投機的実行のサイドチャネルの脆弱性から Windows Server 2016 Hyper-V ホストを保護するための代替手段

「Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」で推奨されている軽減策には、既知のすべての保護のメリットを実現するための、最新システム ファームウェアの適用が含まれます。 このトピックでは、まだファームウェアが更新されていない Windows Server 2016 Hyper-V ホストの CVE 2017 5715 (分岐先インジェクション) に対する、代替保護メカニズムについて説明します。

Hyper-V ホストのルート パーティションとゲスト仮想マシン用に使用される仮想プロセッサ (VP) を分離するように、これらのホストを構成できます。 Windows Server 2016 Hyper-V には、このような構成を実現できる機能が 2 つあります。

• 最小ルート、つまり "Minroot" 機能により、ホスト管理者は、システムのすべての論理プロセッサ (LP) のサブセットで仮想プロセッサを実行するように、Hyper-V ホスト パーティションを制限できます。 残り LP は、仮想マシンを実行するためにハイパーバイザーで引き続き利用できます。

• CPU グループ機能を利用して、ゲスト VM の仮想プロセッサを特定の LP に制限できます。

この 2 つの機能を組み合わせることによって、Hyper-V ホスト管理者は、ホストの Hyper-V アクティビティを別個のプロセッサのセットに分離し、すべてのゲスト アクティビティを残りのプロセッサに分離することができます。

たとえば、32 個の論理プロセッサを搭載したシステムでは、Hyper-V ホストで 8 つのプロセッサのみを使用し、残りの 24 個のプロセッサをそのホスト上のすべてのゲスト仮想マシンを含む CPU グループ専用にするように構成できます。 このような方法で、ホスト パーティションとゲスト仮想マシン間の完全な分離が実現されます。

同時マルチスレッディング (SMT) 有効になっているシステムでは、2 つの SMT スレッドが含まれているコアがホスト パーティションと CPU グループで共有されていないことを確認します。 つまり、各コアの LP は、ホスト パーティションまたはゲスト VM (CPU グループの構成による) に排他的に割り当てられている必要があります。

Minroot 機能の詳細については、Hyper-V ホストの CPU リソースの管理に関するページを参照してください。

CPU グループの詳細については、仮想マシンのリソース制御に関するページを参照してください。