Protección alternativa para hosts de Hyper-V de Windows Server 2016 frente a vulnerabilidades de canal lateral de ejecución especulativaAlternative protection for Windows Server 2016 Hyper-V Hosts against the speculative execution side-channel vulnerabilities

Entre las mitigaciones recomendadas en la Guía de Windows Server para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa se incluye la aplicación de firmware del sistema actualizado con el fin de sacar el máximo partido de todas las protecciones conocidas.The mitigations recommended in Windows Server guidance to protect against speculative execution side-channel vulnerabilities include applying updated system firmware in order to achieve the full benefit of all known protections. En este tema se explica un mecanismo de protección alternativo frente a CVE-2017-5715 (inserción de destino de bifurcación) para hosts de Hyper-V de Windows Server 2016 que aún no tienen el firmware actualizado.This topic explains an alternative protection mechanism against CVE-2017-5715 (branch target injection) for Windows Server 2016 Hyper-V hosts that do not yet have updated firmware.

Estos hosts pueden configurarse para proporcionar aislamiento entre los procesadores virtuales (VP) usados para la partición raíz del host de Hyper-V y las máquinas virtuales invitadas.These hosts may be configured to provide isolation between the virtual processors (VPs) used for the Hyper-V host’s root partition and guest virtual machines. Hay dos características en Hyper-V de Windows Server 2016 que permiten dicha configuración:There are two features in Windows Server 2016 Hyper-V that allow for such a configuration:

  • La funcionalidad de raíz mínima o “Minroot” permite al administrador del host limitar la partición de host de Hyper-V para ejecutar sus procesadores virtuales en un subconjunto de procesadores lógicos (LP) totales del sistema.The minimum root, or “Minroot” capability allows the host administrator to constrain the Hyper-V host partition to run its virtual processors on a subset of the system’s total logical processors (LPs). Los procesadores lógicos (LP) restantes siguen estando disponibles para que el hipervisor ejecute las máquinas virtuales.The remaining LPs are still available to the hypervisor to run virtual machines.

  • La característica Grupos de CPU puede utilizarse para limitar los procesadores virtuales de máquinas virtuales (VM) invitadas a procesadores lógicos (LP) específicos.The CPU Groups feature may be employed to constrain guest VM virtual processors to specific LPs.

Al combinar estas dos características, un administrador del host de Hyper-V puede aislar completamente la actividad del host de Hyper-V para un conjunto independiente de procesadores y aislar toda la actividad de las máquinas virtuales invitadas para los procesadores restantes.By combining these two features, a Hyper-V host administrator can fully isolate the host Hyper-V activity to a separate set of processors, and isolate all guest activity to the remaining processors.

Por ejemplo, en un sistema con 32 procesadores lógicos, el host de Hyper-V puede configurarse para utilizar únicamente ocho procesadores, con los 24 procesadores restantes dedicados a un grupo de CPU que incluya todas las máquinas virtuales invitadas en dicho host.For example, on a system with 32 logical processors, the Hyper-V host can be configured to utilize only eight processors, with the remaining 24 processors dedicated to a CPU group which contains all guest virtual machines on that host. De esta manera, se logra una separación completa entre la partición del host y las máquinas virtuales invitadas.In this manner, full segregation is achieved between the host partition and guest virtual machines.

En el caso de sistemas que tengan habilitados los subprocesos múltiples simultáneos (SMT), asegúrate de que no se comparte un núcleo que incluya dos subprocesos SMT entre la partición del host y el grupo de CPU.On systems with simultaneous multi-threading (SMT) enabled, make sure that a core containing two SMT threads is not shared between the host partition and the CPU group. Es decir, los procesadores lógicos (LP) de cada núcleo deben asignarse de forma exclusiva a la partición del host o a las máquinas virtuales (VM) invitadas (a través de la configuración de grupo de CPU).That is, each core’s LPs should be assigned exclusively to either the host partition, or to guest VMs (via the CPU group’s configuration).

Para obtener más información sobre la funcionalidad Minroot, consulta Hyper-V Host CPU Resource Management (Administración de recursos de CPU de host de Hyper-V).For more information about the Minroot capability, see Hyper-V Host CPU Resource Management.

Para obtener más información sobre los grupos de CPU, consulta Virtual Machine Resource Controls (Controles de recursos de máquinas virtuales).For more information about CPU Groups, see Virtual Machine Resource Controls.