Poznámka: Tento článek se aktualizuje, jakmile budou k dispozici další informace. Pravidelně sem prosím kontrolujte aktualizace a nové nejčastější dotazy.
Shrnutí
Tento článek obsahuje pokyny pro novou třídu ohrožení zabezpečení z mikroarchitektury a spekulativního spouštění na straně kanálu, která ovlivňují mnoho moderních procesorů a operačních systémů. To zahrnuje Intel, AMD a ARM. Konkrétní podrobnosti o těchto ohroženích zabezpečení založených na křemíku najdete v následujících zpravodajích zabezpečení a životopisech:
-
ADV180002 | Pokyny ke zmírnění ohrožení zabezpečení na straně kanálu spekulativního spouštění
-
ADV180012 | Pokyny Microsoftu ke spekulativnímu obejití úložiště
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180016 | Pokyny Microsoftu pro opožděné obnovení stavu daného rámcového programu
-
ADV220002 | Pokyny Microsoftu k chybám zabezpečení zastaralých dat mmio procesoru Intel
Důležité informace: Tento problém se týká také jiných operačních systémů, jako je Android, Chrome, iOS a macOS. Proto doporučujeme zákazníkům vyhledat pokyny od těchto dodavatelů.
Vydali jsme několik aktualizací, které vám pomůžou tato ohrožení zabezpečení zmírnit. Podnikli jsme také kroky k zabezpečení našich cloudových služeb. Další podrobnosti najdete v následujících částech.
Zatím jsme neobdrželi žádné informace, které by naznačovaly, že tato ohrožení zabezpečení byla použita k útoku na zákazníky. Na ochraně zákazníků úzce spolupracujeme s průmyslovými partnery, včetně výrobců čipů, výrobců OEM hardwaru a dodavatelů aplikací. Pokud chcete získat veškerou dostupnou ochranu, je nutné provést aktualizace firmwaru (mikrokódu) a softwaru. Znamená to také aktualizovat mikro kód od OEM výrobců zařízení a v některých případech také aktualizaci antivirového softwaru.
Tento článek řeší následující ohrožení zabezpečení:
služba Windows Update také zajistí omezení rizik pro Internet Explorer a Edge. Tato omezení rizik budeme nadále vylepšovat v souvislosti s touto třídou ohrožení zabezpečení.
Další informace o této třídě ohrožení zabezpečení najdete v následujících tématech:
Chyby zabezpečení
14. května 2019 společnost Intel publikovala informace o nové podtřídě spekulativních ohrožení zabezpečení na straně kanálu, která se označují jako vzorkování mikroarchitektury dat. Tato ohrožení zabezpečení jsou vyřešena v následujících životopisech:
-
CVE-2019-11091 | Paměť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 | Vzorkování dat vyrovnávací paměti mikroarchitektury úložiště (MSBDS)
-
CVE-2018-12127 | Vzorkování dat vyrovnávací paměti mikroarchitektury (MFBDS)
-
CVE-2018-12130 | Vzorkování dat mikroarchitekturálního zátěžového portu (MLPDS)
Důležité informace: Tyto problémy ovlivní jiné operační systémy, jako je Android, Chrome, iOS a MacOS. Doporučujeme vám vyhledat pokyny od těchto příslušných dodavatelů.
Vydali jsme aktualizace, které vám pomůžou tato ohrožení zabezpečení zmírnit. Pokud chcete získat veškerou dostupnou ochranu, je nutné provést aktualizace firmwaru (mikrokódu) a softwaru. Může to zahrnovat mikrokódy z OEM zařízení. V některých případech bude mít instalace těchto aktualizací vliv na výkon. Také jsme se zareagovali na zabezpečení našich cloudových služeb. Důrazně doporučujeme tyto aktualizace nasadit.
Další informace o tomto problému najdete v následujícím informačním zpravodaji zabezpečení a pomocí pokynů založených na scénářích určete akce potřebné ke zmírnění hrozby:
Poznámka: Před instalací všech aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.
6. srpna 2019 společnost Intel vydala podrobnosti o ohrožení zabezpečení spočívající ve zpřístupnění informací jádra Windows. Toto ohrožení zabezpečení je variantou ohrožení zabezpečení spekulativního spuštění bočního kanálu Spectre Variant 1 a bylo jí přiřazeno CVE-2019-1125.
9. července 2019 jsme vydali aktualizace zabezpečení pro operační systém Windows, které vám pomůžou tento problém zmírnit. Upozorňujeme, že jsme toto zmírnění rizik zdokumentujeme veřejně až do zveřejnění koordinovaného odvětví v úterý 6. srpna 2019.
Zákazníci, kteří mají povolené služba Windows Update a nainstalovali aktualizace zabezpečení vydané 9. července 2019, jsou automaticky chráněni. Není nutná žádná další konfigurace.
Poznámka: Tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce zařízení (OEM).
Další informace o této chybě zabezpečení a příslušných aktualizacích najdete v příručce k aktualizacím zabezpečení společnosti Microsoft:
12. listopadu 2019 společnost Intel publikovala technické rady týkající se chyby zabezpečení asynchronního přerušení transakcí Intel TSX (Intel Transactional Synchronization Extensions), které je přiřazeno CVE-2019-11135. Vydali jsme aktualizace, které vám pomůžou toto ohrožení zabezpečení zmírnit. Ve výchozím nastavení jsou ochrany operačního systému povolené pro edice klientských operačních systémů Windows.
Dne 14. června 2022 jsme publikovali adv220002 | Pokyny Microsoftu k chybám zabezpečení zastaralých dat mmio procesoru Intel Ohrožení zabezpečení jsou přiřazena v následujících životopisech:
-
CVE-2022-21123 | Čtení dat sdílené vyrovnávací paměti (SBDR)
-
CVE-2022-21125 | Vzorkování dat sdílené vyrovnávací paměti (SBDS)
-
CVE-2022-21166 | Registrace zařízení s částečným zápisem (DRPW)
Akce a doporučení
K ochraně před těmito ohroženími zabezpečení byste měli provést následující akce:
-
Použijte všechny dostupné aktualizace operačního systému Windows, včetně měsíčních aktualizací zabezpečení systému Windows.
-
Použijte příslušnou aktualizaci firmwaru (mikrokódu), kterou poskytuje výrobce zařízení.
-
Kromě informací uvedených v tomto článku vyhodnoťte riziko pro vaše prostředí na základě informací uvedených v poradcech pro zabezpečení společnosti Microsoft ADV180002, ADV180012, ADV190013 a ADV220002.
-
Podle potřeby proveďte akci pomocí informačních zpravodajů a informací o klíči registru, které jsou uvedeny v tomto článku.
Poznámka: Zákazníci zařízení Surface obdrží aktualizaci mikrokódu prostřednictvím aktualizace Windows. Seznam nejnovějších dostupných aktualizací firmwaru zařízení Surface (mikrokód) najdete v článku KB4073065.
Nastavení omezení rizik pro klienty s Windows
Informační zpravodaje zabezpečení ADV180002, ADV180012, ADV190013 a ADV220002 poskytují informace o riziku, které představují tato ohrožení zabezpečení, a o tom, jak vám pomůžou identifikovat výchozí stav zmírnění rizik pro klientské systémy Windows. Následující tabulka shrnuje požadavek na mikrokód procesoru a výchozí stav zmírnění rizik u klientů s Windows.
|
CVE |
Vyžaduje mikrokód nebo firmware procesoru? |
Výchozí stav omezení rizik |
|---|---|---|
|
CVE-2017-5753 |
Ne |
Ve výchozím nastavení povoleno (bez možnosti zakázat) Další informace najdete v adv180002 . |
|
CVE-2017-5715 |
Ano |
Ve výchozím nastavení je povoleno. Uživatelům systémů založených na procesorech AMD by se měly zobrazit nejčastější dotazy č. 15 a uživatelům procesorů ARM by se měly zobrazit nejčastější dotazy č. 20 ve službě ADV180002 s dalšími akcemi a v tomto článku znalostní báze pro příslušná nastavení klíčů registru. Poznámka Ve výchozím nastavení je retpoline povolená pro zařízení se systémem Windows 10 verze 1809 nebo novější, pokud je povolena verze Spectre Variant 2 (CVE-2017-5715). Další informace o retpoline najdete v příspěvku na blogu o řešení problémů se spectrem 2 s retpolinem ve Windows . |
|
CVE-2017-5754 |
Ne |
Ve výchozím nastavení povoleno Další informace najdete v adv180002 . |
|
CVE-2018-3639 |
Intel: Ano |
Intel a AMD: Ve výchozím nastavení jsou zakázané. Další informace naleznete v tématu ADV180012 a v tomto článku znalostní báze pro příslušná nastavení klíče registru. ARM: Ve výchozím nastavení povoleno bez možnosti zakázat. |
|
CVE-2019-11091 |
Intel: Ano |
Ve výchozím nastavení je povoleno. Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru. |
|
CVE-2018-12126 |
Intel: Ano |
Ve výchozím nastavení je povoleno. Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru. |
|
CVE-2018-12127 |
Intel: Ano |
Ve výchozím nastavení je povoleno. Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru. |
|
CVE-2018-12130 |
Intel: Ano |
Ve výchozím nastavení je povoleno. Další informace najdete v článku ADV190013 a v tomto článku najdete příslušná nastavení klíče registru. |
|
CVE-2019-11135 |
Intel: Ano |
Ve výchozím nastavení je povoleno. Další informace najdete v cve-2019-11135 a v tomto článku najdete příslušné nastavení klíče registru. |
|
CVE-2022-21123 (součást MMIO ADV220002) |
Intel: Ano |
Windows Server 2019, Windows Server 2022: Ve výchozím nastavení je povoleno. Další informace najdete v tématu CVE-2022-21123 a v tomto článku najdete příslušná nastavení klíčů registru. |
|
CVE-2022-21125 (součást MMIO ADV220002) |
Intel: Ano |
Windows Server 2019, Windows Server 2022: Ve výchozím nastavení je povoleno. Další informace najdete v tématu CVE-2022-21125 . |
|
CVE-2022-21127 (součást MMIO ADV220002) |
Intel: Ano |
Server 2019, Windows Server 2022: Ve výchozím nastavení je povolený. Další informace najdete v tématu CVE-2022-21127 . |
|
CVE-2022-21166 (součást MMIO ADV220002) |
Intel: Ano |
Windows Server 2019, Windows Server 2022: Ve výchozím nastavení je povoleno. Další informace najdete v tématu CVE-2022-21166 . |
|
CVE-2022-23825 (záměně typu větve procesoru AMD) |
AMD: Ne |
Další informace najdete v tématu CVE-2022-23825 a v tomto článku najdete příslušné nastavení klíče registru. |
|
CVE-2022-23816 (záměně typu větve procesoru AMD) |
AMD: Ne |
Další informace najdete v tématu CVE-2022-23816a v tomto článku najdete příslušné nastavení klíče registru. |
Poznámka: Ve výchozím nastavení může povolení omezení rizik, která jsou vypnutá, ovlivnit výkon zařízení. Skutečný výkon závisí na několika faktorech, jako je konkrétní čipová sada v zařízení a spuštěné úlohy.
Nastavení registru
Poskytujeme následující informace o registru, které umožňují omezení rizik, která nejsou ve výchozím nastavení povolená, jak je popsáno v poradcích zabezpečení ADV180002 a ADV180012. Kromě toho poskytujeme nastavení klíče registru pro uživatele, kteří chtějí zakázat omezení rizik související s CVE-2017-5715 a CVE-2017-5754 pro klienty Windows.
Důležité informace: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows
Důležité informace: Ve výchozím nastavení je retpoline povolena na Windows 10 verze 1809 zařízeních, pokud je povolen Spectre varianta 2 (CVE-2017-5715). Povolení retpoline v nejnovější verzi Windows 10 může zvýšit výkon na zařízeních s Windows 10 verze 1809 pro Spectre variantu 2, zejména na starších procesorech.
|
Povolení výchozích omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. Zakázání omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Poznámka: Hodnota 3 je přesná pro FeatureSettingsOverrideMask pro nastavení "enable" i "disable". (Další podrobnosti o klíčích registru najdete v části Nejčastější dotazy.)
|
Zakázání omezení rizik pro CVE-2017-5715 (Spectre Variant 2): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. Povolení výchozích omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Ve výchozím nastavení je pro procesory AMD a ARM zakázaná ochrana mezi uživateli a jádrem pro CVE-2017-5715 . Pokud chcete získat další ochranu cve-2017-5715, musíte povolit zmírnění rizik. Další informace najdete v nejčastějších dotazech č. 15 v adv180002 pro procesory AMD a nejčastější dotazy č. 20 v ADV180002 pro procesory ARM.
|
Povolte ochranu mezi uživatelem a jádrem na procesorech AMD a ARM společně s dalšími ochranami cve 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
|
Pokud chcete povolit zmírnění rizik pro CVE-2018-3639 (obejití spekulativního úložiště), výchozí omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. Poznámka: Procesory AMD nejsou zranitelné cve-2017-5754 (Meltdown). Tento klíč registru se používá v systémech s procesory AMD k povolení výchozího omezení rizik pro CVE-2017-5715 na procesorech AMD a zmírnění rizik pro CVE-2018-3639. Zakázání omezení rizik pro CVE-2018-3639 (obejití spekulativního úložiště) *a* omezení rizik pro CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Ve výchozím nastavení je pro procesory AMD zakázaná ochrana mezi uživateli a jádrem pro CVE-2017-5715 . Zákazníci musí povolit zmírnění rizik, aby získali další ochranu pro CVE-2017-5715. Další informace najdete v nejčastějších dotazech č. 15 v adv180002.
|
Povolení ochrany mezi uživatelem a jádrem na procesorech AMD spolu s dalšími ochranami pro CVE 2017-5715 a ochranami pro CVE-2018-3639 (spekulativní obchádení úložiště): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
|
Povolení omezení rizik pro chybu zabezpečení asynchronního přerušení transakcí Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) a vzorkování mikroarchitekturálních dat ( CVE-2019-1 1091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu se spectrem (CVE-2017-5753 & CVE-2017-5715) a varianty Meltdown (CVE-2017-5754), včetně zakázaných spekulativních obejití úložiště (SSBD) (CVE-2018-3639) a chyby terminálu L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) bez zakázání technologie Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování. Restartujte zařízení, aby se změny projevily. Povolení omezení rizik pro chybu zabezpečení asynchronního přerušení transakcí Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) a vzorkování mikroarchitekturálních dat ( CVE-2019-1 1091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu se spectrem (CVE-2017-5753 & CVE-2017-5715) a varianty Meltdown (CVE-2017-5754), včetně zakázaných spekulativních obejití úložiště (SSBD) (CVE-2018-3639) a chyby terminálu L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) se zakázanými Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje použití zmírnění rizik souvisejících s firmwarem na hostiteli před spuštěním virtuálních počítačů. Proto se virtuální počítače aktualizují i po restartování. Restartujte zařízení, aby se změny projevily. Zakázání omezení rizik pro® chybu zabezpečení asynchronního přerušení transakcí Intel Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) a vzorkování mikroarchitekturálních dat ( CVE-2019-1 1091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu se spectrem (CVE-2017-5753 & CVE-2017-5715) a varianty Meltdown (CVE-2017-5754), včetně zakázaných spekulativních obejití úložiště (SSBD) (CVE-2018-3639) a chyby terminálu L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Povolte ochranu mezi uživateli a jádrem u procesorů AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Aby zákazníci mohli být plně chráněni, možná budou muset zakázat Hyper-Threading (označované také jako SMT (Simultaneous Multi Threading).) Pokyny k ochraně zařízení s Windows najdete v článku KB4073757.
Ověření povolení ochrany
Abychom vám pomohli ověřit, jestli jsou ochrany povolené, publikovali jsme skript PowerShellu, který můžete spustit na svých zařízeních. Nainstalujte a spusťte skript pomocí jedné z následujících metod.
|
Nainstalujte modul PowerShellu: PS> Install-Module SpeculationControl Spuštěním modulu PowerShellu ověřte, že jsou povolené ochrany: PS> # Uložte aktuální zásady spouštění, aby bylo možné je resetovat. PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Resetování zásad spouštění do původního stavu PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Nainstalujte modul PowerShellu z webu Technet ScriptCenter: Přejít na https://aka.ms/SpeculationControlPS Stáhněte SpeculationControl.zip do místní složky. Extrahujte obsah do místní složky, například C:\ADV180002. Spuštěním modulu PowerShellu ověřte, že jsou povolené ochrany: Spusťte PowerShell, pak (pomocí předchozího příkladu) zkopírujte a spusťte následující příkazy: PS> # Uložte aktuální zásady spouštění, aby bylo možné je resetovat. PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Resetování zásad spouštění do původního stavu PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Podrobné vysvětlení výstupu skriptu PowerShellu najdete v článku KB4074629.
Časté dotazy
Mikrokód se doručuje prostřednictvím aktualizace firmwaru. U svých procesorů (čipové sady) a výrobců zařízení byste měli zkontrolovat dostupnost příslušných aktualizací zabezpečení firmwaru pro jejich konkrétní zařízení, včetně pokynů k revizi mikrokódu Intels.
Řešení ohrožení zabezpečení hardwaru prostřednictvím aktualizace softwaru představuje významné výzvy. Omezení rizik u starších operačních systémů také vyžadují rozsáhlé změny architektury. Spolupracujeme s ovlivněnými výrobci čipů na určení nejlepšího způsobu, jak zajistit zmírnění rizik, které může být doručeno v budoucích aktualizacích.
Aktualizace pro zařízení Microsoft Surface se zákazníkům doručí prostřednictvím služba Windows Update společně s aktualizacemi operačního systému Windows. Seznam dostupných aktualizací firmwaru zařízení Surface (mikrokód) najdete v článku KB4073065.
Pokud vaše zařízení není od Microsoftu, použijte firmware od výrobce zařízení. Další informace získáte od výrobce zařízení OEM.
V únoru a březnu 2018 vydal Microsoft přidanou ochranu pro některé systémy s procesorem x86. Další informace naleznete v článku KB4073757 a Poradce pro zabezpečení společnosti Microsoft ADV180002.
Aktualizace Windows 10 pro HoloLens jsou zákazníkům HoloLens k dispozici prostřednictvím služba Windows Update.
Po použití aktualizace Zabezpečení Windows z února 2018 nemusí zákazníci HoloLens provádět žádnou další akci, aby mohli aktualizovat firmware zařízení. Tato omezení rizik budou také zahrnuta ve všech budoucích verzích Windows 10 pro HoloLens.
Ne. Pouze aktualizace zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému, kterou používáte, budete muset nainstalovat všechny měsíční aktualizace zabezpečení, které budou chráněny před těmito ohroženími zabezpečení. Pokud například používáte Systém Windows 7 pro 32bitové systémy na ovlivněném procesoru Intel, musíte nainstalovat všechny aktualizace pouze zabezpečení. Doporučujeme nainstalovat tyto aktualizace pouze zabezpečení v pořadí vydání.
Poznámka Dřívější verze těchto nejčastějších dotazů nesprávně uvedla, že únorová aktualizace zabezpečení zahrnovala opravy zabezpečení vydané v lednu. Ve skutečnosti ne.
Ne. 4078130 aktualizace zabezpečení byla konkrétní oprava, která po instalaci mikrokódu bránila nepředvídatelnému chování systému, problémům s výkonem a/nebo neočekávaným restartováním. Použití únorových aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechna tři omezení rizik.
Společnost Intel nedávno oznámila , že dokončila ověření a začala vydávat mikrokód pro novější procesorové platformy. Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel kolem spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 uvádí konkrétní články znalostní báze Knowledge Base podle verze systému Windows. Každá konkrétní znalostní báze obsahuje dostupné aktualizace mikrokódu Intel podle procesoru.
Tento problém byl vyřešen v aktualizaci KB4093118.
Amd nedávno oznámil, že začal vydávat mikrokód pro novější platformy procesoru kolem Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Další informace najdete v dokumentu white paper o zabezpečení AMD Aktualizace a AMD: Pokyny k architektuře týkající se nepřímého řízení větví. Jsou k dispozici v kanálu firmwaru výrobce OEM.
Zpřístupňujeme aktualizace mikrokódu ověřené intelem kolem Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Aby zákazníci získali nejnovější aktualizace mikrokódu Intel prostřednictvím služba Windows Update, musí mít před upgradem na aktualizaci Windows 10 z dubna 2018 (verze 1803) na zařízeních s operačním systémem Windows 10 nainstalovaný mikrokód Intel.
Aktualizace mikrokódu je také k dispozici přímo z katalogu, pokud nebyla na zařízení nainstalována před upgradem operačního systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, služby WSUS nebo katalogu služby Microsoft Update. Další informace a pokyny ke stažení naleznete v tématu KB4100347.
Další informace najdete v následujících zdrojích informací:
Podrobnosti najdete v částech Doporučené akce a Nejčastější dotazy ve službě ADV180012 | Pokyny Microsoftu ke spekulativnímu obejití úložiště
Pokud chcete ověřit stav SSBD, aktualizoval se skript Get-SpeculationControlSettings PowerShellu tak, aby rozpoznal ovlivněné procesory, stav aktualizací operačního systému SSBD a stav mikrokódu procesoru, pokud je to možné. Další informace a získání skriptu PowerShellu najdete v článku KB4074629.
13. června 2018 bylo oznámeno další ohrožení zabezpečení týkající se spekulativního spouštění s bočním kanálem, označovaného jako Opožděné obnovení stavu daného daného rámcového programu, a bylo jí přiřazeno CVE-2018-3665. Pro obnovení fp s opožděnou obnovou nejsou nutná žádná nastavení konfigurace (registru).
Další informace o této chybě zabezpečení a doporučených akcích najdete v poradci pro zabezpečení ADV180016 | Pokyny společnosti Microsoft pro opožděné obnovení stavu daného daného rámcového programu
Poznámka: Pro obnovení fp s opožděnou obnovou nejsou nutná žádná nastavení konfigurace (registru).
10. července 2018 bylo zveřejněno úložiště bcbs (Bounds Check Bypass Store) a bylo mu přiřazeno CVE-2018-3693. BCBS považujeme za součást stejné třídy ohrožení zabezpečení jako obejití kontroly hranic (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru, ale pokračujeme ve zkoumání této třídy ohrožení zabezpečení a budeme spolupracovat s průmyslovými partnery na vydávání zmírnění rizik podle potřeby. Nadále doporučujeme výzkumným pracovníkům, aby předkládali všechna relevantní zjištění do programu od Microsoftu pro spekulativní provádění na straně kanálu, včetně všech zneužitelných instancí BCBS. Vývojáři softwaru by si měli projít pokyny pro vývojáře, které byly aktualizovány pro BCBS na https://aka.ms/sescdevguide.
14. srpna 2018 bylo oznámeno selhání terminálu L1 (L1TF) a přiřazeno několik CVE. Tato nová ohrožení zabezpečení ze strany kanálu spekulativního spouštění se dají použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití může vést ke zpřístupnění informací. Útočník by mohl tato ohrožení zabezpečení aktivovat prostřednictvím více vektorů v závislosti na nakonfigurovaných prostředích. L1TF ovlivňuje procesory Intel® Core® a procesory Intel® Xeon®.
Další informace o této chybě zabezpečení a podrobném zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění ohrožení zabezpečení L1TF, najdete v následujících zdrojích informací:
Zákazníci, kteří používají 64bitové procesory ARM, by měli u výrobce OEM zařízení zkontrolovat podporu firmwaru, protože ochrana operačního systému ARM64, která zmírňují CVE-2017-5715 | Injektáž cíle větve (Spectre, Variant 2) vyžaduje, aby se projevila nejnovější aktualizace firmwaru z OEM zařízení.
Další informace najdete v následujících zpravodajích zabezpečení.
Další informace najdete v následujících zpravodajích zabezpečení.
Informace o ochraně před spekulativními chybami zabezpečení na straně kanálu pro spouštění najdete v doprovodných pokynech pro Windows.
Pokyny k Azure najdete v tomto článku: Pokyny ke zmírnění ohrožení zabezpečení ze strany kanálu spekulativního spouštění v Azure.
Další informace o povolení retpoline najdete v našem blogový příspěvek: Zmírnění spectre varianty 2 s Retpoline ve Windows.
Podrobnosti o této chybě zabezpečení najdete v příručce zabezpečení společnosti Microsoft: CVE-2019-1125 | Ohrožení zabezpečení spočívající v zpřístupnění informací jádra Systému Windows
Nejsme si vědomi žádné instance tohoto ohrožení zabezpečení spočívajícího ve zpřístupnění informací, které by mělo vliv na infrastrukturu cloudových služeb.
Jakmile jsme se o tomto problému dozvěděli, rychle jsme se na něm pracovali a vydali aktualizaci. Pevně věříme v úzké partnerství s výzkumnými pracovníky i průmyslovými partnery, aby zákazníci byli bezpečnější, a až do úterý 6. srpna nepublikovali podrobnosti v souladu s postupy koordinovaného zpřístupnění ohrožení zabezpečení.
Další pokyny najdete v pokynech k zakázání® funkce Intel Transactional Synchronization Extensions (Intel® TSX).
Odkazy
Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Nezaručujeme přesnost těchto kontaktních údajů třetích stran.
