Firma Microsoft^(Microsoft) wydała aktualizację zabezpieczeń — KB4571756 — która wyłączy funkcję RemoteFX vGPU z powodu luki w zabezpieczeniach. Dotyczy systemu Windows 10 w wersji 2004^{(Windows 10, version 2004)} i wszystkich wydań systemu Windows Server^{(Windows Server)} w wersji 2004.

Po tej aktualizacji każda maszyna wirtualna z włączoną funkcją RemoteFX vGPU zakończy się niepowodzeniem z następującymi komunikatami o błędach:

• Nie można uruchomić maszyny wirtualnej, ponieważ wszystkie procesory graficzne^(GPUs) obsługujące technologię RemoteFX są wyłączone w Menedżerze funkcji Hyper-V^{(Hyper-V Manager)} .
• Nie można uruchomić maszyny wirtualnej, ponieważ serwer ma niewystarczające zasoby GPU .

Nawet jeśli użytkownik końcowy spróbuje ponownie włączyć RemoteFX vGPU, maszyna wirtualna wyświetli komunikat o błędzie —

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Co to jest funkcja RemoteFX vGPU?

Podczas uruchamiania maszyn wirtualnych funkcja RemoteFX v GPU umożliwia współużytkowanie fizycznego procesora GPU^(GPU) . Ta funkcja dobrze pasuje, gdy fizyczny procesor graficzny^(GPU) jest zbyt dużym zasobem, ale zamiast tego wszystkie maszyny wirtualne^(VMs) mogą dynamicznie udostępniać procesor graficzny^(GPU) dla swojego obciążenia. Zaletą jest oczywiście obniżenie kosztów GPU i zmniejszenie obciążenia procesora^(CPU) . Jeśli chcesz sobie wyobrazić, to jak uruchamianie wielu aplikacji DirectX w tym samym czasie na tym samym fizycznym GPU . Więc zamiast kupować 4 GPU^(GPUs) , jeden GPUmoże pomóc, w zależności od obciążenia pracą. Zawierał również środki zaradcze, które ograniczały nadużywanie fizycznego GPU .

Jaka jest luka w zabezpieczeniach RemoteFX vGPU?

RemoteFX vGPU jest stary. Został wprowadzony w systemie Windows 7^{(Windows 7)} i obecnie napotyka lukę umożliwiającą zdalne wykonanie kodu. Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu występuje, gdy funkcja Hyper-V RemoteFX^{(Hyper-V RemoteFX)} vGPU na serwerze hosta nie może poprawnie zweryfikować danych wejściowych uwierzytelnionego użytkownika w systemie operacyjnym gościa. Dzieje się tak, gdy Hyper-V RemoteFX vGPU na serwerze hosta nie może poprawnie zweryfikować danych wejściowych uwierzytelnionego użytkownika w systemie operacyjnym gościa, gdy osoba atakująca uruchamia spreparowaną aplikację w systemie gościa, który atakuje poszczególne sterowniki wideo innych firm działające w Hyper -V host.

Gdy atakujący uzyska dostęp, może uruchomić dowolny kod w systemie operacyjnym hosta. Ponieważ jest to problem architektoniczny, nie ma na to rozwiązania.

Alternatywy dla RemoteFX vGPU

Jedyną opcją jest użycie alternatywnego vGPU, który może pochodzić z aplikacji innych firm lub Microsoft sugeruje użycie przypisania urządzeń dyskretnych^{(Discrete Device Assignment)} ( DDA ). Pozwala na przeniesienie całego urządzenia PCIe^{(PCIe Device)} do maszyny wirtualnej. Możesz nie tylko zezwolić na dostęp do samochodów graficznych^(Graphics) , ale także udostępnić pamięć NVMe .

Największą zaletą DDA oprócz tego, że jest bezpieczna, jest brak konieczności instalowania sterowników na hoście przed zamontowaniem urządzenia w maszynie wirtualnej. Dopóki maszyna wirtualna może zidentyfikować lokalizację PCIe^{(PCIe Location)} urządzenia , można określić ścieżkę^(Path) do zamontowania przez maszynę wirtualną. Krótko mówiąc, przekazywanie przez DDA procesora graficznego^(GPU) do maszyny wirtualnej pozwala na użycie natywnego sterownika GPU w obrębie maszyny wirtualnej i wszystkich możliwości. Obejmuje to DirectX 12 , CUDA itp. , co nie było możliwe w przypadku RemoteFX v GPU .

Jak ponownie włączyć RemoteFX vGPU

Microsoft wyraźnie ostrzega, że ​​nie powinieneś używać RemoteFX vGPU, ale jeśli musisz, istnieje sposób, aby włączyć go ponownie na własne ryzyko.

Zakładając, że już skonfigurowałeś adapter RemoteFX vGPU 3D, oto szczegóły, które będą działać tylko w systemie Windows 10^{(Windows 10)} , wersja 1803 i wcześniejsze wersje

Skonfiguruj RemoteFX vGPU za pomocą Hyper-V Manager

Aby skonfigurować RemoteFX vGPU 3D za pomocą Menedżera funkcji Hyper-V^{(Hyper-V Manager)} , wykonaj następujące kroki:

• Zatrzymaj maszynę wirtualną
• Otwórz Menedżera funkcji Hyper-V^{(Hyper-V Manager)} i przejdź do  Ustawień maszyny wirtualnej^{(VM Settings)} .
• Kliknij Dodaj sprzęt.
• Wybierz kartę graficzną^{(Graphics Adapter)} RemoteFX 3D , a następnie wybierz  Dodaj^(Add) .

Skonfiguruj RemoteFX vGPU za pomocą poleceń cmdlet PowerShell

• Włącz-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Zestaw VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXFizyczny adapter wideo

Więcej na ten temat możesz przeczytać tutaj na stronie Microsoft.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft has released a security updаte—KB4571756—which will diѕable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Jak używać i dodawać konta Work/School do aplikacji Microsoft Authenticator

• Jak wyłączyć klasy magazynu wymiennego i dostęp w systemie Windows 10?

• Usuń pliki na stałe za pomocą bezpłatnego oprogramowania do niszczenia plików dla systemu Windows

• Tiny Security Suite pomaga szyfrować, niszczyć i chronić pliki na komputerze

• Jak zresetować aplikację Zabezpieczenia systemu Windows w systemie Windows 11/10?

• Netcam Studio: kompleksowy system nadzoru dla systemu Windows

• Jak dodać wykluczenie plików lub procesów do zabezpieczeń systemu Windows

• Dlaczego zmiana moich informacji o zabezpieczeniach konta Microsoft nadal oczekuje?

• Recenzja OpenDNS — bezpłatny DNS z kontrolą rodzicielską i szybkością

• Jak zresetować uprawnienia plików NTFS w systemie Windows 10?

• Jak ukryć lub pokazać ikonę Zabezpieczenia systemu Windows na pasku zadań systemu Windows 10?

• Twój administrator IT wyłączył Zabezpieczenia systemu Windows

• Ustawienia zabezpieczeń systemu Windows w systemie Windows 10

• 10 najlepszych ustawień powiększenia dla bezpieczeństwa i prywatności

• Fałszywe oprogramowanie zabezpieczające lub Scareware: Jak sprawdzać, zapobiegać, usuwać?

• Jak znaleźć konta powiązane z adresem e-mail i numerem telefonu?

• Najlepsze bezpłatne oprogramowanie pakietu zabezpieczeń internetowych dla komputerów z systemem Windows 11/10

• LinkedIn Zaloguj się i zaloguj Wskazówki dotyczące bezpieczeństwa i prywatności

• Błąd sprawdzania zabezpieczeń jądra w systemie Windows 11/10

• Jak używać GoPro jako kamery bezpieczeństwa