Arquivo da tag: Processador

Script desenvolvido pela Microsoft verifica se PCs estão vulneráveis aos ataques gerados pelas falhas Meltdown e Spectre


A Microsoft anunciou em seu site de suporte a disponibilidade de um script do PowerShell que pode ser utilizado por profissionais de TI para verificar se PCs são vulneráveis aos ataques Meltdown e Spectre.

O script pode ser utilizado via PowerShell no Windows 10 (1v1507, v1511, v1607, v1703 e v1709), Windows 8.1 e Windows 7 com SP1.

Ações recomendadas
Antes de começar, a Microsoft alerta que seus precisam tomar as seguintes medidas para se protegerem contra as vulnerabilidades:

– Verifique se você está executando um aplicativo antivírus com suporte antes de instalar as atualizações de SO ou firmware. Contate o fornecedor do software antivírus para obter informações de compatibilidade.

– Aplique as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows de janeiro de 2018.

– Aplique a atualização de firmware fornecida pelo fabricante do dispositivo.

Nota: Máquinas baseadas no Windows (físicas ou virtuais) devem instalar as atualizações de segurança da Microsoft que foram lançadas em 3 de janeiro de 2018.

Aviso
Os clientes que só instalarem as atualizações de segurança do Windows de janeiro de 2018 não receberão o benefício de todas as proteções conhecidas contra as vulnerabilidades. Além de instalar as atualizações de segurança de janeiro, é necessária uma atualização do microcódigo do processador ou do firmware. Ele deve estar disponível pelo fabricante do seu dispositivo.

Observação: Os dispositivos da linha Surface receberão uma atualização do microcódigo através do Windows Update.

Script da Microsoft verifica se PCs são vulneráveis aos ataques Meltdown e Spectre

Verificando se o computador é vulnerável aos ataques Meltodown e Spectre

Para ajudar os clientes a confirmar se as proteções foram habilitadas e se seus sistemas estão vulneráveis, a Microsoft publicou um script PowerShell que os profissionais de TI podem executar em seus sistemas. Instale e execute o script executando os seguintes comandos:

Instale o módulo via PowerShell:

PS > Install-Module SpeculationControl

Execute o módulo no PowerShell para validar se as proteções estão habilitadas:

PS > Get-SpeculationControlSettings

A saída desse script PowerShell será semelhante à exibida abaixo. As proteções habilitadas serão exibidas na saída como “True”:

PS > Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True

Perguntas frequentes

P: Como saber se eu tenho a versão certa do microcódigo da CPU?
R: O microcódigo é fornecido através de uma atualização de firmware. Consulte o fabricante do dispositivo sobre aversão do firmware que possui a atualização apropriada para a sua CPU.

P: Meu sistema operacional (SO) não está listado. Quando posso esperar o lançamento de uma correção?
R: Abordar uma vulnerabilidade de hardware através de uma atualização de software apresenta desafios significativos, e as mitigações para sistemas operacionais mais antigos exigem extensas mudanças na arquitetura. A Microsoft está trabalhando com fabricantes de chips afetados para determinar a melhor maneira de proporcionar mitigações, que podem ser disponibilizadas em atualizações futuras.

P: Onde posso encontrar as atualizações de firmware/hardware do Surface?
A: As atualizações para dispositivos Microsoft Surface serão entregues aos clientes através do Windows Update, juntamente com as atualizações para o sistema operacional Windows. Para obter mais informações, consulte o artigo KB4073065.

Nota: Se seu dispositivo não for da Microsoft, aplique o firmware do fabricante do dispositivo. Contate o fabricante para obter mais informações.

P: Tenho um arquitetura x86, mas não vejo atualização. Vou receber uma?
R: Abordar uma vulnerabilidade de hardware através de uma atualização de software apresenta desafios significativos, e as mitigações para sistemas operacionais mais antigos exigem extensas mudanças na arquitetura. Estamos trabalhando com fabricantes de chips afetados para determinar a melhor maneira de fornecer mitigações para clientes x86, que podem ser fornecidos em uma atualização futura.

Fontes e Direitos Autorais: Suporte Microsoft – 05/01/2018 – https://support.microsoft.com/pt-br/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

Anúncios

Introdução ao Data Collection no Microsoft SQL Server 2008 – Final.


Olá pessoal, bom dia.

Conforme o prometido, estou de volta para finalizar a série de artigos sobre o Data Collection, nesta última parte, vou destacar os recursos do CONJUNTO DE COLETA DE ESTATÍSTICAS DE CONSULTA.

Desejo uma boa leitura.

——————————————————————————————————————————————————–

CONJUNTO DE COLETA DE ESTATÍSTICAS DE CONSULTA.

Reúne dados sobre estatísticas de consulta e texto de consulta individual, planos de consulta e consultas específicas. Esses dados, quando vinculados com as estatísticas e atividades no nível do sistema, permitem que os usuários façam busca detalhada
abaixo do nível de sessão para uma consulta individual. Esse conjunto de coleta reúne dados das fontes a seguir:

  • sys.dm_exec_requests – Retorna informações sobre cada solicitação que está em execução no SQL Server;
  • sys.dm_exec_sessions – Retorna uma linha por sessão autenticada no SQL Server. sys.dm_exec_sessions é um modo de exibição de escopo de servidor que mostra informações sobre todas as tarefas internas e conexões de usuário ativo. Esta informação inclui a versão do cliente, nome do programa cliente, tempo de logon do cliente, usuário de login, configuração de sessão atual e mais. Use sys.dm_exec_sessions para exibir pela primeira vez a carga do sistema atual e para identificar uma sessão de interesse e, em seguida, saiba mais informações sobre a sessão usando outras exibições de gerenciamento
    dinâmico ou funções de gerenciamento dinâmico; 
  • sys.dm_exec_query_stats – Retorna as estatísticas de desempenho agregadas para os planos de consulta em cache. O
    modo de exibição contém uma linha por instrução de consulta no âmbito do plano em cache e a vida útil das linhas estão ligados ao próprio plano. Quando um plano é removido do cache, as linhas correspondentes são eliminadas deste modo
    de exibição.

O conjunto de coleta de Estatísticas de Consultas usa o tipo de coletor de Atividade de Consulta. Este, por sua vez, coleta dados usando o pacote SSIS de QueryActivityCollect.dtsx e carrega dados usando o pacote SSIS de QueryActivityUpload.dtsx.

A tabela 3 a seguir fornecem informações sobre o conjunto de coleta de Estatísticas de Consulta e seu item de coleta.

Nome do conjunto de coleta

Estatísticas de consulta

Modo de coleta Em cache
Freqüência da agenda de carregamento A cada 15 minutos
Retenção de dados 14 dias
Item de coleta Estatísticas de Consulta – Atividade de Consulta

Tabela 3. Informações sobre o conjunto de dados coletados através das Estatísticas de consulta.

SEGURANÇA DO COLETOR DE DADOS

O coletor de dados usa o modelo de segurança baseado em função implementado pelo SQL Server Agent. Esse modelo permite que o administrador do banco de dados execute várias tarefas do data collector em um contexto de segurança que tem apenas as
permissões exigidas para executar a tarefa.

Essa abordagem também é usada para operações que envolvem tabelas internas que só podem ser acessadas usando views ou stored procedures. Nenhuma permissão é concedida a tabelas internas. Em vez disso, as permissões são verificadas no usuário da view ou da stored procedure usada para acessar a tabela.

Outro aspecto fundamental desse modelo de segurança são as permissões concêntricas. Nas permissões concêntricas, funções mais privilegiadas herdam as permissões de funções menos privilegiadas nos objetos (incluindo alertas, operadores, tarefas, agendas e proxy).

Segurança de rede

Informações confidenciais podem ser passadas entre instâncias de destino, a instância relacional associada ao servidor de configuração, os conjuntos de coleta em execução e o servidor que hospeda o data warehouse de gerenciamento.

Para proteger qualquer dado transferido em uma rede, são implementados mecanismos de segurança padrão, como criptografia de protocolo para Transact-SQL.  

Permissões para configurar e usar o coletor de dados

Dependendo da tarefa, os usuários devem ser membros de uma ou mais das funções de banco de dados fixas fornecidas para o coletor de dados. Em ordem de acesso mais privilegiado para acesso menos privilegiado, as funções são as seguintes:

  • dc_admin – Data Collection Administrator;
  • dc_operator – Data Collection Operator; e
  • dc_proxy – Data Collection Proxy.

Essas funções são armazenadas no banco de dados MSDB. Por padrão, nenhum usuário é membro dessas funções de banco de dados. A associação do usuário a elas deve ser explicitamente concedida.

O usuários que são membros da função de servidor fixa sysadmin têm acesso total às views do coletor de dados e aos objetos do SQL Server Agent. Porém, eles precisam ser adicionados explicitamente à funções de coletor de dados.

Os membros das funções db_ssisadmin e dc_admin podem elevar seus privilégios para sysadmin. Essa elevação de privilégios pode ocorrer porque essas funções podem modificar os pacotes do Integration Services e os pacotes do Integration Services podem
ser executados pelo SQL Server usando o contexto de segurança sysadmin do SQL Server Agent. Para se proteger contra essa elevação de privilégios ao executar planos de manutenção, conjuntos de coletas de dados e outros pacotes do Integration Services, é recomendado configurar os trabalhos do SQL Server Agent que executam pacotes para usar uma conta proxy com privilégios limitados ou adicionar apenas membros sysadmin às funções db_ssisadmin e dc_admin.

Função dc_admin

Usuários atribuídos à função dc_admin têm acesso total de administrador (Criação, Leitura, Atualização e Exclusão) à configuração do coletor de dados em uma instância de servidor. Membros dessa função podem executar as seguintes operações:

  • Definir propriedades de nível de coletor;
  • Adicionar novos conjuntos de coleta;
  • Instalar novos tipos de coleta; e
  • Executar todas as operações permitidas à função dc_operator.

A função dc_admin é membro da role SQLAgentUserRole, essa função é necessária para criar agendas e executar tarefas. Importante destacar que, proxies criados para o coletor de dados devem conceder acesso à dc_admin para criá-los e utilizá-los em qualquer etapa da tarefa que exija um proxy.

Função dc_operator

Membros da função dc_operator têm acesso de Leitura e Atualização. Essa função suporta tarefas de operações relacionadas com a execução e configuração de conjuntos de coleta. Membros dessa função podem executar as seguintes operações:

  • Iniciar ou parar um conjunto de coleta;
  • Enumerar conjuntos de coleta existentes;
  • Exibir informações detalhadas (por exemplo, itens e freqüência de coleta) associadas a um conjunto de coleta;
  • Alterar a freqüência de carregamento de conjuntos de coleta existentes;
  • Alterar a freqüência de coleta de itens de coleta que fazem parte de um conjunto de coleta existente.

A função dc_operator é membro da função db_ssisltduser. A associação a essa função é necessária para que os membros possam enumerar e exibir pacotes do coletor de dados.

Função dc_proxy

Membros da função dc_proxy têm acesso de Leitura aos conjuntos de coleta do coletor de dados e às propriedades de nível de coletor. A função dc_proxy é membro da função db_ssisltduser. A associação a essa função é necessária para que os membros possam enumerar e exibir pacotes do coletor de dados.

Os membros dessa função também podem executar tarefas de sua propriedade e criar etapas de tarefa executadas como uma conta proxy existente. Membros dessa função podem executar as seguintes operações:

  • Exibir informações de configuração do conjunto de coleta (por exemplo, parâmetros de entrada de itens de coleta e a freqüência de coleta desses itens);
  • Obter informações internas criptografadas que só podem ser acessadas por um procedimento armazenado assinado (por exemplo, informações de conexão de data warehouse usadas para carregamento de dados);
  • Registrar em log eventos de tempo de execução do conjunto de coleta;
  • Permissões para configurar usar o Data Warehouse de gerenciamento;
  • Dependendo da tarefa, os usuários devem ser membros de uma ou mais das funções de banco de dados fixas fornecidas para acessar o data warehouse de gerenciamento. Em ordem de acesso mais privilegiado para acesso menos privilegiado, as funções são as seguintes:
  • mdw_admin – Member Dynamic View Administrator;
  • mdw_writer – Member Dynamic View Writer; e
  • mdw_reader – Member Dynamic View Reader.

Essas funções são armazenadas no banco de dados MSDB. Por padrão, nenhum usuário é membro dessas funções de banco de dados. A associação do usuário a elas deve ser explicitamente concedida. O usuários que são membros da função de servidor fixa sysadmin têm acesso total às exibições do coletor de dados. Porém, eles precisam ser adicionados explicitamente à funções do banco de dados para executar outras operações.

Função mdw_admin

Membros da função mdw_admin têm acesso de Leitura, Gravação, Atualização e Exclusão no data warehouse de gerenciamento. Estes membros podem executar as seguintes operações:

  • Alterar o esquema do data warehouse de gerenciamento quando necessário (por exemplo, adicionando uma tabela nova quando é instalado um novo tipo de coleta);
  • Onde houver uma alteração de esquema, o usuário também deve ser membro da função dc_admin para instalar um novo tipo de coletor, pois esta ação exige permissão para atualizar a configuração do coletor de dados no MSDB; e
  • Executar tarefas de manutenção no data warehouse de gerenciamento, como arquivo ou limpeza.

Função mdw_writer

Membros da função mdw_writer podem carregar e gravar dados no data warehouse de gerenciamento. Qualquer coletor que armazena dados no data warehouse de gerenciamento deve ser membro dessa função.

Função mdw_reader

Membros da função mdw_reader têm acesso de Leitura ao data warehouse de gerenciamento. Como o objetivo dessa função é dar suporte à solução de problemas fornecendo acesso a dados históricos, os membros dessa função não podem exibir outros lementos do esquema do data warehouse de gerenciamento.

Conclusão

O coletor de dados (Data Collector) é um componente do SQL Server 2008 utilizado para coleta diferentes conjuntos de dados, muitas vezes funcionando como uma uma agenda previamente definida, conforme escolha do usuário. Os dados são armazenados em um banco de dados relacional, também chamado de Data Warehouse de Gerenciamento.

O coletor fornece um ponto central para coleta de dados em seus servidores de banco de dados e aplicativos, que pode obter dados de várias fontes, não se limitando apenas aos dados de desempenho.

Com esta nova funcionalidade o SQL Server 2008 oferece para o administrador de banco de dados, a possibilidade de obtenção de informações relacionadas ao seu funcionamento, bem como, o que se relaciona a utilização de recursos da máquina para execução de suas transações. O Data Collection torna-se um grande aliado ao DBA ajudando em suas atividades diárias na administração e gerenciamento de seus banco de dados e servidores.

Bom pessoal, vou encerrando aqui mais esta série de artigos, desta vez, destaquei toda a estrutura, funcionamento e recursos existentes no Data Collection.

Espero que vocês tenham gostado, nos encontramos em breve nas próximas séries de artigos.

Até mais.