Cara melindungi Windows Server dari Meltdown and Spectre - Peteng Pikir : Artikel Seputar SEO, Film, Webiste, HTML, Gadget, dan Masih Banyak Lagi

Post Top Ad

Friday, 12 January 2018

Cara melindungi Windows Server dari Meltdown and Spectre

Bagaimana cara melindungi Windows Server dari Meltdown and Spectre ?

Bug prosesor Meltdown and Specter mengkhawatirkan pengguna desktop - dan memiliki komputer terkunci karena patch Intel atau AMD CPU yang benar-benar menyebalkan benar-benar menjengkelkan. Tapi intinya adalah: PC, apakah mereka menjalankan Linux, macos, atau Windows, tidak akan banyak mengalami hit performa. Nyeri sesungguhnya dari Meltdown dan Specter akan terasa di cloud dengan server, bukan di PC.

Cara melindungi Windows Server dari Meltdown and Spectre
Sumber : Google Images

Itu karena Meltdown dan Spectre bisa menembus dinding memori di antara aplikasi dan memori khusus sistem operasi Anda. Di PC, ini berarti bisa mengambil kata sandi dan sejenisnya. Di atas awan, permata mahkota dari perusahaan Anda mungkin salah satu pelanggaran dari pencurian.

Pakar keamanan SANS, Jake William memperingatkan, "Meltdown dapat menargetkan alamat kernel yang dibagi antara wadah dan kernel host di banyak contoh paravirtualization (misalnya Xen) dan Sandbox kernel (misalnya Docker)."

Hyper-V, hypervisor Microsoft, tidak menggunakan paravirtulation, tapi masih rentan. Terry Myserson, VP Eksekutif Windows dan Perangkat Microsoft, menjelaskan di sebuah blog, "Di lingkungan di mana beberapa server berbagi kemampuan (seperti ada dalam beberapa konfigurasi layanan awan), kerentanan ini bisa berarti seseorang dapat mengakses informasi dalam satu mesin virtual dari yang lain. "

Microsoft dibuat menyadari masalah ini sejak dini, dan perusahaan telah menginstal tambalan Azure dan Hyper-V untuk memblokirnya. Tapi, Myerson memperingatkan, itu belum cukup. "Pelanggan Windows Server, yang berjalan baik di tempat maupun di awan, juga perlu mengevaluasi apakah akan menerapkan mitigasi keamanan tambahan di setiap tamu VM Windows Server atau contoh fisik mereka."

Mengapa? Karena, "mitigasi ini diperlukan saat Anda menjalankan kode yang tidak tepercaya dalam contoh Windows Server Anda (misalnya, Anda mengizinkan salah satu pelanggan Anda mengunggah cuplikan biner atau kode yang kemudian Anda jalankan dalam contoh Windows Server Anda) dan Anda ingin mengisolasi aplikasi biner atau kode untuk memastikan tidak dapat mengakses memori dalam contoh Windows Server yang seharusnya tidak memiliki akses. Anda tidak perlu menerapkan mitigasi ini untuk mengisolasi VM Server Windows Anda dari VM lain di server virtual, karena mereka Sebagai gantinya hanya diperlukan untuk mengisolasi kode yang tidak tepercaya yang berjalan dalam instance Windows Server tertentu, "kata Myerson.

Untuk mulai melindungi server Anda - apakah mereka berjalan dengan besi kosong di server Anda lebih dekat atau di atas awan - Anda harus menambal server Anda untuk tiga kerentanan: CVE-2017-5715 (injeksi target cabang), CVE-2017- 5753 (batas bypass bypass), dan CVE-2017-5754 (data nakal cache load).

Patch ini tidak tersedia untuk semua versi Windows Server. Semua versi Server 2003 yang lama dan yang sudah ketinggalan zaman dan 2008 dan 2012 terbuka untuk diserang. Microsoft sedang mengerjakan tambalan untuk tahun 2008 dan 2012. Jika Anda telah menyeret kaki Anda untuk memperbarui 2003, hentikan. Ini adalah masa lalu - tidak hanya untuk lubang keamanan ini, tapi juga untuk semua yang lain yang telah dibuka dalam beberapa tahun terakhir

Patching tidak cukup. Anda harus berbuat lebih banyak. Sama seperti pada desktop Windows, Anda harus yakin untuk menggunakan program anti-virus yang kompatibel untuk tambalan untuk menghindari BSODing server Anda. Jika Anda tidak menjalankan perangkat lunak anti-virus di server Anda, Anda harus menggunakan regedit untuk mengatur kunci registri berikut:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD" Data="0x00000000"
Anti virus atau tidak, Anda juga harus melakukan perubahan registry lainnya. Hal ini terutama berlaku jika server Anda adalah host Hyper-V atau Host Layanan Desktop Jarak Jauh (RDSH), atau contoh server Anda menjalankan kontainer atau ekstensi database yang tidak tepercaya, konten web yang tidak tepercaya, atau beban kerja yang menjalankan kode dari sumber eksternal. Singkatnya, banyak, jika tidak kebanyakan, dari server Anda. Tambahan pada registry ini adalah:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kamu belum selesai Sekarang, Anda harus menerapkan firmware chip ke perangkat keras server Anda. Firmware ini harus disediakan dari vendor perangkat keras Anda.Setelah semua ini selesai, Anda harus me-reboot server Anda.

Di Azure, Microsoft secara otomatis me-reboot server dan VM Anda saat patch diluncurkan. Anda dapat melihat status VMs Anda dan jika reboot selesai di Bagian Perawatan Kesehatan Azure Service di Portal Azure Anda.

Tapi sementara Microsoft menangani hal ini pada tingkat Hyper-V - dan mengatakan bahwa Anda tidak perlu memperbarui gambar VM Anda - ini juga memperingatkan Anda harus terus menerapkan praktik terbaik keamanan untuk gambar Linux dan Windows VM Anda. Biarkan bertemu dipotong untuk mengejar: Perbarui gambar Anda. Jika masalah keamanan ini bisa keluar dari VMs, semua taruhan tidak sesuai dengan apa yang mungkin diserang dan Anda ingin contoh server Anda seaman mungkin dengan menambalnya.

Microsoft menyatakan, "Mayoritas pelanggan Azure seharusnya tidak melihat dampak kinerja yang nyata dengan pembaruan ini. Kami telah berupaya mengoptimalkan jalur CPU dan disk I / O dan tidak melihat dampak kinerja yang nyata setelah perbaikan diterapkan. set pelanggan mungkin mengalami beberapa dampak kinerja jaringan. Hal ini dapat diatasi dengan menyalakan Azure Accelerated Networking (Windows, Linux), yang merupakan kemampuan gratis yang tersedia untuk semua pelanggan Azure. "

Accelerated Networking adalah fitur baru yang baru saja tersedia secara umum. Ini melewati host Azure dan saklar virtual untuk mempercepat lalu lintas jaringan VM. Ini bekerja dengan mengurangi beban pada VMs dan memindahkannya ke SmartNIC yang dapat diprogram di Azure. Untuk menggunakannya, Anda harus memulai VM baru dan memasang kartu antarmuka jaringan baru saat dibuat. Untuk mengelolanya, Anda juga harus menggunakan portal manajemen Sumber Daya Azure yang baru.

Bahkan dengan Accelerated Networking, saya pikir itu optimis dari mereka. Kami tahu pasti sistem Linux yang ditambal akan mengalami kemunduran dengan beberapa beban kerja terlepas dari awan apa yang mereka jalankan. Tidak ada alasan untuk berpikir Windows Server tidak akan menghadapi masalah kinerja yang sama.

Selain itu, ada beberapa laporan tentang VM Azure yang gagal setelah patch.

Oleh karena itu, setelah menambal, mulailah menguji server Anda untuk memastikan kinerjanya seperti yang Anda harapkan, lalu mulai melakukan pengujian kinerja. Semakin cepat Anda tahu apa yang Anda hadapi, semakin cepat Anda dapat memperbaiki masalah dan mulai menyetel sumber daya awan dan server Anda untuk menangani layanan dengan kinerja buruk.

Mempersiapkan diri Anda sysadmin, Anda akan memiliki banyak pekerjaan di tangan Anda.

No comments:

Post a comment

Post Bottom Ad