Official Site
Meltdown ve Spectre ile ilgili Microsoft VP den Yavaşlama/Performans durumu açıklaması geldi

Meltdown ve Spectre ile ilgili Microsoft VP den Yavaşlama/Performans durumu açıklaması geldi

Geçtiğimiz hafta, teknoloji endüstrisi ve müşterilerimizin çoğu, telefon, bilgisayar ve sunucuları güçlendiren donanım yongalarındaki yeni güvenlik açıklarını öğrendi. Biz (ve endüstrideki diğerleri) birkaç ay önce gizlilik anlaşması çerçevesinde bu güvenlik açığını öğrendi ve mühendislik azaltıcı etekleri geliştirmeye ve bulut altyapımızı güncellemeye başladık. Bu blogda keşfedilen güvenlik açıklarını olabildiğince açıkça açıklayacağım, müşterilerin kendilerini güvende hissetmelerine yardımcı olmak için neler yapabileceklerini tartışacağız ve şimdiye kadar performans etkileri hakkında öğrendiklerimi paylaşacağız.

Yeni Güvenlik Açığı Nelerdir?

3 Ocak Çarşamba günü, güvenlik araştırmacıları “Meltdown” ve “Spectre” adlı üç potansiyel güvenlik açığını ayrıntılı olarak ayrıntılı bir şekilde açıkladı . Birkaç blog bu açıkları daha da açıklamak için çalıştı – Stratechery aracılığıyla net bir açıklama bulundu.

Bir telefonda veya bilgisayarda, bu, kötü niyetli yazılımların bir yazılım programındaki bilgilere diğerinden erişebilmesi için silikonun güvenlik açığından yararlanabileceği anlamına gelir. Bu saldırılar, bir web sayfası veya reklam aracılığıyla dağıtılan kötü amaçlı JavaScript’in başka bir çalışan yazılım programında veya tarayıcı sekmesinde sisteme (yasal bir belge veya finansal bilgi gibi) erişebildiği tarayıcılara da yayılmıştır. Birden çok sunucunun yeteneklerini paylaştığı bir ortamda (bazı bulut hizmetleri yapılandırmalarında olduğu gibi), bu güvenlik açıkları birinin bir sanal makinedeki bilgilere başka bir sanal makinedeki bilgiye erişmesi olasılığı anlamına gelebilir.

Sistemimi Korumam İçin Hangi Adımları Gerektirebilirim?

Halen teknik açıdan mümkün olan üç istismar ortaya çıkmıştır. Silikon ortaklarımızla ortak olarak Windows ve silikon mikrokodundaki değişikliklerle bunları hafiflettik.

Sızıntının Güvenlik Açığı CVE sömürmek 
isim
Kamu Güvenlik Açığı Adı Windows Değişiklikleri Silikon Mikrokod Güncellemesi ayrıca, Sunucuda Gerekli
hayalet 2017-5753 Varyant 1 Sınır Kontrolü Bypass Derleyici değişimi; Windows Güncellemelerinin bir parçası olan yeniden derlenmiş ikili dosyalar 

Edge ve IE11, JavaScript’ten yararlanmayı önlemek için sertleşti

Yok hayır
hayalet 2017-5715 Varyant 2 Şube Hedef Enjeksiyonu Riskli durumlarda şube spekülasyonunu ortadan kaldırmak için yeni CPU talimatları çağırma Evet
Meltdown 2017-5754 Varyant 3 Rogue Data Cache Load Çekirdek ve kullanıcı modu sayfa tablolarını ayırın Yok hayır

 

Windows istemcileri, güvenilmeyen bir kodla, reklamlar içeren web sayfalarına göz atma ve uygulamalar indirme gibi birçok açıdan etkileşim kurduğundan, tüm sistemi Windows Güncellemeleri ve silikon mikro kod güncellemeleri ile korumaktır.

Windows Server için, yöneticiler, sunucu üzerinde çalışan sanallaştırılmış iş yüklerini ayırt edebileceklerinden emin olmak için fiziksel sunucu düzeyinde azaltıcı önlemleri almalarını sağlamalıdır. Kurum içi sunucular için, fiziksel sunucuya uygun mikrokod güncellemesi uygulanarak ve son Windows Update sürümümüzü kullanarak Hyper-V güncellemesi kullanarak çalışıyorsanız bunu yapabilirsiniz.Azure’de çalışıyorsanız, iş yüklemelerinin bulutumuzda çalışan diğer müşterilerden ayrıldığından emin olmak için Azure’daki tüm sunuculara altyapı güncellemeleri uyguladığımız için sanallaştırılmış izolasyon sağlamak için herhangi bir adım atmanız gerekmez. Bu, Azure’de çalışan diğer müşterilerin bu güvenlik açıklarını kullanarak VM’lerinize veya uygulamalara saldıramayacakları anlamına gelir.

Kurumda veya bulutta çalışan Windows Server müşterileri, ayrıca Windows Server VM konuk veya fiziksel örneklerinin her birinde ek güvenlik azaltıcıları uygulayıp uygulamayacaklarını değerlendirmelidir. Windows Server örneklerinde güvenilmeyen bir kod çalıştırdığınızda (örneğin, müşterilerinizden birinin bir Windows Server örneğinde çalıştırdığınız bir ikili veya kod snippet’ini yüklemesine izin veriyorsanız) ve uygulama ikili dosyasını izole etmek istediğinizde bu azaltıcı etkenler gereklidir veya erişememesi gereken Windows Server örneğindeki belleğe erişemediğinden emin olmak için kodu kullanın. Windows Server VM’lerini sanallaştırılmış bir sunucu üzerindeki diğer VM’lerden ayırmak için bu önlemleri uygulamak zorunda kalmazsınız, bunun yerine yalnızca belirli bir Windows Server örneğinde çalışan güvenilir olmayan kodu izole etmek için ihtiyaç duyulur.

Şu anda Windows’un 45 baskısını destekliyoruz. Bunların 41’ine yönelik düzeltme ekleri şimdi Windows Update aracılığıyla edinilebilir.Kalan baskıların yakında düzeltilmesini bekliyoruz. Windows müşteri kılavuzu makalemizde bir tablo tablosu ve güncelleme çizelgesi hazırlıyoruz .

Silikon mikrokodu, silikon üreticisi tarafından sisteme OEM tarafından dağıtılır ve ardından müşteriye bırakmaya karar verir. Bazı sistem OEMleri bu mikrokodları dağıtmak için Windows Update’i kullanırken bazıları kendi güncelleme sistemlerini kullanır. Burada, sistem mikrokodu güncelleme bilgileri tablosunu muhafaza ediyoruz. Yüzey, bugün başlayarak Windows Update aracılığıyla güncellenecektir.

 

Bu önlemleri nasıl kontrol edeceğinizi ve devreye sokmamızı veya devre dışı bırakmayla ilgili kılavuz şu adreste bulunabilir:

performans

Tüm bu düzeltmelerin sorulardan biri, hem bilgisayarların hem de sunucuların performansı üzerindeki etkisidir. Şimdiye kadar yayınlanan ölçütlerin çoğunun hem OS hem de silikon güncellemeleri içermediğine dikkat etmek önemlidir. Kendi ölçütlerimizi gerçekleştiriyoruz ve tamamlandığında bunları yayınlayacağız, ancak aynı zamanda performansı ayarlamak için çalışmalarımızı daha da rafine etmeye çalıştıklarını belirtmek isterim. Genel olarak, Deneyimimiz Variant 1 ve Variant 3’teki hafifletilmelerin en düşük performans etkisine sahip olmaları ve OS ve mikrokod da dahil olmak üzere Variant 2’nin iyileştirilmesinin bir performans etkisine sahip olmasıdır.

Şu ana kadar bulduğumuz şeyin özeti:

  •  Yeni silikonlu Windows® 10 (Skylake, Kabylake veya daha yeni CPU ile 2016 dönemi PC’ler) ile karşılaştırma testleri tek basamaklı yavaşlamaları gösteriyor, ancak çoğu kullanıcı, bir yüzdesini milisaniye cinsinden yansıttığından fark etmesini beklemiyoruz.
  •  Eski silikon (Haswell veya daha eski işlemci kullanan 2015 dönemi PC’ler) üzerinde Windows 10’la bazı ölçütler daha belirgin yavaşlamalara neden oluyor ve bazı kullanıcıların sistem performansında bir düşüş fark edeceğini bekliyoruz.
  •  Eski silikonlu (Haswell veya daha eski işlemcili 2015 dönemi PC’ler) Windows 8 ve Windows 7’de, çoğu kullanıcının sistem performansında bir düşüş fark ettiğini düşünüyoruz.
  •  Herhangi bir IO yoğun uygulamada özellikle Windows Server, herhangi bir silikon üzerinde, Windows Server örneğinde güvenilmeyen kodları izole etmek için azaltıcı etkenleri etkinleştirirseniz daha önemli bir performans etkisini gösterir. Bu nedenle, her bir Windows Server örneği için güvenilmeyen kod riskini değerlendirmeye dikkat edin ve ortamınız için güvenlik ve performans arasındaki dengeyi dengeleyin.

Bağlam için, Skylake ve ötesinde daha yeni CPU’larda Intel, şube spekülasyonunu devre dışı bırakmak için kullanılan talimatları, dolaylı dallara daha spesifik olacak şekilde rafine etti ve Spectre azaltılmasının genel performans penaltılarını azalttı. Çekirdekte yer alan tüm yazı tipi oluşturma gibi eski tasarım kararları nedeniyle Windows 7 ve Windows 8’in daha fazla kullanıcı çekirdeği geçişine sahip olması nedeniyle Windows’un eski sürümleri daha büyük bir performans etkisine sahiptir. Önümüzdeki haftalarda benchmark performansı ile ilgili verileri yayınlayacağız.

Sonuç

Gördüğünüz gibi, yan kanal saldırı yöntemlerine ilişkin çok şey var. Bunun gibi yeni bir patlama, tüm sektörümüzün müşterilerimiz için mümkün olan en iyi çözümleri bulmak için birlikte çalışmasını gerektiriyor. Müşterilerimizin bağımlı olduğu sistemlerin güvenliği bizim için en önemli önceliğimizdir. Müşterilerimizin cihazları ve dünyadaki kuruluşları yöneten sistemler için mümkün olan en iyi kararları almalarına yardımcı olmak için olabildiğince şeffaf ve olgusal olmayı taahhüt ediyoruz. Bu nedenle bugün daha fazla bağlam ve bilgi sunmayı seçtik ve neden güncelleme ve iyileştirme işlemlerini 3 Ocak’ta mümkün olduğunca hızlı bir şekilde yayınladık. Bağlı olduğunuz teknolojiyi sunma ve performansı optimize etme konusundaki kararlılığımız devam ediyor saat ve daha fazla öğrenirken iletişim kurmaya devam edeceğiz.

https://www.cozumpark.com/forums/thread/524688.aspx

Orjinal Blog: https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Yazar Hakkında

Benzer yazılar

Yanıt verin.

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir