„Microsoft“ išleido saugos naujinimą KB4571756, kuris išjungs „RemoteFX vGPU“ funkciją dėl saugumo pažeidžiamumo. Tai taikoma „Windows 10“, 2004 m. Versijai, ir visiems „Windows Server 2004“ leidimams.
Paskelbkite šį naujinimą, bet kuriam VM, kuriame įgalinta „RemoteFX vGPU“, nepavyks gauti šių klaidos pranešimų:
- Virtualioji mašina negali būti paleista, nes visi „RemoteFX“ palaikantys GPU yra išjungti „Hyper-V Manager“.
- Virtualioji mašina negali būti paleista, nes serveryje nėra pakankamai GPU išteklių.
Net jei galutinis vartotojas bandys iš naujo įgalinti „RemoteFX vGPU“, VM parodys klaidos pranešimą-
Mes nebepalaikome „RemoteFX 3D“ vaizdo adapterio. Jei vis dar naudojate šį adapterį, galite tapti pažeidžiami saugumo rizikos.
Kas yra „RemoteFX vGPU“ funkcija?
Paleidžiant virtualias mašinas, „RemoteFX vGPU“ funkcija leidžia bendrinti fizinį GPU. Ši funkcija gerai tinka, kai fizinis GPU yra per daug išteklių, tačiau vietoj to visos VM gali dinamiškai dalytis GPU dėl savo darbo krūvio. Privalumas yra, žinoma, GPU kainos sumažėjimas ir mažesnė procesoriaus apkrova. Jei norite įsivaizduoti, tai yra tarsi paleisti kelias „DirectX“ programas tuo pačiu fiziniu GPU. Taigi, užuot nusipirkę 4 GPU, vienas GPU galėtų padėti, atsižvelgiant į darbo krūvį. Jis taip pat atėjo su atsakomosiomis priemonėmis, kurios apribojo fizinio GPU naudojimą.
Koks yra „RemoteFX vGPU“ saugumo pažeidžiamumas?
„RemoteFX vGPU“ yra senas. Jis buvo pristatytas „Windows 7“ ir dabar susiduria su nuotolinio kodo vykdymo pažeidžiamumu. Nuotolinio kodo vykdymo pažeidžiamumas yra tada, kai pagrindinio serverio „Hyper-V RemoteFX vGPU“ nepavyksta tinkamai patvirtinti autentifikuoto vartotojo įvesties svečio operacinėje sistemoje. Tai atsitinka, kai pagrindiniame serveryje esantis „Hyper-V RemoteFX vGPU“ nepavyksta tinkamai patvirtinti įvesties iš autentifikuoto vartotojo į svečių operacinę sistemą, kai užpuolikas svečio OS paleidžia sukurtą programą, kuri puola atskirus trečiųjų šalių vaizdo tvarkykles, veikiančias „Hyper“. -V šeimininkas.
Kai užpuolikas turi prieigą, jis gali paleisti bet kurį kodą pagrindinėje OS. Kadangi tai yra architektūrinis klausimas, jo nėra.
„RemoteFX vGPU“ alternatyvos
Vienintelė galimybė yra naudoti alternatyvų vGPU, kuris gali būti iš trečiųjų šalių programų, arba „Microsoft“ siūlo naudoti „Discrete Device Assignment“ (DDA). Tai leidžia jums visą „PCIe“ įrenginį įtraukti į VM. Galite ne tik leisti naudotis „Graphics“ automobiliais, bet ir bendrinti „NVMe“ saugyklą.
Didžiausias DDA pranašumas, be to, kad jis yra saugus, nereikia diegti tvarkyklių pagrindiniame kompiuteryje prieš įrenginį montuojant VM. Tol, kol VM gali nustatyti įrenginio PCIe vietą, VM gali būti nustatytas kelias ją prijungti. Trumpai tariant, DDA perduodamas GPU VM leidžia vietinį GPU tvarkyklę naudoti VM ir visas galimybes. Tai apima „DirectX 12“, „CUDA“ ir kt., ko nebuvo įmanoma naudojant „RemoteFX vGPU“.
Kaip iš naujo įgalinti „RemoteFX vGPU“
„Microsoft“ aiškiai įspėja, kad neturėtumėte naudoti „RemoteFX vGPU“, tačiau jei turite, galite jį vėl įjungti savo pačių rizika.
Darant prielaidą, kad jau sukonfigūravote „RemoteFX vGPU 3D“ adapterį, pateikiama išsami informacija, kuri veiks tik „Windows 10“, 1803 versijoje ir ankstesnėse versijose
Konfigūruokite „RemoteFX vGPU“ naudodami „Hyper-V Manager“
Norėdami sukonfigūruoti „RemoteFX vGPU 3D“ naudodami „Hyper-V Manager“, atlikite šiuos veiksmus:
- Sustabdykite virtualią mašiną
- Atidarykite „Hyper-V Manager“ ir eikite į VM parametrus.
- Spustelėkite Pridėti aparatinę įrangą.
- Pasirinkite „RemoteFX 3D Graphics Adapter“, tada pasirinkite Pridėti.
Konfigūruokite „RemoteFX vGPU“ naudodami „PowerShell“ cmdlet
- Įgalinti-VMRemoteFXPhysicalVideoAdapter
- „Add-VMRemoteFx3dVideoAdapter“
- „Get-VMRemoteFx3dVideoAdapter“
- „Set-VMRemoteFx3dVideoAdapter“
- „Get-VMRemoteFXPhysicalVideoAdapter“
Daugiau apie tai galite perskaityti čia, „Microsoft“.