Meltdown, Spectre: Microsoft gibt Empfehlungen für Exchange

Die kürzlich aufgedeckten Schwach­stellen in Intel-CPUs erlauben Angriffe vom Typ Spectre (CVE-2017-5753, CVE-2017-5715) und Melt­down (CVE-2017-5754). Die Gegen­maß­nahmen führen zu Performance-Verlusten, beson­ders bei Exchange. Microsoft gibt nun in einem Support-Dokument Tipps für ein mögliches Vorgehen.

Die Speculative Execution ist ein Feature von modernen Prozessoren, das den wahr­scheinlichsten Weg des Programm­flusses zu finden versucht und Ergebnisse schon vorab berechnet. Es erhöht somit die Performance des Rechners, weil auf diese Weise freie CPU-Kapazitäten genutzt werden, um mehrere Befehle parallel abzuarbeiten.

Hohe Einbußen für I/O-intensive Anwendungen

Es liegt also auf der Hand, dass die Deaktivierung dieser Fähigkeit zu Lasten der Rechen­leistung geht. Die Einbußen hängen dabei stark von der Anwendung ab. Exchange als I/O- und CPU-intensive Applikation ist davon besonders stark betroffen.

Während Microsoft bei Workstations darauf drängt, alle Patches für das Betriebs­system und das Microcode-Update von Intel einzuspielen, fallen die Empfehlungen für Exchange differenzierter aus. Auf Clients sind die Performance-Einbußen in der Regel nämlich kaum spürbar, außerdem sind sie zahlreichen Programmen unter­schiedlicher Herkunft ausgesetzt.

Maßnahmen bei Exchange vom Umfeld abhängig

Bei einem Exchange-Server hingegen sollten Anwender ihre Maßnahmen vom Kontext abhängig machen, in dem das Messaging-System ausgeführt wird. Microsoft empfiehlt zwar, die aktuellsten Updates für Windows Server grundsätzlich einzuspielen, die auch Patches für Spectre und Meltdown enthalten. Sie hätten dem Hersteller zufolge nur marginalen Einfluss auf die Performance. Ein eigenes Update für Exchange wegen der CPU-Schwachstellen wird nicht benötigt.

Entscheidend ist dagegen die Frage, ob Kernel Virtual Address Shadowing (KVAS) und damit einhergehend Hardware-seitige Maßnahmen aktiviert werden sollen. Sie führen zu einem erheblichen Einbruch der Rechnerleistung. Dieser geht so weit, dass Microsoft sogar ein Update für den Exchange Server Role Requirements Calculator erwägt, ein Tool, das bei der Dimensionierung der Exchange-Hardware hilft.

Dedizierter Exchange-Server im Vorteil

Am besten dran sind Microsoft zufolge Bare-Metal-Installationen von Exchange, bei denen keine weiteren unsicheren Programme oder Scripts ("Untrusted Code") auf dem gleichen Rechner laufen. Dazu könnten auch Erweiterungen von Exchange zählen, wobei die meisten von ihnen jedoch eine Authentifizierung benötigen, um ausgeführt zu werden.

Umgekehrt sollte in einer Hosting-Umgebung, die Workloads mehrerer Mandanten auf einer Maschine ausführt, das Microcode-Update von Intel in jedem Fall eingespielt werden. Ermessens­sache ist es dagegen, wie man auf einem virtualisierten Server im eigenen Rechen­zentrum vorgeht.

Läuft Exchange dort in einer VM, dann kommt es darauf an, welche Anwendungen die anderen virtuellen Maschinen ausführen. Die Isolierung der Workloads durch den Hypervisor bietet nämlich nur geringen Schutz gegen eine mögliche Ausnutzung von Spectre.