web-dev-qa-db-ja.com

VmWare ESXi5.5のWindows2008R2ゲストでのメルトダウン/スペクトルの軽減

Windows Server 2008 R2でMeltdown/Spectreの緩和策を有効にできない も同様の質問ですが、環境の違いが異なることを正当化する可能性があると思います救済策。

Meltdown/Spectre関連のWindowsUpdateとレジストリキーをインストールし、 関連するVmwareパッチ がインストールされていることを確認した後(より正確には、ESXi550-201709101-SGは「ホストによって廃止されたと見なされます」としてリストされます。はESXi550-201709102-SGですが、ESXi550-201709103-SGがインストールされています)。

Microsoft テストツール 私だけに

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : False

私はこれらを(特にCVE-2017-5715に関して)次のように解釈することを敢えてします

  • CPUは脆弱です
  • WindowsUpdateがインストールされています
  • レジストリ設定がありません
  • GPOは問題ではありません
  • 適切なマイクロコード/ファームウェアがありません

これは私を混乱させます。 1つは、次のエクスポートの抜粋に従って、レジストリ設定に問題がないことです。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000000
"FeatureSettingsOverrideMask"=dword:00000003
"FeatureSettings"=dword:00000003

さらに、基盤となるVmWareホストにESXi550-201709103-SGがインストールされているため、必要なマイクロコードが欠落している(したがってBIOS /ファームウェアの更新が推奨される)理由がわかりません(ESXi550-201709101-SGには脚注が付いていますがCVE-2017-5715に対しては軽減しますが、CVE-2017-5753に対しては軽減しません)

私は何をすべきか?

更新

その間、BIOS /ファームウェアもインストールしました(具体的には、基盤となるProLiant BL460c Gen 9ブレードについて、BIOSバージョン2.54 12-07-2017をインストールしました(修正:「Intelプロセッサのマイクロコードを最新バージョンに更新しました。」)。/Hostとゲストはその後再起動されましたが、それでも同じテスト結果が得られます(FTFFTTTTFと、「デバイスOEMが提供するBIOS /ファームウェアアップデートをインストールする...」をお勧めします)。ゲストもいました。 BIOSを起動し、設定をめくって、何かを有効にする必要があるかどうかを確認します(明らかにそうではありません)。

アップデート2

好奇心から、 Linuxテストツール も試してみました。これは、ESXi550-201709103-SGのみがインストールされているが、ProLiant BIOS 2.54がまだインストールされていないブレードでも、「軽減のためのハードウェア(CPUマイクロコード)サポート:はい」と表示されます。

2

私の知る限り、VMwareパッチには新しい マイクロコード -が含まれていません。これを行うには、ハードウェアベンダーからファームウェア/ BIOSアップデートを入手してインストールする必要があります。 ESXi550-201709101-SGには、CVE-2017-5715に対する(いくつかの)緩和策が含まれている必要がありますが、ハードウェア/ CPU /マイクロコードレベルではなく、ハイパーバイザーレベルです。

ProLiant Gen9および10の場合は [〜#〜] hpe [〜#〜] から、PowerEdgeの場合はDell R630/R730/R730XD からの更新がすでにあります。他のベンダーや他のモデルからも考える必要がありますが、これらは私が興味を持っているものであり、したがって注目していました。

ただし、レジストリ設定についてはお役に立てません。

編集:お詫びする必要があります。 ESXi650-201801402-BGアップデートcpu-microcode のようです。それは私にとって新しいことです...

編集2:すべてのアップデート(BIOS /マイクロコード、ESXi、OS)をインストールするだけでは不十分な場合がありますが、必要なようです 仮想ハードウェア9(11以降の方が良い)が使用され、VMの電源をオフにしてからオンにします 。そしてpower off and power on your VMは、ゲストOSを再起動するだけでは不十分のように思われることを意味します。

3
Mario Lenz