Windows Server указания за предпазване от спекулативно изпълнение канал страна уязвимости

Прилага се за: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Повече

Обобщена информация


Microsoft е с нов оповестена публично клас уязвимости, които се наричат "спекулативно изпълнение канал страна атаки" и които засягат много съвременни процесори Intel, AMD и ARM.

Забележка: Този проблем засяга и други операционни системи, като например Android, хром, iOS и macOS. Затова съветваме клиентите да потърсите съвет от тези доставчици.

Microsoft издаде няколко актуализации за намаляване на тези уязвимости. Ние също са взели действия за защита на нашите услуги за облак. Вижте следните раздели за повече подробности.

Microsoft все още не е получил информация, показват, че тези уязвимости са били използвани за атаки на клиенти. Microsoft работи в тясно сътрудничество с индустрията партньори, включително чипове производители, OEM производители на хардуер и доставчиците на приложения за защита на потребителите. Да получите всички налични защита, фърмуер (микрокод) и софтуерни актуализации са задължителни. Това включва микрокод от OEM устройство и в някои случаи актуализации Антивирусният софтуер.

Тази статия разглежда следните уязвимости:

За да научите повече за този вид уязвимост, вижте ADV180002 и ADV180012.

Microsoft предоставя информация за контакт с трети лица, за да ви помогне да намерите техническа поддръжка. Тази информация може да се променя без уведомяване. Microsoft не гарантира точността на информацията за контакти с други производители.

Препоръчителните действия


Потребителите трябва да предприеме следните действия за защита срещу уязвимости:

  1. Приложете всички налични Windows операционна система актуализации, включително месечни актуализации на защитата за Windows. За повече информация относно как да разрешите тези актуализации, see 4072699 на статията на базата знания на Microsoft.
  2. Прилагане на актуализации на фърмуера му (микрокод) от производителя на устройството (OEM).
  3. Оценка на риска за околната среда въз основа на информацията, която е в сигурността на MicrosoftADV180002иADV180012и в тази статия от базата знания.
  4. Действат съобразно с помощта на съвети и информация за ключовете на системния регистър, дадена в тази статия от базата знания.

Намаляване на настройки за Windows Server


Сигурността ADV180002 и ADV180012 предоставя информация за риска от тези уязвимости и проверете състоянието по подразбиране на предпазни мерки за Windows Server системи. По-долу таблица обобщава изискването микрокод Процесора и състоянието по подразбиране на предпазни мерки на Windows Server.

CVE Изисква процесор микрокод/фърмуер? Намаляване на състоянието по подразбиране

CVE-2017-5753

Не

Разрешено по подразбиране (няма опция за забрана)

CVE-2017-5715

Да

Забранени по подразбиране.

CVE-2017-5754

Не

Windows Server 2019: Включена по подразбиране. Windows Server 2016 и по-стари: изключено по подразбиране.

CVE-2018-3639

Intel: Yes

AMD: No

Забранени по подразбиране. Вижте ADV180012 за повече информация и тази статия от БЗ за приложими системния регистър ключ.

Клиенти, които искат да получите всички налични защита срещу тези пропуски трябва да се промени на системния регистър ключ за разрешаване на тези предпазни мерки, които са забранени по подразбиране.

Разрешаване на тези предпазни мерки може да повлияе на производителността. Размерът на действието на производителността зависи от много фактори, като специфични чипсет на физически хост и натоварвания, които се изпълняват. Препоръчваме клиентите изпълнение премахването им среда и да направите всички необходими промени.

Вашият сървър е с повишен риск, ако е в една от следните категории:

  • Hyper-V хост-изисква защита VM на VM и VM на множество атаки.
  • Отдалечен работен плот услуги хостове (RDSH) – изисква защита от една сесия към сесия на друг или от сесия на множество атаки.
  • Физически хостове или виртуални машини с ненадежден код, например контейнери или ненадежден разширения за бази данни, ненадеждни уеб съдържание или натоварвания, работещи код, който е от външни източници. Те изискват защита от ненадежден процес към друг процес или ненадежден процес към ядрото атаки.

Използвайте следните ключове настройките в системния регистър, за да разрешите предпазни мерки на сървъра и рестартиране на системата, за да влязат в сила промените.

Важно: Този раздел, метод или задача съдържа информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и възстановяване на системния регистър, щракнете върху следния номер на статия в базата знания на Microsoft:

 

322756Как да направите резервно копие и възстановите системния регистър в Windows

Управление на предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)


За да разрешите предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V и актуализации на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява на фърмуера, свързани с намаляване на се прилагат множество преди виртуални машини са стартирани. Затова виртуални машини също се актуализират, когато те се рестартира.

Рестартирайте компютъра , за да влязат в сила промените .

За да забраните предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартиране на компютъра, за да влязат в сила промените .

Забележка настройка FeatureSettingsOverrideMask 3 са точни за "активиране" и "забрани" настройки. (Вижте раздела "често задавани въпроси" за повече информация относно ключовете на системния регистър).

Управление на събития за CVE-2017-5715 (призрака вариант 2)


Да забраните вариант 2: (CVE -2017 5715"Бранша целеви инжекция")намаляване:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

Да разрешите вариант 2: (CVE-2017-5715"Клон целеви инжекция") намаляване на:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

Само на AMD: позволи пълен събития за CVE-2017-5715 (призрака вариант 2)


По подразбиране потребител на ядрото защитата за CVE-2017-5715 е забранено за процесори AMD. Потребителите трябва да разрешите събития, за да получите допълнителна защита за CVE-2017-5715.  За повече информация вижте често задавани въпроси #15 в ADV180002.

Защита на потребителя на ядрото на процесори AMD заедно с други защити за CVE 2017 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V и актуализации на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява на фърмуера, свързани с намаляване на се прилагат множество преди виртуални машини са стартирани. Затова виртуални машини също се актуализират, когато те се рестартира.

Рестартирайте компютъра, за да влязат в сила промените.

Управление на предпазни мерки за CVE-2018-3639 (спекулативни магазин байпас), CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)



За да разрешите предпазни мерки за CVE-2018-3639 (спекулативни магазин байпас), CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V и актуализации на фърмуера са приложени: Напълно изключете всички виртуални машини. Това позволява на фърмуера, свързани с намаляване на се прилагат множество преди виртуални машини са стартирани. Затова виртуални машини също се актуализират, когато те се рестартира.

Рестартирайте компютъра, за да влязат в сила промените.

Да забраните предпазни мерки за CVE-2018-3639 (спекулативни магазин байпас) и предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

 

Само на AMD: позволи пълен намаляване CVE-2017-5715 (призрака вариант 2) и CVE 2018-3639 (спекулативни магазин Bypass)


По подразбиране потребител на ядрото защитата за CVE-2017-5715 е забранено за процесори AMD. Потребителите трябва да разрешите събития, за да получите допълнителна защита за CVE-2017-5715.  За повече информация вижте често задавани въпроси #15 в ADV180002.

Защита на потребителя на ядрото на процесори AMD заедно с други защити за CVE 2017 5715 и защитата за CVE-2018-3639 (спекулативни магазин байпас):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ако това е Hyper-V и актуализации на фърмуера са приложени:Напълно изключете всички виртуални машини. Това позволява на фърмуера, свързани с намаляване на се прилагат множество преди виртуални машини са стартирани. Затова виртуални машини също се актуализират, когато те се рестартират.

Рестартирайте компютъра, за да влязат в сила промените.

Проверка дали са активирани защита


За да помогне на клиентите да проверите дали са активирани защита, Microsoft публикува PowerShell скрипт, който потребителите могат да работят на техните системи. Инсталиране и използване на скрипт като изпълните следните команди.

Проверка на PowerShell чрез PowerShell Галерия (Windows Server 2016 или WMF 5.0/5.1)

Инсталиране на PowerShell модул:

PS> Install-Module SpeculationControl

Изпълнение на PowerShell модул за да проверите дали са активирани защита:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell проверка чрез изтегляне от Technet (по-рано версии на операционната система и WMF по-ранни версии)

Инсталиране на PowerShell модул от Technet ScriptCenter:

  1. Отидете на https://aka.ms/SpeculationControlPS.
  2. Изтеглете SpeculationControl.zip в локална папка.
  3. Извлечете съдържанието в локална папка. Например: C:\ADV180002

Изпълнение на PowerShell модул за да проверите дали са активирани защита:

Начало PowerShell и след това използвайте предишния пример да копирате и изпълнете следните команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

За подробно обяснение на изхода на PowerShell скрипт, вижте статията в базата знания 4074629

Често задавани въпроси


Не предлага актуализации на защитата за Windows, издадени през януари и февруари 2018. Какво да направя?

За да избегнете неблагоприятно клиент устройства, актуализации на защитата за Windows, издадени през януари и февруари 2018 не са били предлагани на всички клиенти. За повече информация вижте статията в базата знания на Microsoft 4072699.

Препратки