Pokyny pro systém Windows Server k ochraně proti spekulativním chybám vedlejších kanálů v postranním kanálu

Akce a doporučení

Zákazníci by měli v zájmu ochrany před chybami zabezpečení podniknout následující kroky:

  1. Použijte všechny dostupné aktualizace operačního systému Windows včetně měsíčních aktualizací zabezpečení systému Windows.

  2. Použijte příslušnou aktualizaci firmwaru (mikrokódu) poskytovanou výrobcem zařízení.

  3. Vyhodnoťte riziko pro vaše prostředí na základě informací poskytnutých v informačních zpravodajích zabezpečení společnosti Microsoft: ADV180002, ADV180012, ADV190013a informace uvedené v tomto článku znalostní báze Knowledge Base.

  4. Podle potřeby proveďte požadované akce pomocí informačních zpravodajů a klíčů registru, které jsou uvedeny v tomto článku znalostní báze Knowledge Base.

Poznámka: Zákazníkům na povrchu obdrží aktualizace mikrokódu prostřednictvím aktualizace systému Windows. Seznam nejnovějších aktualizací firmwaru povrchového zařízení (mikrocode) viz KB 4073065.

Nastavení potlačení pro systém Windows Server

Informační zpravodaje zabezpečení ADV180002, ADV180012a ADV190013 poskytují informace o riziku představované těmito chybami zabezpečení.  Pomohou vám také identifikovat tyto chyby zabezpečení a určit výchozí stav snižující závažnost rizika pro systémy Windows Server. Následující tabulka shrnuje požadavky mikrokódu procesoru a výchozí stav zmírpožadavků na systém Windows Server.

Cve

Vyžaduje mikrokód procesoru/firmware?

Výchozí stav potlačení

CVE-2017-5753

Ne

Povoleno ve výchozím nastavení (bez možnosti zakázat)

Další informace naleznete na ADV180002

CVE-2017-5715

Ano

Ve výchozím nastavení zakázáno.

Další informace a tento článek znalostní báze naleznete na ADV180002 pro příslušné nastavení klíčů registru.

Poznámka: Hodnota retpoline je ve výchozím nastavení povolena pro zařízení se systémem Windows 10 1809 nebo novější, pokud je povolena možnost Spectre variant 2 ( CVE-2017-5715 ). Další informace o "retpoline" získáte po zmírnění Spectre variant 2 s retpoline na příspěvku blogu systému Windows .

CVE-2017-5754

Ne

Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno.

Další informace získáte v ADV180002 .

CVE-2018-3639

Intel: Ano

AMD: ne

Ve výchozím nastavení zakázáno. Další informace a tento článek znalostní báze naleznete na ADV180012 pro příslušné nastavení klíčů registru.

CVE-2018-11091

Intel: Ano

Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2018-12126

Intel: Ano

Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2018-12127

Intel: Ano

Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2018-12130

Intel: Ano

Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2019-11135

Intel: Ano

Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno.

Viz CVE-2019-11135 další informace a tento článek znalostní báze Knowledge Base pro příslušné nastavení klíčů registru.

Zákazníci, kteří chtějí získat všechny dostupné ochrany proti těmto chybám zabezpečení, musí provést změny klíčů registru, aby mohli povolit tato zmírující snížení hodnoty.

Povolení těchto zmírněním může ovlivnit výkon. Měřítko efektů výkonu závisí na několika faktorech, jako je například specifická Čipová sada ve fyzickém hostiteli a spuštěné pracovní vytížení. Doporučujeme, aby zákazníci vyhodnotili výkonnostní účinky pro jejich prostředí a udělali potřebné úpravy.

Pokud je server v jedné z následujících kategorií, je zvýšeno riziko:

  • Hostitelé Hyper-V – vyžaduje ochranu proti útokům typu VM-to-VM a typu VM-hostitel.

  • Hostitelé služby Vzdálená plocha (RDSH) – vyžaduje ochranu od jedné relace k jiné relaci nebo od útoků mezi hostiteli.

  • Fyzické hostitele nebo virtuální počítače, ve kterých je spuštěn nedůvěryhodný kód, například kontejnery nebo nedůvěryhodná rozšíření databáze, nedůvěryhodný webový obsah nebo pracovní vytížení, které spouští kód z externích zdrojů. Ty vyžadují ochranu před útoky nedůvěryhodného procesu na jiné procesy nebo mezi procesy nedůvěryhodného procesu.

Chcete-li povolit zmírění na serveru, použijte následující nastavení klíče registru a restartujte systém, aby se změny projevily.

Poznámka: Povolení zmírněním, které je vypnuto, může ovlivnit výkon. Skutečný efekt výkonu závisí na několika faktorech, jako je například specifická Čipová sada v zařízení a spuštěné pracovní zatížení.

Nastavení registru

V registru jsou uvedeny následující informace, které umožňují povolit zmírní skutečnosti, které nejsou ve výchozím nastavení povoleny, jak je uvedeno v informačních zpravodajích zabezpečení ADV180002, ADV180012a ADV190013.

Kromě toho zajišťujeme nastavení klíčů registru pro uživatele, kteří chtějí zakázat snižující závažnost rizika, která souvisejí s CVE-2017-5715 a CVE-2017-5754 pro klienty systému Windows.

Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám řeknou, jak upravit registr. Při nesprávném úpravách registru však může dojít k vážným problémům. Proto se ujistěte, že jste pečlivě dodržli tyto kroky. Z důvodu přidané ochrany před úpravami registr zálohujte. Poté můžete registr obnovit v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

322756 jak zálohovat a obnovit registr v systému Windows

Správa snižující závažnost rizika pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

Důležitá Poznámka Funkce retpoline je ve výchozím nastavení zapnuta na serverech Windows 10, Version 1809, pokud je povolena funkce Spectre, variant 2 ( CVE-2017-5715 ). Povolením možnosti Retpoline v nejnovější verzi systému Windows 10 můžete zvýšit výkon serverů se systémem Windows 10, verze 1809 pro Spectre variant 2, zejména u starších procesorů.

Chcete-li povolit zmírávky pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Zakázání zmírnit pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Poznámka: Nastavení FeatureSettingsOverrideMask na 3 je přesné pro nastavení "Povolit" i "Zakázat". (Další informace o klíčích registru naleznete v částiNejčastější dotazy .)

Správa omezení pro CVE-2017-5715 (Spectre variant 2)

Zakázání varianty 2: (CVE-2017-5715 "injekce cíle pobočky") :  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Povolení varianty 2: (CVE-2017-5715 "injekce cíle pobočky") :  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Pouze procesory AMD: povolit úplné omezení pro CVE-2017-5715 (Spectre variant 2)

Ve výchozím nastavení je ochrana proti jádře pro chyby zabezpečení CVE-2017-5715 pro procesory AMD CPU zakázána. Zákazníci musí v případě chyby CVE-2017-5715 umožnit, aby toto snížení mohlo získat další ochranu.  Další informace naleznete v tématu FAQ #15 v ADV180002.

Povolit ochranu mezi uživateli a jádrem v PROCESORECH AMD spolu s dalšími ochrannými ochranou pro CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Správa snižující závažnost rizika pro CVE-2018-3639 (vynechání úložiště spekulativních obchodů), CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

Chcete-li povolit snižující závažnost rizika pro CVE-2018-3639 (potlačení spekulativních obchodů), CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Zakázání zmírnit na CVE-2018-3639 (potlačení spekulativních obchodů) a snižující závažnost rizika pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Pouze procesory AMD: Povolení úplného omezení pro CVE-2017-5715 (Spectre variant 2) a CVE 2018-3639 (obcházení spekulativních obchodů)

Ve výchozím nastavení je ochrana proti jádře CVE-2017-5715 pro procesory AMD zakázána. Zákazníci musí v případě chyby CVE-2017-5715 umožnit, aby toto snížení mohlo získat další ochranu.  Další informace naleznete v tématu FAQ #15 v ADV180002.

Povolit ochranu mezi uživateli a jádrem v PROCESORECH AMD spolu s dalšími ochrannými ochranou pro cve 2017-5715 a ochranu pro CVE-2018-3639 (bypass pro spekulativní úložiště):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Správa rozšíření transakční synchronizace Intel® (Intel® TSX) Chyba zabezpečení asynchronní přerušení transakce (CVE-2019-11135) a vzorkování dat mikroarchitektury (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754], včetně nepoužívání nezahrnující spekulativní úložiště (SSBD) [CVE-2018-3639], stejně jako terminální chyba L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646]

Chcete-li povolit zmírování pro rozšíření transakce Intel® Transaction synchronizace (Intel® TSX) chyby zabezpečení asynchronního přerušení (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spektre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754] varianty, včetně spekulativních Zakázání zákazu ukládání do úložiště (SSBD) [CVE-2018-3639] a stejně tak jako konečná chyba L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez zakázání technologie Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizace"/v Minvmversionforcpubasedzmírations/t REG_SZ/d "1,0"/f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Chcete-li povolit snižující závažnost rizika pro rozšíření transakční synchronizace mezi procesorem Intel® (Intel® TSX) (CVE-2019-11135) a pro vzorkování dat mikroarchitektury ( CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) spolu s Spektre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754], včetně Nepovoleno použití nástroje pro spekulativní obchod (SSBD) [CVE-2018-3639] a rovněž chyba (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] s technologií Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizace"/v Minvmversionforcpubasedzmírations/t REG_SZ/d "1,0"/f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Chcete-li zakázat oslabení zabezpečení pro rozšíření transakce Intel® transakční synchronizace (Intel® TSX), což je chyba asynchronního přerušení transakcí (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spektre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754], včetně Zákaz použití nepro spekulativní obchod (SSBD) [CVE-2018-3639] stejně jako selhání terminálu L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Změny se projeví až po restartování počítače.

Ověřování povolení ochrany

Za účelem pomoci zákazníkům ověřit, zda je ochrana povolena, vydala společnost Microsoft skript PowerShell, který mohou zákazníci spustit v jejich systémech. Nainstalujte a spusťte skript spuštěním následujících příkazů.

Ověřování prostředí PowerShell pomocí Galerie PowerShell (Windows Server 2016 nebo WMF 5.0/5.1)

Instalace modulu PowerShell:

PS> Install-Module SpeculationControl

Spuštěním modulu PowerShell ověřte, zda jsou povoleny ochrany:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Ověřování prostředí PowerShell pomocí stažení z webu TechNet (starší verze operačního systému a starší verze WMF)

Nainstalujte modul PowerShell z webu TechNet ScriptCenter:

  1. Přejděte na https://aka.MS/SpeculationControlPS .

  2. Stáhněte soubor Spekulationcontrol. zip do místní složky.

  3. Extrahuje obsah do místní složky. Příklad: C:\ADV180002

Spuštěním modulu PowerShell ověřte, zda jsou povoleny ochrany:

Spusťte prostředí PowerShell a pomocí předchozího příkladu zkopírujte a spusťte následující příkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobné vysvětlení výstupu skriptu PowerShell naleznete v článku 4074629 znalostní báze .

Časté dotazy

Aktualizace zabezpečení systému Windows vydané v lednu a únoru 2018 nebyly nabízeny všem zákazníkům, aby se předešlo nepříznivému ovlivnění zákaznických zařízení. Další informace získáte v článku 4072699 znalostní báze Microsoft Knowledge Base .

Mikrokód je dodáván prostřednictvím aktualizace firmwaru. Poraďte se s výrobcem OEM o verzi firmwaru, která má příslušnou aktualizaci pro váš počítač.

K dispozici je více proměnných ovlivňujících výkon od verze systému až po pracovní vytížení, které je spuštěno. U některých systémů bude účinek výkonu zanedbatelný. Pro ostatní to bude značné.

Doporučujeme posoudit vliv na výkon systému a provést potřebné úpravy.

Kromě pokynů v tomto článku týkajících se virtuálních počítačů byste se měli obrátit na poskytovatele služeb a ujistit se, že hostitelé, kteří používají virtuální počítače, jsou dostatečně chráněni. V případě virtuálních počítačů se systémem Windows Server, které jsou spuštěny v Azure, viz pokyny pro zmírnění spekulativních chyb při provádění vedlejších kanálů v Azure . Pokyny pro použití správy aktualizací Azure ke zmírnění tohoto problému na serveru Host VMs naleznete v článku 4077467 znalostní báze Microsoft Knowledge Base .

Aktualizace vydané pro bitové kopie kontejnerů systému Windows Server pro systémy Windows Server 2016 a Windows 10, verze 1709, zahrnují zmírňovány na tuto sadu chyb zabezpečení. Není vyžadována žádná další konfigurace. Poznámka: Přesto je třeba se ujistit, že hostitel, ve kterém jsou tyto kontejnery spuštěny, je konfigurován tak, aby umožňoval odpovídající zmírní závažnost.

Ne, na pořadí instalace nezáleží.

Ano, po aktualizaci firmwaru (mikrokódu) a následně po aktualizaci systému je nutné restartovat počítač.

Zde jsou podrobnosti o klíčích registru:

Featuresettingsoverride představuje bitmapu, která přepíše výchozí nastavení a řídí, které zmírňuje hodnoty. Bit 0 řídí potlačení, které odpovídá CVE-2017-5715. Bit 1 řídí potlačení, které odpovídá CVE-2017-5754. Bity jsou nastaveny na 0 , aby bylo možné zmírnit a 1 vypnout.

Featuresettingsoverridemask představuje bitmapovou masku, která se používá společně s Featuresettingsoverride.  V této situaci se používá hodnota 3 (představovaná 11 v binárním číslovacím systému nebo Base 2) k označení prvních dvou bitů, které odpovídají dostupným zmírním hodnotám. Tento klíč registru je nastaven na 3 , aby bylo možné zmírnit nebo zakázat.

Minvmversionforcpubasedzmírations je pro hostitele Hyper-V. Tento klíč registru definuje minimální verzi VM, která je požadována pro použití aktualizovaných schopností firmwaru (CVE-2017-5715). Nastavte na 1,0 , aby se pokryli všechny verze VM. Všimněte si, že tato hodnota registru bude pro hostitele bez technologie Hyper-V ignorována (neškodná). Další informace naleznete v části ochrana virtuálních počítačů Guest před CVE-2017-5715 (injekce cílové větve) .

Ano, pokud je toto nastavení registru použito před instalací oprav souvisejících s 2018 z ledna, nejsou k dispozici žádné vedlejší efekty.

Další informace naleznete v podrobném popisu výstupu skriptu při pochopení výstupu skriptu PowerShell Get-Spekulationcontrolsettings .

Ano, pro hostitele Hyper-V systému Windows Server 2016, které ještě nemají aktualizaci firmwaru k dispozici, jsme publikovali alternativní pokyny, které by mohly usnadnit řešení VM útokům na VM nebo VM. Viz alternativní ochrana pro systém Windows Server 2016 hostitele Hyper-V proti spekulativním chybám v bočním kanálu .

Aktualizace pouze pro zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému bude pravděpodobně nutné nainstalovat několik aktualizací zabezpečení pro úplnou ochranu. Obecně bude nutné, aby zákazníci nainstalovali aktualizace leden, únor, březen a duben 2018. Systémy, které mají procesory AMD, potřebují dodatečnou aktualizaci, jak je uvedeno v následující tabulce:

Verze operačního systému

Aktualizace zabezpečení

Windows 8,1, Windows Server 2012 R2

4338815-Měsíční souhrn

4338824 – pouze zabezpečení

Windows 7 SP1, Windows Server 2008 R2 SP1 nebo Windows Server 2008 R2 SP1 (instalace serverového jádra)

4284826-Měsíční souhrn

4284867 – pouze zabezpečení

Windows Server 2008 SP2

4340583 – aktualizace zabezpečení

Doporučujeme nainstalovat aktualizace zabezpečení pouze v pořadí, v jakém jsou k vydání.

Poznámka   : dřívější verze tohoto FAQ nesprávně uvedla, že v únoru byla zahrnuta pouze aktualizace zabezpečení vydané v lednu. Ve skutečnosti to tak není.

Ne. Aktualizace zabezpečení KB 4078130 byla specifická oprava, která zabránila nepředvídatelným chováním systému, problémům s výkonem a neočekávaným restartováním po instalaci mikrokódu. Použití aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechny tři skutečnosti snižující závažnost rizika. V operačních systémech Windows Server je stále nutné povolit zmírující závažnost rizika po provedení správného testování. Další informace získáte v článku 4072698 znalostní báze Microsoft Knowledge Base .

Tato otázka byla vyřešena v KB 4093118 .

V únoru 2018 Intel oznámil , že dokončily ověření a začaly uvolňovat mikrokód pro novější platformy procesoru. Společnost Microsoft zpřístupní aktualizace mikrokódu ověřené Intel, které se týkají Spectre variant 2 Spectre variant 2 (CVE-2017-5715 – "injekce cíle pobočky"). KB 4093836 uvádí konkrétní články znalostní báze Microsoft Knowledge Base podle verze systému Windows. Každý konkrétní článek znalostní báze obsahuje dostupné aktualizace mikrokódu Intel od procesoru.

11. ledna 2018 Společnost Intel ohlásila problémy v nedávno uvolnaným mikrokódu, který byl určen k řešení Spectre variant 2 (CVE-2017-5715 – "injekce cílové větve"). Konkrétně společnost Intel uvedla, že tento mikrokód může způsobitvyšší než očekávané restartování a jiné nepředvídatelné chování systému a že tyto scénáře mohou způsobitztrátu nebo poškození dat. Naše zkušenost spočívá v tom, že nestabilita systému může za určitých okolností způsobit ztrátu dat nebo poškození. 22. ledna doporučil společnost Intel, aby zákazníci zastavili nasazení aktuální verze mikrokódu v ohrožených procesorech, zatímco společnost Intel provádí další testování aktualizovaného řešení. Víme, že Intel nadále prověřuje možný účinek současné verze mikrokódu. Podporujeme zákazníky, aby průběžně přezkoumali své zásady a informovali o svých rozhodnutích.

Zatímco Intel testuje, aktualizuje a nasazuje nový mikrokód, zpřístupňujeme aktualizaci OOB (out-of-band), KB 4078130 , která výslovně zakáže pouze omezení proti CVE-2017-5715. V testech byla nalezena Tato aktualizace, která zabraňuje popsanému chování. Úplný seznam zařízení naleznete v pokynech pro revizi mikrokódu od společnosti Intel. Tato aktualizace zahrnuje aktualizaci Windows 7 Service Pack 1 (SP1), Windows 8,1 a všechny verze systému Windows 10, klienta i serveru. Používáte-li ohrožené zařízení, lze tuto aktualizaci použít stažením z webu katalogu systému Microsoft Update . Použití této datové části výslovně zakáže pouze omezení proti CVE-2017-5715.

Od této doby nejsou známy žádné zprávy, které by naznačují, že tato varianta Spectre variant 2 (CVE-2017-5715 – "injekce cílové větve") byla použita k útoku na zákazníky. Doporučujeme, aby uživatelé systému Windows v případě potřeby znovu povolili řešení CVE-2017-5715, pokud společnost Intel ohlásí, že toto neočekávané chování systému bylo pro dané zařízení vyřešeno.

V únoru 2018 Inteloznámil , že dokončili ověření a začali uvolňovat mikrokód pro novější platformy procesoru. Společnost Microsoft zpřístupní aktualizace mikrokódu ověřované procesorem Intel, které souvisejí se Spektre variant 2 Spectre variant 2 (CVE-2017-5715 – "injekce cíle větve"). KB 4093836 uvádí konkrétní články znalostní báze Microsoft Knowledge Base podle verze systému Windows. Seznam KBs má k dispozici aktualizace pro mikrokódy Intel procesoru.

Další informace naleznete v tématu AMD Security Updates a AMD whitepaper: Obecné zásady architektury kolem nepřímého řízení pobočky . Tyto jsou k dispozici na kanálu firmwaru OEM.

Zpřístupněné aktualizace mikrokódu ověřené společností Intel, které se týkají Spectre variant 2 (CVE-2017-5715 – "injekce cíle pobočky "). Chcete-li získat nejnovější aktualizace mikrokódu společnosti Intel prostřednictvím systému Windows Update, musí mít zákazníci nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10 před upgradem na aktualizaci Windows 10 duben 2018 (verze 1803).

Aktualizace mikrokódu je také k dispozici přímo z katalogu systému Microsoft Update, pokud nebyla v zařízení nainstalována před upgradem systému. Mikrokód Intel je k dispozici prostřednictvím systému Windows Update, služby WSUS (Windows Server Update Services) nebo katalogu systému Microsoft Update. Další informace a pokyny ke stažení naleznete v článku KB 4100347 .

Viz oddíl  "Doporučené akce" a "časté otázky" ADV180012 | Návod společnosti Microsoft pro přemostění spekulativních obchodů .

Chcete-li ověřit stav protokolu SSBD, byl skript Get-SpekulationcontrolsettingsPowerShell aktualizován tak, aby zjišťoval ovlivněné procesory, stav aktualizací operačního systému ssbd a případně i stav mikrokódu procesoru. Další informace a získání skriptu PowerShell naleznete v KB 4074629 .

13. června 2018 byla ohlášena další chyba zabezpečení, která zahrnuje spekulativní exekuce s postranním kanálem, známá jako " líná funkce obnovení stavu FP", která byla přidělena CVE-2018-3665 . Informace o této chybě zabezpečení a doporučených akcích naleznete v tématu Security Advisory ADV180016 | Návod společnosti Microsoft pro obnovení stavu opožděné FP .

Poznámka: Pro obnovení s možností opožděného obnovení FP není vyžadováno žádné nastavení konfigurace (registru).

Obchod s vynecháním hranic (BCBS) byl zveřejněn 10. července 2018 a byl přidělen CVE-2018-3693 . Podle názoru BCBS patří ke stejné třídě slabých míst jako omezení hranice (variant 1). V současné době si nejsme vědomi žádného z případů BCBS v našem softwaru. Pokračujeme v průzkumu této třídy zranitelnosti a budeme spolupracovat s partnery v oboru, abychom uvolňovat zmírňovací řešení podle potřeby. Podporujeme výzkumné pracovníky, aby předložili všechny důležité nálezy programu odměn na straně společnosti Microsoft pro spekulativní výkon, včetně všech zneužitelných instancí systému BCBS. Vývojáři softwaru by měli prostudovat pokyny pro vývojáře, které byly aktualizovány pro program BCBS v C++ Developer orientování pro spekulativní exekuce .

14. srpna 2018 bylo oznámeno, že k terminálu L1 (L1TF) bylo přiřazeno více CVEs. Tyto nové spekulativní exekuce na vedlejších kanálech mohou být využity ke čtení obsahu paměti v rámci důvěryhodné hranice a pokud by byly zneužity, mohly by vést ke zpřístupnění informací. Existuje několik vektorů, podle kterých by útočník mohl tyto chyby zabezpečení spustit v závislosti na nakonfigurovaném prostředí. L1TF má vliv na procesory Intel® Core® a procesory Intel® Xeon®.

Další informace o této chybě zabezpečení a podrobné zobrazení postižených scénářů, včetně přístupu společnosti Microsoft ke zmírnění L1TF, naleznete v následujících zdrojích:

Postup zakázání technologie Hyper-Threading se od výrobce OEM liší od výrobce OEM, ale obecně jsou součástí nástrojů pro nastavení a konfiguraci systému BIOS nebo firmwaru.

Zákazníci, kteří používají 64, by měli kontaktovat zařízení OEM pro podporu firmwaru, protože ochrana operačního systému ARM64, která zmírňují cílovou injekci typu CVE-2017-5715 -větev (Spectre, variant 2), vyžaduje nejnovější aktualizaci firmwaru od výrobců OEM zařízení, které se projeví.

Další informace o ochraně proti spekulativním chybám v postranním kanálu naleznete v pokynech k systému Windows

Pro Azure pokyny se prosím podívejte na tento článek: pokyny pro zmírnění spekulativních chyb v bočních kanálech v Azure .

Další informace o aktivětu Retpoline naleznete v našem příspěvku na blog: zklidňující spektrum variant 2 s Retpoline v systému Windows .

Další informace o této chybě zabezpečení naleznete v příručce Microsoft Security Guide: CVE-2019-1125 | Chyba zabezpečení umožňující zpřístupnění informací jádra systému Windows.

Nejsme si vědomi žádné instance této chyby zabezpečení, která by ovlivnila naši infrastrukturu cloudové služby.

Jakmile jsme si o tomto problému uvědomili, pracovali jsme rychle na jejich řešení a vydání aktualizace. Důrazně věříme v těsné partnerství s výzkumnými pracovníky i partnery v odvětví, aby se zákazníci lépe zabezpečovali a nezveřejnily detaily až do úterý 6.

Odkazy

Informace třetích stran – právní omezení

Produkty jiných poskytovatelů, o kterých se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×