Загальні відомості
Корпорація Майкрософт відомо новий відкрито розкриті класу вразливих місць, також відомі як "атаки стороні каналу спекулятивних виконання". Ці дефекти впливає на багатьох сучасних процесорів і операційних систем. Це стосується, Набори мікросхем, Intel, AMD та ARM.
Ми ще не отримали жодних відомостей про те, що ці дефекти вже використано до атак користувачів. Ми продовжувати тісну співпрацю з партнерами галузі захист клієнтів. Це стосується, мікросхем виробники обладнання, постачальників обчислювальної техніки та постачальники застосунків. Щоб отримати всі доступні захисту, обладнання або мікропрограма та оновлень програмного забезпечення не потрібно. Це включає мікрокоманд, з пристрою OEM і в деяких випадках оновлення антивірусного програмного забезпечення. Корпорація Майкрософт випустила кілька оновлень, щоб запобігти такі дефекти. Щоб отримати додаткові відомості про уразливості можна знайти в корпорації Майкрософт, Безпеки з питань ADV180002. Загальні рекомендації також див. інструкції для знижують спекулятивних виконання стороні каналу вразливості. Ми також вживають заходів для захисту наших служб у хмарі. Див. у наступних розділах, щоб отримати додаткові відомості.
Такі версії з Exchange Server
Тому, що ці обладнання рівня атак, призначені для x64-процесорів і на базі x86-процесорів системи, Усі підтримувані версії Microsoft Exchange Server спостерігають описану проблему.
Рекомендації
У наведеній нижче таблиці у цій статті описано дії, Рекомендовані для користувачів на сервері Exchange. Немає конкретних Exchange оновлень, які потрібно зараз. Проте рекомендовано, що користувачі постійно виконуються останній сукупний пакет оновлень Exchange Server а також оновлення безпеки, необхідні. Корпорація Майкрософт рекомендує, розгортати виправлення за допомогою процедури на звичних, щоб перевірити нові файли, перш ніж розгортати їх до робочого середовища.
|
Сценарій |
Опис |
Рекомендації |
|
1 |
Сервер Exchange, запустіть на систем металеві (віртуальних машин), і не інших ненадійний логіка застосунку (рівня), запустіть на цьому ж комп'ютері систем металеві.
|
Інсталюйте всі системи та Exchange Server оновлення після перевірки звичайної перевірки з попереднього виробництва. Увімкнення ядра віртуальних адрес затінення (квас), не потрібно (див. відповідний розділ цієї статті). |
|
2 |
Сервер Exchange, запустіть на віртуальну машину у спільних хостинг-середовищі (хмара). |
Для Azure: Microsoft додано відомості про зменшення зусиль для Azure (див. KB 4073235 докладну інформацію). Для інших постачальників у хмарі: зверніться до своїх інструкції. Рекомендується інсталювати всі оновлення для операційної системи на віртуальній машині Відгуки (VM.) Див. інструкції, далі в цій статті про те, як увімкнути Квас. |
|
3 |
Сервер Exchange, запустіть на віртуальну машину в приватних хостинг-середовищі. |
Зверніться до документації гіпервізора безпеки для безпеки поради щодо ефективного використання. Див. KB 4072698 для ОС Windows Server та Hyper-V. Зверніться до пізнішої версії Інструкції в цій статті про те, як увімкнути Квас. |
|
4 |
Exchange Server запущено на фізичної або віртуальної машини а не ізольована від інших логіка застосунку, який працює на тому ж системи.
|
Корпорація Майкрософт рекомендує, що всі оновлень для операційної системи. Див. далі в цій статті на статтю про те, як увімкнути Квас інструкції. |
Продуктивність, консультаційні послуги
Ми рекомендуємо, щоб усі користувачі, оцінки продуктивності у вашому середовищі, під час застосування оновлень.
Рішення, які надаються корпорацією Майкрософт для типів вразливих місць, які обговорюються тут буде використовувати програмне забезпечення на основі механізмів захисту перехресні процес доступу до даних. Радимо всім користувачам для інсталяції оновленої версії Exchange Server і Windows. Це, повинні мати ефект мінімальний виконання перевірки Microsoft Exchange навантаження на основі.
Ми вимірюється з ядра віртуальних адрес затінення (квас) вплив на різні навантаження. Ми виявили, що деякі навантаження, досвід значне зниження продуктивності. Exchange Server входить навантаження, які можуть виникнути значне зниження, якщо активовано Квас. Очікується Показати найбільший вплив серверів, що ЦП або високий шаблони для використання вводу-виводу. Настійно рекомендується спочатку оцінити вплив продуктивність Увімкнення квас, запустивши випробування в лабораторії, що відповідає вашим потребам, виробництво, перш ніж розгортати у середовищі виробництва. Якщо дуже висока продуктивність вплив Увімкнення квас, слід чи краще потоків, застосунок ізольованої Exchange Server, від ненадійний код, який працює на тому ж системи.
Окрім квас, відомості про вплив продуктивність гілку Target вкладання потоків обладнання для підтримки (МБК) описано нижче. Сервер під керуванням Exchange Server, а також, що має МКБ-рішення, на його може спостерігатися значне зниження продуктивності, якщо активовано IBC.
Сподіваємося, що постачальники обладнання, буде запропоновано оновлення до своїх продуктів у вигляді оновлення мікрокоманд, версія. Наш досвід роботи з Exchange вказує на те, що оновлення мікрокоманд збільшується до зниження продуктивності. У межах, що це відбувається, це залежить від компоненти та дизайн системи, на якому вони застосовуються. Вважаємо, що єдиного рішення, керуванням апаратного або програмного забезпечення на основі чи достатньо для задоволення цей тип вразливості тільки. Ми рекомендуємо виконання всіх оновлень для відмінності у дизайн системи, та продуктивності, перш ніж поставити їх виробництва. Команда Exchange не планує оновлення розміру калькулятор, яка використовується клієнтами для виконання відмінності в даний час. Розрахунки, які надаються цей засіб не буде брати до уваги будь-які зміни у виконанні, пов'язані з виправлення цих неполадок. Ми будемо продовжувати, цей засіб та налаштування, які вважаєте, може знадобитися, на основі власних використання а також що клієнтів.
Корпорація Майкрософт оновить у цьому розділі, як у разі наявності додаткових відомостей.
Увімкнення ядра, віртуальний адресний затінення
У багатьох системах, включаючи фізичної системи, віртуальні машини, у відкритих та приватна хмара середовищ а також операційних систем Windows запускається Exchange Server. Незалежно від того, в середовищі програми, можна знайти в фізична система VM. Це середовище, фізичних чи віртуальних, відомий як межасистеми безпеки.
Якщо доступ до всіх даних, за межі, що всі код в межі, додаткові дії не потрібні. Якщо це не так, межі вважається кількох компонентів. Вразливих місць, які було знайдено дозволяють коду, яка працює у будь-який процес в цю межу прочитати будь-які дані за межі, що. Це стосується навіть за зниженою дозволи. Якщо будь-який процес межі працює ненадійний код, цей процес можна використовувати такі дефекти зчитування даних з іншими процесами.
Для захисту від ненадійний код у кількох компонентів межі, чи будь-якої з наведених нижче дій
-
Видаліть ненадійний код.
-
Увімкнення, квас захисту від процесу процес читання. Це матиме вплив на продуктивність. Див. у попередніх розділах, в цій статті, щоб отримати додаткові відомості.
Щоб отримати додаткові відомості про ввімкнення Квас для Windows див. KB 4072698.
Сценарії, наприклад (Квас настійно рекомендується)
Сценарій 1
До Azure Віртуальну працює на обслуговування, в яких ненадійний надсиланням JavaScript коду, які працюють з обмеженим, дозволи. На тому самому віртуальну Машину під керуванням Exchange Server і керування даних, які не повинні бути доступними для користувачів, що ненадійний. У цьому випадку Квас необхідна для захисту від розкриття, між ними.
Сценарій 2
Локальна фізичної системи, на якому розміщено на сервері Exchange Server, можна запустити ненадійний сторонніх виробників, сценарії або файли. Це необхідно ввімкнути Квас для захисту ваших даних Exchange, для сценаріїв або виконуваного.
Примітка Тільки через те, що використовується механізм в Exchange Server, які автоматично робить небезпечними. Ці способи можна безпечно використовувати в Exchange Server кожного залежність зрозуміти, і надійних. Крім того, є інші продукти, створені на сервері Exchange, які можуть викликати, розширюваність механізми працювати належним чином. Замість цього до першого дій, ознайомтеся з кожного використання, щоб визначити, чи код зрозуміти і надійних. Цей посібник, надається допомагає користувачам, визначити, чи вони мають можливість Квас за розміром вплив на продуктивність.
Увімкнення гілку Target вкладання потоків (МБК) апаратної підтримки
IBC, знижує проти CVE 2017-5715, також відомий як половину Spectre або "варіант 2" GPZ розкриття.
Ці інструкції для ввімкнення квас, в ОС Windows можна також увімкнути IBC. Однак IBC також вимагає поновлення мікропрограм від виробника устаткування. Окрім вказівок KB 4072698 ввімкнення захисту в ОС Windows користувачі мають завантаження та інсталяції оновлень від виробника устаткування.
Приклад сценарію, що (МКБ настійно рекомендується)
Сценарій 1
В локальній фізичної системі, яка розміщено на сервері Exchange ненадійний користувачі можуть завантажувати та запускати довільний JavaScript коду. У цьому випадку настійно рекомендується IBC захисту від розкриття процесу та обробки інформації.
Ситуації, в яких IBC апаратної підтримки відсутній корпорація Майкрософт рекомендує, що ви розділити ненадійний процесів і надійних процес на інший фізичної або віртуальної машини.
Розширюваність-механізми ненадійний Exchange Server
Exchange Server, містить розширення функцій і механізмів. Багато таких базуються інтерфейси API, який дозволяє ненадійний код на сервері під керуванням Exchange Server. Транспортні агенти керування Exchange і може дозволити ненадійний код на сервері під керуванням Exchange Server, за певних обставин. В усіх випадках, за винятком транспортні агенти розширюваність функції потребують автентифікації, перед тим, як вони можуть бути використані. Корпорація Майкрософт рекомендує, використовувати розширюваність функцій, з обмеженим доступом, мінімального набору двійкові файли, де це можливо. Також рекомендовано, клієнти, обмеження доступу до сервера, щоб уникнути випадкового коду, запустіть на тому ж системи, як Exchange Server. Ми рекомендуємо вам визначити, чи довіряти кожного двійкові. Слід вимкнено або видалено ненадійний файли. Слід також переконатися, що інтерфейси керування не можна в Інтернеті.
Будь-які продукти сторонніх виробників, описаної у статті проблеми створені, не залежать від корпорації Майкрософт. Корпорація Майкрософт не надає жодних гарантій, неявних або інших, стосовно продуктивності або надійності цих продуктів.
