Phenquestions
Spoločnosť Microsoft vydala aktualizáciu zabezpečenia - KB4571756 -, ktorá zakáže RemoteFX vGPU kvôli zraniteľnosti zabezpečenia. Vzťahuje sa na Windows 10, verzia 2004 a všetky vydania Windows Server verzie 2004.
Po zverejnení tejto aktualizácie zlyhá každý virtuálny počítač, ktorý má povolenú technológiu RemoteFX vGPU, s nasledujúcimi chybovými hláseniami:
- Virtuálny počítač nie je možné spustiť, pretože v Správcovi Hyper-V sú vypnuté všetky GPU podporujúce RemoteFX.
- Virtuálny počítač nemožno spustiť, pretože server má nedostatočné prostriedky GPU.
Aj keď sa koncový používateľ pokúsi znova povoliť RemoteFX vGPU, VM zobrazí chybové hlásenie-
Už nepodporujeme 3D grafický adaptér RemoteFX. Ak tento adaptér stále používate, môže sa stať, že budete zraniteľní voči bezpečnostnému riziku.
Čo je funkcia RemoteFX vGPU?
Pri spustení Virtual Machines vám funkcia RemoteFX vGPU umožňuje zdieľať fyzický GPU. Táto funkcia sa hodí dobre, keď je fyzický GPU príliš veľkým zdrojom, ale namiesto toho môžu všetky virtuálne počítače dynamicky zdieľať GPU pre svoju pracovnú záťaž. Výhodou je samozrejme zníženie nákladov na GPU a zníženie zaťaženia procesora. Ak si to chcete predstaviť, je to ako spustiť viac aplikácií DirectX súčasne na rovnakom fyzickom GPU. Namiesto nákupu 4 GPU by teda mohol pomôcť jeden GPU v závislosti od pracovnej záťaže. Prišlo tiež s protiopatreniami, ktoré obmedzili nadužívanie fyzických GPU.
Aká je bezpečnostná zraniteľnosť okolo RemoteFX vGPU?
RemoteFX vGPU je starý. Bol predstavený v systéme Windows 7 a teraz čelí chybe zabezpečenia vzdialeného spustenia kódu. Zraniteľnosť pri vykonávaní vzdialeného kódu existuje, keď server Hyper-V RemoteFX vGPU na hostiteľskom serveri nedokáže správne overiť vstup od autentifikovaného používateľa v hosťujúcom operačnom systéme. Stáva sa to, keď server Hyper-V RemoteFX vGPU na hostiteľskom serveri nedokáže správne overiť vstup od autentifikovaného používateľa v hosťujúcom operačnom systéme, keď útočník spustí vytvorenú aplikáciu v hosťovskom operačnom systéme, ktorý napáda jednotlivé ovládače videa tretích strán bežiace na serveri Hyper -V hostiteľa.
Keď má útočník prístup, môže spustiť ľubovoľný kód v hostiteľskom operačnom systéme. Pretože sa jedná o architektonický problém, nie je možné ho opraviť.
Alternatívy k RemoteFX vGPU
Jedinou možnosťou je použiť alternatívnu vGPU, ktorá by mohla byť z aplikácií tretích strán alebo spoločnosť Microsoft navrhuje použitie samostatného priradenia zariadenia (DDA). Umožňuje vám celé zariadenie PCIe premeniť na virtuálny počítač. Nielen, že môžete povoliť prístup ku grafickým automobilom, ale môžete tiež zdieľať úložisko NVMe.
Najväčšou výhodou DDA okrem toho, že je bezpečná, nie je potrebné inštalovať ovládače na hostiteľovi pred pripojením zariadenia do VM. Pokiaľ VM dokáže identifikovať umiestnenie PCIe zariadenia, je možné určiť cestu, aby ho VM pripojilo. Stručne povedané, DDA prenášajúci GPU na VM umožňuje použitie natívneho ovládača GPU v rámci VM a všetkých funkcií. To zahŕňa DirectX 12, CUDA atď., čo nebolo možné s RemoteFX vGPU.
Ako znova povoliť RemoteFX vGPU
Spoločnosť Microsoft jasne varuje, že by ste nemali používať RemoteFX vGPU, ale ak musíte, existuje spôsob, ako ho znova povoliť na vaše vlastné riziko.
Za predpokladu, že ste už nakonfigurovali adaptér RemoteFX vGPU 3D, tu sú podrobnosti, ktoré budú fungovať iba v systéme Windows 10, verzie 1803 a starších verziách
Nakonfigurujte RemoteFX vGPU pomocou správcu Hyper-V
Ak chcete nakonfigurovať RemoteFX vGPU 3D pomocou správcu Hyper-V, postupujte takto:
- Zastavte virtuálny stroj
- Otvorte Správcu Hyper-V a prejdite na Nastavenia VM.
- Kliknite na Pridať hardvér.
- Vyberte RemoteFX 3D Graphics Adapter a potom vyberte Add.
Nakonfigurujte RemoteFX vGPU pomocou cmdletov PowerShell
- Povoliť-VMRemoteFXPhysicalVideoAdapter
- Add-VMRemoteFx3dVideoAdapter
- Získajte-VMRemoteFx3dVideoAdapter
- Set-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFXPhysicalVideoAdapter
Viac sa o tom dočítate tu na serveri Microsoft.
