دليل Windows Server للحماية ضد الثغرات الأمنية قناة من جانب تنفيذ نظرية

ينطبق على: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard أكثر

الملخص


تدرك Microsoft فئة جديدة تم الكشف عنها علنا من الثغرات الأمنية التي تسمى "الهجمات قناة من جانب تنفيذ نظرية" والتي تؤثر على العديد من المعالجات الحديثة بما في ذلك معالج Intel و AMD ARM.

ملاحظة: تؤثر هذه المشكلة أيضا على أنظمة التشغيل الأخرى، مثل الروبوت الكروم، دائرة الرقابة الداخلية وماك. ولذلك، فإننا ننصح العملاء بالتماس التوجيه من هؤلاء البائعين.

قامت Microsoft بإصدار تحديثات متعددة للمساعدة في تقليل هذه الثغرات الأمنية. كما اتخذنا إجراءات لتأمين خدماتنا مجموعة النظراء. راجع الأقسام التالية لمزيد من التفاصيل.

مايكروسوفت لم يكن أي معلومات للإشارة إلى أن هذه الثغرات قد استخدمت لمهاجمة العملاء. Microsoft بشكل وثيق مع الشركاء في الصناعة بما في ذلك صناع شرائح وأجهزة الشركات المصنعة والموردين التطبيق لحماية العملاء. للحصول على كافة وسائل الحماية المتاحة والبرامج الثابتة (الرمز الصغير) والبرامج التحديثات مطلوبة أم لا. هذا يتضمن الرمز الصغير من شركات Oem الجهاز، وفي بعض الحالات، يمكنك تحديث برامج مكافحة الفيروسات.

تتناول هذه المقالة الثغرات الأمنية التالية:

لمزيد من المعلومات حول هذه الفئة من الثغرات الأمنية، راجع ADV180002 و ADV180012.

توفر Microsoft معلومات الاتصال الخاصة بجهات أخرى لمساعدتك في الحصول على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. ولا تضمن Microsoft دقة معلومات الاتصال الخاصة بهذه الجهات الأخرى.

الإجراءات الموصى بها


يجب على العملاء اتخاذ الإجراءات التالية المساعدة في الحماية ضد مشكلات عدم الحصانة:

  1. تطبيق كافة Windows نظام تشغيل التحديثات المتوفرة، بما في ذلك تحديثات أمان Windows الشهرية. للحصول على تفاصيل حول كيفية لتمكين هذه التحديثات، sهة مقالة "قاعدة معارف Microsoft" 4072699.
  2. تطبيق تحديثات البرامج الثابتة القابلة للتطبيق (الرمز الصغير) من الشركة المصنعة (OEM) للجهاز.
  3. تقييم مخاطر على البيئة الخاصة بك استناداً إلى المعلومات في نصائح أمان MicrosoftADV180002وADV180012وفي مقالة قاعدة المعارف.
  4. اتخاذ إجراء كما هو مطلوب باستخدام نصائح ومعلومات مفتاح التسجيل الموضح في مقالة قاعدة المعارف.

إعدادات ملقم Windows التخفيف


تحذيرات الأمان ADV180002 و ADV180012 توفر معلومات بشأن الخطر الذي تمثله هذه الثغرات وتحديد الحالة الافتراضية لعوامل تقليل الأمان الموجودة لأنظمة Windows Server. أسفل جدول يلخص اشتراط الرمز الصغير وحدة المعالجة المركزية والحالة الافتراضية لعوامل تقليل الأمان الموجودة على خادم Windows.

CVE تتطلب وحدة المعالجة المركزية الرمز الصغير/الثابتة؟ التخفيف من حدة الحالة الافتراضية

CVE-2017-5753

لا

ممكن بشكل افتراضي (أي خيار لتعطيل)

CVE-2017-5715

نعم

معطل بشكل افتراضي.

CVE-2017-5754

لا

Windows Server 2019: تمكين بشكل افتراضي. 2016 والإصدارات السابقة من Windows Server: معطل بشكل افتراضي.

CVE-2018-3639

Intel: نعم

أية أم دي: لا

معطل بشكل افتراضي. راجع ADV180012 لمزيد من المعلومات وهذه المقالة للحصول على إعدادات مفاتيح التسجيل المطبقة.

يجب على العملاء الذين يرغبون في الحصول على جميع توفر الحماية ضد مشكلات عدم الحصانة هذه إجراء تغييرات مفتاح التسجيل لتمكين هذه عوامل تخفيف مشاكل معطلة بشكل افتراضي.

تمكين هذه عوامل تخفيف مشاكل قد يؤثر على الأداء. قياس تأثيرات الأداء يعتمد على عدة عوامل، مثل شرائح معينة في المضيف الفعلي وأحمال العمل الجاري. ونحن ننصح العملاء تقييم تأثيرات الأداء لبيئتها وإجراء أي تعديلات ضرورية.

الملقم خطر متزايد إذا كان في واحدة من الفئات التالية:

  • Hyper-V يستضيف – يتطلب حماية للهجمات VM الجهاز الظاهري VM إلى المضيف.
  • تستضيف خدمات سطح المكتب البعيد (ردش) – يتطلب حماية من جلسة عمل واحدة بجلسة عمل أخرى أو من هجمات مضيف جلسة العمل.
  • الأجهزة المضيفة الفعلية أو الأجهزة الظاهرية التي تقوم بتشغيل التعليمات البرمجية غير الموثوق بها، مثل الحاويات أو ملحقات غير موثوق بها لقاعدة بيانات محتوى ويب غير موثوق بها أو أعباء العمل بتشغيل تعليمات برمجية من مصادر خارجية. وتتطلب هذه الحماية من هجمات عملية-إلى--عملية أخرى أو غير موثوق بها-عملية-إلى-kernel غير موثوق به.

استخدام إعدادات مفاتيح التسجيل التالية لتمكين عوامل تقليل الأمان الموجودة على الملقم، ثم إعادة تشغيل النظام حتى تسري التغييرات.

هام:هذا المقطع أو أسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

 

322756كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows

إدارة عوامل تخفيف مشاكل CVE 2017 5715 (شبح الخيار 2) و CVE 2017 5754 (الانهيار)


لتمكين عوامل تخفيف مشاكل CVE 2017 5715 (شبح الخيار 2) و CVE 2017 5754 (الانهيار)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: كامل إيقاف تشغيل كافة الأجهزة الظاهرية. وهذا يمكن التخفيف المتعلقة بالبرامج الثابتة لتطبيقها على المضيف قبل بدء نظام رصد السفن. لذلك، يتم أيضا تحديث نظام رصد السفن عندما تقوم إعادة تشغيل.

إعادة تشغيل الكمبيوتر تصبح التغييرات سارية المفعول .

لتعطيل عوامل تخفيف مشاكل CVE 2017 5715 (شبح الخيار 2) و CVE 2017 5754 (الانهيار)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إعادة تشغيل الكمبيوتر تصبح التغييرات سارية المفعول .

ملاحظة "فيتوريسيتينجسوفيريديماسك الإعداد" إلى 3 غير دقيقة لإعدادات "تمكين" و "تعطيل". (راجع قسم "الأسئلة المتداولة" للحصول على مزيد من التفاصيل حول مفاتيح التسجيل).

إدارة التخفيف ل CVE 2017 5715 (شبح الخيار 2)


لتعطيل الخيار 2: (CVE-2017 5715"التفرع إدخال الهدف")التخفيف:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول.

لتمكين الخيار 2: (CVE 2017 5715"فرع هدف حقن") التخفيف:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول.

معالجات AMD: تمكين التخفيف الكامل ل CVE 2017 5715 (شبح الخيار 2)


بشكل افتراضي، تم تعطيل حماية المستخدم لنواة CVE 2017 5715 للمعالجات AMD. يجب تمكين العملاء من التخفيف لتلقي الحماية الإضافية ل CVE 2017 5715.  لمزيد من المعلومات، راجع الأسئلة المتداولة حول رقم 15 في ADV180002.

تمكين حماية المستخدم إلى kernel على معالجات AMD جنبا إلى جنب مع الحماية الأخرى ل 5715 CVE 2017:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: كامل إيقاف تشغيل كافة الأجهزة الظاهرية. وهذا يمكن التخفيف المتعلقة بالبرامج الثابتة لتطبيقها على المضيف قبل بدء نظام رصد السفن. لذلك، يتم أيضا تحديث نظام رصد السفن عندما تقوم إعادة تشغيل.

إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول.

إدارة عوامل تقليل الأمان الموجودة ل CVE 2018 3639 (تجاوز المخزن المضاربة) و CVE 2017 5715 (شبح الخيار 2) CVE 2017 5754 (الانهيار)



لتمكين عوامل تقليل الأمان الموجودة ل CVE 2018 3639 (تجاوز المخزن المضاربة) و CVE 2017 5715 (شبح الخيار 2) CVE 2017 5754 (الانهيار):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: كامل إيقاف تشغيل كافة الأجهزة الظاهرية. وهذا يمكن التخفيف المتعلقة بالبرامج الثابتة لتطبيقها على المضيف قبل بدء نظام رصد السفن. لذلك، يتم أيضا تحديث نظام رصد السفن عندما تقوم إعادة تشغيل.

إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول.

لتعطيل عوامل تقليل الأمان الموجودة ل CVE 2018 3639 (تجاوز المخزن المضاربة) عوامل تخفيف مشاكل CVE 2017 5715 (شبح الخيار 2) و CVE 2017 5754 (الانهيار)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول.

 

معالجات AMD: تمكين التخفيف الكامل ل CVE 2017 5715 (شبح الخيار 2) و CVE 2018-3639 (نظرية تجاوز المخزن)


بشكل افتراضي، يتم تعطيل حماية المستخدم لنواة CVE 2017 5715 لمعالجات AMD. يجب تمكين العملاء من التخفيف لتلقي الحماية الإضافية ل CVE 2017 5715.  لمزيد من المعلومات، راجع الأسئلة المتداولة حول رقم 15 في ADV180002.

تمكين حماية المستخدم إلى kernel على معالجات AMD جنبا إلى جنب مع الحماية الأخرى ل 5715 CVE 2017 وسبل حماية CVE 2018 3639 (تجاوز المخزن المضاربة):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة:الكامل إيقاف تشغيل كافة الأجهزة الظاهرية. وهذا يمكن التخفيف المتعلقة بالبرامج الثابتة لتطبيقها على المضيف قبل بدء نظام رصد السفن. لذلك، نظام رصد السفن يتم أيضا تحديث عندما تقوم إعادة تشغيل-

إعادة تشغيل الكمبيوتر لتصبح التغييرات سارية المفعول.

التحقق من أنه تم تمكين الحماية


لمساعدة العملاء على التأكد من تمكين الحماية، أصدرت Microsoft نصي PowerShell العملاء يمكن تشغيله على الأنظمة الخاصة بهم. تثبيت وتشغيل البرنامج النصي بتشغيل الأوامر التالية.

PowerShell التحقق باستخدام معرض PowerShell (2016 ملقم Windows أو WMF 5.0/5.1)

تثبيت الوحدة النمطية PowerShell:

PS> Install-Module SpeculationControl

تشغيل الوحدة النمطية PowerShell للتحقق من أنه تم تمكين الحماية:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell التحقق باستخدام تحميل من Technet (وقت سابق إصدارات أنظمة التشغيل و الإصدارات سابق WMF)

تثبيت الوحدة النمطية PowerShell من سكريبتسينتير Technet:

  1. انتقل إلى https://aka.ms/SpeculationControlPS.
  2. تحميل SpeculationControl.zip إلى مجلد محلي.
  3. استخراج محتويات مجلد محلي. على سبيل المثال: C:\ADV180002

تشغيل الوحدة النمطية PowerShell للتحقق من أنه تم تمكين الحماية:

PowerShell ابدأ، وثم استخدام المثال السابق لنسخ وتشغيل الأوامر التالية:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

للحصول على شرح مفصل لإخراج البرنامج النصي PowerShell، راجع مقالة قاعدة المعارف 4074629

المتداولة:


المراجع