Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Streszczenie

Firma Microsoft zapoznała się z nową klasę publicznie luk w zabezpieczeniach, które są znane jako "ataki kanału po stronie wykonanie spekulacyjnych." Luki te wpływają na wiele nowoczesnych procesorów i systemów operacyjnych. Obejmuje to chipsety Intel, AMD i ARM.

Nie Otrzymaliśmy jeszcze żadnych informacji o tym, że luki te były używane do ataków na klientów. W dalszym ciągu ściśle współpracować z partnerami przemysłu w celu ochrony klientów. Obejmuje to producentów układów, producenci sprzętu OEM i dostawców aplikacji. Aby uzyskać wszystkie dostępne zabezpieczenia, sprzętu lub oprogramowania układowego i oprogramowania aktualizacje są wymagane. Obejmuje to mikrokodu od producentów OEM urządzenia i, w niektórych przypadkach aktualizacje oprogramowania antywirusowego. Firma Microsoft wydała kilka aktualizacji, aby pomóc w osłabianiu tych luk w zabezpieczeniach. Więcej informacji na temat luk można znaleźć w Microsoft Security Advisory ADV180002. Aby uzyskać ogólne wytyczne również zobacz wskazówki dotyczące ograniczające zagrożenie w przypadku luki umożliwiające wykonanie spekulacyjnych kanału po stronie. Możemy także podjęły działania do zabezpieczania nasze usługi w chmurze. W następujących sekcjach szczegółowych.

Zagrożone wersje Exchange Server

Ponieważ są ataki poziomie sprzętowym, które dotyczy systemów procesora opartych na x64 i x86, wszystkich obsługiwanych wersji programu Microsoft Exchange Server dotyczy ten problem.

Zalecenia

W poniższej tabeli opisano zalecane działania dla klientów Exchange Server. Nie istnieją żadne szczególne Exchange wymagane aktualizacje są obecnie. Zaleca się jednak, że klienci zawsze uruchamiaj najnowszej aktualizacji zbiorczej Exchange Server i wszelkie wymagane aktualizacje zabezpieczeń. Zaleca się wdrożenie poprawek przy użyciu własnych procedur ususal do sprawdzania poprawności nowe pliki binarne, przed ich wdrożeniem do produkcji środowisk.

Scenariusz

Opis

Zalecenia

1

Exchange Server jest uruchamiana na zera (nie maszyn wirtualnych) i nie inne niezaufanych logiki aplikacji (warstwa aplikacji) jest uruchamiany na tym samym komputerze metalowych systemu od zera.

 

Zastosuj wszystkie systemu i aktualizacje Exchange Server po przeprowadzeniu testów zwykle produkcji wstępnego sprawdzania poprawności.

Włączenie jądra wirtualny adres przesłanianie (KVAS) nie jest wymagane (patrz ppkt pokrewnych w dalszej części tego artykułu).

2

Exchange Server jest uruchamiany na maszynie wirtualnej w środowisku obsługującym publicznych (chmura).

Dla Azure: Firma Microsoft opublikowała szczegółowe informacje dotyczące działania łagodzące Azure (patrz KB 4073235 , aby uzyskać szczegółowe informacje).

Dla innych dostawców chmury: odnoszą się do ich wskazówek.

Firma Microsoft zaleca zainstalowanie wszystkich aktualizacji systemu operacyjnego na maszynie wirtualnej gościa (VM).

Odnoszą się do wskazówek w dalszej części niniejszego artykułu o tym, czy umożliwienie KVAS.

3

Exchange Server jest uruchamiany na maszynie wirtualnej w środowisku obsługującym prywatnych.

Zajrzyj do dokumentacji zabezpieczeń funkcji hypervisor za najważniejsze wskazówki dotyczące zabezpieczeń. Zobacz KB 4072698 dla systemu Windows Server i funkcji Hyper-V.

Firma Microsoft zaleca instalowanie wszystkich aktualizacji systemu operacyjnego na gościa maszyny Wirtualnej.

Odnoszą się do wytycznych później w tym artykule, o tym, czy umożliwienie KVAS.

4

Exchange Server jest uruchamiany na komputerze fizycznym lub maszyny wirtualnej, a nie jest odizolowana od innych logiki aplikacji, która jest uruchomiona na tym samym systemie.

 

Firma Microsoft zaleca zainstalowanie wszystkich aktualizacji systemu operacyjnego.

Zaleca się, że klienci wdrożyć aktualizację najnowszych dostępnych produktów i aktualizacje zabezpieczeń powiązanych.

Odnoszą się do wskazówek w tym artykule artykuł o tym, czy umożliwienie KVAS.

Poradnik wydajności

Zalecamy wszystkim klientom, aby ocenić wydajność określonego środowiska po zastosowaniu aktualizacji.

Rozwiązania, które są dostarczane przez firmę Microsoft dla typów luk w zabezpieczeniach, które zostały omówione w tym miejscu użyje mechanizmów opartych na oprogramowanie do ochrony przed krzyż proces dostępu do danych. Zalecamy wszystkim klientom zainstalować zaktualizowane wersje programu Exchange Server i Windows. Powinno to mieć wpływ na wydajność minimalna, w oparciu o testy Microsoft Exchange obciążeń.

Mierzyliśmy efekt z jądra wirtualny adres przesłanianie (KVAS) na różne obciążenia pracą. Odkryliśmy, że niektóre obciążeń wystąpić znaczny spadek wydajności. Exchange Server jest jednym z tych obciążeń, które mogą wystąpić znaczny spadek, jeśli KVAS jest włączone. Serwery, które pokazują, wysokie użycie Procesora lub wysokiej wzorców użycia we/wy są spodziewane ma największy wpływ. Zdecydowanie zaleca się najpierw ocenić wpływ na wydajność umożliwiające KVAS uruchamiając testy w laboratorium, które odpowiada potrzebom produkcji, przed wdrożeniem w środowisku produkcyjnym. Jeśli efekt wydajności umożliwiający KVAS jest zbyt wysoka, należy rozważyć, czy izolowanie Exchange Server przed niezaufanym kodem, który jest uruchomiony na tym samym systemie jest lepiej ograniczenia zagrożenia dla aplikacji.

Oprócz KVAS, jest szczegółowe informacje o wpływ na wydajność z obsługi sprzętowej łagodzenia oddział docelowy wtrysku (IBC) w tym miejscu. Serwera z systemem Exchange Server i rozwiązanie IBC, znajdujący się na może wystąpić znaczny spadek wydajności, jeśli włączono IBC.

Możemy przewidzieć, że dostawcy sprzętu oferują aktualizacje do swoich produktów w formie aktualizacje mikrokodu. Z naszych doświadczeń z programem Exchange wskazuje, że aktualizacje mikrokodu zwiększy spadek wydajności. Zakres, do którego ta występuje jest silnie uzależniona od składników i Projekt systemu, na którym są stosowane. Wierzymy, że jedno rozwiązanie, zarówno programowe i sprzętowe, jest wystarczające do usunięcia luki sam tego rodzaju. Zachęcamy do oceny wydajności wszystkich aktualizacji dla zmienności projektu systemu i wydajności przed umieszczeniem ich w środowisku produkcyjnym. Zespół produktu Exchange nie planuje zaktualizować Kalkulator zmiany rozmiaru, który jest używany przez klientów do obecnie uwzględnia różnice wydajności. Obliczenia złożone przez to narzędzie nie będzie wziąć pod uwagę zmian w działaniu, które są związane z rozwiązania tych problemów. Firma Microsoft będzie wciąż analizował to narzędzie i korekt, które Wierzymy, mogą być wymagane, na podstawie własne użycie i klientów.

Firma Microsoft zaktualizuje tej sekcji więcej informacji stanie się dostępny.

Włączanie wirtualny adres jądra cieniowanie

Exchange Server jest uruchamiane w wielu środowiskach, w tym systemów fizycznych maszyn wirtualnych w chmurze publicznych i prywatnych środowisk i systemów operacyjnych Windows. Niezależnie od środowiska program znajduje się na fizyczny system lub maszynie Wirtualnej.  To środowisko, czy fizycznego lub wirtualnego, jest znany jako granicęzabezpieczeń.

Jeżeli cały kod w granicach ma dostęp do wszystkich danych w tej granicy, akcja nie jest wymagana. Jeśli nie jest to możliwe, granica jest uważane za wielodostępnych. Usterek, które zostały znalezione umożliwiać wszelki kod, który jest uruchomiony w dowolnym procesie w ramach tej granicy do odczytu innych danych w obrębie tej granicy. Ta zasada obowiązuje nawet w ograniczonej uprawnienia. Jeśli jakikolwiek proces w granicy działa niezaufanym kodem, ten proces może wykorzystać te luki do odczytu danych z innych procesów.

Aby chronić przed niezaufanym kodem w obwiedni wielodostępnych, wykonaj jedną z następujących czynności:

  • Usuń niezaufanego kodu.

  • Włącz funkcję KVAS w celu ochrony przed odczyty procesu do procesu. Będzie to miało wpływ na wydajność. Zobacz sekcje wcześniej w tym artykule, aby uzyskać szczegółowe informacje.

Aby uzyskać więcej informacji dotyczących sposobu włączania KVAS dla systemu Windows, zobacz KB 4072698.

Przykładowe scenariusze (KVAS jest zdecydowanie zalecane)

Scenariusz 1

Maszynę wirtualną Azure uruchomiona jest usługa, w której niezaufani użytkownicy mogą przesyłać kod JavaScript, który jest uruchamiany przez posiadające ograniczone uprawnienia. Na samej maszyny Wirtualnej Exchange Server jest uruchomiona i zarządzanie danymi, który nie powinien być dostępny dla użytkowników niezaufanych. W tej sytuacji KVAS jest wymagane do ochrony przed ujawnieniem między dwoma obiektami.

Scenariusz 2

System fizyczny lokalnej, obsługującym Exchange Server można uruchomić niezaufanych firm skrypty lub pliki wykonywalne. Jest niezbędne w celu umożliwienia KVAS do ochrony przed ujawnieniem danych programu Exchange do skryptu lub pliku wykonywalnego.

Uwaga: Just ponieważ używany jest mechanizm rozszerzalności w ramach Exchange Server, który nie automatycznie sprawiają, że niebezpieczne. Mechanizmy te można bezpiecznie w ramach Exchange Server tak długo, jak długo każdy zależność jest rozumiane i zaufane. Dodatkowo istnieją inne produkty, które są wbudowane w Exchange Server, które mogą wymagać mechanizmy rozszerzeń do poprawnego działania. Zamiast tego w pierwszym ruchu Przejrzyj każdego zastosowania do określenia, czy kod jest zrozumienie i zaufane. W tych zaleceniach podano aby pomóc klientom w ustaleniu, czy mają one umożliwiające KVAS ze względu na większy wpływ na wydajność.

Włączanie obsługi sprzętowej łagodzenia (IBC) iniekcji oddział docelowy

IBC można zniwelować CVE 2017-5715, znany również jako jedną połowę widmo lub "wariantu 2" do ujawnienia GPZ.

Te instrukcje dotyczące włączania KVAS w systemie Windows można również włączyć IBC. IBC wymaga również aktualizację oprogramowania układowego od producenta sprzętu. Poza instrukcjami w KB 4072698 włączyć ochronę w systemie Windows klienci muszą uzyskać i zainstalować aktualizacje z ich producentem sprzętu.

Przykładowy scenariusz (IBC jest zdecydowanie zalecane)

Scenariusz 1

W lokalnym fizyczny system obsługujący Exchange Server niezaufani użytkownicy mogą przesłać i uruchomić dowolny kod JavaScript. W tym scenariuszu stanowczo zaleca się IBC do ochrony przed ujawnieniem informacji procesu do procesu.

W sytuacjach, w których IBC pomoc techniczna dla sprzętu nie jest obecny zaleca się oddzielić niezaufanych procesów i zaufanego procesu na różnych fizycznych i maszyn wirtualnych.

Mechanizmy rozszerzeń Exchange Server niezaufane

Exchange Server zawiera funkcje rozszerzeń i mechanizmów. Wiele z nich są oparte na funkcji API, które należy zezwalać niezaufanym kodem do uruchamiania na serwerze, na którym działa Exchange Server. Agenci transportowi i powłoki zarządzania serwerem Exchange umożliwiają niezaufanego kodu do uruchamiania na serwerze, na którym działa Exchange Server w określonych sytuacjach. We wszystkich przypadkach, z wyjątkiem agenci transportowi funkcji rozszerzeń wymagają uwierzytelniania, zanim będą mogły być użyte. Firma Microsoft zaleca użycie funkcji rozszerzeń, które są ograniczone do minimalnego zestawu plików binarnych, gdzie jest to stosowane. Firma Microsoft zaleca, aby klienci ograniczenia dostępu do serwera, aby uniknąć konieczności dowolnego kodu, które działają w systemach sam jako Exchange Server. Radzimy Ci do ustalenia, czy można ufać każdego pliku binarnego. Należy wyłączyć lub usunąć niezaufanych plików binarnych. Należy również upewnij się, że interfejsy zarządzania nie są dostępne w sieci Internet.

Wszystkie produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, domniemanych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×