0
Vorgehen zum Absichern von Hyper-V Gastsystemen gegen Spectre2
Viel wurde in diesem Forum bereits zu Spectre2 (branch target injection) geschrieben.
Bislang habe ich jedoch noch keinen Link zur offiziellen Doku von Microsoft gesehen, die Bezug nimmt auf nötige Maßnahmen auf Hyper-V-Hosts und -Gästen.
Man sollte schnell erkannt haben, dass man für die Gäste wohl kein Microcodeupdate machen kann und dieses somit vom Host aus durchgereicht werden muss - das macht dieser bei Maschinen mit einer Konfigurationsversion von kleiner als 8 nicht automatisch (ergo: auf Hyper-V von Server 2012R2 oder früher MUSS man tätig werden).
Das Vorgehen findet man hier: https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/cve-2 ...
Egal ob man nun meint, gepatcht zu sein, oder nicht, Hinweise befolgt zu haben, oder nicht: man sollte überall ein Skript laufen lassen, dass am Client mittels Get-SpeculationControlSettings prüft, ob dieser Schutz besteht und das auch automatisch auswertet und protokolliert:
Codebeispiel:
So wird für jedes System, welches noch nicht gegen Branch Target Injection gehärtet ist, eine Textdatei mit dem Namen des Rechners auf eine Freigabe geschrieben.
Bislang habe ich jedoch noch keinen Link zur offiziellen Doku von Microsoft gesehen, die Bezug nimmt auf nötige Maßnahmen auf Hyper-V-Hosts und -Gästen.
Man sollte schnell erkannt haben, dass man für die Gäste wohl kein Microcodeupdate machen kann und dieses somit vom Host aus durchgereicht werden muss - das macht dieser bei Maschinen mit einer Konfigurationsversion von kleiner als 8 nicht automatisch (ergo: auf Hyper-V von Server 2012R2 oder früher MUSS man tätig werden).
Das Vorgehen findet man hier: https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/cve-2 ...
Egal ob man nun meint, gepatcht zu sein, oder nicht, Hinweise befolgt zu haben, oder nicht: man sollte überall ein Skript laufen lassen, dass am Client mittels Get-SpeculationControlSettings prüft, ob dieser Schutz besteht und das auch automatisch auswertet und protokolliert:
Codebeispiel:
Get-SpeculationControlSettings | out-file \\server\share\$env:computername.txt
If ( Select-String "BTIWindowsSupportEnabled : True" -Quiet \\server\share\$env:computername.txt ) { del \\server\share\$env:computername.txt } 
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 371228
Url: https://administrator.de/contentid/371228
Printed on: April 19, 2024 at 20:04 o'clock
