适用于 Windows Server 2016 Hyper-V 主机的针对预测执行侧信道漏洞的替代保护

Windows Server 防止预测执行侧信道漏洞指南中建议的缓解包括应用更新的系统固件以实现所有已知保护的完整优势。本主题介绍针对 CVE-2017-5715（分支目标注入）的替代保护机制，该保护机制用于尚未更新固件的 Windows Server 2016 Hyper-V 主机。

这些主机可能配置为在用于 Hyper-V 主机根分区的虚拟处理器 (VP) 与来宾虚拟机之间提供隔离。 Windows Server 2016 Hyper-V 中有两个功能允许此类配置：

最小根或“Minroot”功能允许主机管理员约束 Hyper-V 主机分区，以在系统的总逻辑处理器 (LP) 的子集上运行其虚拟处理器。其余的 LP 仍然可用于虚拟机监控程序以运行虚拟机。
可以采用 CPU 组功能将来宾 VM 虚拟处理器约束为特定 LP。

通过结合这两个功能，Hyper-V 主机管理员可以将主机 Hyper-V 活动完全隔离到单独一组处理器，并将所有来宾活动隔离到其余处理器。

例如，在具有 32 个逻辑处理器的系统上，可以将 Hyper-V 主机配置为仅利用八个处理器，其余 24 个处理器专用于包含该主机上所有来宾虚拟机的 CPU 组。使用这种方式，可在主机分区和来宾虚拟机之间实现完全隔离。

在启用同时多线程 (SMT) 的系统上，请确保不在主机分区和 CPU 组之间共享包含两个 SMT 线程的核心。即，每个核心的 LP 应专门分配到主机分区，或分配到来宾 VM（通过 CPU 组的配置）。

有关 Minroot 功能的详细信息，请参阅 Hyper-V 主机 CPU 资源管理。

有关 CPU 组的详细信息，请参阅虚拟机资源控制。

其他资源