You have multiple accounts
Choose the account you want to sign in with.

Sammendrag

Microsoft er oppmerksom på en ny offentliggjort klasse av sikkerhetsproblemene som er kjent som "spekulativ angrep kjøring av side-channel." Disse sikkerhetsproblemene påvirker mange moderne prosessorer og operativsystemer. Dette inkluderer brikkesett fra Intel, AMD og ARM.

Vi har ennå ikke mottatt informasjon som tydet på at disse sikkerhetsproblemene er brukt til å angripe kunder. Vi fortsetter å arbeide tett sammen med bransjepartnere for å beskytte kundene. Dette inkluderer brikke beslutningstakere i forretningslivet, maskinvare OEMer og leverandører. For å få alle tilgjengelige beskyttelse, er maskinvare eller fastvare- og programvareoppdateringene nødvendige. Dette inkluderer mikrokode fra enheten OEMer og i noen tilfeller oppdateringene for antivirusprogramvaren. Vi har gitt ut flere oppdateringer for å redusere disse sikkerhetsproblemene. Du finner mer informasjon om sikkerhetsproblemene i Microsoft Security Advisory ADV180002. For generell veiledning, se også retningslinjer for begrensende spekulativ kjøring av side-channel sikkerhetsproblemer. Vi har også tatt handlingen til å sikre tjenestene våre sky. Se følgende deler for mer informasjon.

Berørt Exchange Server-versjoner

Fordi disse er maskinvarenivå angrep som kan identifisere systemer basert på x64 og x86-baserte prosessor, blir alle støttede versjoner av Microsoft Exchange Server er berørt av dette problemet.

Anbefalinger

Tabellen nedenfor beskriver anbefalte handlinger for Exchange Server-kunder. Det er ingen bestemt Exchange-oppdateringer som er nødvendig. Vi anbefaler at kundene alltid kjøre den nyeste kumulative oppdateringen for Exchange-serveren og alle nødvendige sikkerhetsoppdateringer. Vi anbefaler at du distribuerer hurtigreparasjoner med ususal-prosedyrer til å validere nye binærfiler før du distribuerer dem til produksjonsmiljøer.

Scenario

Beskrivelse

Anbefalinger

1

Exchange Server kjøres på rent metall (ingen virtuelle maskiner), og ingen andre ikke-klarerte logikk (programdelen) kjøres på samme maskin med bare metal.

 

Bruke alle system- og Exchange Server-oppdateringer etter vanlig produksjon validering testingen.

Aktivering av kjernen virtuell adresse skygging (KVAS) er ikke nødvendig (se delen Beslektede senere i denne artikkelen).

2

Exchange Server kjøres på en virtuell maskin i et offentlig vertsmiljø (sky).

Azure: Microsoft har bokført detaljer om skadereduksjon tiltak for Azure (se KB 4073235 for detaljert informasjon).

For andre leverandører av skyen: refererer til deres veiledning.

Vi anbefaler at du installerer alle OS-oppdateringer på gjest virtuell maskin (VM).

Se veiledningen senere i denne artikkelen angir om å aktivere KVAS.

3

Exchange Server kjøres på en virtuell maskin i et privat vertsmiljø.

Se i dokumentasjonen for hypervisor sikkerhet for gode fremgangsmåter for sikkerhet. Se KB 4072698 for Windows Server og Hyper-V.

Vi anbefaler at du installerer alle OS-oppdateringer på gjeste-VM.

Se senere veiledningen i denne artikkelen angir om å aktivere KVAS.

4

Exchange-serveren kjører på en fysisk eller virtuell maskin og er ikke isolert fra andre logikk som kjøres på samme system.

 

Vi anbefaler at du installerer alle OS-oppdateringer.

Vi anbefaler at kundene distribuerer oppdateringen siste tilgjengelige produkter og tilknyttede sikkerhetsoppdateringer.

Se veiledningen senere i denne artikkelen artikkelen om du vil aktivere KVAS.

Veiledning for ytelse

Vi at alle kunder for å evaluere ytelsen til ditt spesifikke miljø når du installerer oppdateringer.

Løsninger som tilbys av Microsoft for de sikkerhetsproblemene som omtales her bruker programvarebasert mekanismer til å beskytte mot prosessen tilgang til data på tvers av. Vi at alle kunder til å installere oppdaterte versjoner av Exchange Server og Windows. Dette bør ha en minimal ytelseseffekt, basert på Microsofts testing av Exchange arbeidsbelastning.

Vi har målt på effekten av kjernen virtuell adresse skygging (KVAS) for ulike arbeidsoppgaver. Vi har funnet at enkelte arbeidsbelastninger opplever en betydelig reduksjon i ytelse. Exchange Server er en av disse arbeidsoppgaver som kan få redusert betydelig hvis KVAS er aktivert. Servere som viser høyt forbruk av CPU eller bruksmønstre for høy i/u forventes å vise den største effekten. Vi anbefaler sterkt at du først vurdere virkningen på ytelsen ved å aktivere KVAS ved å kjøre testene i et laboratorium som representerer production behov før du distribuerer til et produksjonsmiljø. Hvis virkningen på ytelsen ved å muliggjøre KVAS er for høy, kan du vurdere om støyisolerende Exchange Server fra ikke-klarerte-kode som kjører på samme system er en bedre løsning for programmet.

I tillegg til KVAS, finner du informasjon om virkningen på ytelsen fra grenen mål injeksjon skadereduksjon maskinvarestøtte (IBC) her. En server som kjører Exchange Server, og som har en IBC-løsning som er distribuert til den kan det oppstå en betydelig reduksjon i ytelse hvis IBC er aktivert.

Vi regner med at maskinvaren leverandører vil tilby oppdateringer til sine produkter i form av mikrokode oppdateringer. Vår erfaring med Exchange angir at mikrokode oppdateringer vil øke ytelsen-slipp. Dette skjer så langt er svært avhengig av komponenter og utformingen av systemet de brukes. Vi mener at ingen enkelt løsning, om programvare- eller maskinvare-basert, er tilstrekkelig til å håndtere denne typen sikkerhetsproblem alene. Vi oppfordrer deg til å evaluere ytelsen til alle oppdateringer av rede for variasjoner i utforming og ytelse før du legger dem i et produksjonsmiljø. Exchange-teamet planlegger ikke å oppdatere størrelse kalkulatoren som brukes av kunder hensyn til ytelsen forskjeller for øyeblikket. Beregninger som leveres av dette verktøyet vil ikke tre i betraktning endringer i ytelse som er knyttet til hurtigreparasjonene for problemene. Vi vil fortsette å evaluere dette verktøyet og justeringene som vi tror kan være nødvendig, basert på vår egen bruk og som kunder.

Vi vil oppdatere denne delen som mer informasjon blir tilgjengelig.

Aktivering av virtuell kjerneadresse skygge

Exchange Server kjøres i mange miljøer, inkludert fysiske systemer, VMs i offentlige og private cloud-miljøer, og Windows-operativsystemer. Programmet er uavhengig av miljøet plassert på et fysisk system eller en VM.  Dette miljøet, er enten fysisk eller virtuell, kjent som sikkerhet grensen.

Hvis alle koden innenfor grensen har tilgang til alle dataene i denne grensen, er ingen handling nødvendig. Hvis dette ikke er tilfellet, vil kantlinjen sies å være flere leier. Sikkerhetsproblemene som er funnet gjør det mulig for en hvilken som helst kode som kjører i en prosess i grenselinjen til å lese andre data i grenselinjen. Dette gjelder selv under redusert tillatelsene. Hvis en prosess i grensen kjører kode som ikke er klarert , kan denne prosessen kan bruke disse sikkerhetsproblemene til å lese data fra andre prosesser.

Hvis du vil beskytte datamaskinen mot uklarert koden i en grenselinje for flere leier, gjør du ett av følgende:

  • Fjerne ikke-klarert kode.

  • Slå på KVAS for å beskytte mot prosess til prosess-leser. Dette vil ha en ytelseseffekt. Se tidligere i denne artikkelen hvis du vil ha mer informasjon.

Hvis du vil ha mer informasjon om hvordan du aktiverer KVAS for Windows, kan du se KB 4072698.

Eksempelscenarier (KVAS anbefales)

Scenario 1

En Azure VM kjører en tjeneste som ikke-klarerte brukere kan sende JavaScript-kode som kjøres gjennom har begrensede tillatelser. På samme VM kjører Exchange-serveren og behandling av data som ikke skal være tilgjengelig for ikke-klarerte brukere. I dette tilfellet er KVAS nødvendig for å beskytte mot tilgjengeliggjøring av informasjon mellom de to enhetene.

Scenario 2

En fysisk lokale-systemet som er vert for Exchange Server kan kjøre ikke-klarerte tredjeparter skript eller kjørbare filer. Det er nødvendig å aktivere KVAS å beskytte mot offentliggjøring av Exchange-data til skriptet eller kjørbare.

Obs! Bare fordi det brukes en mekanisme for utvidbarhet i Exchange Server, som automatisk gjør det ikke usikre. Disse mekanismene kan brukes trygt i Exchange Server så lenge hver avhengighet forstått og klarert. Det finnes også andre produkter som bygges på Exchange-serveren som kan kreve extensibility mekanismer til å fungere riktig. I stedet, som den første handlingen gjennom hver brukes til å fastslå om koden er forstått og klarert. Denne veiledningen er gitt for å hjelpe kunder med å finne ut om de har til å aktivere KVAS på grunn av større innvirkning på ytelsen.

Aktivering maskinvarestøtte for gren mål injeksjon skadereduksjon (IBC)

IBC begrenser mot 2017 CVE-5715, også kjent som en halvdel av Spectre eller "variant 2" i GPZ tilgjengeliggjøring av informasjon.

Disse instruksjonene for å aktivere KVAS i Windows, kan også aktivere IBC. IBC krever også en fastvareoppdatering fra maskinvareprodusenten. I tillegg til instruksjonene i KB 4072698 for å aktivere beskyttelse i Windows, må kundene skaffe og installere oppdateringer fra deres maskinvareprodusenten.

Eksempelscenario (IBC anbefales)

Scenario 1

I et lokale fysisk system som er vert for Exchange-serveren, kan ikke-klarerte brukere laste opp og kjøre vilkårlig kode i JavaScript. I dette scenariet kan vi på det sterkeste IBC til å beskytte mot avsløring av prosess til prosess.

I situasjoner i hvilket IBC maskinvarestøtte ikke er til stede, anbefaler vi at du skiller klarerte prosessen på ulike fysiske eller virtuelle maskiner og prosesser som ikke er klarert.

Uklarert Exchange Server Extensibility mekanismer

Exchange Server inneholder funksjoner for utvidbarhet og mekanismer. Mange av disse er basert på APIer som ikke tillater ikke-klarert kode kjøres på serveren som kjører Exchange Server. Transport-agenter og Exchange Management Shell kan tillate ikke-klarert kode kjøres på en server som kjører Exchange Server i enkelte situasjoner. Extensibility funksjoner krever godkjenning før de kan brukes i alle tilfeller bortsett fra Transport agenter. Vi anbefaler at du bruker funksjoner som utvidbarhet som er begrenset til det minste settet med binære filer der det er aktuelt. Vi anbefaler også at kundene begrenser tilgang til servere for å unngå tilfeldig kode kjøres på samme systemer som Exchange-serveren. Vi at du bestemme om du vil stole på hver binær. Du bør deaktivere eller fjerne uklarert binærfilene. Du bør også kontrollere at administrasjonsgrensesnitt ikke vises på Internett.

Tredjepartsprodukter som beskrives i denne artikkelen, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, stilltiende eller på annen måte, om ytelsen eller påliteligheten til disse produktene.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×