Alternativer Schutz für Windows Server 2016 Hyper-V-Hosts gegen spekulative Seitenkanalangriffe (Speculative Execution Side-Channel-Angriffe).

  • Artikel

Die in Windows Server-Leitfaden zum Schutz vor spekulativen Seitenkanalangriffen empfohlenen Maßnahmen umfassen die Anwendung aktualisierter Systemfirmware, um den vollen Nutzen aller bekannten Schutzfunktionen zu erzielen. Dieser Artikel beschreibt einen alternativen Schutzmechanismus gegen CVE-2017-5715 (Branch Target Injection) für Windows Server 2016 Hyper-V-Hosts, deren Firmware noch nicht aktualisiert wurde.

Diese Hosts können so konfiguriert werden, dass sie eine Isolierung zwischen den virtuellen Prozessoren (VPs) bereitstellen, die für die Root-Partition des Hyper-V-Hosts und für virtuelle Gastcomputer verwendet werden. Für eine solche Konfiguration gibt zwei Funktionen in Windows Server 2016 Hyper-V:

  • Mit einer Minimum-Root-Konfiguration („Minroot”) kann der Hostadministrator die Hyper-V-Hostpartition so beschränken, dass ihre virtuellen Prozessoren nur auf einer Teilmenge der logischen Prozessoren (LPs) des Systems ausgeführt werden. Die verbleibenden LPs stehen dem Hypervisor weiterhin für die Ausführung virtueller Computer zur Verfügung.

  • Das Feature CPU-Gruppen kann verwendet werden, um virtuelle Gast-VM-Prozessoren auf bestimmte LPs zu beschränken.

Durch die Kombination dieser beiden Features kann ein Hyper-V-Hostadministrator die Hyper-V-Hostaktivität vollständig auf eine isolierte Gruppe von Prozessoren beschränken und alle Gastaktivitäten auf den verbleibenden Prozessoren isolieren.

Auf einem System mit 32 logischen Prozessoren kann der Hyper-V-Host beispielsweise so konfiguriert werden, dass er nur acht Prozessoren verwendet. Die verbleibenden 24 Prozessoren sind einer CPU-Gruppe zugeordnet, die alle virtuellen Gastcomputer auf diesem Host enthält. Auf diese Weise wird die vollständige Trennung zwischen Hostpartition und Gast-VMs erreicht.

Stellen Sie auf Systemen mit aktiviertem Simultaneous Multi-Threading (SMT) sicher, dass ein Kern mit zwei SMT-Threads nicht sowohl für die Hostpartition als auch für die CPU-Gruppe freigegeben ist. Das heißt, die LPs jedes Kerns sollten ausschließlich entweder der Hostpartition oder den Gast-VMs zugewiesen werden (über die Konfiguration der CPU-Gruppe).

Weitere Informationen zur Minroot-Konfiguration finden Sie unter Hyper-V Host CPU Resource Management.

Weitere Informationen über CPU-Gruppen finden Sie unter Virtual Machine Resource Controls.