, atsižvelgiant į efektyvumo skirtumai šiuo metu. Šis įrankis skaičiavimų nėra atsižvelgs į efektyvumo pakeitimų, susijusios su šių trikčių pataisos. Mes ir toliau įvertinti šį įrankį ir pataisymų, kurie, mes manome, gali būti reikalaujama, pagal savo naudojimą ir klientų.
Mes atnaujinsime šį skyrių, daugiau informacijos.
Kad branduolio virtualusis adresas stebėjimas
Exchange Server vykdoma daug aplinkoje, taip pat fizinės sistemos, VM viešojo ir privataus debesies aplinkose, ir "Windows" operacinėse sistemose. Nepriklausomai nuo aplinkos, programa yra fizinės sistemos arba VM. Šioje aplinkoje, fizinė ar Virtuali, tai vadinama saugumo ribų.
Jei visi kodas srityje turi prieigą prie visų duomenų per tą ribą, nereikia imtis jokių veiksmų. Jei taip ir yra ne, ribos sako, kad kelių nuomotojų. Pažeidžiamumą, kad buvo nustatyta, kad bet kodą, kuris veikia bet kokio proceso srityje, skaityti kitų duomenų srityje. Tai taikytina net esant mažiau teisių. Jei visas procesas riba veikia nepatikimo kodo, šį procesą galėtų naudoti šiuos pažeidžiamumas skaityti duomenis iš kitos.
Siekiant apsisaugoti nuo nepatikimų kodą į kelių nuomotojų ribų, atlikite vieną iš toliau nurodytų veiksmų.
-
Pašalinkite nepatikimo kodo.
-
Įjunkite "KVAS apsisaugoti nuo proceso metu rašoma." Tai turėtų efektyvumo poveikis. Skyriuose, anksčiau šiame straipsnyje, išsamesnės informacijos.
Jei norite gauti daugiau informacijos, kaip įgalinti "Windows" KVAS, žr. žinių bazės 4072698.
Scenarijų (rekomenduojama KVAS)
1 scenarijus
Azure VM siūlo paslaugas, kai nepatikimi vartotojai gali pateikti JavaScript kodą, kuris valdo vykdomų ribotų teisių. Pačios VM, Exchange Server veikia ir valdyti duomenis, kurie turi būti saugomas tiems vartotojams, nepatikimas. Tokiu atveju KVAS turi apsaugoti dviejų objektų.
2 scenarijus
Vietinė fizinės sistema, kurioje yra Exchange serverio paleisti nepatikimų trečiųjų šalių scenarijai arba vykdomųjų failų. Tai reikia, kad KVAS apsaugoti nuo atskleidimo Exchange duomenų scenarijų arba vykdomąją.
Pastaba Tik dėl to, kad naudojamas išplėtimo mechanizmas per Exchange serverio, kad automatiškai neleidžia nesaugių. Šie mechanizmai gali būti naudojamas saugiai per Exchange serverio tol, kol kiekviena priklausomybė suprasti ir patikimų šaltinių. Be to, yra kitų produktų, kurie yra integruota "Exchange" serveryje, gali reikėti išplėtimo mechanizmai tinkamai veiktų. Vietoj to, kaip savo pirmąjį veiksmą, peržiūrėkite kiekvieną naudojimą ir nustatyti, ar kodas yra suprasti ir patikimų. Šis gairių padeda nustatyti, ar jie turi įgalinti KVAS dėl didesnis veikimo pasikeitimai klientams.
Šaka Target įdėjimas mažinimas (IBC) aparatūros palaikymo įgalinimas
IBC sumažina nuo CVE 2017-5715, taip pat žinomas kaip pusę šmėkla ar "2 variantas" GPZ atskleidimo.
Šias instrukcijas, kurios KVAS "Windows" taip pat galite įgalinti IBC. Tačiau IBC taip pat reikia programinės-aparatinės įrangos naujinimo iš aparatūros gamintojo. Be to, KB 4072698 nurodymus, kad įjungti apsaugos sistemoje "Windows", klientai turi įsigyti ir įdiegti naujinimus iš aparatūros gamintojo.
Pavyzdį scenarijų (IBC primygtinai rekomenduojama)
1 scenarijus
Vietinė fizinės sistemoje, kuriame įdiegta Exchange Server nepatikimi vartotojai gali įkelti ir paleisti JavaScript kodui. Tokiu atveju primygtinai rekomenduojame IBC apsisaugoti nuo proceso metu informacijos atskleidimo.
Atvejais, kurioje IBC aparatūros palaikymo nėra, rekomenduojame, galite atskirti nepatikimas procesai ir patikimą procesą į kitą fizinį arba virtualiosios mašinos.
Nepatikimas Exchange serverio išplėtimas mechanizmai
Exchange Server yra išplėtimo funkcijos ir mechanizmus. Daugelis iš jų yra pagrįsti API, kurios neleidžia nepatikimas kodui veikti serveryje, kuriame veikia Exchange Server. Transportavimo agentai ir "Exchange" valdymo aplinkoje gali būti nepatikimas kodas paleisti serveryje, kuriame veikia Exchange serveris tam tikrose situacijose. Visais atvejais, išskyrus transportavimo agentai, išplėtimo funkcijos reikia autentifikuoti, kol jie gali būti naudojami. Mes rekomenduojame naudoti išplėtimas funkcijų, kurios yra tik minimalūs dvejetainiai failai, kai taikytina. Taip pat rekomenduojame, kad klientams apriboti serverio prieigą prie nereikėtų kodui patį sistemose kaip Exchange Server. Rekomenduojame nustatyti, ar pasitikėti kiekvieną dvejetainis. Reikia išjungti arba pašalinti nepatikimas dvejetainiai failai. Taip pat turi įsitikinkite, kad interneto neveiktų tvarkymo sąsajas.
Visas trečiųjų šalių produktus, aprašytus šiame straipsnyje, nepriklausančios įmonės, nepriklausančios "Microsoft". „Microsoft“ neteikia jokių garantijų, numanomų ar kitokių, dėl šių produktų veikimo ir patikimumo.
