Návod Windows Server chránit před chybami zabezpečení spekulativní provádění straně kanálu

Platí pro: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Více

Shrnutí


Společnost Microsoft si je vědoma novou třídu veřejně známé chyby zabezpečení, které se nazývají "spekulativní provádění straně kanálu útoky" a které ovlivňují mnoho moderních procesorů, včetně Intel, AMD a ARM.

Poznámka: Tento problém se týká také jiné operační systémy, například Android, Chrome, iOS a macOS. Proto jsme radí zákazníkům vyžádat radu od těchto dodavatelů.

Společnost Microsoft vydala několik aktualizací můžete zmírnit tyto chyby. Také jsme přijaly opatření k zabezpečení našich služeb cloud. Naleznete v následujících částech Další informace.

Microsoft dosud nepřijala žádné informace, které označují, že tyto chyby zabezpečení byly použity k útoku na zákazníky. Microsoft úzce spolupracuje s partnery průmyslu včetně čip tvůrci hardware výrobce OEM a dodavatelů app k ochraně zákazníků. Chcete-li získat všechny dostupné ochran, (mikrokódu) software a firmware jsou požadovány aktualizace. To zahrnuje mikrokódu od výrobce OEM zařízení a v některých případech aktualizace antivirového softwaru.

Tento článek řeší následující chyby:

Další informace o této třídy chyb, naleznete v ADV180002 a ADV180012.

Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Tyto informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost informací o kontaktech na jiné výrobce.

Akce a doporučení


Zákazníci by měl provést následující akce na ochranu před chybami zabezpečení:

  1. Použít všechny dostupné aktualizace systému Windows operačního systému, včetně měsíční aktualizace zabezpečení systému Windows. Další informace o jak povolit tyto aktualizace, see 4072699 článku znalostní báze Microsoft Knowledge Base.
  2. Použít příslušné firmware (mikrokódu) aktualizace od výrobce zařízení (OEM).
  3. Vyhodnotit rizika pro vaše prostředí na základě informací, které se nachází v informačních zpravodajů zabezpečení společnosti MicrosoftADV180002aADV180012a v tomto článku znalostní báze Knowledge Base.
  4. Přijmout opatření podle potřeby pomocí informační zpravodaje a informace o klíčích registru uvedené v tomto článku znalostní báze Knowledge Base.

Nastavení omezení pro systém Windows Server


Informační zpravodaje zabezpečení ADV180002 a ADV180012 poskytují informace o nebezpečí vyplývající z těchto chyb a určit výchozí stav skutečnosti snižující závažnost rizika pro systémy Windows Server. Pod tabulkou je uveden souhrn požadavku mikrokódu procesoru a výchozí stav skutečnosti snižující závažnost rizika v systému Windows Server.

CVE Vyžaduje mikrokódu procesoru nebo firmwaru? Ke zmírnění výchozího stavu

CVE-2017-5753

Ne

Standardně (žádná možnost, chcete-li zakázat)

CVE-2017-5715

Ano

Ve výchozím nastavení zakázáno.

CVE-2017-5754

Ne

Windows Server 2019: Ve výchozím nastavení povolena. Windows Server 2016 a starší: ve výchozím nastavení zakázána.

CVE-2018-3639

Intel: Ano

AMD: Ne

Ve výchozím nastavení zakázáno. Další informace a tohoto článku KB pro nastavení klíčů registru použít naleznete v tématu ADV180012 .

Zákazníky, kteří chtějí získat všechny k dispozici ochrana proti těmto chybám zabezpečení musí provádět klíčové změny v registru Chcete-li povolit tyto skutečnosti snižující závažnost rizika, které jsou ve výchozím nastavení zakázána.

Tyto skutečnosti snižující závažnost rizika povolení může ovlivnit výkon. Rozsah výkonu účinky závisí na několika faktorech, například konkrétní čipové sady v hostiteli služby fyzické a pracovní vytížení, které používají. Doporučujeme zákazníkům posoudit účinky výkonu pro jejich prostředí a proveďte požadované úpravy.

Server je zvýšené riziko, pokud je v jedné z následujících kategorií:

  • Technologie Hyper-V hostuje – vyžaduje ochranu pro VM VM a VM host útoky.
  • Hostitelé služby vzdálené plochy (RDSH) – vyžaduje ochranu z jedné relace do jiné relace nebo útoky na hostitele relace.
  • Fyzické hostitelů nebo virtuálních počítačů, které jsou spuštěny nedůvěryhodný kód, například kontejnery nebo nedůvěryhodným rozšíření databáze, nedůvěryhodného webového obsahu nebo pracovní vytížení, které spustit kód, který je z externích zdrojů. Tyto vyžadují ochranu z nedůvěryhodných útoky--jiné procesy nebo nedůvěryhodný proces k jádra.

Skutečnosti snižující závažnost rizika na serveru povolit pomocí následujícího nastavení klíče registru a restartujte systém pro změny se projeví.

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:

 

322756Postup zálohování a obnovení registru v systému Windows

Skutečnosti snižující závažnost rizika pro CVE 5715 2017 (Spectre varianty 2) a CVE-2017-5754 (Meltdown) spravovat


Chcete-li povolit skutečnosti snižující závažnost rizika pro CVE 5715 2017 (Spectre varianty 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se hostitel Hyper-V a byly použity aktualizace firmwaru: Zcela vypněte všechny virtuální počítače. Díky zmírnění firmware související se použijí v hostitelském počítači před VMs jsou spuštěny. Proto VMs jsou aktualizovány také, když jste až po restartování.

Po restartování počítače změny projevily .

Chcete-li zakázat skutečnosti snižující závažnost rizika pro CVE 5715 2017 (Spectre varianty 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Po restartování počítače změny projevily .

Poznámka: FeatureSettingsOverrideMask nastavení 3 správnost nastavení "Povolit" a "Zakázat". (Viz část "Nejčastější dotazy" naleznete další informace o klíčích registru).

Správa řešení CVE 5715 2017 (Spectre 2 varianty)


Zakázat varianty 2: (CVE -2017-5715"Nepodmíněný skok cíl vstřikování")ke zmírnění:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Po restartování počítače změny projevily.

Povolit varianty 2: (CVE-2017-5715"Větev cíl Injection") ke zmírnění:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Po restartování počítače změny projevily.

Procesory AMD pouze: Povolit úplné řešení CVE 5715 2017 (Spectre 2 varianty)


Ve výchozím nastavení uživatel jádro ochrany CVE-2017-5715 zakázána pro procesory AMD. Zákazníci musí povolit zmírnění přijímat další ochranu pro CVE-2017-5715.  Další informace naleznete v tématu časté otázky číslo 15 v ADV180002.

Povolit ochranu uživatele jádra u procesorů AMD spolu s další ochranu pro CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se hostitel Hyper-V a byly použity aktualizace firmwaru: Zcela vypněte všechny virtuální počítače. Díky zmírnění firmware související se použijí v hostitelském počítači před VMs jsou spuštěny. Proto VMs jsou aktualizovány také, když jste až po restartování.

Po restartování počítače změny projevily.

Skutečnosti snižující závažnost rizika pro CVE-2018-3639 (vnější spekulativní obchod), CVE-2017-5715 (Spectre varianty 2) a CVE-2017-5754 (Meltdown) spravovat



Skutečnosti snižující závažnost rizika pro CVE-2018-3639 (vnější spekulativní obchod), CVE-2017-5715 (Spectre varianty 2) a CVE-2017-5754 (Meltdown) povolení:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se hostitel Hyper-V a byly použity aktualizace firmwaru: Zcela vypněte všechny virtuální počítače. Díky zmírnění firmware související se použijí v hostitelském počítači před VMs jsou spuštěny. Proto VMs jsou aktualizovány také, když jste až po restartování.

Po restartování počítače změny projevily.

Skutečnosti snižující závažnost rizika pro CVE-2018-3639 (vnější spekulativní obchod) zakázat a skutečnosti snižující závažnost rizika pro CVE 5715 2017 (Spectre varianty 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Po restartování počítače změny projevily.

 

Procesory AMD pouze: Povolit úplné řešení CVE 5715 2017 (Spectre varianty 2) a CVE 2018-3639 (vnější spekulativní obchod)


Ve výchozím nastavení uživatel jádro ochrany CVE-2017-5715 zakázána pro procesory AMD. Zákazníci musí povolit zmírnění přijímat další ochranu pro CVE-2017-5715.  Další informace naleznete v tématu časté otázky číslo 15 v ADV180002.

Povolit ochranu uživatele jádra na procesory AMD spolu s další ochranu pro CVE 2017-5715 i ochrany CVE-2018-3639 (vnější spekulativní obchod):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se hostitel Hyper-V a byly použity aktualizace firmwaru:Úplně vypnout všechny virtuální počítače. Díky zmírnění firmware související se použijí v hostitelském počítači před VMs jsou spuštěny. Proto VMs jsou aktualizovány také při restartování se.

Po restartování počítače změny projevily.

Ověření, zda jsou povolena ochrana


Ověřte, zda jsou povolena ochrana zákazníkům usnadnit Microsoft zveřejnila skript prostředí PowerShell, mohou jej zákazníci spustit v systému. Instalace a spuštění skriptu spuštěním následujících příkazů.

Prostředí PowerShell ověřování pomocí prostředí PowerShell Galerie (Windows Server 2016 nebo WMF 5.0/5.1)

Instalace modulu prostředí PowerShell:

PS> Install-Module SpeculationControl

Spuštění prostředí PowerShell modul ověřte, zda jsou povolena ochrana:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Prostředí PowerShell ověření pomocí je ke stažení na webu Technet (dříve verze operačního systému a WMF dřívější verze)

Instalace modulu PowerShell z Centrum skriptů Technet:

  1. Přejděte na https://aka.ms/SpeculationControlPS.
  2. Stáhněte SpeculationControl.zip do místní složky.
  3. Extrahujte obsah do místní složky. Příklad: C:\ADV180002

Spuštění prostředí PowerShell modul ověřte, zda jsou povolena ochrana:

Spuštění prostředí PowerShell a potom pomocí předchozího příkladu zkopírujte a spusťte následující příkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobný popis výstupu skriptu prostředí PowerShell naleznete v tématu článku znalostní báze Knowledge Base 4074629

Časté dotazy


Odkazy