Phenquestions
Korporācija Microsoft ir izlaidusi drošības atjauninājumu KB4571756, kas atspējo RemoteFX vGPU drošības ievainojamības dēļ. Tas attiecas uz Windows 10, 2004. gada versiju un visiem Windows Server 2004. gada izdevumiem.
Ievietojiet šo atjauninājumu, jebkura virtuālā mašīna, kurā ir iespējots RemoteFX vGPU, neizdosies ar šādiem kļūdu ziņojumiem:
- Virtuālo mašīnu nevar startēt, jo Hyper-V Manager ir atspējoti visi ar RemoteFX spējīgie GPU.
- Virtuālo mašīnu nevar startēt, jo serverī nav pietiekami daudz GPU resursu.
Pat ja gala lietotājs mēģina atkārtoti iespējot RemoteFX vGPU, VM parādīs kļūdas ziņojumu-
Mēs vairs neatbalstām RemoteFX 3D video adapteri. Ja jūs joprojām izmantojat šo adapteri, jūs varat kļūt neaizsargāts pret drošības risku.
Kas ir funkcija RemoteFX vGPU?
Palaidot virtuālās mašīnas, funkcija RemoteFX vGPU ļauj koplietot fizisko GPU. Šī funkcija ir piemērota, ja fiziskais GPU ir pārāk liels resursu daudzums, taču tā vietā visas virtuālās mašīnas var dinamiski koplietot grafisko procesoru atbilstoši viņu slodzei. Priekšrocība, protams, ir GPU izmaksu samazināšanās un procesora slodzes samazināšanās. Ja vēlaties iedomāties, tas ir tāpat kā vienlaikus darbināt vairākas DirectX lietojumprogrammas vienā fiziskajā GPU. Tātad, tā vietā, lai iegādātos 4 GPU, viens GPU varētu palīdzēt, atkarībā no slodzes. Tas nāca arī ar pretpasākumiem, kas ierobežoja fiziskā GPU pārmērīgu izmantošanu.
Kāda ir drošības ievainojamība ap RemoteFX vGPU?
RemoteFX vGPU ir vecs. Tas tika ieviests sistēmā Windows 7, un tagad tas saskaras ar koda attālās izpildes ievainojamību. Koda attālās izpildes ievainojamība pastāv, ja resursdatora serverī Hyper-V RemoteFX vGPU neizdodas pareizi apstiprināt autentificēta lietotāja ievadi viesu operētājsistēmā. Tas notiek, ja resursdatora serverī Hyper-V RemoteFX vGPU neizdodas pareizi apstiprināt autentificēta lietotāja ievadi viesu operētājsistēmā, kad uzbrucējs palaiž izstrādātu lietojumprogrammu viesu OS, kas uzbrūk atsevišķiem trešo pušu video draiveriem, kas darbojas Hyper -V saimnieks.
Kad uzbrucējam ir piekļuve, viņš var palaist jebkuru kodu resursdatora OS. Tā kā tas ir arhitektūras jautājums, tam nav labojumu.
Alternatīvas RemoteFX vGPU
Vienīgā iespēja ir izmantot alternatīvu vGPU, kas varētu būt no trešo pušu lietojumprogrammām, vai Microsoft iesaka izmantot diskrēto ierīču piešķiršanu (DDA). Tas ļauj visu PCIe ierīci ievietot VM. Jūs varat ne tikai atļaut piekļuvi Graphics automašīnām, bet arī koplietot NVMe krātuvi.
DDA lielākā priekšrocība, izņemot to, ka tā ir droša, nav nepieciešams instalēt draiverus resursdatorā, pirms ierīce tiek uzstādīta VM. Kamēr VM var identificēt ierīces PCIe atrašanās vietu, VM var noteikt ceļu, lai to uzstādītu. Īsāk sakot, DDA nododot GPU VM ļauj vietējo GPU draiveri izmantot VM un visas iespējas. Tas ietver DirectX 12, CUDA utt., kas nebija iespējams ar RemoteFX vGPU.
Kā atkārtoti iespējot RemoteFX vGPU
Microsoft skaidri brīdina, ka nevajadzētu izmantot RemoteFX vGPU, taču, ja jums tas ir nepieciešams, ir veids, kā to atkal iespējot uz savu risku.
Pieņemot, ka esat jau konfigurējis RemoteFX vGPU 3D adapteri, šeit ir sniegta informācija, kas darbosies tikai operētājsistēmā Windows 10 1803 un vecākās versijās
Konfigurējiet RemoteFX vGPU ar Hyper-V Manager
Lai konfigurētu RemoteFX vGPU 3D, izmantojot Hyper-V Manager, rīkojieties šādi:
- Apturiet virtuālo mašīnu
- Atveriet Hyper-V pārvaldnieku un dodieties uz VM iestatījumiem.
- Noklikšķiniet uz Pievienot aparatūru.
- Atlasiet RemoteFX 3D grafikas adapteri un pēc tam atlasiet Pievienot.
Konfigurējiet RemoteFX vGPU ar PowerShell cmdlet
- Iespējot-VMRemoteFXPhysicalVideoAdapter
- Add-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFx3dVideoAdapter
- Iestatiet VMRemoteFx3dVideoAdapter
- Get-VMRemoteFXPhysicalVideoAdapter
Jūs varat uzzināt vairāk par to šeit, Microsoft.
