Microsoft on välja andnud turvavärskenduse KB4571756, mis keelab selle RemoteFX vGPU funktsioon turvanõrkuse tõttu. See kehtib Windows 10 versiooni 2004 ja kõigi Windows Server 2004 versioonide kohta.
Postitage see värskendus, mis tahes virtuaalseade, millel on lubatud RemoteFX vGPU, nurjub järgmiste tõrketeadetega:
- Virtuaalmasinat ei saa käivitada, kuna Hyper-V Manageris on kõik RemoteFX-i võimelised GPU-d keelatud.
- Virtuaalmasinat ei saa käivitada, kuna serveris pole piisavalt GPU ressursse.
Isegi kui lõppkasutaja proovib RemoteFX vGPU uuesti lubada, kuvab VM tõrketeate-
Me ei toeta enam RemoteFX 3D-videoadapterit. Kui kasutate endiselt seda adapterit, võite turvariskide suhtes haavatavaks muutuda.
Mis on funktsioon RemoteFX vGPU?
Virtuaalmasinate käitamisel võimaldab RemoteFX vGPU funktsioon jagada füüsilist GPU-d. Funktsioon sobib hästi, kui füüsiline GPU on liiga suur ressurss, kuid selle asemel saavad kõik virtuaalseadmed virtuaalselt oma protsessori jaoks dünaamiliselt jagada. Eeliseks on muidugi GPU maksumuse vähenemine ja protsessori koormuse vähenemine. Kui soovite ette kujutada, on see sama, kui töötaksite mitu füüsilist GPU-d korraga mitme DirectX-i rakendusega. Seega võiks 4 GPU ostmise asemel aidata üks GPU, sõltuvalt töökoormusest. Sellega kaasnesid ka vastumeetmed, mis piirasid füüsilise GPU ülekasutust.
Mis on RemoteFX vGPU ümbruse turvanõrkus?
RemoteFX vGPU on vana. See võeti kasutusele Windows 7-s ja seisab nüüd silmitsi koodi kaugkäivitamise haavatavusega. Koodi kaugkäivitamise haavatavus on olemas, kui hostiserveris olev Hyper-V RemoteFX vGPU ei tõenda külalisoperatsioonisüsteemi autentitud kasutaja sisendit õigesti. See juhtub siis, kui hostiserveris olev Hyper-V RemoteFX vGPU ei suuda külalisoperatsioonisüsteemis autentitud kasutaja sisendit õigesti kinnitada, kui ründaja käivitab külalises OS-is meisterdatud rakenduse, mis ründab Hyperis töötavaid üksikuid kolmanda osapoole videodraivereid -V peremees.
Kui ründajal on juurdepääs, saab ta käivitada mis tahes koodi host-OS-is. Kuna see on arhitektuuriprobleem, pole sellele lahendust.
RemoteFX vGPU alternatiivid
Ainus võimalus on kasutada alternatiivset vGPU-d, mis võib olla pärit kolmandate osapoolte rakendustest või Microsoft soovitab kasutada diskreetse seadme määramist (DDA). See võimaldab teil kogu PCIe-seadme VM-iks muuta. Võite lubada mitte ainult juurdepääsu graafikaautodele, vaid jagada ka NVMe salvestusruumi.
DDA suurim eelis peale selle, et see on turvaline, pole vaja hostile draivereid installida enne seadme VM-i paigaldamist. Niikaua kui VM suudab tuvastada seadme PCIe asukoha, saab VM-i jaoks selle paigaldamiseks määrata tee. Lühidalt, DDA GPU edastamine VM-ile võimaldab emakeelse GPU-draiveri kasutamist VM-is ja kõiki võimalusi. See hõlmab DirectX 12, CUDA jne., mis ei olnud võimalik RemoteFX vGPU-ga.
Kuidas RemoteFX vGPU uuesti lubada
Microsoft hoiatab selgelt, et te ei tohiks kasutada RemoteFX vGPU-d, kuid kui peate, siis on võimalus see uuesti omal vastutusel lubada.
Eeldades, et olete juba RemoteFX vGPU 3D-adapteri konfigureerinud, on siin üksikasjad, mis töötavad ainult Windows 10 versioonis 1803 ja varasemates versioonides
RemoteFX vGPU seadistamine Hyper-V Manageriga
RemoteFX vGPU 3D konfigureerimiseks Hyper-V Manageri abil toimige järgmiselt
- Peatage virtuaalne masin
- Avage Hyper-V Manager ja navigeerige VM-i seadetesse.
- Klõpsake nuppu Lisa riistvara.
- Valige RemoteFX 3D graafikaadapter ja seejärel valige Lisa.
RemoteFX vGPU seadistamine PowerShelli cmdlet-käskudega
- Luba-VMRemoteFXPhysicalVideoAdapter
- Add-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFx3dVideoAdapter
- Komplekt VMRemoteFx3dVideoAdapter
- Get-VMRemoteFXPhysicalVideoAdapter
Selle kohta saate lähemalt lugeda siin Microsoftis.