Společnost Microsoft vydala aktualizaci zabezpečení KB4571756, která zakáže RemoteFX vGPU funkce kvůli chybě zabezpečení. Platí pro Windows 10, verze 2004 a všechny edice Windows Server verze 2004.
Po zveřejnění této aktualizace selže jakýkoli virtuální počítač, který má povolenou RemoteFX vGPU, s následujícími chybovými zprávami:
- Virtuální stroj nelze spustit, protože ve Správci technologie Hyper-V jsou zakázány všechny GPU podporující RemoteFX.
- Virtuální počítač nelze spustit, protože server má nedostatečné prostředky GPU.
I když se koncový uživatel pokusí znovu povolit RemoteFX vGPU, virtuální počítač zobrazí chybovou zprávu-
Video adaptér RemoteFX 3D již nepodporujeme. Pokud tento adaptér stále používáte, může dojít k ohrožení zabezpečení.
Co je funkce RemoteFX vGPU?
Při spuštění Virtual Machines vám funkce RemoteFX vGPU umožňuje sdílet fyzický GPU. Funkce se hodí dobře, když je fyzický GPU příliš velkým zdrojem, ale místo toho mohou všechny virtuální počítače dynamicky sdílet GPU pro svou pracovní zátěž. Výhodou je samozřejmě snížení nákladů na GPU a snížení zatížení CPU. Pokud si chcete představit, je to jako spouštět více aplikací DirectX současně na stejném fyzickém GPU. Takže místo nákupu 4 GPU může jeden GPU pomoci, v závislosti na vytížení. Přišlo také s protiopatřeními, která omezovala nadužívání fyzických GPU.
Jaká je chyba zabezpečení kolem RemoteFX vGPU?
RemoteFX vGPU je starý. Byl představen ve Windows 7 a nyní čelí zranitelnosti vzdáleného spuštění kódu. Existuje chyba zabezpečení umožňující vzdálené spuštění kódu, když Hyper-V RemoteFX vGPU na hostitelském serveru nedokáže správně ověřit vstup od ověřeného uživatele v hostujícím operačním systému. Stává se to, když Hyper-V RemoteFX vGPU na hostitelském serveru nedokáže správně ověřit vstup od ověřeného uživatele v hostujícím operačním systému, když útočník spustí vytvořenou aplikaci v hostujícím OS, který útočí na jednotlivé ovladače videa třetích stran běžící na Hyper -V hostitel.
Jakmile má útočník přístup, může spustit libovolný kód v hostitelském operačním systému. Jelikož se jedná o architektonický problém, neexistuje pro něj žádná oprava.
Alternativy k RemoteFX vGPU
Jedinou možností je použít alternativní vGPU, který by mohl pocházet z aplikací třetích stran nebo společnost Microsoft navrhuje použít diskrétní přiřazení zařízení (DDA). Umožňuje vám celé zařízení PCIe do virtuálního počítače. Nejen, že můžete povolit přístup ke grafickým autům, ale můžete také sdílet úložiště NVMe.
Největší výhodou DDA kromě toho, že je zabezpečená, není nutné instalovat ovladače na hostitele před připojením zařízení k virtuálnímu počítači. Dokud virtuální počítač dokáže identifikovat umístění PCIe zařízení, lze určit cestu, aby jej virtuální počítač připojil. Stručně řečeno, DDA předávání GPU na VM umožňuje použití nativního ovladače GPU v rámci VM a všech funkcí. To zahrnuje DirectX 12, CUDA atd., což u RemoteFX vGPU nebylo možné.
Jak znovu povolit RemoteFX vGPU
Microsoft jasně varuje, že byste neměli používat RemoteFX vGPU, ale pokud musíte, existuje způsob, jak jej znovu povolit na vlastní riziko.
Za předpokladu, že jste již nakonfigurovali adaptér RemoteFX vGPU 3D, zde jsou podrobnosti, které budou fungovat pouze v systému Windows 10, verze 1803 a dřívějších verzích
Nakonfigurujte RemoteFX vGPU pomocí Správce Hyper-V
Chcete-li nakonfigurovat RemoteFX vGPU 3D pomocí Správce technologie Hyper-V, postupujte takto:
- Zastavte virtuální stroj
- Otevřete Správce Hyper-V a přejděte do Nastavení virtuálního počítače.
- Klikněte na Přidat hardware.
- Vyberte 3D grafický adaptér RemoteFX a poté vyberte Přidat.
Nakonfigurujte RemoteFX vGPU pomocí rutin PowerShellu
- Povolit-VMRemoteFXPhysicalVideoAdapter
- Přidat-VMRemoteFx3dVideoAdapter
- Získejte-VMRemoteFx3dVideoAdapter
- Set-VMRemoteFx3dVideoAdapter
- Získejte-VMRemoteFXPhysicalVideoAdapter
Více o tom si můžete přečíst zde na Microsoftu.