Súhrn
Spoločnosť Microsoft si je vedomá verejne zverejnené nové triedy chyby, ktoré sú známe ako "špekulatívne vykonania strane kanála útoky." Tieto chyby ovplyvňujú mnohé moderné procesory a operačné systémy. Toto zahŕňa čipovej sady Intel, AMD a ARM.
Zatiaľ sme nedostali žiadne informácie, ktoré naznačujú, že tieto chyby boli použité útok zákazníkov. Naďalej úzko spolupracovať s partneri na ochranu zákazníkov. Patria sem čipové výrobcovia OEM hardvéru a dodávatelia aplikácií. Všetky dostupné ochranu hardvér alebo firmvér a softvérové aktualizácie sú povinné. Obsahuje mikrokód OEM zariadenia a, v niektorých prípadoch aktualizácie antivírusového softvéru. Vydali sme niekoľko aktualizácií na zamedzenie týchto chýb. Ďalšie informácie o zraniteľnosti, nájdete v Microsoft Security Advisory ADV180002. Všeobecné poradenstvo tiež nájdete pokyny na zníženie špekulatívne vykonania strane kanál chyby. Odporúčame tiež kroky na zabezpečenie našich služieb cloud. Nájdete v nasledujúcich častiach podrobnejšie.
Príslušné verzie servera Exchange
Pretože hardvérový útokov, ktoré sa zameriavajú systémov založených na x64 a x86 procesor, tento problém ovplyvní všetky podporované verzie systému Microsoft Exchange Server.
Odporúčania
V nasledujúcej tabuľke odporúčaných krokov pre zákazníkov programu Exchange Server. Neexistujú žiadne konkrétne aktualizácie Exchange momentálne vyžaduje. Však odporúča zákazníkom vždy najnovšiu kumulatívnu aktualizáciu servera Exchange a všetky potrebné aktualizácie. Odporúčame vám nasadiť opravy pomocou postupy na ususal overiť nové binárne súbory pred ich nasadením do výrobného prostredia.
|
Scenár |
Popis |
Odporúčania |
|
1 |
Exchange Server je spustený na bare metal (virtuálne počítače), a žiadne iné nedôveryhodný aplikačná logika (aplikačnej vrstvy) je spustený na tom istom počítači bare metal.
|
Použiť všetky systému a aktualizácie servera Exchange po zvyčajne prípravy overenia testovania. Povolenie jadra virtuálnych adries tieňovanie (KVAS) nie je potrebná (pozri súvisiace časti tohto článku). |
|
2 |
Exchange Server je spustený vo virtuálnom počítači vo verejnom hostiteľskom prostredí (cloud). |
Microsoft Azure: Zverejnil Podrobnosti o zníženie úsilia Azure (podrobné informácie nájdete v KB 4073235 ). Pre iných poskytovateľov technológie cloud: nájdete ich pokyny. Odporúčame inštaláciu všetkých aktualizácií operačného systému na hodnotenie virtuálny počítač. Pozrite pokyny v tomto článku o tom, či KVAS. |
|
3 |
Exchange Server je spustený vo virtuálnom počítači do súkromnej hostiteľskom prostredí. |
Nájdete v dokumentácii zabezpečenia hypervisor osvedčené postupy zabezpečenia. V téme KB 4072698 pre systém Windows Server Hyper-V. Odporúčame inštaláciu všetkých aktualizácií operačného systému na hodnotenie VM. Byť neskôr pokyny v tomto článku o tom, či KVAS. |
|
4 |
Exchange Server je spustený na počítač alebo virtuálny počítač a nie je izolovaný z iných aplikácií logika, ktorá pracuje na rovnakom počítači.
|
Odporúčame inštaláciu všetky aktualizácie operačného systému. Pozrite pokyny v tomto článku článok o tom, či KVAS. |
Výkon poradenstvo
Odporúčame všetkým zákazníkom vyhodnotenie výkonu prostredie po nainštalovaní aktualizácie.
Riešenia, ktoré sú poskytované spoločnosťou Microsoft pre typy chýb, ktoré sú tu uvedené použije softvérovú mechanizmy na ochranu proti krížového procesu prístupu k údajom. Odporúčame všetkým zákazníkom Inštalácia aktualizovanej verzie programu Exchange Server a Windows. Toto by mal efekt výkonu, na základe testovania spoločnosťou Microsoft Exchange zaťaženie.
Merané sme vplyv z jadra virtuálnych adries tieňovanie (KVAS) na rôzne zaťaženia. Zistili sme, že niektoré zaťaženie skúsenosti pokles výkonu. Zaťaženie, ktoré pokles sa môže vyskytnúť, ak je povolená KVAS patrí Exchange Server. Očakáva sa, že servery, ktoré zaťažuje Procesor alebo vysoká vstupno-výstupné používania najväčší efekt. Odporúčame najprv vyhodnotiť výkon následok KVAS v spúšťaní testov Lab, ktorá predstavuje vaše potreby pred nasadením do produkčného prostredia. Ak za následok výkon KVAS je príliš vysoká, zvážiť, či izolovať servera Exchange z nedôveryhodné kód, ktorý je spustený na rovnakom počítači je lepšie zníženie aplikácie.
Okrem KVAS, je podrobné informácie o vplyve výkon od vloženia cieľový priečinok zahltenia hardvérová podpora (IBC) sem. Server so systémom Exchange Server a IBC riešenie na to, ktorý má môže dôjsť pokles výkonu, ak je povolená IBC.
Môžeme očakávať, že dodávatelia ponúkne aktualizácie produktov, vo forme aktualizácie mikrokóde. Naše skúsenosti s naznačuje, že aktualizácie mikrokóde zvýši pokles výkonu. Rozsah, ku ktorému dochádza je vysoko závislé súčasti a návrh systému, v ktorom sa používajú. Veríme, že jedno riešenie, softvérový alebo hardvérový postačuje na riešenie tohto typu chybu sami. Odporúčame vám výkon všetky predstavujú variabilitou v systéme a výkon si ich do výroby. Tím Exchange neplánuje aktualizácie veľkosti kalkulačky, ktoré využívajú zákazníci v súčasnosti tvoria výkon rozdiely. Výpočty poskytuje nástroj neberie do úvahy akékoľvek zmeny v správaní, týkajúce sa opravy nasledujúcich problémov. Budeme tento nástroj a nastavenia, ktoré veríme, že môže byť potrebné vlastné použitie a so zákazníkmi.
Táto časť budeme aktualizovať informácie k dispozícii.
Povolenie virtuálnych adries jadra tieňovanie
Exchange Server je spustený v mnohých prostrediach, vrátane fyzických systémov VM verejných a súkromných cloudových prostrediach a operačné systémy Windows. Bez ohľadu na prostredie programu nachádza fyzického systému alebo VM. Toto prostredie fyzické alebo virtuálne, sa nazýva obmedzení.
Ak všetky kódu v rozhraní údajom v rámci obmedzení, ktoré sa nevyžaduje žiadna akcia. Ak to tak nie je, hranicu sa označuje ako viacerých nájomníkov. Chyby, ktoré sa našli, aby kód, spustený každý proces v tejto hranice čítať iné údaje v tejto hranice. Platí to aj pri zníženej povolenia. Ak akýkoľvek proces v systémom nedôveryhodný kódu, proces použiť tieto chyby čítať údaje z iných procesov.
Na ochranu proti nedôveryhodné v viacerých nájomníkov, vykonajte nasledovné:
-
Odstráňte kód nedôveryhodné.
-
Zapnite KVAS na ochranu proti procesu na čítanie. Bude to mať vplyv na výkon. Staršie časti v tomto článku nájdete podrobné informácie.
Ďalšie informácie o tom, ako povoliť KVAS pre systém Windows nájdete v článku KB 4072698.
Scenáre (KVAS odporúčame)
Scenár 1
Azure VM spustí službu, v ktorom nedôveryhodní používatelia môžu odoslať JavaScript kód, ktorý riadi máte obmedzené povolenia. Na rovnakom VM, Exchange Server je systém a správu údajov, ktoré by nemali byť dostupné tie nedôveryhodní používatelia. V takomto prípade KVAS je potrebné na ochranu proti zverejňovanie dve entity.
Scenár 2
Lokálne fyzické systém, ktorý je hostiteľom Exchange Server môžete spustiť nedôveryhodný tretej strany skripty a spustiteľné súbory. Je potrebné KVAS na ochranu proti sprístupnenie výmeny údajov skriptu alebo spustiteľný.
Poznámka: Len preto, lebo používa rozšírenie mechanizmu v rámci servera Exchange, ktorý automaticky neznamená nebezpečné. Tieto mechanizmy možno bezpečne v serveri Exchange každý závislosť sa chápe a dôveryhodné. Okrem toho existujú ďalšie produkty, ktoré sú vytvorené na serveri Exchange, vyžadujúce rozšíriteľnosť mechanizmy pracovať správne. Namiesto toho ako prvý akcie, skontrolujte každý použiť na určenie, či kód chápe a dôveryhodné. Tieto pokyny, ktoré pomáhajú zákazníkom zistiť, či sa majú povolenie KVAS z dôvodu väčší vplyv na výkon.
Umožňuje pobočky Target vloženia zahltenia (IBC) hardvérová podpora
IBC zmierňuje proti CVE 2017-5715, známa aj ako polovicu spektrum alebo "variant 2" zverejňovanie GPZ.
Návod na povolenie KVAS v systéme Windows môžete tiež povoliť IBC. Však IBC si aktualizáciu firmvéru od výrobcu hardvéru. Okrem pokynov KB 4072698 povolenie v systéme Windows, zákazníci musieť získať a nainštalovať aktualizácie od výrobcu hardvéru.
Príklad scenáre (IBC odporúčame)
Scenár 1
Lokálneho systému fyzickej, ktorý je hostiteľom servera Exchange, nedôveryhodní používatelia môžu nahrať a spustiť ľubovoľný kód JavaScript. V takom prípade dôrazne odporúčame IBC na ochranu proti procesu k informáciám.
V situáciách, ktoré IBC hardvérová podpora nie je prítomný, odporúčame oddelené nedôveryhodný procesy a dôveryhodný proces rôzne fyzické alebo virtuálne počítače.
Nedôveryhodné Exchange Server rozšírenie mechanizmov
Exchange Server zahŕňa rozšíriteľnosti a mechanizmy. Mnohé z nich vychádzajú API, ktoré neumožňujú nedôveryhodný kód na serveri so systémom Exchange Server. Agenti prenosu a prostredie Exchange Management Shell môže spôsobiť nedôveryhodný kód na serveri so systémom Exchange Server v určitých situáciách. Vo všetkých prípadoch s výnimkou agenti prenosu rozšíriteľnosti overovanie pred použitím. Odporúča sa, že rozšírenie funkcie, ktoré sú obmedzené na minimálny súbor binárne súbory, ak je to možné. Odporúčame tiež, či zákazníci obmedziť prístup na vyhli ľubovoľného kódu v rovnakej systémov servera Exchange server. Odporúčame zistiť, či dôveryhodný každý binárne. By vypnete alebo odstránite nedôveryhodný binárne súbory. By ste sa uistiť, že správa rozhrania nie sú vystavené na internete.
Všetky dodávateľmi iných produktov uvádzaných v tomto článku, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Spoločnosť Microsoft neposkytuje žiadnu záruku, implicitnej alebo inej, týkajúce sa výkonu alebo spoľahlivosti týchto produktov.
