Альтернативные средства защиты узлов Hyper-V под управлением Windows Server 2016 от уязвимостей спекулятивного выполнения бокового канала

  • Статья

Меры, описанные в инструкциях по защите Windows Server от уязвимости спекулятивного выполнения бокового канала, включают в себя применение обновленного встроенного ПО для использования всех преимуществ всех известных средств защиты. В этом разделе описывается альтернативный механизм защиты от уязвимости CVE-2017-5715 (внедрение ответвления цели)для узлов Hyper-V под управлением Windows Server 2016, которые еще не получили обновленное встроенное ПО.

Эти узлы могут быть настроены для обеспечения изоляции виртуальных процессоров, используемых для корневого раздела и гостевых виртуальных машин Hyper-V. В Hyper-V для Windows Server 2016 доступно две функции, которые позволяют применить такую конфигурацию.

  • Минимальный корневой раздел ("Minroot") позволяет администратору узла разрешить разделу узлу Hyper-V запускать свои виртуальные процессоры с использованием подмножества логических процессоров системы. Оставшиеся логические процессоры по-прежнему будут доступны низкоуровневой оболочки для запуска виртуальных машин.

  • Группы ЦП могут использоваться для назначения виртуальных процессоров гостевой ВМ конкретным логическим процессорам.

Объединив эти две функции, администратор узла Hyper-V может полностью изолировать действия узла Hyper-V для в отдельном наборе процессоров и назначить операции гостевой ВМ оставшимся процессорах.

Например, в системе с 32 логическими процессорами узлу Hyper-V можно выделить только восемь процессоров, а оставшиеся 24 процессора выделить группе ЦП, которая содержит все гостевых виртуальные машины на этом узле. Таким образом можно добиться полной изоляции раздела узла и гостевых виртуальных машин.

В системах с включенной параллельной многопоточностью (SMT) убедитесь, что ядро, содержащее два потока SMT, не распределяется между разделом узла и группой ЦП. Это значит, что каждый логический процессор ядра должен быть назначен только разделу узла или гостевой ВМ (с помощью конфигурации группы ЦП).

Дополнительные сведения о возможностях Minroot см. в разделе Управление ресурсами ЦП узла Hyper-V.

Подробнее о группах ЦП см. в разделе Элементы управления ресурсами виртуальной машины.