Protection alternative pour les hôtes Windows Server 2016 Hyper-V contre les vulnérabilités de canal auxiliaire d'exécution spéculative

  • Article

Les atténuations recommandées dans les instructions Windows Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative comprennent l’application d'une mise à jour du microprogramme système afin de bénéficier pleinement de toutes les protections connues. Cette rubrique décrit un mécanisme de protection alternative contre CVE-2017-5715 (injection cible de branche) pour les hôtes Windows Server 2016 Hyper-V ne disposant pas encore d'un microprogramme mis à jour.

Ces hôtes peuvent être configurés pour assurer l’isolation entre les processeurs virtuels (PV) utilisés pour la partition racine de l'hôte Hyper-V et les machines virtuelles invitées. Deux fonctionnalités de Windows Server 2016 Hyper-V permettent une telle configuration :

  • La racine minimale, ou fonctionnalité « Minroot », permet à l’administrateur hôte de limiter la partition hôte Hyper-V pour exécuter ses processeurs virtuels sur un sous-ensemble de la totalité des processeurs logiques (PL) du système. Les PL restants sont toujours à la disposition de l’hyperviseur pour exécuter des machines virtuelles.

  • La fonctionnalité Groupes d'UC peut être utilisée pour limiter les processeurs virtuels d'ordinateurs virtuels invités à des PL spécifiques.

En associant ces deux fonctionnalités, un administrateur hôte Hyper-V peut entièrement isoler l’activité Hyper-V hôte à un ensemble de processeurs à part et isoler l'intégralité de l'activité invité sur les processeurs restants.

Par exemple, sur un système doté de 32 processeurs logiques, l’hôte Hyper-V peut être configuré pour utiliser uniquement huit processeurs, avec les 24 processeurs restants dédiés à un groupe d'UC contenant l'ensemble des machines virtuelles invitées sur cet hôte. Ainsi, une ségrégation complète est obtenue entre la partition hôte et les machines virtuelles invitées.

Sur les systèmes dotés d'un multithreading simultané (MTS) activé, vérifiez qu’un cœur contenant deux threads MTS n’est pas partagé entre la partition hôte et le groupe d'UC. Autrement dit, les PL de chaque cœur doivent être attribués exclusivement à la partition hôte ou aux ordinateurs virtuels invités (via la configuration du groupe d'UC).

Pour en savoir plus sur la fonctionnalité Minroot, consultez Hyper-V Host CPU Resource Management.

Pour en savoir plus sur les Groupes d'UC, consultez Virtual Machine Resource Controls.