Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Microsoft, genel olarak bildirilen yeni bir sınıf "Spekülatif yürütme yan kanal saldırıları." bilinen güvenlik açıklarının bilmektedir Bu güvenlik açıklarından birçok modern işlemciler ve işletim sistemlerini etkiler. Bu, Intel, AMD ve ARM yonga kümeleri içerir.

Biz henüz bu güvenlik açıklarının müşterilere saldırmak amacıyla kullanılmış olduğunu belirtmek için herhangi bir bilgi elimize ulaşmadı. Yakından müşterileri korumak için endüstri ortakları ile çalışmaya devam ediyoruz. Bu çip üreticileri, OEM donanım ve uygulama satıcıları içerir. Tüm kullanılabilir korumadan yararlanmak için donanım veya üretici yazılımı ve yazılım güncelleştirmeleri gereklidir. Bu aygıt OEM'ler tarafından mikro kodları içerir ve virüsten koruma yazılımı için bazı durumlarda güncelleştirir. Bu güvenlik açıklarının etkisini azaltır yardımcı olacak birkaç güncelleştirme yayımlandı. Microsoft Güvenlik danışma belgesi ADV180002' de güvenlik açıkları hakkında daha fazla bilgi bulunabilir. Genel yönergeler için Kılavuzu Azaltıcı Spekülatif yürütme yan kanal güvenlik açıkları içinAyrıca bkz. Biz de güvenliğini sağlamak için bulut servislerimiz işlem. Daha fazla bilgi için aşağıdaki bölümlere bakın.

Etkilenen Exchange Server sürümleri

Bunlar x64 ve x86 tabanlı işlemci sistemleri hedef donanım düzeyinde saldırılara olduğundan, Microsoft Exchange Server'ın tüm desteklenen sürümleri bu sorundan etkilenir.

Öneriler

Aşağıdaki tabloda, Exchange Server müşterileri için önerilen eylemler açıklanmaktadır. Şu anda gerekli olan belirli Exchange güncelleştirme yok. Ancak, müşterilere en son Exchange Server toplu güncelleştirme ve tüm gerekli güvenlik güncelleştirmeleri her zaman çalıştırmanızı öneririz. , Üretim ortamları için dağıtmadan önce yeni ikili dosyaları doğrulamak için ususal yordamları kullanarak düzeltmelerini dağıtmak öneririz.

Senaryo

Açıklama

Öneriler

1

Exchange Server çıplak metal (sanal makine) çalıştırın ve hiçbir diğer güvenilmeyen uygulama mantığı (uygulama katmanı) aynı çıplak metal makine üzerinde çalıştırılır.

 

Tüm sistem ve normal üretim öncesi doğrulama sınama sonra Exchange Server güncelleştirmeleri uygulayın.

Çekirdek sanal adres gölgelendirme (KVAS) etkinleştirme gerekli (Bu makalenin sonraki bölümlerinde ilgili bölümüne bakın) değil.

2

Exchange Server ortak barındırma ortamında (bulut) sanal bir makinede çalıştırın.

Azure için: Microsoft Azure için azaltma çabalarının ayrıntılarını nakledilmiş (ayrıntılı bilgi için bkz: KB 4073235 ).

Diğer bulut sağlayıcıları: kendi kılavuzu için başvurun.

Konuk sanal makine (VM) tüm işletim sistemi güncelleştirmeleri yüklemenizi öneririz

KVAS etkinleştirilip etkinleştirilmeyeceğini hakkında bu makalenin sonraki bölümlerinde kılavuzuna başvurun.

3

Bir sanal makineye özel bir barındırma ortamında Exchange Server çalıştırın.

En iyi güvenlik yöntemleri için hiper yönetici güvenlik belgelerine bakın. KB 4072698 , Windows Server ve Hyper-V için bkz.

Konuk VM üzerinde tüm işletim sistemi güncelleştirmeleri yüklemenizi öneririz.

KVAS etkinleştirilip etkinleştirilmeyeceğini hakkında bu makalenin sonraki kılavuzuna başvurun.

1

Exchange Server, bir fiziksel veya sanal makinede çalıştırmak ve aynı sistemde çalışan başka bir uygulama mantığı ile yalıtılmış değil.

 

Tüm işletim sistemi güncelleştirmeleri yüklemenizi öneririz.

Müşteriler en son ürün güncelleştirme ve tüm ilişkili güvenlik güncelleştirmelerini dağıtmak öneririz.

Daha sonra bu makaledeki kılavuz makale KVAS etkinleştirilip etkinleştirilmeyeceğini hakkında başvurun.

Performans danışma

Biz güncelleştirmeleri uyguladığınızda sizin ortamınıza performansını değerlendirmek için tüm müşterilerimize bildirecek.

Burada açıklanan güvenlik açıklarının türleri için Microsoft tarafından sağlanan çözümler verilere erişim işlemi çapraz karşı korumak için yazılım tabanlı mekanizmalar kullanır. Biz, Exchange Server ve Windows güncelleştirilmiş sürümlerini yüklemek için tüm müşterilerimize bildirecek. Bunun Microsoft Exchange çalışma yüklerini sınamalara göre bir en az bir performans etkisi olmalıdır.

Biz, çeşitli iş yükleri, çekirdek sanal adres gölgelendirme (KVAS) etkisi ölçülen. Bazı iş yükleri önemli bir düşüş yaşarsınız olduğunu fark ettik. Exchange Server KVAS etkin, önemli bir düşüş bu iş yüklerini biridir. Yüksek CPU kullanımı veya yüksek g/ç kullanımı desenleri Göster sunucuları büyük etkisini göstermek için tahmin edilmektedir. İlk KVAS, bir üretim ortamına dağıtmadan önce üretim gereksinimlerinizi temsil eden bir laboratuvar testleri çalıştırarak etkinleştirme performans etkisini değerlendirmek önerilir. KVAS etkinleştirmenin performans etkisi çok yüksektir, aynı sistem üzerinde çalışan güvenilir olmayan kod yalıtmak Exchange sunucusundan uygulaması için daha iyi bir azaltıcı etken olup olmadığını düşünün.

KVAS yanı sıra, şube hedef Injection Azaltıcı donanım destek (IBC) performans etkisi hakkında bilgi ayrıntılı burada. IBC etkinleştirilmişse ve IBC çözümünü için dağıtılmış olan Exchange Server çalıştıran bir sunucu önemli performans düşmesiyle karşılaşabilirsiniz.

Biz donanım Tedarikçiler mikro kodları güncelleştirmeleri şeklinde kendi ürünleri için güncelleştirmeler sunacaktır beklenir. Exchange ile deneyimimiz mikro kodları güncelleştirmeleri performans açılır artacağını gösterir. Oluşur bu ölçüde yüksek oranda bileşenleri ve bunların uygulandığı sistemin tasarımını bağlıdır. Yazılım veya donanım tabanlı olup olmadığını, tek çözüm bu tür başına güvenlik açığı gidermek için yeterli olduğunu inanıyoruz. Çeşitliliğine sistem tasarımında dikkate tüm güncelleştirmelerin performansını ve bunları üretim koymadan önce performansını değerlendirmek için önerilir. Şu an için performans farklılıklarını dikkate almak için müşteriler tarafından kullanılan boyutlandırma hesap makinesi güncelleştirmek Exchange ekibi planlamamaktadır. Bu araç tarafından sağlanan hesaplamalar bu sorunlara ilişkin düzeltmeleri ile ilgili performans değişiklikler dikkate olmaz. Biz devam edecek bu araç ve inanıyoruz olabilir gerekli ayarlamaları değerlendirmek kendi kullanımı ve, müşterilere göre.

Daha fazla bilgi kullanılabilir hale geldiğinde Biz bu bölümde güncelleştirir.

Çekirdek sanal adresi etkinleştirme gölgeleme

Exchange Server ortak ve özel bulut ortamları ve Windows işletim sistemleri içinde VMs fiziksel sistemleri de dahil olmak üzere çoğu ortamlarda çalışır. Ortam ne olursa olsun, fiziksel sistem ya da bir VM program bulunur.  Bu ortamın fiziksel veya sanal güvenlik sınırıbilinir.

Sınırları içindeki tüm kodu bu sınırları içindeki tüm verilere erişimi varsa, hiçbir eyleme gerek yoktur. Durum bu değilse, sınırı çok Kiracıolduğu söylenir. Bulundu güvenlik açıkları, bu sınırları içinde herhangi bir veri okumak için bu sınırları içinde herhangi bir işlemde çalışan herhangi bir kod olun. Sınırlı izinleri altında bile bu geçerlidir. Sınır herhangi bir işlemin Güvenilmeyen kod çalışıyorsa, bu işlemin diğer işlemlerden veri okumak için bu güvenlik açıklarını kullanabilir.

Güvenilmeyen kodda çok müşterili sınır karşı korumak için aşağıdakilerden birini yapın:

  • Güvenilmeyen kod kaldırın.

  • İşlem işlem okuma karşı korumak için KVAS açın. Bu performans etkisi olacaktır. Ayrıntılı bilgi için bu makalenin önceki bölümlerinde bkz.

KVAS için Windows etkinleştirme hakkında daha fazla bilgi için bkz: KB 4072698.

Örnek senaryolar (KVAS şiddetle önerilir)

Senaryo 1

Azure VM güvenilmeyen kullanıcıların izinleri sınırlı tarafından çalıştırılan JavaScript kodu gönderebilmek için bir hizmet olarak çalışır. Aynı VM, Exchange Server çalıştıran ve bu güvenilmeyen kullanıcılar için erişilebilir olmamalı verileri yönetme. Bu durumda, KVAS iki varlık arasındaki açığa karşı korumak için gereklidir.

Senaryo 2

Exchange Server'ı barındıran bir yerinde fiziksel sistem güvenilir olmayan üçüncü taraf komut dosyaları veya yürütülebilir dosyaları çalıştırabilir. Bu komut dosyası Exchange verileri açığa karşı korumak üzere KVAS etkinleştirmek gerekli ya da çalıştırılabilir.

Not Sadece genişletilebilirlik mekanizması Exchange Server içinde kullanıldığından, otomatik olarak onu güvensiz yapmaz. Her bağımlılık anlamış ve güvenilir olduğu sürece bu mekanizmaların güvenle Exchange Server içinde kullanılabilir. Ayrıca, Exchange sunucusunda düzgün çalışması için genişletilebilirlik mekanizması gerektirecek yerleşik diğer ürünler vardır. Bunun yerine, ilk eyleminiz kod anlamış ve güvenilir olup olmadığını belirlemek için her kullanım gözden geçirin. Bu kılavuz, KVAS büyük başarım etkileri nedeniyle etkinleştirmek zorunda olup olmadığını belirlemelerine yardımcı olmak için sağlanmıştır.

Şube hedef Injection Azaltıcı (IBC) donanım desteğini etkinleştirme

IBC vektöründeki etkisini azaltır, CVE 2017-5715 karşı yarısı olarak da bilinen Spectre veya "VARIANT 2" GPZ açığa.

Bu yönergeler Windows KVAS etkinleştirmek için IBC de etkinleştirebilirsiniz. Ancak, IBC, aynı zamanda, donanım üreticinizden bir bellenim güncelleştirmesi gerektirir. Windows Koruma'yı etkinleştirmek için yönergeleri yanı sıra KB 4072698 , müşteriler edinmek ve kendi donanım üreticisinden güncelleştirmeleri yüklemek vardır.

Örnek senaryo (IBC şiddetle önerilir)

Senaryo 1

Exchange Server'ı barındıran bir yerinde fiziksel sistemde, güvenilmeyen kullanıcıların karşıya yükleyin ve JavaScript rasgele kod çalıştırmasına izin verilir. Bu senaryoda, biz IBC işlem işlem bilginin açığa çıkmasına karşı korumak için önerilir.

İçinde hangi IBC donanım desteği yok durumlarda, güvenilmeyen işlemleri ve güvenilir işlem üzerine farklı fiziksel veya sanal makinelere ayırın öneririz.

Güvenilmeyen Exchange Server genişletilebilirlik mekanizması

Exchange Server genişletilebilirlik özellikleri ve mekanizmalar içerir. Bunların çoğu, Exchange Server çalıştıran bir sunucu üzerinde çalıştırmak güvenilir olmayan kod izin verme API üzerine dayanır. Aktarım aracıları ve Exchange Yönetim Kabuğu'güvenilmeyen kod belirli durumlarda Exchange Server çalıştıran bir sunucuda çalıştırılmasına olanak verebilir. Aktarma aracıları, dışındaki tüm durumlarda genişletilebilirlik özellikleri kullanılabilmesi için önce kimlik doğrulaması gerektirir. Uygun olan her yerde en az ikili dosyalar kümesine yasak olan genişletilebilirlik özellikleri kullanmanızı öneririz. Müşterilerin Exchange sunucusu olarak aynı sistemlerinde çalışan rasgele kod gerekliliğini ortadan kaldırmak için sunucu erişimini kısıtlamak öneririz. Biz her ikili güveni belirlemek için önerin. Devre dışı bırakmak veya güvenilmeyen ikilileri kaldırmak gerekir. Ayrıca yönetim arabirimleri Internet'te almamalıdır emin olmanız gerekir.

Tüm bu makalede açıklanan üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft bu ürünlerin performansı veya güvenilirliği hakkında açık veya örtük hiçbir garanti vermez.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×