Phenquestions
Microsoft ha publicado una actualización de seguridad, KB4571756, que deshabilitará la RemoteFX vGPU característica debido a una vulnerabilidad de seguridad. Se aplica a Windows 10, versión 2004 y todas las ediciones de Windows Server versión 2004.
Publique esta actualización, cualquier VM que tenga RemoteFX vGPU habilitado fallará con los siguientes mensajes de error:
- La máquina virtual no se puede iniciar porque todas las GPU compatibles con RemoteFX están deshabilitadas en Hyper-V Manager.
- No se puede iniciar la máquina virtual porque el servidor no tiene suficientes recursos de GPU.
Incluso si el usuario final intenta volver a habilitar la vGPU de RemoteFX, la máquina virtual mostrará el mensaje de error-
Ya no admitimos el adaptador de video RemoteFX 3D. Si todavía está usando este adaptador, puede volverse vulnerable a riesgos de seguridad.
¿Qué es la función RemoteFX vGPU??
Al ejecutar máquinas virtuales, la función RemoteFX vGPU le permite compartir la GPU física. La función se adapta bien cuando la GPU física es demasiado recurso, pero en cambio, todas las máquinas virtuales pueden compartir dinámicamente la GPU para su carga de trabajo. La ventaja es, por supuesto, la reducción del costo de la GPU y la disminución de la carga de la CPU. Si quieres imaginarlo, es como ejecutar varias aplicaciones DirectX al mismo tiempo en la misma GPU física. Entonces, en lugar de comprar 4 GPU, una GPU podría ayudar, dependiendo de la carga de trabajo. También vino con contramedidas que restringieron el uso excesivo de la GPU física.
¿Cuál es la vulnerabilidad de seguridad alrededor de RemoteFX vGPU??
RemoteFX vGPU es antiguo. Se introdujo en Windows 7 y ahora enfrenta una vulnerabilidad de ejecución remota de código. Existe una vulnerabilidad de ejecución remota de código cuando Hyper-V RemoteFX vGPU en un servidor host no valida correctamente la entrada de un usuario autenticado en un sistema operativo invitado. Ocurre cuando Hyper-V RemoteFX vGPU en un servidor host no valida correctamente la entrada de un usuario autenticado en un sistema operativo invitado cuando un atacante ejecuta una aplicación diseñada en un sistema operativo invitado, que ataca a los controladores de video de terceros individuales que se ejecutan en Hyper -V anfitrión.
Una vez que el atacante tiene acceso, puede ejecutar cualquier código en el sistema operativo host. Dado que se trata de un problema de arquitectura, no hay solución para ello.
Alternativas a RemoteFX vGPU
La única opción es usar una vGPU alternativa, que podría ser de aplicaciones de terceros o Microsoft sugiere usar la asignación discreta de dispositivos (DDA). Le permite convertir el dispositivo PCIe completo en una máquina virtual. No solo puede permitir el acceso a los automóviles gráficos, sino que también puede compartir el almacenamiento NVMe.
La mayor ventaja de DDA, aparte de que es segura, no es necesario instalar controladores en el host antes de que el dispositivo se monte dentro de la VM. Siempre que la VM pueda identificar la ubicación de PCIe del dispositivo, se puede determinar la ruta para que la VM la monte. En resumen, DDA que pasa una GPU a una VM permite que el controlador de GPU nativo se use dentro de la VM y todas las capacidades. Eso incluye DirectX 12, CUDA, etc., que no era posible con RemoteFX vGPU.
Cómo volver a habilitar RemoteFX vGPU
Microsoft advierte claramente que no debe usar RemoteFX vGPU, pero si es necesario, hay una manera de habilitarlo nuevamente bajo su propio riesgo.
Suponiendo que ya ha configurado el adaptador RemoteFX vGPU 3D, aquí están los detalles que funcionarán solo en Windows 10, versión 1803 y versiones anteriores
Configurar RemoteFX vGPU con Hyper-V Manager
Para configurar RemoteFX vGPU 3D mediante Hyper-V Manager, siga estos pasos:
- Detener la máquina virtual
- Abra Hyper-V Manager y navegue hasta Configuración de VM.
- Haga clic en Agregar hardware.
- Seleccione Adaptador de gráficos 3D RemoteFX y luego seleccione Agregar.
Configurar RemoteFX vGPU con cmdlets de PowerShell
- Enable-VMRemoteFXPhysicalVideoAdapter
- Add-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFx3dVideoAdapter
- Set-VMRemoteFx3dVideoAdapter
- Get-VMRemoteFXPhysicalVideoAdapter
Puede leer más sobre esto aquí en Microsoft.
