Альтернативные средства защиты узлов Hyper-V под управлением Windows Server 2016 от уязвимостей спекулятивного выполнения бокового канала
Меры, описанные в инструкциях по защите Windows Server от уязвимости спекулятивного выполнения бокового канала, включают в себя применение обновленного встроенного ПО для использования всех преимуществ всех известных средств защиты. В этом разделе описывается альтернативный механизм защиты от уязвимости CVE-2017-5715 (внедрение ответвления цели)для узлов Hyper-V под управлением Windows Server 2016, которые еще не получили обновленное встроенное ПО.
Эти узлы могут быть настроены для обеспечения изоляции виртуальных процессоров, используемых для корневого раздела и гостевых виртуальных машин Hyper-V. В Hyper-V для Windows Server 2016 доступно две функции, которые позволяют применить такую конфигурацию.
Минимальный корневой раздел ("Minroot") позволяет администратору узла разрешить разделу узлу Hyper-V запускать свои виртуальные процессоры с использованием подмножества логических процессоров системы. Оставшиеся логические процессоры по-прежнему будут доступны низкоуровневой оболочки для запуска виртуальных машин.
Группы ЦП могут использоваться для назначения виртуальных процессоров гостевой ВМ конкретным логическим процессорам.
Объединив эти две функции, администратор узла Hyper-V может полностью изолировать действия узла Hyper-V для в отдельном наборе процессоров и назначить операции гостевой ВМ оставшимся процессорах.
Например, в системе с 32 логическими процессорами узлу Hyper-V можно выделить только восемь процессоров, а оставшиеся 24 процессора выделить группе ЦП, которая содержит все гостевых виртуальные машины на этом узле. Таким образом можно добиться полной изоляции раздела узла и гостевых виртуальных машин.
В системах с включенной параллельной многопоточностью (SMT) убедитесь, что ядро, содержащее два потока SMT, не распределяется между разделом узла и группой ЦП. Это значит, что каждый логический процессор ядра должен быть назначен только разделу узла или гостевой ВМ (с помощью конфигурации группы ЦП).
Дополнительные сведения о возможностях Minroot см. в разделе Управление ресурсами ЦП узла Hyper-V.
Подробнее о группах ЦП см. в разделе Элементы управления ресурсами виртуальной машины.