После выхода январских обновлений против уязвимостей в процессорах Intel / AMD (кодовые названия уязвимостей Meltdown и Spectre), пришла пора обновить несколько хостов Hyper-V Server 2012 R2 в имеющемся кластере.
Установил на одном сервере обновление firmware и с удивлением заметил, что сервера Hyper-V 2012 R2 (с процессорами Intel) не видят январского кумулятивного патча KB4056898, который уже опубликован на WSUS и доступен на всех остальных серверах. Сначала подумал о том, что нужно попробовать скачать и установить патч руками. А что, если, патч на самом деле не применим к гипервизорам Hyper-V.
Мне все таки удалось на сайте MS найти информацию, что в которой говорится о том, что если ваши сервера Hyper-V не получили январские обновления безопасности, нужно руками в реестре сервера добавить ключ типа REG_DWORD в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat с именем cadca5fe-87d3-4b96-b7fb-a231484277cc и значением 0.
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f
После этого нужно перезапустить службу обновлений и выполнить повторное сканирование:
Net stop wuauserv
Net start wuauserv
Wuauclt /detectnow
Перед установкой обновления KB4056898 нужно выключить все запущенные на Hyper-V виртуальные машины, а после установки – перезагрузить сервер.
Важно! После включения сервера не удастся переместить ВМ с пропатченного сервера на непротченный с помощью Live Migration.
Затем нужно включить следующие ключи в реестре:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Еще раз перезагружаем сервер и проверяем защиту хоста с помощью скрипта
Get-SpeculationControlSettings
3 комментария
Как с перфомансом после патчей? Есть проседания ?
Пока никаких проблем не обнаружил, все в рамках обычной плотности загрузки. Хотя загрузка на хостах HV и до патча не превышала 20-30%.
Добрый день! Тоже предстоит обновление парочки серверов-хостов на WinServ2019+Hyper-V. На каждом около 20 ВМ. Скажите пож-та, перед установкой обнов на хост надо выключать виртуальные машины?
Спасибо!