Poznámka: Tento článek se aktualizuje, jakmile budou k dispozici další informace. Pravidelně sem prosím kontrolujte aktualizace a nové nejčastější dotazy.

Chyby zabezpečení

Tento článek se zabývá následujícími ohroženími zabezpečení spekulativního spuštění:

služba Windows Update také zajistí omezení rizik pro Internet Explorer a Edge. Tato omezení rizik budeme nadále vylepšovat v souvislosti s touto třídou ohrožení zabezpečení.

Další informace o této třídě ohrožení zabezpečení najdete v tématu

14. května 2019 společnost Intel publikovala informace o nové podtřídě ohrožení zabezpečení ze strany spekulativního spouštění označovaných jako vzorkování mikroarchitekturálních dat a zdokumentované v ADV190013 | Vzorkování mikroarchitekturálních dat Byly jim přiřazeny následující cviky:

Důležité informace: Tyto problémy budou mít vliv na jiné systémy, jako je Android, Chrome, iOS a MacOS. Doporučujeme zákazníkům vyhledat pokyny od těchto dodavatelů.

Společnost Microsoft vydala aktualizace, které vám pomůžou tato ohrožení zabezpečení zmírnit. Pokud chcete získat veškerou dostupnou ochranu, je nutné provést aktualizace firmwaru (mikrokódu) a softwaru. Může to zahrnovat mikrokódy z OEM zařízení. V některých případech bude mít instalace těchto aktualizací vliv na výkon. Také jsme se zareagovali na zabezpečení našich cloudových služeb. Důrazně doporučujeme tyto aktualizace nasadit.

Další informace o tomto problému najdete v následujícím informačním zpravodaji zabezpečení a pomocí pokynů založených na scénářích určete akce potřebné ke zmírnění hrozby:

Poznámka: Před instalací všech aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.

6. srpna 2019 společnost Intel vydala podrobnosti o ohrožení zabezpečení spočívající ve zpřístupnění informací jádra Windows. Toto ohrožení zabezpečení je variantou ohrožení zabezpečení spekulativního spuštění bočního kanálu Spectre Variant 1 a bylo jí přiřazeno CVE-2019-1125.

9. července 2019 jsme vydali aktualizace zabezpečení pro operační systém Windows, které vám pomůžou tento problém zmírnit. Upozorňujeme, že jsme toto zmírnění rizik zdokumentujeme veřejně až do zveřejnění koordinovaného odvětví v úterý 6. srpna 2019.

Zákazníci, kteří mají povolené služba Windows Update a nainstalovali aktualizace zabezpečení vydané 9. července 2019, jsou automaticky chráněni. Není nutná žádná další konfigurace.

Poznámka: Tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce zařízení (OEM).

Další informace o této chybě zabezpečení a příslušných aktualizacích najdete v příručce k aktualizacím zabezpečení společnosti Microsoft:

12. listopadu 2019 společnost Intel publikovala technické rady týkající se chyby zabezpečení asynchronního přerušení transakcí Intel TSX (Intel® Transactional Synchronization Extensions), které je přiřazeno CVE-2019-11135. Společnost Microsoft vydala aktualizace, které pomáhají zmírnit toto ohrožení zabezpečení, a ve výchozím nastavení jsou pro Windows Server 2019 povolená ochrana operačního systému, ale ve výchozím nastavení je pro Windows Server 2016 a starší edice operačního systému Windows Server zakázaná.

Dne 14. června 2022 jsme publikovali adv220002 | Pokyny Microsoftu k chybám zabezpečení zastaralých dat mmio procesoru Intel a přiřazení těchto CVE: 

Akce a doporučení

Při ochraně před těmito ohroženími zabezpečení byste měli provést následující akce:

  1. Použijte všechny dostupné aktualizace operačního systému Windows, včetně měsíčních aktualizací zabezpečení systému Windows.

  2. Použijte příslušnou aktualizaci firmwaru (mikrokódu), kterou poskytuje výrobce zařízení.

  3. Vyhodnoťte riziko pro vaše prostředí na základě informací, které jsou k dispozici na webu Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 a ADV220002, kromě informací uvedených v tomto znalostní báze článku.

  4. Podle potřeby proveďte akci pomocí poradců a informací o klíči registru, které jsou uvedeny v tomto znalostní báze článku.

Poznámka: Zákazníci zařízení Surface obdrží aktualizaci mikrokódu prostřednictvím služba Windows Update. Seznam nejnovějších aktualizací firmwaru zařízení Surface (mikrokód) najdete v článku KB4073065.

Nastavení omezení rizik pro Windows Server a Azure Stack HCI

Informační zpravodaje zabezpečení ADV180002, ADV180012, ADV190013 a ADV220002 poskytují informace o riziku, které představují tato ohrožení zabezpečení. Pomáhají také identifikovat ohrožení zabezpečení a identifikovat výchozí stav zmírnění rizik pro systémy Windows Server. Následující tabulka shrnuje požadavek na mikrokód procesoru a výchozí stav zmírnění rizik ve Windows Serveru.

CVE

Vyžaduje mikrokód nebo firmware procesoru?

Výchozí stav omezení rizik

CVE-2017-5753

Ne

Ve výchozím nastavení povoleno (bez možnosti zakázat)

Další informace najdete v adv180002 .

CVE-2017-5715

Ano

Ve výchozím nastavení je tato možnost zakázaná.

Další informace naleznete v článku ADV180002 a v tomto článku znalostní báze pro příslušná nastavení klíče registru.

Poznámka Možnost Retpoline je ve výchozím nastavení povolená pro zařízení se systémem Windows 10 1809 nebo novějším, pokud je povolena možnost Spectre Variant 2 (CVE-2017-5715). Další informace o "Retpoline", postupujte podle zmírnit Spectre variant 2 s Retpoline na Windows blogový příspěvek.

CVE-2017-5754

Ne

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené.
Windows Server 2016 a starší: Ve výchozím nastavení je tato možnost zakázaná.

Další informace najdete v adv180002 .

CVE-2018-3639

Intel: Ano

AMD: Ne

Ve výchozím nastavení je tato možnost zakázaná. Další informace najdete v tématu ADV180012 a v tomto článku najdete příslušná nastavení klíče registru.

CVE-2018-11091

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené.
Windows Server 2016 a starší: Ve výchozím nastavení je tato možnost zakázaná.

Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru.

CVE-2018-12126

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené.
Windows Server 2016 a starší: Ve výchozím nastavení je tato možnost zakázaná.

Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru.

CVE-2018-12127

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené.
Windows Server 2016 a starší: Ve výchozím nastavení je tato možnost zakázaná.

Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru.

CVE-2018-12130

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené.
Windows Server 2016 a starší: Ve výchozím nastavení je tato možnost zakázaná.

Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru.

CVE-2019-11135

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené.
Windows Server 2016 a starší: Ve výchozím nastavení je tato možnost zakázaná.

Další informace najdete v cve-2019-11135 a v tomto článku najdete příslušné nastavení klíče registru.

CVE-2022-21123 (součást MMIO ADV220002)

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené. 
Windows Server 2016 a starší: Ve výchozím nastavení je zakázáno.* 

Další informace najdete v tématu CVE-2022-21123 a v tomto článku najdete příslušná nastavení klíčů registru.

CVE-2022-21125 (součást MMIO ADV220002)

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené. 
Windows Server 2016 a starší: Ve výchozím nastavení je zakázáno.* 

Další informace najdete v tématu CVE-2022-21125 .

CVE-2022-21127 (součást MMIO ADV220002)

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené. 
Windows Server 2016 a starší: Ve výchozím nastavení je zakázáno.* 

Další informace najdete v tématu CVE-2022-21127 .

CVE-2022-21166 (součást MMIO ADV220002)

Intel: Ano

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Ve výchozím nastavení je povolené. 
Windows Server 2016 a starší: Ve výchozím nastavení je zakázáno.* 

Další informace najdete v tématu CVE-2022-21166 .

CVE-2022-23825 (záměně typu větve procesoru AMD)

AMD: Ne

Další informace najdete v tématu CVE-2022-23825 a v tomto článku najdete příslušné nastavení klíče registru.

CVE-2022-23816 (záměně typu větve procesoru AMD)

AMD: Ne

Další informace najdete v tématu CVE-2022-23816 a v tomto článku najdete příslušné nastavení klíče registru.

*Postupujte podle pokynů ke zmírnění rizik pro Meltdown níže.

Pokud chcete získat veškerou dostupnou ochranu proti těmto chybám zabezpečení, musíte provést změny klíče registru, aby bylo možné tato omezení rizik, která jsou ve výchozím nastavení zakázaná.

Povolení těchto omezení rizik může mít vliv na výkon. Škálování účinků na výkon závisí na několika faktorech, jako je konkrétní čipová sada ve fyzickém hostiteli a spuštěné úlohy. Doporučujeme posoudit účinky na výkon vašeho prostředí a provést potřebné úpravy.

Pokud se server nachází v jedné z následujících kategorií, je váš server vystaven zvýšenému riziku:

  • Hostitelé Hyper-V: Vyžaduje ochranu pro útoky VM-to-VM a VM-to-Host.

  • Hostitelé vzdálené plochy (RDSH): Vyžaduje ochranu z jedné relace do jiné relace nebo před útoky mezi relacemi a hostiteli.

  • Fyzické hostitele nebo virtuální počítače, na kterých běží nedůvěryhodný kód, jako jsou kontejnery nebo nedůvěryhodná rozšíření pro databázi, nedůvěryhodný webový obsah nebo úlohy, které spouštějí kód z externích zdrojů. Vyžadují ochranu před nedůvěryhodnými útoky mezi procesy nebo nedůvěryhodnými procesy na jádro.

Pomocí následujícího nastavení klíče registru povolte zmírnění rizik na serveru a restartujte zařízení, aby se změny projevily.

Poznámka: Ve výchozím nastavení může povolení omezení rizik, která jsou vypnutá, ovlivnit výkon. Skutečný výkon závisí na několika faktorech, jako je konkrétní čipová sada v zařízení a spuštěné úlohy.

Nastavení registru

Důležité informace: Poskytujeme následující informace o registru, které umožňují omezení rizik, která nejsou ve výchozím nastavení povolená, jak je popsáno v poradcích zabezpečení ADV180002, ADV180012, ADV190013 a ADV220002.

Kromě toho poskytujeme nastavení klíče registru, pokud chcete zakázat omezení rizik související s CVE-2017-5715 a CVE-2017-5754 pro klienty Windows.

Důležité informace: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru získáte v následujícím článku microsoft znalostní báze:

322756 Postup zálohování a obnovení registru v systému Windows

Důležité informace: Ve výchozím nastavení je retpoline povolena na Windows 10 verze 1809 serverech, pokud je povolen Spectre varianta 2 (CVE-2017-5715). Povolení retpoline v nejnovější verzi Windows 10 může zvýšit výkon na serverech, na kterých běží Windows 10 verze 1809 pro Spectre variantu 2, zejména na starších procesorech.

Povolení omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování.

Restartujte zařízení, aby se změny projevily.

Zakázání omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Poznámka: Nastavení FeatureSettingsOverrideMask na 3 je přesné pro nastavení "enable" i "disable". (Další podrobnosti o klíčích registru najdete v části Nejčastější dotazy .)

Zakázání omezení rizik varianty 2: (CVE-2017-5715  "Branch Target Injection") :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Povolení omezení rizik varianty 2: (CVE-2017-5715  "Branch Target Injection") :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Ve výchozím nastavení je pro procesory AMD zakázaná ochrana mezi uživateli a jádrem pro CVE-2017-5715. Zákazníci musí povolit zmírnění rizik, aby získali další ochranu pro CVE-2017-5715.  Další informace najdete v nejčastějších dotazech č. 15 v adv180002.

Povolte ochranu mezi uživatelem a jádrem na procesorech AMD spolu s dalšími ochranami pro CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování.

Restartujte zařízení, aby se změny projevily.

Povolení omezení rizik pro CVE-2018-3639 (obejití spekulativního úložiště), CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování.

Restartujte zařízení, aby se změny projevily.

Zakázání omezení rizik pro CVE-2018-3639 (obejití spekulativního úložiště) A omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Ve výchozím nastavení je pro procesory AMD zakázaná ochrana mezi uživateli a jádrem pro CVE-2017-5715. Zákazníci musí povolit zmírnění rizik, aby získali další ochranu pro CVE-2017-5715.  Další informace najdete v nejčastějších dotazech č. 15 v adv180002.

Povolte ochranu mezi uživatelem a jádrem na procesorech AMD spolu s dalšími ochranami pro CVE 2017-5715 a ochranami pro CVE-2018-3639 (spekulativní obejití úložiště):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování.

Restartujte zařízení, aby se změny projevily.

Povolení omezení rizik pro ohrožení zabezpečení asynchronního přerušení transakcí intelektových rozšíření synchronizace (Intel TSX) (CVE-2019-11135) a vzorkování mikroarchitekturních dat ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu se spectrem [CVE-2017-5753 & CVE-2017-5715] a Meltdown [CVE-2017-5754] variant, včetně zákazu spekulativního obejití úložiště (SSBD) [CVE-2018-3639 ] jako chyby terminálu L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez zakázání technologie Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování.

Restartujte zařízení, aby se změny projevily.

Povolení omezení rizik pro ohrožení zabezpečení asynchronního přerušení transakcí intelektových rozšíření synchronizace (Intel TSX) (CVE-2019-11135) a vzorkování mikroarchitekturních dat ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu se spectrem [ CVE-2017-5753 & CVE-2017-5715 ] a Meltdown [ CVE-2017-5754 ] variant, včetně zákazu spekulativního obejití úložiště (SSBD) [ CVE-2018-3639 ] jako i L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ] s Hyper-Threading zakázáno:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování.

Restartujte zařízení, aby se změny projevily.

Zakázání omezení rizik pro chybu zabezpečení asynchronního přerušení transakcí Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) a vzorkování mikroarchitekturních dat ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu se spectrem [ CVE-2017-5753 & CVE-2017-5715 ] a Meltdown [ CVE-2017-5754 ] variant, včetně zákazu spekulativního obejití úložiště (SSBD) [ CVE-2018-3639 ] jako chyby terminálu L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Povolte ochranu mezi uživateli a jádrem u procesorů AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Aby zákazníci mohli být plně chráněni, možná budou muset zakázat Hyper-Threading (označované také jako SMT (Simultaneous Multi Threading).) Pokyny k ochraně zařízení s Windows najdete v článku KB4073757.

Ověření povolení ochrany

Abychom vám pomohli ověřit, jestli jsou ochrany povolené, publikovali jsme skript PowerShellu, který můžete spustit na svých zařízeních. Nainstalujte a spusťte skript pomocí jedné z následujících metod.

Nainstalujte modul PowerShellu:

PS> Install-Module SpeculationControl

Spuštěním modulu PowerShellu ověřte, že jsou povolené ochrany:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Nainstalujte modul PowerShellu z webu Technet ScriptCenter:

  1. Přejděte na https://aka.ms/SpeculationControlPS .

  2. Stáhněte SpeculationControl.zip do místní složky.

  3. Extrahujte obsah do místní složky. Příklad: C:\ADV180002

Spuštěním modulu PowerShellu ověřte, že jsou povolené ochrany:

Spusťte PowerShell a pak pomocí předchozího příkladu zkopírujte a spusťte následující příkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobné vysvětlení výstupu skriptu PowerShellu naleznete v tématu KB4074629

Časté dotazy

Aby se zabránilo nežádoucímu dopadu na zákaznická zařízení, nenabízely se všem zákazníkům aktualizace zabezpečení Windows vydané v lednu a únoru 2018. Podrobnosti naleznete v tématu KB407269 .

Mikrokód se doručuje prostřednictvím aktualizace firmwaru. Prostudujte si výrobce OEM verzi firmwaru, která obsahuje příslušnou aktualizaci pro váš počítač.

Výkon ovlivňuje několik proměnných, od verze systému až po spuštěné úlohy. U některých systémů bude výkonový efekt zanedbatelný. Pro ostatní to bude značné.

Doporučujeme posoudit vliv na výkon systémů a podle potřeby provést úpravy.

Kromě pokynů v tomto článku týkajících se virtuálních počítačů byste se měli obrátit na poskytovatele služeb a ujistit se, že hostitelé, na kterých běží vaše virtuální počítače, jsou adekvátně chráněni.

Informace o virtuálních počítačích s Windows Serverem, které běží v Azure, najdete v doprovodných pokynech ke zmírnění ohrožení zabezpečení ze strany kanálu spekulativního spouštění v Azure . Pokyny ke zmírnění tohoto problému na hostovaných virtuálních počítačích pomocí služby Azure Update Management najdete v článku KB4077467.

Aktualizace vydané pro image kontejnerů Windows Serveru pro Windows Server 2016 a Windows 10 verze 1709 zahrnují omezení rizik pro tuto sadu ohrožení zabezpečení. Nevyžaduje se žádná další konfigurace.

Poznámka Musíte se ujistit, že hostitel, na kterém jsou tyto kontejnery spuštěné, je nakonfigurovaný tak, aby povoloval příslušná omezení rizik.

Ne, na pořadí instalace nezáleží.

Ano, po aktualizaci firmwaru (mikrokódu) je nutné provést restartování a potom znovu po aktualizaci systému.

Tady jsou podrobnosti o klíčích registru:

FeatureSettingsOverride představuje rastrový obrázek, který přepíše výchozí nastavení a ovládací prvky, které omezení rizik budou zakázány. Bit 0 řídí zmírnění rizik, které odpovídá CVE-2017-5715. Bit 1 řídí zmírnění rizik, které odpovídá CVE-2017-5754. Bity jsou nastaveny na hodnotu 0 , aby bylo možné omezení rizik zmírnit, a na hodnotu 1 , aby se omezení rizik zakázalo.

FeatureSettingsOverrideMask představuje rastrovou masku, která se používá společně s FeatureSettingsOverride.  V této situaci použijeme hodnotu 3 (vyjádřenou jako 11 v binární číslici nebo číselném systému se základem 2) k označení prvních dvou bitů, které odpovídají dostupným zmírněním rizik. Tento klíč registru je nastavený na hodnotu 3 , aby bylo možné povolit nebo zakázat omezení rizik.

MinVmVersionForCpuBasedMitigations je pro hostitele Hyper-V. Tento klíč registru definuje minimální verzi virtuálního počítače, která je nutná k použití aktualizovaných funkcí firmwaru (CVE-2017-5715). Pokud chcete pokrýt všechny verze virtuálních počítačů, nastavte tuto hodnotu na verzi 1.0 . Všimněte si, že tato hodnota registru bude ignorována (neškodná) u hostitelů, kteří nejsou hostiteli Hyper-V. Další podrobnosti najdete v tématu Ochrana hostovaných virtuálních počítačů z CVE-2017-5715 (injektáž cíle větve).

Ano, pokud se tato nastavení registru použijí před instalací oprav souvisejících s lednem 2018, nebudou mít žádné vedlejší účinky.

Podrobný popis výstupu skriptu najdete v článku KB4074629: Vysvětlení výstupu skriptu PowerShellu SpeculationControl .

Ano, v případě Windows Server 2016 hostitelů Hyper-V, kteří ještě nemají k dispozici aktualizaci firmwaru, jsme publikovali alternativní pokyny, které můžou pomoct zmírnit virtuální počítač na virtuální počítač nebo virtuální počítač a hostovat útoky. Projděte si alternativní ochranu Windows Server 2016 hostitelů Hyper-V před spekulativními chybami zabezpečení kanálu na straně spuštění.

Aktualizace jen pro zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému možná budete muset nainstalovat několik aktualizací zabezpečení pro úplnou ochranu. Obecně platí, že zákazníci budou muset nainstalovat aktualizace z ledna, února, března a dubna 2018. Systémy s procesory AMD vyžadují další aktualizaci, jak je znázorněno v následující tabulce:

Verze operačního systému

Aktualizace zabezpečení

Windows 8.1, Windows Server 2012 R2

KB4338815 – měsíční kumulativní aktualizace

KB4338824 – pouze zabezpečení

Windows 7 SP1, Windows Server 2008 R2 SP1 nebo Windows Server 2008 R2 SP1 (instalace jádra serveru)

KB4284826 – měsíční kumulativní aktualizace

KB4284867 – pouze zabezpečení

Windows Server 2008 SP2

KB4340583 – aktualizace zabezpečení

Doporučujeme nainstalovat aktualizace pouze pro zabezpečení v pořadí vydání.

Poznámka: Dřívější verze těchto nejčastějších dotazů nesprávně uvedla, že únorová aktualizace zabezpečení zahrnovala opravy zabezpečení vydané v lednu. Ve skutečnosti ne.

Ne. Aktualizace zabezpečení KB4078130 byla specifická oprava, která brání nepředvídatelnému chování systému, problémům s výkonem a neočekávaným restartováním po instalaci mikrokódu. Použití aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechna tři omezení rizik. V operačních systémech Windows Server je stále nutné povolit zmírnění rizik po provedení správného testování. Další informace naleznete v tématu KB4072698.

Tento problém byl vyřešen v aktualizaci KB4093118.

V únoru 2018 společnost Intel oznámila , že dokončila ověření a začala vydávat mikrokódy pro novější procesorové platformy. Microsoft zpřístupňuje aktualizace mikrokódu ověřené intelem, které se týkají spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | injektáž cíle větve). KB4093836 uvádí konkrétní znalostní báze články podle verze systému Windows. Každý konkrétní článek znalostní báze obsahuje dostupné aktualizace mikrokódu Intel podle procesoru.

11. ledna 2018 společnost Intel oznámila problémy v nedávno vydaném mikrokódu, které měly řešit spectre varianty 2 (CVE-2017-5715 | injektáž cíle větve). Konkrétně Společnost Intel poznamenala, že tento mikrokód může způsobit "vyšší než očekávané restartování a jiné nepředvídatelné chování systému" a že tyto scénáře mohou způsobit "ztrátu nebo poškození dat."Naše zkušenost je, že nestabilita systému může za určitých okolností způsobit ztrátu nebo poškození dat. 22. ledna společnost Intel doporučila zákazníkům, aby na ovlivněné procesory přestali nasazovat aktuální verzi mikrokódu , zatímco Intel provádí další testování aktualizovaného řešení. Chápeme, že Společnost Intel pokračuje ve zkoumání potenciálního vlivu aktuální verze mikrokódu. Doporučujeme zákazníkům, aby průběžně kontrolovali své pokyny a informovali svá rozhodnutí.

Zatímco Intel testuje, aktualizuje a nasazuje nový mikrokód, zpřístupňujeme aktualizaci OOB (out-of-band) KB4078130, která konkrétně zakazuje pouze zmírnění rizik v souvislosti s CVE-2017-5715. V našem testování jsme zjistili, že tato aktualizace brání popsanému chování. Úplný seznam zařízení najdete v pokynech k revizi mikrokódu od společnosti Intel. Tato aktualizace se týká aktualizace Windows 7 Service Pack 1 (SP1), Windows 8.1 a všech verzí Windows 10 klienta i serveru. Pokud používáte ovlivněné zařízení, můžete tuto aktualizaci použít stažením z webu Katalog služby Microsoft Update. Použití této datové části konkrétně zakáže pouze omezení rizik pro CVE-2017-5715.

Od této doby neexistují žádné známé sestavy, které by naznačovaly, že tento spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") byl použit k útoku na zákazníky. V případě potřeby doporučujeme, aby uživatelé Windows znovu povolili zmírnění rizik v souvislosti s CVE-2017-5715, když Intel oznámí, že toto nepředvídatelné chování systému bylo pro vaše zařízení vyřešeno.

V únoru 2018 společnost Inteloznámila , že dokončila ověření a začala vydávat mikrokód pro novější platformy procesoru. Microsoft zpřístupňuje aktualizace mikrokódu ověřené Intelem, které souvisejí s spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | injektáž cíle větve). KB4093836 uvádí konkrétní znalostní báze články podle verze systému Windows. Seznam dostupných aktualizací mikrokódu Intel podle procesoru.

Další informace naleznete v tématu AMD Security Aktualizace and AMD White paper: Architecture Guidelines around Indirect Branch Control . Jsou k dispozici v kanálu firmwaru výrobce OEM.

Zpřístupňujeme aktualizace mikrokódu ověřené Intelem, které se týkají Spectre Variant 2 (CVE-2017-5715 – Branch Target Injection ). Aby zákazníci získali nejnovější aktualizace mikrokódu Intel prostřednictvím služba Windows Update, musí mít před upgradem na aktualizaci Windows 10 z dubna 2018 (verze 1803) na zařízeních s operačním systémem Windows 10 nainstalovaný mikrokód Intel.

Aktualizace mikrokódu je také k dispozici přímo z katalogu služby Microsoft Update, pokud nebyla na zařízení nainstalována před upgradem systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, Windows Server Update Services (WSUS) nebo katalogu služby Microsoft Update. Další informace a pokyny ke stažení naleznete v tématu KB4100347.

Projděte si části Doporučené akce a Nejčastější dotazy k  | ADV180012. Pokyny Microsoftu ke spekulativnímu obejití úložiště

Pokud chcete ověřit stav SSBD, aktualizoval se skript PowerShellu Get-SpeculationControlSettings tak, aby rozpoznal ovlivněné procesory, stav aktualizací operačního systému SSBD a stav mikrokódu procesoru( pokud je to možné). Další informace a získání skriptu PowerShellu najdete v článku KB4074629.

13. června 2018 bylo oznámeno další ohrožení zabezpečení, které zahrnuje spekulativní spouštění s bočním kanálem, označované jako Opožděné obnovení stavu daného rámcového programu, a bylo jí přiřazeno CVE-2018-3665 . Informace o této chybě zabezpečení a doporučených akcích najdete v informačním zpravodaji zabezpečení ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Poznámka Nejsou k dispozici žádná požadovaná nastavení konfigurace (registru) pro opožděné obnovení fp restore.

10. července 2018 bylo zveřejněno úložiště bcbs (Bounds Check Bypass Store) a bylo mu přiřazeno CVE-2018-3693. BCBS považujeme za součást stejné třídy ohrožení zabezpečení jako obejití kontroly hranic (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru. Pokračujeme ale ve zkoumání této třídy ohrožení zabezpečení a budeme spolupracovat s průmyslovými partnery na vydávání zmírnění rizik podle potřeby. Doporučujeme výzkumným pracovníkům, aby předkládali veškerá relevantní zjištění do programu od microsoftu speculativního programu na straně provádění, včetně všech zneužitelných instancí BCBS. Vývojáři softwaru by si měli projít pokyny pro vývojáře, které byly aktualizovány pro BCBS v pokynech pro vývojáře C++ pro spekulativní kanály na straně provádění

14. srpna 2018 bylo oznámeno selhání terminálu L1 (L1TF) a přiřazeno několik CVE. Tato nová ohrožení zabezpečení ze strany kanálu spekulativního spouštění se dají použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití by mohla vést ke zpřístupnění informací. Existuje několik vektorů, kterými by útočník mohl tato ohrožení zabezpečení aktivovat v závislosti na nakonfigurovaném prostředí. L1TF ovlivňuje procesory Intel® Core® a procesory Intel® Xeon®.

Další informace o této chybě zabezpečení a podrobném zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění ohrožení zabezpečení L1TF, najdete v následujících zdrojích informací:

Postup zakázání Hyper-Threading se liší od OEM až po výrobce OEM, ale obecně jsou součástí nástrojů pro nastavení a konfiguraci systému BIOS nebo firmwaru.

Zákazníci, kteří používají 64bitové procesory ARM, by měli kontaktovat výrobce OEM zařízení s žádostí o podporu firmwaru, protože ochrana operačního systému ARM64, která zmírňují CVE-2017-5715 | Injektáž cíle větve (Spectre, Variant 2) vyžaduje, aby se projevila nejnovější aktualizace firmwaru z OEM zařízení.

Další informace o povolení retpoline najdete v našem blogový příspěvek: Zmírnění Spectre varianty 2 s Retpoline ve Windows .

Podrobnosti o této chybě zabezpečení najdete v příručce zabezpečení společnosti Microsoft: CVE-2019-1125 | Ohrožení zabezpečení spočívající v zpřístupnění informací jádra Systému Windows

Nejsme si vědomi žádné instance tohoto ohrožení zabezpečení spočívajícího ve zpřístupnění informací, které by mělo vliv na infrastrukturu cloudových služeb.

Jakmile jsme se o tomto problému dozvěděli, rychle jsme se na něm pracovali a vydali aktualizaci. Pevně věříme v úzké partnerství s výzkumnými pracovníky i průmyslovými partnery, aby zákazníci byli bezpečnější, a až do úterý 6. srpna nepublikovali podrobnosti v souladu s postupy koordinovaného zpřístupnění ohrožení zabezpečení.

Odkazy

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Nezaručujeme přesnost těchto kontaktních údajů třetích stran.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×