Microsoft keelab alates 2020. aasta juulist RemoteFX vGPU funktsiooni
Koos tänased uuendused, Microsoft teatas, et RemoteFX vGPU funktsioon keelatakse Hyper-V virtuaalsed masinad. Microsoft leidis selles funktsioonis tõsise haavatavuse, mistõttu see keelatakse nüüdsest.
RemoteFX-i vGPU-funktsioon võimaldab mitmel virtuaalsel masinal füüsilist GPU-d jagada. Renderdus- ja arvutusressursse jagatakse dünaamiliselt virtuaalmasinate vahel, muutes RemoteFX vGPU sobivaks suure sarivõttega töökoormuse jaoks, kus pole vaja spetsiaalseid GPU ressursse. Näiteks VDI-teenuses saab RemoteFX vGPU-d kasutada rakenduste renderdamise kulude mahalaadimiseks GPU-le, mis vähendab protsessori koormust ja parandab teenuse skaleeritavust.
Uus haavatavus koos ID-ga CVE-2020-1036, eksisteerib siis, kui hostserveris asuv Hyper-V RemoteFX vGPU ei suuda külalisoperatsioonisüsteemi autentitud kasutaja sisendit õigesti valideerida. Haavatavuse ärakasutamiseks võib ründaja käivitada külalisoperatsioonisüsteemis spetsiaalselt loodud rakenduse, rünnates teatud kolmanda osapoole videodraivereid, mis töötavad Hyper-V hostis. See võib seejärel põhjustada hosti operatsioonisüsteemi suvalise koodi käivitamise.
Haavatavust edukalt ära kasutanud ründaja võib käivitada hosti operatsioonisüsteemis suvalise koodi.
Selle haavatavuse parandamiseks plaastrit ei tehta. Selle asemel keelab Microsoft selle kumulatiivsete värskendustega sunniviisiliselt. RemoteFX vGPU tugi on Windows Server 2019-s aegunud ja kliendid on seda teinud soovitatav kasutada Diskreetne seadme määramine (DDA) RemoteFX vGPU asemel.
Siiski on stsenaariume, kui peate RemoteFX-i lubama vähemalt üheks VM-i käivitamiseks. Ilma selleta, katsed virtuaalmasinaid (VM-e) käivitada nurjuvad ja kuvatakse järgmised teated:
- "Virtuaalset masinat ei saa käivitada, kuna kõik RemoteFX-i toega GPU-d on Hyper-V Manageris keelatud."
- "Virtuaalmasinat ei saa käivitada, kuna serveril pole piisavalt GPU ressursse."
RemoteFX vGPU uuesti lubamiseks
Windows 10 versiooni 1803 ja varasemate versioonide jaoks
- RemoteFX vGPU konfigureerimiseks lisage virtuaalmasinale (VM) RemoteFX 3D graafikaadapter. Lisateabe saamiseks vt Seadistage RemoteFX vGPU 3D-adapter.
- RemoteFX vGPU 3D-adapteri konfigureerimiseks kasutage ühte järgmistest meetoditest.
1. meetod: konfigureerige RemoteFX vGPU koos Hyper-V Manageriga
- Peatage VM, kui see praegu töötab.
- Avage Hyper-V Manager ja navigeerige saidile VM-i seadedja seejärel valige Lisa riistvara.
- Valige RemoteFX 3D graafikaadapterja seejärel valige Lisama.
2. meetod: konfigureerige RemoteFX vGPU PowerShelli cmdlet-käskude abil
RemoteFX vGPU 3D-adapteri konfigureerimiseks peate kasutama järgmisi PowerShelli cmdlet-käske:
- Lisa-VMRemoteFx3dVideoAdapter
- Hangi-VMRemoteFx3dVideoAdapter
- Set-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFXPhysicalVideoAdapter