Альтернативные средства защиты узлов Hyper-V под управлением Windows Server 2016 от уязвимостей спекулятивного выполнения бокового каналаAlternative protection for Windows Server 2016 Hyper-V Hosts against the speculative execution side-channel vulnerabilities

Меры, описанные в инструкциях по защите Windows Server от уязвимости спекулятивного выполнения бокового канала, включают в себя применение обновленного встроенного ПО для использования всех преимуществ всех известных средств защиты.The mitigations recommended in Windows Server guidance to protect against speculative execution side-channel vulnerabilities include applying updated system firmware in order to achieve the full benefit of all known protections. В этом разделе описывается альтернативный механизм защиты от уязвимости CVE-2017-5715 (внедрение ответвления цели)для узлов Hyper-V под управлением Windows Server 2016, которые еще не получили обновленное встроенное ПО.This topic explains an alternative protection mechanism against CVE-2017-5715 (branch target injection) for Windows Server 2016 Hyper-V hosts that do not yet have updated firmware.

Эти узлы могут быть настроены для обеспечения изоляции виртуальных процессоров, используемых для корневого раздела и гостевых виртуальных машин Hyper-V.These hosts may be configured to provide isolation between the virtual processors (VPs) used for the Hyper-V host’s root partition and guest virtual machines. В Hyper-V для Windows Server 2016 доступно две функции, которые позволяют применить такую конфигурацию.There are two features in Windows Server 2016 Hyper-V that allow for such a configuration:

  • Минимальный корневой раздел ("Minroot") позволяет администратору узла разрешить разделу узлу Hyper-V запускать свои виртуальные процессоры с использованием подмножества логических процессоров системы.The minimum root, or “Minroot” capability allows the host administrator to constrain the Hyper-V host partition to run its virtual processors on a subset of the system’s total logical processors (LPs). Оставшиеся логические процессоры по-прежнему будут доступны низкоуровневой оболочки для запуска виртуальных машин.The remaining LPs are still available to the hypervisor to run virtual machines.

  • Группы ЦП могут использоваться для назначения виртуальных процессоров гостевой ВМ конкретным логическим процессорам.The CPU Groups feature may be employed to constrain guest VM virtual processors to specific LPs.

Объединив эти две функции, администратор узла Hyper-V может полностью изолировать действия узла Hyper-V для в отдельном наборе процессоров и назначить операции гостевой ВМ оставшимся процессорах.By combining these two features, a Hyper-V host administrator can fully isolate the host Hyper-V activity to a separate set of processors, and isolate all guest activity to the remaining processors.

Например, в системе с 32 логическими процессорами узлу Hyper-V можно выделить только восемь процессоров, а оставшиеся 24 процессора выделить группе ЦП, которая содержит все гостевых виртуальные машины на этом узле.For example, on a system with 32 logical processors, the Hyper-V host can be configured to utilize only eight processors, with the remaining 24 processors dedicated to a CPU group which contains all guest virtual machines on that host. Таким образом можно добиться полной изоляции раздела узла и гостевых виртуальных машин.In this manner, full segregation is achieved between the host partition and guest virtual machines.

В системах с включенной параллельной многопоточностью (SMT) убедитесь, что ядро, содержащее два потока SMT, не распределяется между разделом узла и группой ЦП.On systems with simultaneous multi-threading (SMT) enabled, make sure that a core containing two SMT threads is not shared between the host partition and the CPU group. Это значит, что каждый логический процессор ядра должен быть назначен только разделу узла или гостевой ВМ (с помощью конфигурации группы ЦП).That is, each core’s LPs should be assigned exclusively to either the host partition, or to guest VMs (via the CPU group’s configuration).

Дополнительные сведения о возможностях Minroot см. в разделе Управление ресурсами ЦП узла Hyper-V.For more information about the Minroot capability, see Hyper-V Host CPU Resource Management.

Подробнее о группах ЦП см. в разделе Элементы управления ресурсами виртуальной машины.For more information about CPU Groups, see Virtual Machine Resource Controls.