الإجراءات الموصى بها

يجب على العملاء اتخاذ الإجراءات التالية للمساعدة في الحماية من الثغرات:

  1. تطبيق كل تحديثات Windows نظام التشغيل المتوفرة، بما في ذلك التحديثات Windows الأمان الشهرية.

  2. تطبيق تحديث البرامج الثابتة (microcode) المعمول به الذي توفره الشركة المصنعة للجهاز.

  3. تقييم المخاطر على بيئتك استنادا إلى المعلومات المتوفرة في استشارات أمان Microsoft: ADV180002و ADV180012و ADV190013والمعلومات المتوفرة في مقالة قاعدة المعارف هذه.

  4. اتخاذ الإجراءات المطلوبة باستخدام المعلومات الأساسية الخاصة بالسجل والاستشارات التي تم توفيرها في مقالة قاعدة المعارف هذه.

ملاحظة سيتلقى عملاء Surface تحديثا للرمز microcode من خلال Windows آخر. للحصول على قائمة بأحدث تحديثات البرامج الثابتة (microcode) لجهاز Surface، راجع KB 4073065.

تقليل الإعدادات ل Windows Server

توفر استشارات الأمان ADV180002و ADV180012و ADV190013 معلومات حول الخطر الذي تفرضه نقاط الضعف هذه.  وهي تساعدك أيضا على تحديد نقاط الضعف هذه وتحديد الحالة الافتراضية لتخفيف Windows Server. يلخص الجدول أدناه متطلبات رمز CPU microcode الحالة الافتراضية لتخفيف Windows Server.

CVE

هل تتطلب وحدة المعالجة المركزية (CPU) microcode/firmware؟

الحالة الافتراضية لتخفيف الأثر

CVE-2017-5753

لا

تم التمكين بشكل افتراضي (لا يوجد خيار لتعطيله)

يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية

CVE-2017-5715

نعم

معطل بشكل افتراضي.

يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية ومقالة KB هذه لإعدادات مفتاح التسجيل المعمول به.

ملاحظة يتم تمكين "Retpoline" بشكل افتراضي للأجهزة التي تعمل Windows 10 1809 أو أحدث إذا تم تمكين Spectre Variant 2 (CVE-2017-5715).لمزيد من المعلومات، حول "retpoline"، اتبع الخيار تخفيف طيف المتغير 2 مع إعادةpoline على Windows مدونة.

CVE-2017-5754

لا

Windows Server 2019، Windows Server 2022: يتم تمكينه بشكل افتراضي.
Windows Server 2016 وال الإصدارات السابقة: معطل بشكل افتراضي.

يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية.

CVE-2018-3639

Intel: نعم

AMD: لا

معطل بشكل افتراضي. راجع ADV180012 للحصول على مزيد من المعلومات ومقالة KB هذه لإعدادات مفاتيح التسجيل القابلة للتطبيق.

CVE-2018-11091

Intel: نعم

Windows Server 2019، Windows Server 2022: يتم تمكينه بشكل افتراضي.
Windows Server 2016 وال الإصدارات السابقة: معطل بشكل افتراضي.

راجع ADV190013 للحصول على مزيد من المعلومات ومقالة KB هذه لإعدادات مفاتيح التسجيل القابلة للتطبيق.

CVE-2018-12126

Intel: نعم

Windows Server 2019، Windows Server 2022: يتم تمكينه بشكل افتراضي.
Windows Server 2016 وال الإصدارات السابقة: معطل بشكل افتراضي.

راجع ADV190013 للحصول على مزيد من المعلومات ومقالة KB هذه لإعدادات مفاتيح التسجيل القابلة للتطبيق.

CVE-2018-12127

Intel: نعم

Windows Server 2019، Windows Server 2022: يتم تمكينه بشكل افتراضي.
Windows Server 2016 وال الإصدارات السابقة: معطل بشكل افتراضي.

راجع ADV190013 للحصول على مزيد من المعلومات ومقالة KB هذه لإعدادات مفاتيح التسجيل القابلة للتطبيق.

CVE-2018-12130

Intel: نعم

Windows Server 2019، Windows Server 2022: يتم تمكينه بشكل افتراضي.
Windows Server 2016 وال الإصدارات السابقة: معطل بشكل افتراضي.

راجع ADV190013 للحصول على مزيد من المعلومات ومقالة KB هذه لإعدادات مفاتيح التسجيل القابلة للتطبيق.

CVE-2019-11135

Intel: نعم

Windows Server 2019، Windows Server 2022: يتم تمكينه بشكل افتراضي.
Windows Server 2016 وال الإصدارات السابقة: معطل بشكل افتراضي.

راجع CVE-2019-11135 للحصول على مزيد من المعلومات ومقالة KB هذه لإعدادات مفتاح التسجيل المعمول بها.

يجب على العملاء الذين يرغبون في الحصول على جميع الحماية المتوفرة من نقاط الضعف هذه إجراء تغييرات مفتاح التسجيل لتمكين عمليات التخفيف هذه التي يتم تعطيلها بشكل افتراضي.

قد يؤثر تمكين عمليات التخفيف هذه على الأداء. يعتمد مقياس تأثيرات الأداء على عوامل متعددة، مثل مجموعة الشرائح المحددة في مضيفك الفعلي وأحمال العمل التي يتم تشغيلها. نوصي العملاء بتقييم تأثيرات الأداء على بيئتهم، كما نوصي بإجراء أي تعديلات ضرورية.

الخادم الخاص بك معرض لخطر متزايد إذا كان في إحدى الفئات التالية:

  • Hyper-V المضيفين – يتطلب حماية لهجمات VM-to-VM و VM-to-host.

  • مضيفو خدمات سطح المكتب البعيد (RDSH) – يتطلب حماية من جلسة عمل إلى جلسة أخرى أو من هجمات جلسة عمل إلى مضيفة.

  • المضيفون الفعليون أو الأجهزة الظاهرية التي تعمل برمز غير صحيح، مثل الحاويات أو الملحقات غير المتوقعة لقاعدة البيانات أو محتوى ويب غير صحيح أو أحمال العمل التي تعمل على التعليمات البرمجية الواردة من مصادر خارجية. تتطلب هذه الحماية من هجمات عملية إلى أخرى غير صحيحة أو هجمات غير صحيحة من عملية إلى kernel.

استخدم إعدادات مفتاح التسجيل التالية لتمكين عمليات التخفيف على الخادم، ثم أعد تشغيل النظام لكي يتم تطبيق التغييرات.

ملاحظة قد يؤثر تمكين عمليات التخفيف التي تكون م إيقاف تشغيلها بشكل افتراضي على الأداء. يعتمد تأثير الأداء الفعلي على عوامل متعددة، مثل مجموعة الشرائح المحددة في الجهاز وأحمال العمل التي يتم تشغيلها.

إعدادات السجل

نحن نقدم معلومات السجل التالية لتمكين عمليات التخفيف التي لم يتم تمكينها بشكل افتراضي، كما هو موثق في استشارات الأمان ADV180002و ADV180012و ADV190013.

بالإضافة إلى ذلك، نحن نقدم إعدادات مفتاح التسجيل للمستخدمين الذين يرغبون في تعطيل عمليات التخفيف المرتبطة ب CVE-2017-5715 و CVE-2017-5754 لعملاء Windows.

هام يحتوي هذا المقطع أو الأسلوب أو المهمة على خطوات تعلمك بكيفية تعديل السجل. ومع ذلك، فقد تحدث مشاكل خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة المعارف لـ Microsoft":

322756 كيفية عمل نسخة احتياطية من السجل واستعادتها في نظام التشغيل Windows

إدارة عمليات التخفيف ل CVE-2017-5715 (متغير المواصفات 2) و CVE-2017-5754 (ذوبان)

ملاحظة مهمة يتم تمكين Retpoline بشكل افتراضي على خوادم الإصدار 1809 من Windows 10 إذا تم تمكين Spectre، المتغير 2 ( CVE-2017-5715). قد يؤدي تمكين إعادةpoline على الإصدار الأخير من Windows 10 إلى تحسين الأداء على الخوادم التي تعمل الإصدار 1809 من Windows 10 لمتغير Spectre 2، لا سيما على المعالجات القديمة.

لتمكين عمليات التخفيف ل CVE-2017-5715 (متغير المواصفات 2) و CVE-2017-5754 (ذوبان)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا كانت Hyper-V تم تثبيتها، أضف إعداد التسجيل التالي:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كانت هذه Hyper-V مضيف البرنامج الثابت وقد تم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بشكل كامل. يتيح ذلك تطبيق التخفيف المرتبط ب البرامج الثابتة على المضيف قبل بدء أجهزة VMs. وبالتالي، يتم أيضا تحديث أجهزة VMs عند إعادة تشغيلها.

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

لتعطيل عمليات التخفيف ل CVE-2017-5715 (متغير المواصفات 2) و CVE-2017-5754 (ذوبان)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.


ملاحظة إن تعيين FeatureSettingsOverrideMask إلى 3 دقيق لكل من الإعدادين "تمكين" و"تعطيل". (راجع القسم "الأسئلة الشائعة " للحصول على مزيد من التفاصيل حول مفاتيح التسجيل.)

إدارة التخفيف ل CVE-2017-5715 (متغير المواصفات 2)

لتعطيل الخيار البديل 2: (تخفيف CVE-2017-5715  "ضخ هدف الفرع"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

لتمكين الخيار البديل 2: (CVE-2017-5715  "ضخ هدف الفرع") لتخفيف حدة المخاطر:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

معالجات AMD فقط: تمكين التخفيف الكامل ل CVE-2017-5715 (متغير المواصفات 2)

بشكل افتراضي، يتم تعطيل الحماية من مستخدم إلى kernel ل CVE-2017-5715 ل وحدات المعالجة المركزية ل AMD. يجب على العملاء تمكين تقليل المخاطر لتلقي المزيد من الحماية ل CVE-2017-5715.  لمزيد من المعلومات، راجع الأسئلة الشائعة #15 في ADV180002.

تمكين الحماية من مستخدم إلى kernel على معالجات AMD إلى جانب الحماية الأخرى ل CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا كانت Hyper-V تم تثبيتها، أضف إعداد التسجيل التالي:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كانت هذه Hyper-V مضيف البرنامج الثابت وقد تم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بشكل كامل. يتيح ذلك تطبيق التخفيف المرتبط ب البرامج الثابتة على المضيف قبل بدء أجهزة VMs. وبالتالي، يتم أيضا تحديث أجهزة VMs عند إعادة تشغيلها.

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

إدارة عمليات تقليل المخاطر ل CVE-2018-3639 (تجاوز المتجر الضار) و CVE-2017-5715 (متغير المواصفات 2) و CVE-2017-5754 (ذوبان)

لتمكين عمليات التخفيف ل CVE-2018-3639 (تجاوز المتجر غير المجاز) و CVE-2017-5715 (متغير المواصفات 2) و CVE-2017-5754 (ذوبان):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا كانت Hyper-V تم تثبيتها، أضف إعداد التسجيل التالي:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كانت هذه Hyper-V مضيف البرنامج الثابت وقد تم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بشكل كامل. يتيح ذلك تطبيق التخفيف المرتبط ب البرامج الثابتة على المضيف قبل بدء أجهزة VMs. وبالتالي، يتم أيضا تحديث أجهزة VMs عند إعادة تشغيلها.

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

لتعطيل عمليات التخفيف ل CVE-2018-3639 (تجاوز المتجر غير المجاز) وتخفيف ل CVE-2017-5715 (متغير المواصفات 2) و CVE-2017-5754 (ذوبان)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

معالجات AMD فقط: تمكين التخفيف الكامل ل CVE-2017-5715 (متغير المواصفات 2) و CVE 2018-3639 (تجاوز المتجر غير المجاز)

بشكل افتراضي، يتم تعطيل الحماية من مستخدم إلى kernel ل CVE-2017-5715 لمعالجات AMD. يجب على العملاء تمكين تقليل المخاطر لتلقي المزيد من الحماية ل CVE-2017-5715.  لمزيد من المعلومات، راجع الأسئلة الشائعة #15 في ADV180002.

تمكين الحماية من مستخدم إلى kernel على معالجات AMD إلى جانب الحماية الأخرى ل CVE 2017-5715 والحماية ل CVE-2018-3639 (تجاوز المتجر غير الضار):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا كانت Hyper-V تم تثبيتها، أضف إعداد التسجيل التالي:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كانت هذه Hyper-V مضيف البرنامج الثابت وقد تم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بشكل كامل. يتيح ذلك تطبيق التخفيف المرتبط ب البرامج الثابتة على المضيف قبل بدء أجهزة VMs. وبالتالي، يتم أيضا تحديث أجهزة VMs عند إعادة تشغيلها.

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

إدارة ثغرة المزامنة غير المتزامنة ل Intel® Transaction Synchronization Extensions (Intel® TSX) (CVE-2019-11135) وأخذ عينات بيانات Microarchitectural (CVE-2018-11091، CVE-2018-12126، CVE-2018-12127 و CVE-2018-12130) جنبا إلى جنب مع المتغيرين Spectre [ CVE-2017-5753 & CVE-2017-5715 ] و مهيأ [ CVE-2017-5754 ] ، بما في ذلك تعطيل تجاوز المتجر التخميني (SSBD) [ CVE-2018-3639 ] بالإضافة إلى الخطأ الطرفي L1 (L1TF) [ CVE-2018-3615 و CVE-2018-3620 و CVE-2018-3646 ]

لتمكين عمليات التخفيف لملحقات مزامنة معاملات Intel® (Intel® TSX) نقاط الضعف غير المتزامنة لعاملات الاجهاض (CVE-2019-11135)وأخذ عينات بيانات Microarchitectural (CVE-2018-11091، CVE-2018-12126، CVE-2018-12127، CVE-2018-12130) مع المتغيرينSpectre [CVE-2017-5753 & CVE-2017-5715] وS مهدر [CVE-2017-5754] ، بما في ذلك تجاوز المتجر غير المهين (SSBD) [CVE-2018-3639 ] بالإضافة إلى الخطأ الطرفي ل L1 (L1TF) [CVE-2018-3615 و CVE-2018-3620 و CVE-2018-3646] دون تعطيل ترابط تشعبي:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg إضافة "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا كانت Hyper-V تم تثبيتها، أضف إعداد التسجيل التالي:

reg إضافة "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كانت هذه Hyper-V مضيف البرنامج الثابت وقد تم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بشكل كامل. يتيح ذلك تطبيق التخفيف المرتبط ب البرامج الثابتة على المضيف قبل بدء أجهزة VMs. وبالتالي، يتم أيضا تحديث أجهزة VMs عند إعادة تشغيلها.

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

لتمكين عمليات التخفيف لملحقات مزامنة معاملات Intel® (Intel® TSX) نقاط الضعف غير المتزامنة لعاملات الاجهاض (CVE-2019-11135)وأخذ عينات بيانات Microarchitectural (CVE-2018-11091، CVE-2018-12126، CVE-2018-12127و CVE-2018-12130) إلى جانب المتغيرينSpectre [ CVE-2017-5753 & CVE-2017-5715 ] و مهيأ [ CVE-2017-5754 ] ، بما في ذلك تجاوز المتجر الضار (SSBD) [ CVE-2018-3639 ] بالإضافة إلى الخطأ الطرفي ل L1 (L1TF) [ CVE-2018-3615 و CVE-2018-3620 و CVE-2018-3646 ] مع Hyper-Threading معطل:

reg إضافة "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg إضافة "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا كانت Hyper-V تم تثبيتها، أضف إعداد التسجيل التالي:

reg إضافة "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كانت هذه Hyper-V مضيف البرنامج الثابت وقد تم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بشكل كامل. يتيح ذلك تطبيق التخفيف المرتبط ب البرامج الثابتة على المضيف قبل بدء أجهزة VMs. وبالتالي، يتم أيضا تحديث أجهزة VMs عند إعادة تشغيلها.

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

لتعطيل عمليات التخفيف لملحقات مزامنة معاملات Intel® (Intel® TSX) نقاط الضعف غير المتزامنة لعاملات الاجهاض (CVE-2019-11135)وأخذ عينات بيانات Microarchitectural (CVE-2018-11091، CVE-2018-12126، CVE-2018-12127و CVE-2018-12130) إلى جانب المتغيرينSpectre [ CVE-2017-5753 & CVE-2017-5715 ] وS مهيأ [ CVE-2017-5754 ] ، بما في ذلك تجاوز المتجر غير المهين (SSBD) [ CVE-2018-3639 ] بالإضافة إلى الخطأ الطرفي ل L1 (L1TF) [ CVE-2018-3615 و CVE-2018-3620 و CVE-2018-3646 ]:

reg إضافة "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg إضافة "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الكمبيوتر لكي يتم إدخال التغييرات.

التحقق من تمكين الحماية

لمساعدة العملاء على التحقق من تمكين الحماية، نشرت Microsoft برنامج PowerShell النصي الذي يمكن للعملاء تشغيله على أنظمتهم. قم بتثبيت البرنامج النصي وتشغيله عن طريق تشغيل الأوامر التالية.

التحقق من صحة PowerShell باستخدام معرض PowerShell (Windows Server 2016 أو WMF 5.0/5.1)

تثبيت الوحدة النمطية ل PowerShell:

PS> Install-Module SpeculationControl

تشغيل الوحدة النمطية PowerShell للتحقق من تمكين الحماية:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

التحقق من صحة PowerShell باستخدام تنزيل من Technet (إصدارات نظام التشغيل السابقة والإصدارات السابقة من WMF)

تثبيت الوحدة النمطية PowerShell من Technet ScriptCenter:

  1. انتقل إلى https://aka.ms/SpeculationControlPS .

  2. تنزيل SpeculationControl.zip مجلد محلي.

  3. استخراج المحتويات إلى مجلد محلي. على سبيل المثال: C:\ADV180002

تشغيل الوحدة النمطية PowerShell للتحقق من تمكين الحماية:

ابدأ تشغيل PowerShell، ثم استخدم المثال السابق لنسخ الأوامر التالية وتشغيلها:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


للحصول على شرح مفصل حول إخراج البرنامج النصي PowerShell، راجع مقالة قاعدة المعارف 4074629 . 

المتداولة:

للمساعدة في تجنب التأثير سلبا على أجهزة العملاء، Windows تحديثات الأمان التي تم إصدارها في يناير وشباط 2018 لجميع العملاء. للحصول على التفاصيل، راجع مقالة قاعدة معارف Microsoft 4072699 .

يتم تسليم الرمز الصغير من خلال تحديث البرامج الثابتة. استشر الشركة الأصلية حول إصدار البرامج الثابتة الذي لديه التحديث المناسب للكمبيوتر.

هناك متغيرات متعددة تؤثر على الأداء، تتراوح بين إصدار النظام وأحمال العمل التي يتم تشغيلها. بالنسبة لبعض الأنظمة، سيكون تأثير الأداء لا يذكر. بالنسبة للآخرين، سيكون ذلك كبيرا.

نوصيك بتقييم تأثيرات الأداء على الأنظمة الخاصة بك، فضلا عن إجراء التعديلات كما هو ضروري.

بالإضافة إلى الإرشادات الموفرة في هذه المقالة حول الأجهزة الظاهرية، يجب الاتصال بموفر الخدمة للتأكد من حماية الأجهزة الظاهرية التي تقوم بتشغيل الأجهزة الظاهرية بشكل كاف.

بالنسبة Windows الظاهرية ل Server التي يتم تشغيلها في Azure، راجع إرشادات لتخفيف نقاط الضعف في القناة الجانبية للتنفيذ غير المتكاتف في Azure . للحصول على إرشادات حول استخدام Azure Update Management للحد من هذه المشكلة على أجهزة VMs الضيفة، راجع مقالة قاعدة معارف Microsoft 4077467 .

تتضمن التحديثات التي تم إصدارها لصور حاوية Windows Server ل Windows Server 2016 و Windows 10، الإصدار 1709 عمليات التخفيف لهذه المجموعة من نقاط الضعف. لا يلزم تكوين إضافي.

ملاحظة يجب أن تتأكد مع ذلك من تكوين المضيف الذي يتم تشغيل هذه الحاويات عليه لتمكين عمليات التخفيف المناسبة.

لا، لا يهم أمر التثبيت.

نعم، يجب إعادة التشغيل بعد تحديث البرامج الثابتة (microcode) ثم مرة أخرى بعد تحديث النظام.

فيما يلي تفاصيل مفاتيح التسجيل:

تمثل FeatureSettingsOverride نغمة تطغى على الإعداد الافتراضي و عناصر التحكم التي سيتم تعطيلها. يتحكم Bit 0 بتخفيف الأثر الذي يتطابق مع CVE-2017-5715. يتحكم البت 1 بتخفيف الأثر الذي يتطابق مع CVE-2017-5754. يتم تعيين البتات إلى 0 لتمكين التخفيف 1 وتعطيل التخفيف.

FeatureSettingsOverrideMask يمثل قناعا نبتيا يتم استخدامه مع FeatureSettingsOverride.  في هذه الحالة، نستخدم القيمة 3 (التي يتم تمثيلها ك 11 في النظام الثنائي الأرقام أو الأرقام الأساسية 2) للإشارة إلى أول بتين يتطابقان مع عمليات التخفيف المتوفرة. يتم تعيين مفتاح التسجيل هذا إلى 3 لكل من تمكين عمليات التخفيف أو تعطيلها.

MinVmVersionForCpuBasedMitigations Hyper-V المضيفين. يعرف مفتاح التسجيل هذا الحد الأدنى من إصدار VM المطلوب لك لاستخدام قدرات البرامج الثابتة المحدثة (CVE-2017-5715). قم بتعيين هذا إلى 1.0 لتغطية كل إصدارات VM. لاحظ أنه سيتم تجاهل قيمة التسجيل هذه (غير Hyper-V المضيفين. لمزيد من التفاصيل، راجع حماية الأجهزة الظاهرية للضيوف من CVE-2017-5715 (ضخ هدف الفرع) .

نعم، لا توجد أي تأثيرات جانبية إذا تم تطبيق إعدادات التسجيل هذه قبل تثبيت الإصلاحات ذات الصلة بشهر يناير 2018.

راجع وصفا مفصلا إخراج البرنامج النصي في فهم Get-SpeculationControlSettings البرنامج النصي ل PowerShell .

نعم، بالنسبة لمضيفي Windows Server 2016 Hyper-V الذين لم يتوفر لديهم تحديث البرامج الثابتة بعد، قمنا بنشر إرشادات بديلة يمكن أن تساعد على تقليل VM إلى VM أو VM لاستضافة الهجمات. راجع الحماية البديلة Windows Server 2016 Hyper-V المضيفين ضد الثغرات الجانبية للتنفيذ غير المشروع.

تحديثات الأمان فقط ليست تراكمية. استنادا إلى إصدار نظام التشغيل، قد تحتاج إلى تثبيت العديد من تحديثات الأمان للحماية الكاملة. بشكل عام، يجب على العملاء تثبيت تحديثات شهر يناير، وشباط، ومارس، وشهر أبريل 2018. تحتاج الأنظمة التي لديها معالجات AMD إلى تحديث إضافي كما هو موضح في الجدول التالي:

إصدار نظام التشغيل

تحديث الأمان

Windows 8.1، Windows Server 2012 R2

4338815 - الشهرية

4338824 - الأمان فقط

Windows 7 SP1 أو Windows Server 2008 R2 SP1 أو Windows Server 2008 R2 SP1 (تثبيت Server Core)

4284826 - الشهرية

4284867 - الأمان فقط

Windows Server 2008 SP2

4340583 - تحديث الأمان

نوصي بتثبيت تحديثات الأمان فقط في ترتيب الإصدار.

ملاحظة   ذكر إصدار سابق من الأسئلة الشائعة هذه بشكل غير صحيح أن تحديث الأمان لشهر فبراير فقط تضمن إصلاحات الأمان التي تم إصدارها في يناير. في الواقع، لا يحدث ذلك.

لا. كان تحديث الأمان 4078130 KB تصحيحا محددا لمنع سلوكيات النظام غير المتوقعة، ومعالجات الأداء، وإعادة التشغيل غير المتوقعة بعد تثبيت الرمز الصغير. يمكن تطبيق تحديثات الأمان على Windows تشغيل العميل الثلاثة كلها. على Windows تشغيل Server، لا يزال عليك تمكين عمليات التخفيف بعد إجراء الاختبار المناسب. لمزيد من المعلومات، راجع مقالة قاعدة معارف Microsoft 4072698 .

تم حل هذه المشكلة في KB 4093118 .

في فبراير 2018، أعلنت Intel أنها أكملت عمليات التحقق من الصحة الخاصة بها و بدأت في إصدار الرمز الصغير لرمز وحدة المعالجة المركزية (CPU) الجديد. توفر Microsoft تحديثات الرموز الدقيقة التي تم التحقق من صحتها من Intel التي تتعلق بمتغير المواصفات 2 المتغير 2 (CVE-2017-5715 – "ضخ هدف الفرع"). تسرد 4093836 KB مقالات قاعدة المعارف المحددة Windows الإصدار. تحتوي كل مقالة KB محددة على تحديثات Intel microcode المتوفرة بواسطة CPU.

11 يناير 2018لقد نشرت Intel مشاكل في الرمز الصغير الذي تم إصداره مؤخرا وكان الهدف منه معالجة المتغير 2 من نوع Spectre (CVE-2017-5715 – "إدخال الهدف من الفرع"). على وجه التحديد، لاحظت Intel أن هذا الرمز الصغير قد يتسببفي " أعلى من إعادة التشغيل المتوقعة وسلوك النظام غير المتوقع" وأن هذه السيناريوهات قد تتسبب في " فقدان البيانات أوتلفها. " تجربتنا هي أن عدم استقرار النظام قد يتسبب في فقدان البيانات أو تلفها في بعض الحالات. في 22 يناير، توصي Intel العملاء بالتوقف عن نشر إصدار الرمز الصغير الحالي على المعالجات المتأثرة بينما تقوم Intel بإجراء اختبار إضافي على الحل المحدث. ندرك أن Intel مستمرة في التحقق من التأثير المحتمل للإصدار الحالي من الرمز الصغير. نحن نشجع العملاء على مراجعة إرشاداتهم بشكل مستمر لإعلامهم بقراراتهم.

أثناء اختبار Intel وتحديثاتها ونشرها لرمز Microcode الجديد، نقوم بتوفر تحديث خارج النطاق (OOB)، KB 4078130 ، الذي يقوم بتعطيل عملية التخفيف فقط مقابل CVE-2017-5715. في اختبارنا، تم العثور على هذا التحديث لمنع السلوك الموضح. للحصول على القائمة الكاملة للأجهزة، راجع إرشادات مراجعة الرمز الصغير من Intel. يتناول هذا التحديث Windows 7 Service Pack 1 (SP1) Windows 8.1 وجميع إصدارات Windows 10، كل من العميل وخادم. إذا كنت تقوم بتشغيل جهاز متأثر، يمكن تطبيق هذا التحديث من خلال تنزيله من موقع كتالوج Microsoft Update على الويب. يقوم تطبيق هذه الحمولة بتعطيل عملية التخفيف من المخاطر مقابل CVE-2017-5715 فقط.

حتى الآن، لا توجد تقارير معروفة تشير إلى أنه تم استخدام متغير المواصفات 2 هذا (CVE-2017-5715 – "ضخ هدف الفرع") لمهاجمة العملاء. نوصي، عند Windows، بأن يقوم مستخدمو Windows بتخفيف المخاطر مقابل CVE-2017-5715 عندما تقوم Intel بلتقارير بأن سلوك النظام غير المتوقع قد تم حله لجهازك.

في فبراير 2018، أعلنتIntel أنها أكملت عمليات التحقق من الصحة الخاصة بها و بدأت في إصدار الرمز الصغير لرمز وحدة المعالجة المركزية (CPU) الجديد. توفر Microsoft تحديثات رموز دقيقة تم التحقق من صحتها من Intel مرتبطة بمتغير المواصفات 2 متغير المواصفات 2 (CVE-2017-5715 – "ضخ هدف الفرع"). تسرد 4093836 KB مقالات قاعدة المعارف المحددة Windows الإصدار. تتوفر قائمة KBs تحديثات Intel microcode بواسطة CPU.

لمزيد من المعلومات، راجع تحديثات أمان AMD و AMD Whitepaper: إرشادات البنية حول عنصر تحكم الفرع غير المباشر . تتوفر هذه من قناة البرامج الثابتة في الشركات الأصلية.

نحن نعمل على جعل تحديثات الرموز الدقيقة التي تم التحقق من صحتها من Intel والمتوفرة التي تتعلق بالمتغيرات من نوع Spectre 2 (CVE-2017-5715 – "إدخال الهدف من الفرع"). للحصول على آخر تحديثات Intel microcode من خلال تحديث Windows، يجب أن يكون العملاء قد ثبتوا Intel microcode على الأجهزة التي تعمل نظام تشغيل Windows 10 قبل الترقية إلى تحديث Windows 10 أبريل 2018 (الإصدار 1803).

يتوفر تحديث الرمز الصغير أيضا مباشرة من كتالوج Microsoft Update إذا لم يكن مثبتا على الجهاز قبل ترقية النظام. يتوفر رمز Intel microcode من خلال Windows أو خادم Windows Server Update Services (WSUS) أو كتالوج Microsoft Update. لمزيد من المعلومات وإرشادات التنزيل، راجع KB 4100347 .

راجع المقطعين "الإجراءات المستحسنة" و"الأسئلة الشائعة" في  ADV180012 | إرشادات Microsoft لتجاوز المتجر التخميني .

للتحقق من حالة SSBD، تم تحديث البرنامج النصي Get-TrolControlSettings PowerShell للكشف عن المعالجات المتأثرة، حالة تحديثات نظام تشغيل SSBD، حالة الرمز الصغير للمعالج، إذا أمكن ذلك. لمزيد من المعلومات والحصول على البرنامج النصي PowerShell، راجع KB 4074629 .

في 13 يونيو 2018، تم الإعلان عن ثغرة أمنية إضافية تتضمن التنفيذ غير المشروع للقناة الجانبية، المعروف باسم استعادة حالة كسل FP، وتم تعيين CVE-2018-3665 . للحصول على معلومات حول هذه الثغرة الأمنية والإجراءات المستحسنة، راجع ADV180016 مستشار الأمان | إرشادات Microsoft لاستعادة حالة كسل FP .

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. لا توجد إعدادات تكوين (سجل) مطلوبة لاستعادة FP استعادة كسل.

تم الكشف عن متجر التحقق من الحدود (BCBS) في 10 يوليو 2018، وتم تعيين CVE-2018-3693 . نحن نعتقد أن BCBS تنتمي إلى فئة نقاط الضعف نفسها مثل تجاوز التحقق من الحدود (المتغير 1). نحن غير على علم حاليا بأي مثيلات من BCBS في برامجنا. ومع ذلك، ما ونستمر في البحث عن فئة الضعف هذه وسنعمل مع شركاء الصناعة على إطلاق عمليات التخفيف كما تقتضي الحاجة. نحن نشجع الباحثين على إرسال أي نتائج ذات صلة إلى برنامج القناة الجانبية للتنفيذ من Microsoft ، بما في ذلك أي مثيلات يمكن استغلالها من BCBS. يجب على مطوري البرامج مراجعة إرشادات المطور التي تم تحديثها ل BCBS في إرشادات المطور C++ للقنوات الجانبية للتنفيذ غير المشروع.

في 14 أغسطس 2018، تم الإعلان عن الخطأ المحطة الطرفية L1 (L1TF) وتعيين العديد من أجهزة CVEs. يمكن استخدام نقاط الضعف الجديدة في التنفيذ المتكاتف الجانبية لقراءة محتوى الذاكرة عبر حد موثوق به، وإذا تم استغلاله، يمكن أن يؤدي إلى الكشف عن المعلومات. هناك عدة متجهات يمكن للمهاجم من خلالها تشغيل نقاط الضعف، استنادا إلى البيئة التي تم تكوينها. يؤثر L1TF على معالجات Intel® Core® و Intel® Xeon® Xeon.

لمزيد من المعلومات حول هذه الثغرة الأمنية وعرض مفصل للسيناريوهات المتأثرة، بما في ذلك نهج Microsoft لتخفيف مشكلة L1TF، راجع الموارد التالية:

تختلف خطوات تعطيل Hyper-Threading من الشركة الأصلية إلى الشركة الأصلية ولكنها بشكل عام جزء من أدوات تكوين وإعداد البرامج الثابتة أو BIOS.

يجب على العملاء الذين يستخدمون معالجات ARM 64 بت الاتصال بالمعدات الأصلية للجهاز للحصول على دعم البرامج الثابتة لأن حماية نظام التشغيل ARM64 التي تخفف من CVE-2017-5715 - تتطلب عملية ضخ هدف الفرع (Spectre، المتغير 2) أحدث تحديث برامج ثابتة من الشركات الأصلية للجهاز لكي يتم تشغيله.

يمكن العثور على إرشادات إضافية في إرشادات Windows للحماية من الثغرات في القنوات الجانبية للتنفيذ غير المتكاتف

يرجى الرجوع إلى الإرشادات في Windows حماية ضد الثغرات في القنوات الجانبية للتنفيذ غير المشروع

للحصول على إرشادات Azure، الرجاء الرجوع إلى هذه المقالة: إرشادات لتخفيف الثغرات في القناة الجانبية للتنفيذ غير المشروع في Azure .

لمزيد من المعلومات حول تمكين Retpoline، راجع منشور المدونة: تخفيف المتغير 2 للمعان مع إعادةpoline على Windows .

للحصول على تفاصيل حول هذه الثغرة الأمنية، راجع دليل أمان Microsoft: CVE-2019-1125 | Windows الكشف عن معلومات Kernel.

نحن غير على علم بأي مثيل من ثغرة الكشف عن المعلومات هذه التي تؤثر على البنية الأساسية للخدمة السحابية.

بمجرد أن أصبحنا على علم بهذه المشكلة، عملنا بسرعة على معالجتها ونصدر تحديثا. نحن نعتقد اعتقادا قويا بالشركاء الباحثين والشركاء في المجال لجعل العملاء أكثر أمانا، ولم ننشر التفاصيل حتى يوم الثلاثاء، 6 أغسطس، بما يتسق مع ممارسات الكشف عن الثغرات المتناسقة.

يمكن العثور على إرشادات إضافية في Windows للحمايةمن الثغرات الجانبية للتنفيذ غير المشروع.

يمكن العثور على إرشادات إضافية في Windows للحمايةمن الثغرات الجانبية للتنفيذ غير المشروع.

يمكن العثور على إرشادات إضافية في إرشادات تعطيل إمكانية ® Intel® Transactional Synchronization Extensions (Intel® TSX).

إخلاء المسؤولية عن معلومات الجهات الخارجية

منتجات الجهات الأخرى المذكورة في هذه المقالة مصنعة من قبل شركات مستقلة عن Microsoft. ولذلك، لا تقدم Microsoft أي ضمان، سواء ضمنيًا أو صريحًا، بخصوص أداء تلك المنتجات أو كفاءتها.

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة الترجمة؟
ما الذي أثّر في تجربتك؟

نشكرك على ملاحظاتك!

×