Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite enthält zusätzliche Details zum Schutz virtueller Computer auf Hyper-V Hosts vor CVE-2017-5715 (Branch Target Injection). Allgemeine Anleitungen zu Windows Server finden Sie auf dieser Seite.
Die folgenden Schritte sind erforderlich, um sicherzustellen, dass Ihre virtuellen Computer geschützt sind:
- Aktualisieren Sie das Hostbetriebssystem.
- Stellen Sie sicher, dass der Virtualisierungshost auf die Firmware aktualisiert wurde, die Updates für CVE-2017-5715 enthält.
- Stellen Sie sicher, dass Hyper-V so konfiguriert ist, dass neue Prozessorfunktionen für virtuelle Gastcomputer verfügbar gemacht werden.
- Aktualisieren Sie das Gastbetriebssystem nach Bedarf.
- Führen Sie einen Kaltstart von virtuellen Gastcomputern aus.
Aktualisieren des Hostbetriebssystems
Wenden Sie das Windows-Betriebssystemupdate auf den Virtualisierungshost an. Ausführliche Informationen zum Aktivieren dieses Updates finden Sie im Microsoft Knowledge Base-Artikel 4072699.
Stellen Sie sicher, dass der Virtualisierungshost auf die Firmware aktualisiert wurde, die Updates für CVE-2017-5715 enthält.
Firmwareupdates von Ihrem OEM enthalten möglicherweise neue Prozessorfunktionen, die zum Schutz vor CVE-2017-5715 verwendet werden können. Nachdem die Firmware des Virtualisierungshosts aktualisiert wurde, kann der Hypervisor diese zusätzlichen Funktionen für virtuelle Gastcomputer verfügbar machen, nachdem Sie die folgenden Schritte ausgeführt haben.
Stellen Sie sicher, dass Hyper-V so konfiguriert ist, dass neue Prozessorfunktionen für virtuelle Gastcomputer verfügbar gemacht werden
Stellen Sie sicher, dass Hyper-V so konfiguriert ist, dass die neuen Prozessorfunktionen auf virtuellen Gastcomputern verfügbar gemacht werden. Diese Konfiguration basiert auf der VM-Version der virtuellen Gastcomputer.
Wenn alle virtuellen Computer auf dem Host VM Version 8.0 oder höher sind, ist keine Konfiguration erforderlich. Diese virtuellen Computer sehen die neuen Prozessorfunktionen nach einem Kaltstart.
Wenn virtuelle Computer mit VM-Version unter 8.0 vorhanden sind, müssen Sie einen bestimmten Registrierungswert für das Hostbetriebssystem festlegen. Dadurch wird Hyper-V konfiguriert, um die neuen Prozessorfunktionen für virtuelle Gastcomputer mit niedrigeren VM-Versionen verfügbar zu machen.
Dieser Registrierungswert ist MinVmVersionForCpuBasedMitigations unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization. Der Wert sollte auf die minimale VM-Version festgelegt werden, die Zugriff auf die aktualisierten Firmwarefunktionen benötigt, im Format "Major.Minor". Um die Firmware für alle virtuellen Computer auf dem Host verfügbar zu machen (d. h. Version 1.0 und höher), führen Sie den folgenden Befehl auf dem Host aus:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
VM Version 8.0 wurde mit Windows Server 2016 und dem Windows 10 Anniversary Update eingeführt. Hosts mit Windows Server 2012 R2 und unten müssen den Registrierungswert* festlegen.
Die Livemigration zwischen Hosts mit aktualisierter Firmware und Hosts ohne aktualisierte Firmware schlägt fehl. Der Startvorgang schlägt ausgehend vom gespeicherten Zustand fehl. Weitere Informationen finden Sie in den häufig gestellten Fragen am Ende dieses Artikels.
Optional: Konfigurieren von Intel-Systemen vor Skylake zur Verwendung von Retpoline
Das Konfigurieren von VMs auf Pre-Skylake Intel-Hosts für Retpoline blockiert die Livemigration zu neueren Hosts (d. h. Skylake und darüber hinaus).
Standardmäßig werden virtuelle Computer, die auf Vor-Skylake-Systemen ausgeführt werden, daran gehindert, Retpoline zu verwenden. Um diesen Systemen die Nutzung von Retpoline-basierten Gegenmaßnahmen zu ermöglichen, legen Sie RetsPredictedFromRsbOnly unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization auf 1fest.
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v RetsPredictedFromRsbOnly /t REG_DWORD /d 1 /f
Um diese Konfiguration rückgängig zu machen (d. h. verhindern, dass virtuelle Computer Retpoline nutzen), legen Sie RetsPredictedFromRsbOnly auf 0fest.
Aktualisieren des Gastbetriebssystems
Um den Schutz vor CVE-2017-5715 auf diesen virtuellen Computern abzuschließen, muss das Gastbetriebssystem aktualisiert und konfiguriert werden, um diese neuen Funktionen nutzen zu können. Für Microsoft-Betriebssysteme befolgen Sie beim Aktualisieren die Anleitung in Windows Server und Azure Stack HCI-Anleitung zum Schutz vor siliziumbasierten mikroarchitektonischen Schwachstellen und Seitenkanalschwachstellen durch spekulative Ausführung.
Hinweis: Das Aktualisieren des Gastbetriebssystems kann jederzeit in diesem Prozess erfolgen. Sie kann vor dem Aktualisieren der Hostfirmware oder nach dem Kaltstart des virtuellen Gastcomputers auftreten.
Ausführen eines Kaltstarts des Gasts
Nach Abschluss der ersten drei Schritte müssen virtuelle Computer einen Kaltstart durchlaufen, um die neuen Prozessorfunktionen anzuzeigen. Dies bedeutet, dass die ausgeführten virtuellen Computer vollständig ausgeschaltet werden müssen, bevor sie erneut gestartet werden. Der Neustart innerhalb des Gastbetriebssystems reicht nicht aus.
Häufig gestellte Fragen
Wie wirkt sich dies auf die Livemigration aus?
Die Livemigration einer virtuellen Maschine mit den neuen Prozessorfunktionen schlägt fehl, wenn diese ohne aktualisierte Firmware zu den Hyper-V Hosts wechselt. Um die Livemigration auf einen Host ohne aktualisierte Firmware zu aktivieren, beenden Sie die Bereitstellung der aktualisierten Prozessorfunktionen innerhalb dieses virtuellen Gastcomputers. Am einfachsten können Sie dies tun, um MinVmVersionForCpuBasedMitigations in eine VM-Version über dem virtuellen Computer zu ändern, der migriert werden muss, und einen Kaltstart dieses virtuellen Computers durchzuführen.
Die Migration virtueller Computer ohne die neuen Prozessorfunktionen ist erfolgreich, wenn Sie mit aktualisierter Firmware zu Hyper-V Hosts wechseln. Für diese Gäste ist jedoch ein Kaltstart erforderlich, damit sie die aktualisierten Firmware-Funktionen sehen können.
Virtuelle Computer, die für die Verwendung von Retpoline auf Vor-Skylake Intel-Systemen konfiguriert sind, können nicht zu neueren Prozessorfamilien (d. h. Skylake und neuer) migriert werden.
Was ist mit der Livemigration virtueller Computer der Version 5.0 zwischen Windows Server 2012R2 und Windows Server 2016?
Um den Erfolg in diesem Szenario sicherzustellen, muss der Registrierungswert sowohl für das Windows Server 2012R2-System als auch für das Windows Server 2016-System festgelegt werden. Nach der Migration zu Windows Server 2016 bleibt die VM-Version 5.0, und daher ist der Registrierungsschlüssel erforderlich, um die neuen Prozessorfunktionen für den virtuellen Computer verfügbar zu machen.
Gilt diese Anleitung für virtuelle Computer, die auf VMWare ausgeführt werden?
Nein, diese Anleitung ist spezifisch für virtuelle Computer, die auf Hyper-V Hosts ausgeführt werden.
Gilt dieser Leitfaden für Hyper-V unter Windows 10?
Ja, die gleichen Schritte gelten für virtuelle Computer, die auf Windows Server und Client ausgeführt werden.
Muss ich die Firmwareupdates installieren, bevor ein Kaltstart der virtuellen Computer ausgeführt wird?
Ja, Sie müssen das Hostbetriebssystem und die Firmware aktualisieren, bevor Sie ihre virtuellen Computer kalt starten.
Was kann ich tun, wenn mein OEM noch keine aktualisierte Firmware bereitstellt?
Sehen Sie sich die alternativen Schutzmechanismen für Hyper-V Hosts unter Windows Server 2016 gegen Seitenkanalschwachstellen durch spekulative Ausführung an.
Wie prüfe ich die VM-Version für meine virtuellen Computer?
Führen Sie die folgende PowerShell auf dem Hyper-V-Host aus:
Get-VM * | Format-Table Name, Version
Muss ich etwas anderes tun, um virtuelle Computer zu schützen, die unter "Prozessorkompatibilitätsmodus" ausgeführt werden?
Nein. Nachdem Sie die Anweisungen auf dieser Seite ausgeführt haben, werden die neuen Prozessorfunktionen auch für virtuelle Computer verfügbar gemacht, die im Prozessorkompatibilitätsmodus gestartet wurden.
Was geschieht, wenn nur die Hälfte der Computer in meinem Cluster ein Firmwareupdate erhalten hat?
Dies wirkt sich auf die Live-Migration innerhalb Ihres Clusters aus. Für virtuelle Computer mit den neuen Prozessorfunktionen ist ohne Firmwareupdate keine Livemigration zu Hosts möglich.
Wie kann ich überprüfen, ob der virtuelle Gastcomputer Zugriff auf die neuen Prozessorfeatures hat?
Verwenden Sie das PowerShell-Modul/Skript "Spekulationssteuerung". Ausführliche Anweisungen finden Sie unter Windows Server und Azure Stack HCI-Anleitung zum Schutz vor siliziumbasierten mikroarchitektonischen Schwachstellen und Seitenkanalschwachstellen durch spekulative Ausführung.
Wie wirkt sich dies auf den Startvorgang einer VM mit gespeichertem Status aus?
Der Startvorgang schlägt fehl. Am einfachsten können Sie dies tun, um MinVmVersionForCpuBasedMitigations in eine VM-Version über dem virtuellen Computer zu ändern, der migriert werden muss, und einen Kaltstart dieses virtuellen Computers durchzuführen.