Proteção alternativa para hosts Hyper-V do Windows Server 2016 contra as vulnerabilidades de canal de execução especulativa

  • Artigo

As mitigações recomendadas em orientações do Windows Server para se proteger contra as vulnerabilidades de canal de execução especulativa incluem a aplicação do firmware do sistema atualizado para aproveitar ao máximo todas as proteções conhecidas. Este tópico explica um mecanismo de proteção alternativa contra CVE-2017-5715 (injeção de destino de ramificação) para hosts Hyper-V do Windows Server 2016 que ainda não têm o firmware atualizado.

Esses hosts podem ser configurados para fornecer isolamento entre os processadores virtuais (VPs) usados para a partição raiz do host Hyper-V e as máquinas virtuais convidadas. Há dois recursos no Hyper-V do Windows Server 2016 que permitem essa configuração:

  • A funcionalidade raiz mínima ou "Minroot" permite que o administrador do host restrinja a partição de host do Hyper-V para executar seus processadores virtuais em um subconjunto dos processadores lógicos (LPs) totais do sistema. Os LPs restantes ainda estão disponíveis ao hipervisor para executar máquinas virtuais.

  • O recurso Grupos de CPU pode ser empregado para restringir processadores virtuais VM convidados a LPs específicos.

Ao combinar esses dois recursos, um administrador do host Hyper-V poderá isolar totalmente a atividade do host Hyper-V em um conjunto separado de processadores e isolar toda a atividade de convidados nos processadores restantes.

Por exemplo, em um sistema com 32 processadores lógicos, o host Hyper-V pode ser configurado para usar apenas oito, com os 24 processadores restantes dedicados a um grupo de CPU que contenha todas as máquinas virtuais convidadas naquele host. Dessa forma, a segregação completa é obtida entre a partição do host e as máquinas virtuais convidadas.

Em sistemas com multithreading simultâneo (SMT) habilitado, verifique se um núcleo que contém dois threads SMT não é compartilhado entre a partição do host e o grupo de CPU. Ou seja, os LPs de cada núcleo devem ser atribuídos exclusivamente à partição do host ou a VMs convidadas (por meio da configuração do grupo de CPU).

Para saber mais sobre a funcionalidade Minroot, consulte Gerenciamento de recursos de CPU do host Hyper-V.

Para obter mais informações sobre Grupos de CPU, consulte Controles de recursos de máquina virtual.