Мицрософт^(Microsoft) је објавио безбедносну исправку — КБ4571756 — која ће онемогућити функцију РемотеФКС вГПУ^{(RemoteFX vGPU)} због безбедносне рањивости. Односи се на Виндовс 10, верзија 2004^{(Windows 10, version 2004)} , и сва издања Виндовс Сервер^{(Windows Server)} верзије 2004.

Када објавите ово ажурирање, било који ВМ који има омогућен РемотеФКС вГПУ неће успети са следећим порукама о грешци:

• Виртуелна машина не може да се покрене јер су сви ГПУ- ови који подржавају РемотеФКС^(GPUs) онемогућени у Хипер-В Манагер-^{(Hyper-V Manager)} у .
• Виртуелна машина не може да се покрене јер сервер нема довољно ГПУ^(GPU) ресурса.

Чак и ако крајњи корисник покуша да поново омогући РемотеФКС^(RemoteFX) вГПУ, ВМ ће приказати поруку о грешци—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Шта је РемотеФКС вГПУ функција?

Када покрећете виртуелне машине , функција РемотеФКС^(RemoteFX) в ГПУ^(GPU) вам омогућава да делите физички ГПУ^(GPU) . Ова функција се добро уклапа када физички ГПУ^(GPU) представља превелики ресурс, али уместо тога, сви ВМ^(VMs) могу динамички да деле ГПУ^(GPU) за своје радно оптерећење. Предност је, наравно, смањење трошкова ГПУ^(GPU) -а и смањење оптерећења ЦПУ-а . ^(CPU)Ако желите да замислите, то је као да покрећете више ДирецтКс^(DirectX) апликација у исто време на истом физичком ГПУ^(GPU) -у . Дакле, уместо куповине 4 ГПУ-^(GPUs) а , један ГПУ^(GPU)може помоћи, у зависности од обима посла. Такође је дошао са контрамерама које су ограничавале прекомерну употребу физичког ГПУ^(GPU) -а .

Која је безбедносна рањивост око РемотеФКС^(RemoteFX) вГПУ-а?

РемотеФКС^(RemoteFX) вГПУ је стар. Представљен је у оперативном систему Виндовс 7^{(Windows 7)} и сада се суочава са рањивости даљинског извршавања кода. Рањивост даљинског извршавања кода постоји када Хипер-В^{(Hyper-V RemoteFX)} РемотеФКС вГПУ на хост серверу не успе да правилно потврди унос од аутентификованог корисника на гостујућем оперативном систему. То се дешава када Хипер-В^{(Hyper-V RemoteFX)} РемотеФКС вГПУ на хост серверу не успе да правилно потврди унос од аутентификованог корисника на гостујућем оперативном систему када нападач покрене направљену апликацију на гостујућем ОС, која напада појединачне видео драјвере треће стране који раде на Хипер -у. -В^(Hyper-V) домаћин.

Када нападач има приступ, може покренути било који код на ОС-у домаћина. Пошто је ово архитектонски проблем, нема решења за њега.

Алтернативе РемотеФКС вГПУ

Једина опција је коришћење алтернативног вГПУ-а, који може бити из апликација трећих страна или Мицрософт^(Microsoft) предлаже коришћење дискретног додељивања уређаја^{(Discrete Device Assignment)} ( ДДА^(DDA) ). Омогућава вам да цео ПЦИе уређај убаците^{(PCIe Device)} у ВМ. Не само да можете дозволити приступ графичким^(Graphics) аутомобилима, већ можете и да делите НВМе^(NVMe) складиште.

Највећа предност ДДА^(DDA) , осим што је безбедан, нема потребе за инсталирањем драјвера на хосту пре него што се уређај монтира у ВМ. Све док ВМ може да идентификује ПЦИе локацију^{(PCIe Location)} уређаја , може се одредити путања^(Path) за ВМ да га монтира. Укратко, ДДА^(DDA) прослеђивање ГПУ^(GPU) -а ВМ-у омогућава да се изворни ГПУ^(GPU) драјвер користи унутар ВМ-а и свих могућности. То укључује ДирецтКс 12^{(DirectX 12)} , ЦУДА^(CUDA) , итд., што није било могуће са РемотеФКС^(RemoteFX) в ГПУ^(GPU) .

Како поново омогућити РемотеФКС вГПУ

Мицрософт^(Microsoft) јасно упозорава да не би требало да користите РемотеФКС^(RemoteFX) вГПУ, али ако морате, постоји начин да га поново омогућите на сопствени ризик.

Под претпоставком да сте већ конфигурисали РемотеФКС^(RemoteFX) вГПУ 3Д адаптер, ево детаља који ће радити само на Виндовс 10^{(Windows 10)} , верзији 1803 и старијим верзијама

Конфигуришите РемотеФКС^(RemoteFX) вГПУ помоћу Хипер-В менаџера^{(Hyper-V Manager)}

Да бисте конфигурисали РемотеФКС^(RemoteFX) вГПУ 3Д помоћу Хипер-В Манагер-^{(Hyper-V Manager)} а , следите ове кораке:

• Зауставите виртуелну машину
• Отворите Хипер-В Манагер^{(Hyper-V Manager)} и идите до  подешавања ВМ^{(VM Settings)} -а .
• Кликните на Додај хардвер.
• Изаберите РемотеФКС 3Д графички адаптер^{(Graphics Adapter)} , а затим изаберите  Додај^(Add) .

Конфигуришите РемотеФКС^(RemoteFX) вГПУ помоћу ПоверСхелл^(PowerShell) цмдлета

• Енабле-ВМРемотеФКСПхисицалВидеоАдаптер
• Адд-ВМРемотеФк3дВидеоАдаптер
• Гет-ВМРемотеФк3дВидеоАдаптер
• Сет-ВМРемотеФк3дВидеоАдаптер
• Гет-ВМРемотеФКСПхисицалВидеоАдаптер

Више о томе можете прочитати овде на Мицрософт-у.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft has releaѕed a security update—KB4571756—which will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Како користити и додати пословне/школске налоге у апликацију Мицрософт Аутхентицатор

• Како онемогућити класе преносивог складишта и приступ у оперативном систему Виндовс 10

• Трајно бришите датотеке помоћу бесплатног софтвера Филе Схреддер за Виндовс

• Тини Сецурити Суите вам помаже да шифрујете, уништавате и заштитите датотеке на рачунару

• Како ресетовати апликацију Виндовс Сецурити у оперативном систему Виндовс 11/10

• Како да обезбедите свој ВиФи - сазнајте ко је повезан

• Савети за кориснике е-поште: Обезбедите и заштитите свој налог е-поште

• Зашто је промена информација о безбедности мог Мицрософт налога још увек на чекању?

• Виндовс безбедносна подешавања у оперативном систему Виндовс 10

• Емсисофт Бровсер Сецурити блокира малвер и пхисхинг нападе

• Како користити Сандбокие на Виндовс 11/10

• ОпенДНС преглед - Бесплатан ДНС са родитељском контролом и брзином

• Тест безбедности претраживача да проверите да ли је ваш претраживач безбедан

• Како спречити кориснике да заобиђу СмартСцреен упозорење у Едге-у

• Рогуе Сецурити Софтваре или Сцареваре: Како проверити, спречити, уклонити?

• Онемогућите безбедносна питања у оперативном систему Виндовс 11/10 помоћу ПоверСхелл скрипте

• Чланак и савети о Интернет безбедности за Виндовс кориснике

• Како користити ГоПро као сигурносну камеру

• Како искључити обавештења о безбедности и одржавању у оперативном систему Виндовс 11/10

• ССуите Пицсел Сецурити вам омогућава да шифрујете поруке у сликама