VmWare ESXi5.5 上 Windows 2008 R2 客户机上的 Metltdown/Spectre 缓解措施

VmWare ESXi5.5 上 Windows 2008 R2 客户机上的 Metltdown/Spectre 缓解措施

我确实看到了我无法在 Windows Server 2008 R2 中启用 Meltdown/Spectre 缓解措施是一个类似的问题,但我认为环境的差异可能导致不同的补救措施。

安装 Meltdown/Spectre 相关的 Windows 更新和注册表项后,并验证相关Vmware补丁 已安装(更准确地说,ESXi550-201709101-SG 被列为“被主机视为已过时”,ESXi550-201709102-SG 也是如此,但已安装 ESXi550-201709103-SG)。

微软测试工具只给我

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : False

我敢将这些(特别是关于 CVE-2017-5715)解释为

  • CPU 易受攻击
  • Windows 更新已安装
  • 缺少注册表设置
  • GPO不是问题
  • 缺少适当的微代码/固件

这让我很困惑。首先,根据以下导出摘录,注册表设置应该没问题:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000000
"FeatureSettingsOverrideMask"=dword:00000003
"FeatureSettings"=dword:00000003

此外,我不明白为什么缺少所需的微码(因此建议更新 BIOS/固件),因为底层 VmWare 主机已安装 ESXi550-201709103-SG(但请注意,ESXi550-201709101-SG 附带一个脚注,它可以缓解 CVE-2017-5715,但不能缓解 CVE-2017-5753)

我应该怎么办?

更新

同时,我也安装了 BIOS/固件(具体来说,对于底层的 ProLiant BL460c Gen 9 刀片,我安装了 BIOS 版本 2.54 12-07-2017(修复:“将英特尔处理器微码更新为最新版本。”)。刀片/主机以及客户机随后都已重新启动,但我仍然得到相同的测试结果(FTFFTTTTF,并且仍然建议我“安装设备 OEM 提供的 BIOS/固件更新...”)。我甚至让客户机启动到其 BIOS 并翻阅设置以查看是否需要启用某些功能(显然情况并非如此)。

更新 2

出于好奇,我尝试了Linux 测试工具也一样。这告诉我“硬件(CPU 微码)支持缓解:是”,即使在仅安装了 ESXi550-201709103-SG 但尚未安装 ProLiant BIOS 2.54 的刀片上也是如此。

答案1

据我所知,VMware 补丁不包含新的微码- 您需要从硬件供应商处获取并安装固件/BIOS 更新。ESXi550-201709101-SG 应该包含针对 CVE-2017-5715 的(一些)缓解措施,但这些措施是在虚拟机管理程序级别,而不是在硬件/CPU/微代码级别。

已经有来自慧与适用于 ProLiant Gen9 和 10 以及 Dell 适用于 PowerEdgeR630/R730/R730XD。我也应该考虑其他供应商和其他型号,但这些是我感兴趣的,因此一直关注。

但是,无法帮助您进行注册表设置。

编辑:我必须道歉,看起来ESXi650-201801402-BG 更新 CPU 微码。这对我来说是新鲜事……

编辑2:安装所有更新(BIOS / 微码、ESXi、OS)可能还不够,你似乎需要确保使用虚拟硬件 9(最好是 11 或更高版本),然后再次关闭并打开虚拟机power off and power on your VM这意味着重新启动客户操作系统似乎是不够的。

相关内容