Richtlijnen voor Exchange Server te beschermen tegen de zijkant kanaal van speculatieve beveiligingslekken

Samenvatting

Microsoft is zich bewust van een nieuwe klasse openbaar gemaakte beveiligingslekken die bekend staan als "speculatieve uitvoering zijde kanaal aanvallen." Deze beveiligingslekken hebben betrekking op veel moderne processoren en besturingssystemen. Dit omvat chipsets van Intel, AMD en ARM.

We hebben nog geen informatie ontvangen om aan te geven dat deze beveiligingslekken zijn gebruikt voor aanvallen op klanten. Wij werken nauw samen met industriepartners om klanten te beschermen. Dit omvat chip makers, OEM's hardware en leveranciers van toepassingen. Als u alle beschikbare bescherming, zijn hardware of firmware en software-updates nodig. Dit omvat microcode bij apparaat OEM's en in sommige gevallen werkt u antivirussoftware. We hebben verschillende updates om te voorkomen dat deze beveiligingslekken uitgebracht. U vindt meer informatie over de beveiligingslekken in Microsoft Security Advisory-ADV180002. Zie ook richtlijnen voor side-channel van speculatieve beveiligingslekken beperkendevoor algemene richtsnoeren. We hebben ook genomen actie te beveiligen onze cloud services. Zie de volgende secties voor meer informatie.

Kwetsbare versies van Exchange Server

Omdat deze x64- en x86 processor-systemen aanvallen op hardware-niveau, worden alle ondersteunde versies van Microsoft Exchange Server last van dit probleem.

Aanbevelingen

De volgende tabel beschrijft de aanbevolen acties voor klanten met Exchange Server. Er zijn geen specifieke Exchange-updates die op dat moment nodig zijn. We raden echter aan dat klanten altijd de meest recente cumulatieve update voor Exchange Server en eventuele vereiste beveiligingsupdates uitgevoerd. Wordt aangeraden dat oplossingen te implementeren met behulp van ususal-procedures voor het valideren van nieuwe binaire bestanden voordat u deze naar productieomgevingen distribueert.

Scenario

Beschrijving

Aanbevelingen

1

Exchange Server wordt uitgevoerd op naakt (geen virtuele machines) en geen andere niet-vertrouwde toepassingslogica (tier toepassing) wordt uitgevoerd op de bare metal machine.

 

Systeem- en updates voor Exchange Server na het testen van de validatie van gebruikelijke voorafgaand aan de productie van toepassing.

Het inschakelen van Kernel virtueel adres-schaduw (KVAS) is niet vereist (Zie het gedeelte Verwante verderop in dit artikel).

2

Exchange Server wordt uitgevoerd op een virtuele machine in een openbare hostomgeving (wolk).

Voor Azure: Microsoft details over beperkende inspanningen voor Azure is geboekt (Zie KB 4073235 voor gedetailleerde informatie).

Voor andere cloud providers: verwijzen naar hun richtlijnen.

Het is raadzaam alle OS-updates installeert op de Gast virtuele machine (VM).

Raadpleeg de instructies verderop in dit artikel over de vraag of KVAS inschakelen.

3

Exchange Server wordt uitgevoerd op een virtuele machine in een particuliere hosting-omgeving.

Raadpleeg de documentatie bij de hypervisor beveiliging voor aanbevolen procedures voor beveiliging. Zie KB 4072698 voor Windows Server en Hyper-V.

Het is raadzaam om alle updates voor het besturingssysteem installeren op de Gast VM.

Verwijzen naar een latere richtlijnen in dit artikel over de vraag of KVAS inschakelen.

4

Exchange Server wordt uitgevoerd op een fysieke of virtuele machine en niet gescheiden is van de andere toepassingslogica die wordt uitgevoerd op hetzelfde systeem.

 

Het is raadzaam alle OS-updates installeert.

Wij raden u aan klanten de meest recente beschikbare productupdate en alle bijbehorende beveiligingsupdates te implementeren.

Raadpleeg de instructies verderop in dit artikel over de vraag of KVAS inschakelen.

Advies van de prestaties

We raden alle klanten voor de evaluatie van de prestaties van uw specifieke omgeving wanneer u updates hebt toegepast.

Oplossingen die door Microsoft worden geleverd voor de soorten problemen die hier worden besproken gebruikt software gebaseerde mechanismen ter bescherming tegen cross-proces toegang tot gegevens. We raden alle klanten moeten bijgewerkte versies van Exchange Server en Windows installeren. Dit moet een minimale prestaties effect, op basis van Microsoft Exchange werklasten tests hebben.

We hebben de gevolgen van de Kernel virtueel adres-schaduw (KVAS) voor verschillende werkbelastingen gemeten. We hebben gevonden dat sommige werklasten een aanzienlijke daling van de prestaties optreden. Exchange Server is een van de werklast die een significante daling optreden kunnen als KVAS is ingeschakeld. Servers die hoog CPU-gebruik of hoge i/o-gebruikspatronen wordt verwacht dat het grootste effect geven. Het is raadzaam eerst de gevolgen voor de prestaties van het KVAS inschakelen door het uitvoeren van tests in een laboratorium met de behoeften van de productie voordat u gaat in een productieomgeving implementeren te evalueren. Als de gevolgen voor de prestaties van de KVAS te hoog is, kunt u overwegen of isoleren van Exchange Server vanaf niet-vertrouwde code die wordt uitgevoerd op hetzelfde systeem een betere oplossing voor de toepassing is.

Naast KVAS, informatie over de gevolgen voor de prestaties van het filiaal doel injectie risicobeperking hardware-ondersteuning (IBC) gedetailleerd is hier. Een server waarop Exchange Server wordt uitgevoerd en die heeft een IBC-oplossing geïmplementeerd op het ondervindt een significante afname van prestaties als IBC is ingeschakeld.

We verwachten dat hardware leveranciers updates voor hun producten in de vorm van microcode-updates zijn. Onze ervaring met Exchange geeft microcode-updates verhoogt de prestaties neerzetten. De mate waarin dit gebeurt is sterk afhankelijk is van de onderdelen en het ontwerp van het systeem waarop ze worden toegepast. Wij geloven dat geen enkele oplossing op basis van software of hardware gebaseerde voldoende is om dit type van het beveiligingslek alleen. We raden u aan het evalueren van de prestaties van alle updates voor de variabiliteit in het systeemontwerp en prestaties voordat u ze in productie gebracht. Het Exchange-team is niet van plan de formaatgrepen Rekenmachine waarmee klanten rekening gehouden met prestatieverschillen op dit moment bijwerken. De berekeningen die door dit hulpprogramma wordt niet rekening gehouden met eventuele wijzigingen in de prestaties met betrekking tot oplossingen voor deze problemen. Voor de evaluatie van dit programma en de aanpassingen die wij nodig zijn, zullen wij op basis van onze eigen gebruik en die van klanten.

In dit gedeelte wordt bijgewerkt zodra meer informatie beschikbaar.

Inschakelen van virtueel-schaduw

Exchange Server wordt uitgevoerd in veel omgevingen, met inbegrip van fysieke systemen, VMs in openbare en private cloud-omgevingen en Windows-besturingssystemen. Ongeacht het milieu, het programma zich bevindt op een fysieke of een VM.  In deze omgeving, staat of fysiek of virtueel, bekend als de beveiliging grens.

Als alle code binnen de grenzen van de toegang tot alle gegevens binnen deze grenzen heeft, is geen actie vereist. Als dit niet het geval, genoemd de grens worden meerdere huurder. De beveiligingslekken die zijn gevonden voor elke code die wordt uitgevoerd in een proces binnen deze grenzen voor het lezen van gegevens binnen deze grenzen mogelijk maken. Dit geldt ook bij minder machtigingen. Als een proces van de grens met niet-vertrouwde code, kan dat proces deze beveiligingslekken gebruiken om gegevens te lezen van andere processen.

Ter bescherming tegen niet-vertrouwde code in een grens met meerdere huurder, voert u een van de volgende:

  • De niet-vertrouwde code verwijderen.

  • KVAS bescherming tegen leesbewerkingen van proces naar proces inschakelen. Dit heeft gevolgen voor de prestaties. Zie de secties eerder in dit artikel voor meer informatie.

Zie voor meer informatie over het inschakelen van KVAS voor Windows KB 4072698.

Voorbeeldscenario's (KVAS wordt ten zeerste aanbevolen)

Scenario 1

Een Azure VM wordt uitgevoerd een service waarbij niet-vertrouwde gebruikers JavaScript-code die wordt uitgevoerd met machtigingen beperkt kunnen indienen. Exchange Server wordt uitgevoerd en beheren van gegevens die niet toegankelijk voor niet-vertrouwde gebruikers op de dezelfde VM. In dit geval KVAS moet beschermen tegen openbaarmaking tussen de twee entiteiten.

Scenario 2

Een in de lokalen fysieke systeem waarop Exchange Server kunt uitvoeren voor niet-vertrouwde derde partij scripts of uitvoerbare bestanden. Het is nodig om te schakelen KVAS te beschermen tegen de openbaarmaking van Exchange-gegevens naar het script of uitvoerbare bestand.

Opmerking Just omdat een mechanisme voor uitbreidbaarheid in Exchange Server wordt gebruikt, dat betekent niet automatisch dat het onveilig. Deze mechanismen kunnen veilig worden gebruikt in een Exchange-Server als de afhankelijkheid is begrepen en vertrouwd. Er zijn ook andere producten die zijn gebaseerd op de Exchange-Server waarvoor uitbreidbaarheid mechanismen goed. In plaats daarvan, als de eerste actie controleren elke gebruiken om te bepalen of de code is te begrijpen en vertrouwd. Deze richtsnoeren vast te stellen of ze KVAS inschakelen door grotere prestaties gevolgen hebben.

Filiaal doel injectie risicobeperking (IBC) Hardware-ondersteuning inschakelen

IBC vermindert tegen 2017 CVE-5715, ook bekend als de helft van Spectre of "variant 2" GPZ informatieverschaffing.

Deze instructies voor het inschakelen van KVAS in Windows kunnen IBC ook inschakelen. IBC vereist echter ook een firmware-update van de hardwarefabrikant van uw. Naast de instructies in KB 4072698 voor beveiliging in Windows, hebben klanten ophalen en installeren van updates van de hardwarefabrikant van de.

Voorbeeldscenario (IBC wordt ten zeerste aanbevolen)

Scenario 1

Over lokalen fysieke systeem waarop Exchange Server, niet-vertrouwde gebruikers mogen uploaden en willekeurige JavaScript-code kan uitvoeren. In dit scenario wordt sterk afgeraden IBC te beschermen tegen openbaarmaking van proces naar proces.

In situaties waarin IBC hardware-ondersteuning niet aanwezig is, is het raadzaam niet-vertrouwde processen en vertrouwde proces naar andere fysieke of virtuele machines te scheiden.

Mechanismen voor niet-vertrouwde Exchange Server uitbreiden

Exchange Server bevat functies voor uitbreidbaarheid en mechanismen. Veel van deze zijn gebaseerd op de API's die niet toestaan van niet-vertrouwde code kan uitvoeren op de server waarop Exchange Server wordt uitgevoerd. Transport-agenten en Exchange Management Shell kunnen niet-vertrouwde code kan worden uitgevoerd op een server waarop Exchange Server wordt uitgevoerd in bepaalde situaties leiden. Uitbreidbaarheid functies vereisen verificatie in alle gevallen, behalve voor vervoer agenten, voordat ze kunnen worden gebruikt. Wij raden u aan gebruik te maken van uitbreidbare functies die zijn beperkt tot de minimale set van binaire bestanden, waar van toepassing. Wij raden ook aan dat klanten toegang tot de server om te voorkomen dat willekeurige code uitvoeren op de systemen dezelfde als de Exchange-Server beperken. Wij adviseren u om te bepalen of elke binaire vertrouwen. U moet uitschakelen of verwijderen van niet-vertrouwde binaire bestanden. U moet ook ervoor zorgen dat beheerinterfaces niet beschikbaar zijn op het Internet.

Alle producten van andere leveranciers die in dit artikel wordt beschreven, worden vervaardigd door bedrijven die onafhankelijk van Microsoft zijn. Microsoft geeft geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of betrouwbaarheid van deze producten.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×