Tags: Exchange, Sicherheit, Performance
Die kürzlich aufgedeckten Schwachstellen in Intel-CPUs erlauben Angriffe vom Typ Spectre (CVE-2017-5753, CVE-2017-5715) und Meltdown (CVE-2017-5754). Die Gegenmaßnahmen führen zu Performance-Verlusten, besonders bei Exchange. Microsoft gibt nun in einem Support-Dokument Tipps für ein mögliches Vorgehen.
Die Speculative Execution ist ein Feature von modernen Prozessoren, das den wahrscheinlichsten Weg des Programmflusses zu finden versucht und Ergebnisse schon vorab berechnet. Es erhöht somit die Performance des Rechners, weil auf diese Weise freie CPU-Kapazitäten genutzt werden, um mehrere Befehle parallel abzuarbeiten.
Hohe Einbußen für I/O-intensive Anwendungen
Es liegt also auf der Hand, dass die Deaktivierung dieser Fähigkeit zu Lasten der Rechenleistung geht. Die Einbußen hängen dabei stark von der Anwendung ab. Exchange als I/O- und CPU-intensive Applikation ist davon besonders stark betroffen.
Während Microsoft bei Workstations darauf drängt, alle Patches für das Betriebssystem und das Microcode-Update von Intel einzuspielen, fallen die Empfehlungen für Exchange differenzierter aus. Auf Clients sind die Performance-Einbußen in der Regel nämlich kaum spürbar, außerdem sind sie zahlreichen Programmen unterschiedlicher Herkunft ausgesetzt.
Maßnahmen bei Exchange vom Umfeld abhängig
Bei einem Exchange-Server hingegen sollten Anwender ihre Maßnahmen vom Kontext abhängig machen, in dem das Messaging-System ausgeführt wird. Microsoft empfiehlt zwar, die aktuellsten Updates für Windows Server grundsätzlich einzuspielen, die auch Patches für Spectre und Meltdown enthalten. Sie hätten dem Hersteller zufolge nur marginalen Einfluss auf die Performance. Ein eigenes Update für Exchange wegen der CPU-Schwachstellen wird nicht benötigt.
Entscheidend ist dagegen die Frage, ob Kernel Virtual Address Shadowing (KVAS) und damit einhergehend Hardware-seitige Maßnahmen aktiviert werden sollen. Sie führen zu einem erheblichen Einbruch der Rechnerleistung. Dieser geht so weit, dass Microsoft sogar ein Update für den Exchange Server Role Requirements Calculator erwägt, ein Tool, das bei der Dimensionierung der Exchange-Hardware hilft.
Dedizierter Exchange-Server im Vorteil
Am besten dran sind Microsoft zufolge Bare-Metal-Installationen von Exchange, bei denen keine weiteren unsicheren Programme oder Scripts ("Untrusted Code") auf dem gleichen Rechner laufen. Dazu könnten auch Erweiterungen von Exchange zählen, wobei die meisten von ihnen jedoch eine Authentifizierung benötigen, um ausgeführt zu werden.
Umgekehrt sollte in einer Hosting-Umgebung, die Workloads mehrerer Mandanten auf einer Maschine ausführt, das Microcode-Update von Intel in jedem Fall eingespielt werden. Ermessenssache ist es dagegen, wie man auf einem virtualisierten Server im eigenen Rechenzentrum vorgeht.
Läuft Exchange dort in einer VM, dann kommt es darauf an, welche Anwendungen die anderen virtuellen Maschinen ausführen. Die Isolierung der Workloads durch den Hypervisor bietet nämlich nur geringen Schutz gegen eine mögliche Ausnutzung von Spectre.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft unterstützt DANE und DNSSEC in Exchange Online
- Exchange 2016/2019: Sicherheits-Feature Emergency Mitigation installieren und konfigurieren
- Exchange erhält mit CU11 bzw. CU22 einen automatischen Notfall-Service (Emergency Mitigation Service )
- Microsoft veröffentlicht neue Security-Updates für Exchange
- Windows Defender schließt Exchange-Schwachstelle CVE-2021-26855 automatisch und räumt Folgen eines Angriffs auf