Microsoft выпустила обновление для системы безопасности — KB4571756, — которое отключает функцию RemoteFX vGPU из-за уязвимости системы безопасности. Это относится к Windows 10 версии 2004^{(Windows 10, version 2004)} и всем выпускам Windows Server версии 2004.

После этого обновления любая виртуальная машина с включенным RemoteFX vGPU выйдет из строя со следующими сообщениями об ошибках:

• Не удается запустить виртуальную машину, так как все графические процессоры с поддержкой RemoteFX отключены^(GPUs) в диспетчере Hyper-V^{(Hyper-V Manager)} .
• Не удается запустить виртуальную машину, так как на сервере недостаточно ресурсов графического процессора .^(GPU)

Даже если конечный пользователь попытается повторно включить RemoteFX vGPU, виртуальная машина отобразит сообщение об ошибке:

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Что такое функция RemoteFX vGPU?

При работе с виртуальными машинами функция RemoteFX v GPU позволяет вам совместно использовать физический GPU . Эта функция хорошо подходит, когда физический графический процессор^(GPU) является слишком большим ресурсом, но вместо этого все виртуальные машины^(VMs) могут динамически совместно использовать графический процессор^(GPU) для своей рабочей нагрузки. Преимущество, конечно же, в снижении стоимости GPU и снижении нагрузки на CPU . Если вы хотите представить, это похоже на одновременный запуск нескольких приложений DirectX на одном физическом графическом процессоре^(GPU) . Таким образом, вместо того, чтобы покупать 4 графических процессора^(GPUs) , один графический процессор^(GPU)может помочь, в зависимости от загруженности. Он также сопровождался контрмерами, которые ограничивали чрезмерное использование физического графического процессора^(GPU) .

В чем заключается уязвимость системы безопасности RemoteFX vGPU?

Виртуальный графический процессор RemoteFX^(RemoteFX) устарел. Он был представлен в Windows 7 и теперь сталкивается с уязвимостью удаленного выполнения кода. Уязвимость удаленного выполнения кода возникает, когда виртуальный графический процессор Hyper-V RemoteFX на хост-сервере не может должным образом проверить ввод от аутентифицированного пользователя в гостевой операционной системе. Это происходит, когда Hyper-V RemoteFX vGPU на хост-сервере не может должным образом проверить входные данные от аутентифицированного пользователя в гостевой операционной системе, когда злоумышленник запускает специально созданное приложение в гостевой ОС, которое атакует отдельные сторонние видеодрайверы, работающие на Hyper -V. -V^(Hyper-V) хозяин.

Получив доступ, злоумышленник может запустить любой код на хост-ОС. Поскольку это архитектурная проблема, для нее нет решения.

Альтернативы RemoteFX vGPU

Единственный вариант — использовать альтернативный vGPU, который может быть из сторонних приложений, или Microsoft предлагает использовать Discrete Device Assignment ( DDA ). Это позволяет вам полностью преобразовать устройство PCIe^{(PCIe Device)} в виртуальную машину. Вы можете не только разрешить доступ к графическим^(Graphics) машинам, но и поделиться хранилищем NVMe .

Самое большое преимущество DDA , помимо того, что оно безопасно, заключается в том, что нет необходимости устанавливать драйверы на хост до того, как устройство будет смонтировано в виртуальной машине. Пока виртуальная машина может определить расположение PCIe^{(PCIe Location)} устройства , можно определить путь^(Path) для виртуальной машины, чтобы смонтировать его. Короче говоря, DDA , передающий GPU на виртуальную машину, позволяет использовать встроенный драйвер графического процессора в виртуальной машине со всеми возможностями. ^(GPU)Это включает в себя DirectX 12 , CUDA и т. д ., что было невозможно с RemoteFX v GPU .

Как повторно включить RemoteFX vGPU

Microsoft четко предупреждает, что вам не следует использовать RemoteFX vGPU, но если вам нужно, есть способ снова включить его на свой страх и риск.

Предполагая, что вы уже настроили 3D- адаптер RemoteFX vGPU, вот сведения, которые будут работать только в Windows 10 версии 1803 и более ранних версиях.

Настройка RemoteFX vGPU с помощью диспетчера Hyper-V^{(Hyper-V Manager)}

Чтобы настроить RemoteFX vGPU 3D с помощью диспетчера Hyper-V^{(Hyper-V Manager)} , выполните следующие действия.

• Остановить виртуальную машину
• Откройте диспетчер Hyper-V^{(Hyper-V Manager)} и перейдите к  настройкам виртуальной машины^{(VM Settings)} .
• Нажмите «Добавить оборудование».
• Выберите Адаптер 3D- графики^{(Graphics Adapter)} RemoteFX , а затем нажмите  кнопку Добавить^(Add) .

Настройка RemoteFX vGPU с помощью командлетов PowerShell

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get — вмремотефкс3двидеоадаптер
• Set — вмремотефкс3двидеоадаптер
• Get-VMRemoteFXPhysicalVideoAdapter

Вы можете прочитать больше об этом здесь, в Microsoft.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft has released a security update—KΒ4571756—which will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Как использовать и добавить учетные записи Work/School на Microsoft Authenticator app

• Как отключить съемные классы хранения и доступ в Windows 10

• Delete Files Permanently Использование бесплатного File Shredder software для Windows

• Tiny Security Suite помогает вам зашифровать, измельчать и защищать файлы на вашем компьютере

• Как сбросить Windows Security app в Windows 10

• Rogue Security Software or Scareware: Как проверить, предотвратить, удалить?

• Как предотвратить пользователей обход предупреждение SmartScreen в Edge

• Инцидент Response объяснил: этапы и Open Source software

• Windows Security говорит No Security Providers в Windows 10

• Restrict USB access к компьютеру Windows 10 с Ratool

• Как сбросить разрешения NTFS file в Windows 10

• Как защитить ваш WiFi - Know Кто связан

• Советы для пользователей электронной почты: безопасны и защитите свой email account

• Lock desktop Icons или Password Защита приложений в Windows - Рабочий документ

• TACHYON Internet Security - приличная альтернатива другим бесплатным инструментам

• Как добавить File type or Process Exclusion на Windows Security

• Как использовать GoPro как Security Camera

• NetCam Studio: All-In-One surveillance system для Windows

• Как не наблюдать за своим собственным Computer?

• Browser Security Test Чтобы проверить, надежно ли ваш Browser