如何保護Windows Server免遭Meltdown與Spectre侵擾 _知識百科

近期各大新聞媒體皆在高度關注Meltdown與Spectre安全漏洞對Windows PC設備造成的影響，但可以想見，二者帶來的真正隱患其實在于對服務器以及云帶來的沖擊。

文章插圖

Meltdown與Spectre處理器bug正牽動萬千桌面用戶的心－－自己的計算機被一款編寫質量糟糕的英特爾或AMD CPU補丁弄到性能衰減確實很難讓人接受。然而從配件事件來看，無論是Linux、MacOS還是Winows ， PC設備都不會受到太大的影響。 Meltdown與Spectre的真正災難將主要降臨在服務器－－而非個人設備身上。
這是因為Meltdown與SPectre能夠影響到應用程序與操作系統專用內存之間的內存空間。在PC設備上，這僅代表著其可提取密碼等敏感信息。但在云端，則有可能導致企業客戶的機密數據被他人所竊取。
SANS安全專家Jake William警告稱，＂在眾多半虛擬化實例（例如Xen）與內核沙箱（例如Docker）用例當中， Meltdown都有可能破壞容器與主機內核之間所共享的內核地址。＂
微軟的虛擬機管理程序Hyper－V并未使用半虛擬化機制，但其仍然可能受到影響。微軟Windows與設備部門執行副總裁Terry Myserson在博文當中解釋稱：＂在多服務器共享功能環境當中（例如某些云服務配置中的功能），此類漏洞可能意味著某人能夠訪問處于其它虛擬機之內的信息。＂
微軟公司很早就已經意識到這個問題，并著手安裝Azure以及Hyper－V補丁以作為解決方案。然而， Myerson警告稱這還遠遠不夠。＂運行在本地或者云環境中的Windows Server客戶還需要評估是否已經在各Windows Server虛擬機訪客或物理實例當中部署了安全緩解措施。＂
【如何保護Windows Server免遭Meltdown與Spectre侵擾】為什么？這是因為＂當您在Windows Server實例當中運行不受信任的代碼時（例如允許您的客戶上傳二進制文件或者代碼片段，并在Windows Server實例當中運行），您需要上述緩解措施以控制應用程序二進制文件或代碼，確保其無法訪問Windows Server實例當中與其權限水平不符的內存空間。您不需要利用這些緩解措施隔離Windows Server虛擬機以及虛擬化服務器上的其它虛擬機，而僅需要利用其隔離特定Windows Server實例當中運行的不可信代碼。＂
要保護您的服務器－－無論其運行在服務器機柜的裸機當中抑或是云端－－您必須為以下安全漏洞安裝修復補丁：CVE－2017－5715（分支目標注入）、CVE－2017－5753（邊界檢查繞過）以及CVE－2017－5754（流氓數據緩存加載）。
但這些補丁并非適用于全部Windows Server版本。截至目前，所有陳舊的Server 2003版本以及2008與2012版本皆可能遭受攻擊。微軟公司正在為2008與2012版本開發補丁程序。如果您一直在嘗試更新2003版本，請不要再浪費精力了－－過去的已經過去，除了此次曝光的最新安全漏洞之外，近幾年來其它漏洞也都會影響到2003版本。
另外，單純安裝補丁還不足以解決問題－－您還需要做得更多。正如桌面版Windows一樣，您同樣必須確保使用與補丁相兼容的反病毒程序以避免服務器發生BSOD 。如果您未在服務器上運行反病毒軟件，則必須使用regedit以設置以下注冊表項：
Key＝＂HKEY＿LOCAL＿MACHINE＂ Subkey＝＂SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat＂ Value＝＂cadca5fe－87d3－4b96－b7fb－a231484277cc＂ Type＝＂REG＿DWORD＂ Data＝＂0