2018/01/24

寒潮橙色预警！“幽灵”和“崩溃”漏洞也来雪上加霜了

点击“戴尔企业级解决方案”快速订阅

中央气象台天气预报

中央气象台1月9日18时继续发布寒潮橙色预警：

受冷空气影响，9日夜间至10日，内蒙古中东部、东北地区等地气温将下降6～8℃，局地降温可达10℃以上；北方大部地区有4～6级偏北风，东部和南部海区有7～8级阵风、9～10级大风。

预计9～13日，黄河以南大部地区平均气温将比常年同期持续偏低3～6℃，其中，河南、安徽中北部、湖北中西部偏北地区等地偏低6～10℃。期间，最低气温0℃线将南压至江南南部，江南中北部最低气温-2～-6℃，河南、安徽北部等地部分地区最低气温可达-10～-15℃，局地低于-15℃，将接近或突破历史同期极值。

防御指南：

人员要注意添衣保暖；在生产上做好对大风降温天气的防御准备；

门窗、围板、棚架、临时搭建物等易被大风吹动的搭建物固紧,妥善安置易受大风影响的室外物品；

应到避风场所避风，通知户外作业人员注意安全；

留意有关媒体报道大风降温的最新信息，以便采取进一步措施；

交通、公安等部门要按照职责做好道路结冰应对准备工作。

这是大家在天气预报中听到和看到的消息，新年伊始，多地接近或突破历史同期最低气温，早已被冻成狗了！想想都打哆嗦！

不期而遇的是，“幽灵”和“崩溃”微处理器漏洞也来了。想想去年的4月和10月爆发的两次勒索病毒，让全球范围内的政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。IT汪们熬夜打补丁、封端口，记忆犹新啊。这个“幽灵”和“崩溃”微处理器漏洞是什么情况，简单地说，它可能通过侧通道分析，允许攻击者通过本地用户访问而导致未经授权的信息泄露，意味着用了这些处理器的IT设备都会存在风险。在这寒冷的冬天，还要雪上加霜吗？安全！安全！安全！重要的事说三遍，寒冬里我们也需要温暖啊！

对此，CPU厂商们和DELL都及时发布了技术支持公告和补救办法，从OS/Hypervisor打补丁和更新BIOS, 正在努力减轻这种脆弱性。

但事后补救，不如前期预防，就像谁也不想生病一样。

DELL第14代服务器（14G）继往开来，在整个服务器系统的安全上下足了功夫，让我们一起来看看吧。

随着软件安全漏洞越来越频繁，在认知上，系统管理员必须采用更广泛的防御措施。管理员主要看操作系统（OS）的安全环境保护，而忽视了在操作系统环境产生之前的固件运行安全。

攻击者发现这种预引导环境有利可图。预引导恶意软件避免了操作系统特权级别，逃避操作系统反恶意软件工具检测。如果攻击者在预引导环境中注入恶意软件，管理员可能会很难发现，甚至重新安装操作系统也无法删除。DELL服务器从整体架构层面进行设计，全面保障系统的安全启动。

用户可以通过以下丰富的接口使能安全启动模式：

Silicon Root of Trust 将不可改变的密钥写入硅晶芯片，让系统启动时BIOS和iDRAC远程管理卡更加稳定。这个特性是和DELL服务器的网络弹性架构（Cyber Resilient Architecture）相关联的，它验证iDRAC和BIOS固件的有效性，让每个模块在信任链中启动。所有的关键部件，包括网卡、RAID卡、HBA、存储盘、PSU等也一样须通过密码签名，确保验证过的固件才能在服务器中运行。即经过验证的代码才能在根信任的系统中运行。

Enhanced UEFI secure boot with custom certificates PowerEdge服务器同时支持UEFI Secure Boot，它会检查UEFI驱动和其它先于OS启动的代码的密码签名，包括：

操作系统引导加载程序。

从PCIe卡加载的UEFI驱动。

来自大存储设备的UEFI驱动和可执行文件。

UEFI安全启动工作原理：

System Lockdown另一个14G服务器的新的安全特性：

系统锁定有助于防止系统固件映像和关键配置数据被改变或偏移。

锁定模式提供更高的保护水平，以防止无意或恶意地对服务器的固件和配置进行修改。

锁定模式的一个特点是已包含在iDRAC的企业级许可证中。

DELL支持和执行锁定模式的工具或接口包括：iDRAC GUI、RACADM、WS-MAN、Redfish、DUPs、OMSA/OMSS、BIOS F2、DTK、 IPMI。

当系统处于锁定模式下，某些关键的操作如功率封顶、电力操作等是允许的。

虽然不推荐，但一些第三方工具可以配置各自的服务器组件，如网络适配器。

另一个应用场景是与主机托管服务提供商强相关的，PowerEdge 14G服务器通过域隔离提供额外的安全功能，这对于多租户的主机托管环境是一个重要的特性。为了保证服务器硬件配置的安全，服务提供商会希望阻断租户重新配置的操作。域隔离，14G服务器的新特性，是一个可选配置项，确保主机操作系统上的管理应用软件无法访问iDARC带外管理的处理器和一些芯片组功能，比如管理引擎（ME）或创新引擎（IE）。

Secure System erase 快速安全地擦除14G服务器上面的存储介质中数据，包括机械磁盘、SSD和NVMe，重新规划服务器的用途或清退服务器，只需要几分钟时间，而不是从前的几小时或数天时间。

System erase可以通过这些途径进行：Lifecycle Controller GUI、WS-Man API、RACADM CLI。

Rapid OS Recovery DELL PowerEdge 14G 服务器引入了快速的操作系统（OS）恢复功能，当操作系统因为磁盘故障或恶意攻击损坏的时候，使系统从损坏的映像状态快速恢复，减少系统停机时间。Rapid OS recovery通过BIOS设置菜单上面的Redundant OS Control实现。如果主启动盘损坏，用户可以快速地通过BIOS菜单或带外管理命令切换到从恢复盘启动。然后用户可以通过恢复盘恢复损坏的系统和启动服务器。

这个功能特别适用于没有人员值守实现更换物理盘，同时现场也没有额外备件的站点。服务器中的以下设备支持作为恢复盘：

Internal SD Cards；

SATA Ports in AHCI mode；

Internal M.2 Drives；

Internal USB；

此功能允许用户禁用所有USB端口，然后动态地打开它们，以允许现场技术人员有临时访问权限。USB端口可以动态地启用和禁用而不需要重启服务器，是很有效率的做法，通常改变USB端口状态需要重新启动，会增加工作量。

System Lockdown、Rapid OS Recovery、Dynamically enabled USB ports、System Erase （including NVMe drives）这些都是DELL独一无二的新特性。除此以外，DELL14G服务器还有很多优秀的安全特性，请参考下表：