Phenquestions
A Microsoft kiadott egy KB4571756 jelű biztonsági frissítést, amely letiltja a RemoteFX vGPU egy biztonsági rés miatt. A Windows 10 2004-es verziójára és a Windows Server 2004 összes verziójára vonatkozik.
Tegye közzé ezt a frissítést, minden virtuális gép, amelyen engedélyezve van a RemoteFX vGPU, a következő hibaüzenetekkel fog meghiúsulni:
- A virtuális gép nem indítható el, mert az összes RemoteFX-képes GPU le van tiltva a Hyper-V Manager alkalmazásban.
- A virtuális gép nem indítható el, mert a kiszolgálónak nincs elegendő GPU-forrása.
Még akkor is, ha a végfelhasználó megpróbálja újra engedélyezni a RemoteFX vGPU-t, a virtuális gép megjeleníti a hibaüzenetet-
Már nem támogatjuk a RemoteFX 3D videoadaptert. Ha még mindig használja ezt az adaptert, kiszolgáltatottá válhat a biztonsági kockázatoknak.
Mi a RemoteFX vGPU szolgáltatás?
Virtuális gépek futtatásakor a RemoteFX vGPU szolgáltatás lehetővé teszi a fizikai GPU megosztását. Ez a szolgáltatás jól illeszkedik, ha a fizikai GPU túl nagy erőforrás, de ehelyett az összes virtuális gép dinamikusan megoszthatja a GPU-t a terhelésükhöz. Előnye természetesen a GPU költségeinek csökkenése és a CPU terhelésének csökkenése. Ha el akarja képzelni, olyan, mintha egyszerre több DirectX alkalmazást futtatna ugyanazon a fizikai GPU-n. Tehát 4 GPU vásárlása helyett egy GPU segíthet, a terheléstől függően. Olyan ellenintézkedésekkel is járt, amelyek korlátozták a fizikai GPU túlzott használatát.
Mi a biztonsági rés a RemoteFX vGPU körül?
A RemoteFX vGPU régi. A Windows 7-ben vezették be, és most távoli kódfuttatási sebezhetőséggel küzd. Távoli kódfuttatási biztonsági rés akkor áll fenn, amikor a gazdagép szerverén lévő Hyper-V RemoteFX vGPU nem tudja megfelelően hitelesíteni a vendég operációs rendszer hitelesített felhasználóját. Akkor történik, amikor a gazdagép-kiszolgálón lévő Hyper-V RemoteFX vGPU nem tudja megfelelően hitelesíteni a vendég operációs rendszer hitelesített felhasználójának bemenetét, amikor a támadó egy kialakított alkalmazást futtat egy vendég operációs rendszeren, amely megtámadja a Hyperen futó egyedi, harmadik féltől származó videoillesztőket. -V házigazda.
Miután a támadónak hozzáférése van, bármilyen kódot futtathat a fogadó operációs rendszeren. Mivel ez építészeti kérdés, nincs megoldás.
A RemoteFX vGPU alternatívái
Az egyetlen lehetőség egy alternatív vGPU használata, amely harmadik féltől származó alkalmazásokból származhat, vagy a Microsoft javasolja a Diszkrét eszköz hozzárendelés (DDA) használatát. Ez lehetővé teszi, hogy a PCIe eszközt teljes egészében virtuális gépgé alakítsa. Nemcsak engedélyezheti a grafikus autókhoz való hozzáférést, hanem megoszthatja az NVMe tárhelyet is.
A DDA legnagyobb előnye azon kívül, hogy biztonságos, nincs szükség illesztőprogramok telepítésére a gazdagépre, mielőtt az eszközt a virtuális gépbe illesztenék. Mindaddig, amíg a virtuális gép képes azonosítani az eszköz PCIe helyét, meghatározható az elérési útja a virtuális gép számára a csatlakoztatáshoz. Röviden, a DDA GPU továbbítása egy virtuális gépnek lehetővé teszi a natív GPU illesztőprogram használatát a virtuális gépen belül és az összes képességet. Ide tartozik a DirectX 12, a CUDA stb., ami a RemoteFX vGPU-val nem volt lehetséges.
A RemoteFX vGPU újbóli engedélyezése
A Microsoft egyértelműen figyelmezteti, hogy nem szabad használni a RemoteFX vGPU-t, de ha kell, van mód arra, hogy újra saját felelősségére engedélyezze.
Feltéve, hogy már konfigurálta a RemoteFX vGPU 3D adaptert, itt vannak a részletek, amelyek csak a Windows 10, 1803 és korábbi verzióknál fognak működni
Konfigurálja a RemoteFX vGPU-t a Hyper-V Manager segítségével
A RemoteFX vGPU 3D konfigurálásához a Hyper-V Manager használatával hajtsa végre az alábbi lépéseket:
- Állítsa le a virtuális gépet
- Nyissa meg a Hyper-V Manager alkalmazást, és keresse meg a virtuális gép beállításait.
- Kattintson a Hardver hozzáadása elemre.
- Válassza a RemoteFX 3D grafikus adaptert, majd válassza az Hozzáadás lehetőséget.
Konfigurálja a RemoteFX vGPU-t a PowerShell-parancsmagokkal
- Enable-VMRemoteFXPhysicalVideoAdapter
- Add-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFx3dVideoAdapter
- Set-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFXPhysicalVideoAdapter
Bővebben itt olvashat a Microsoft-on.
