Shrnutí
Tento článek bude aktualizován, jakmile bude k dispozici další informace. Pravidelně se zde informujte o aktualizacích a nových nejčastějších dotazech.
Společnost Microsoft si je vědoma nové veřejně známé třídy chyb zabezpečení, které se nazývají "spekulativní útoky na vedlejší kanály" a ovlivňují mnoho moderních procesorů, včetně procesorů Intel, AMD, VIA a ARM.
Poznámka: Tento problém se týká také jiných operačních systémů, například Android, Chrome, iOS a macOS. Proto doporučujeme zákazníkům, aby od těchto dodavatelů vyhledáváme pokyny.
Vydali jsme několik aktualizací, které by pomohly zmírnit tyto chyby zabezpečení. Také jsme podnikali kroky k zajištění našich mraků. Další podrobnosti najdete v následujících částech.
Dosud jsme neobdrželi žádné informace, které by naznačovaly, že tyto chyby zabezpečení byly použity k útoku na zákazníky. Úzce spolupracujeme s průmyslovými partnery, včetně výrobců třísek, hardwarových výrobců OEM a prodejců aplikací k ochraně zákazníků. Chcete-li získat všechny dostupné ochrany, je nutné použít firmware (mikrokód) a aktualizace softwaru. To zahrnuje mikrokód od výrobců OEM zařízení a v některých případech i pro aktualizace antivirového softwaru.
Tento článek řeší následující chyby zabezpečení:
Systém Windows Update také poskytne zmírní závažnost aplikace Internet Explorer a okraje. Tato zmírňovat rizika se budou nadále zlepšovat proti této třídě slabých míst.
Další informace o této třídě chyb zabezpečení naleznete v tématu
-
ADV180002 | Pokyny pro zmírnění spekulativních chyb vedlejších kanálů v bočních kanálech
-
ADV180012 | Návod společnosti Microsoft pro obcházení spekulativních obchodů
Aktualizováno dne 14. května 2019 14. května 2019, společnost Intel zveřejnila informace o nové podtřídě spekulativních chyb vedlejších kanálů, známých jako vzorkování Microarchitektonických dat. Byly jim přiřazeny následující CVEs:
-
CVE-2018-11091 – "odběr dat mikroarchitektury Necachovatelná paměť (MDSUM)"
-
CVE-2018-12126 – "vzorkování úložiště dat pro mikroarchitekturu (MSBDS)"
-
CVE-2018-12127 – "vzorkovací zásobník dat pro mikroarchitekturu (MFBDS)"
-
CVE-2018-12130 – "odběr dat z Mikroarchitektonického portu (MLPDS)"
Důležité Tyto problémy budou mít vliv na jiné systémy, například Android, Chrome, iOS a MacOS. Doporučujeme zákazníkům, aby od svých dodavatelů vyhledávali pokyny.
Společnost Microsoft vydala aktualizace, které pomohou tyto chyby zmírnit. Chcete-li získat všechny dostupné ochrany, je nutné použít firmware (mikrokód) a aktualizace softwaru. To může zahrnovat mikrokód od výrobců OEM zařízení. V některých případech bude instalace těchto aktualizací mít vliv na výkon. Také jsme se zachovali, abychom zajistili naše služby mraků. Důrazně doporučujeme tyto aktualizace nasadit.
Další informace o tomto problému naleznete v následujícím bulletinu o zabezpečení a pomocí pokynů na základě scénářů určete akce nezbytné ke zmírnění hrozby:
Poznámka: Před instalací jakýchkoli aktualizací pro mikrokódy doporučujeme nainstalovat všechny nejnovější aktualizace ze systému Windows Update.
U pdatse dne 6. srpna 2019 , 6. srpna 2019 Intel vydáno podrobnosti o chybě zabezpečení týkající se zpřístupnění informací jádra systému Windows. Tato chyba zabezpečení je variantou chyby zabezpečení, která se na straně tohoto spekulativního výkonu Spectre variant 1 stala, a byla mu přiřazena chyba CVE-2019-1125.
9. července 2019 byly vydány aktualizace zabezpečení pro operační systém Windows, které pomáhají tento problém zmírnit. Uvědomte si prosím, že jsme toto zmírňování veřejně zadržovala až do doby, kdy se koordinované šíření informací o průmyslu konalo v úterý, 6. srpna 2019.
Zákazníci, kteří mají systém Windows Update zapnutou a použili aktualizace zabezpečení vydané 9. července 2019 jsou automaticky chráněni. Není nutná žádná další konfigurace.
Poznámka: Tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce zařízení (OEM).
Další informace o této chybě zabezpečení a příslušných aktualizacích naleznete v Průvodci aktualizací zabezpečení společnosti Microsoft:
CVE-2019-1125 | Chyba zabezpečení umožňující zpřístupnění informací jádra systému Windows
Aktualizováno na N ovember 12, 2019 dne 12. listopadu 2019, společnost Intel publikovala technický poradnu kolem Intel® transakční rozšíření synchronizace (Intel® TSX) Chyba asynchronního přerušení transakce, která je přiřazena jako CVE-2019-11135. Společnost Microsoft vydala aktualizace, které by pomohly tuto chybu zabezpečení zmírnit a ochrana operačního systému je ve výchozím nastavení povolena pro systém Windows Server 2019, ale je ve výchozím nastavení zakázána pro systémy Windows Server 2016 a dřívější edice systému Windows Server OS.
Akce a doporučení
Zákazníci by měli v zájmu ochrany před chybami zabezpečení podniknout následující kroky:
-
Použijte všechny dostupné aktualizace operačního systému Windows včetně měsíčních aktualizací zabezpečení systému Windows.
-
Použijte příslušnou aktualizaci firmwaru (mikrokódu) poskytovanou výrobcem zařízení.
-
Vyhodnoťte riziko pro vaše prostředí na základě informací poskytnutých v informačních zpravodajích zabezpečení společnosti Microsoft: ADV180002, ADV180012, ADV190013a informace uvedené v tomto článku znalostní báze Knowledge Base.
-
Podle potřeby proveďte požadované akce pomocí informačních zpravodajů a klíčů registru, které jsou uvedeny v tomto článku znalostní báze Knowledge Base.
Poznámka: Zákazníkům na povrchu obdrží aktualizace mikrokódu prostřednictvím aktualizace systému Windows. Seznam nejnovějších aktualizací firmwaru povrchového zařízení (mikrocode) viz KB 4073065.
Nastavení potlačení pro systém Windows Server
Informační zpravodaje zabezpečení ADV180002, ADV180012a ADV190013 poskytují informace o riziku představované těmito chybami zabezpečení. Pomohou vám také identifikovat tyto chyby zabezpečení a určit výchozí stav snižující závažnost rizika pro systémy Windows Server. Následující tabulka shrnuje požadavky mikrokódu procesoru a výchozí stav zmírpožadavků na systém Windows Server.
|
Cve |
Vyžaduje mikrokód procesoru/firmware? |
Výchozí stav potlačení |
|---|---|---|
|
CVE-2017-5753 |
Ne |
Povoleno ve výchozím nastavení (bez možnosti zakázat) Další informace naleznete na ADV180002 |
|
CVE-2017-5715 |
Ano |
Ve výchozím nastavení zakázáno. Další informace a tento článek znalostní báze naleznete na ADV180002 pro příslušné nastavení klíčů registru. Poznámka: Hodnota retpoline je ve výchozím nastavení povolena pro zařízení se systémem Windows 10 1809 nebo novější, pokud je povolena možnost Spectre variant 2 ( CVE-2017-5715 ). Další informace o "retpoline" získáte po zmírnění Spectre variant 2 s retpoline na příspěvku blogu systému Windows . |
|
CVE-2017-5754 |
Ne |
Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno. Další informace získáte v ADV180002 . |
|
CVE-2018-3639 |
Intel: Ano AMD: ne |
Ve výchozím nastavení zakázáno. Další informace a tento článek znalostní báze naleznete na ADV180012 pro příslušné nastavení klíčů registru. |
|
CVE-2018-11091 |
Intel: Ano |
Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno. Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru. |
|
CVE-2018-12126 |
Intel: Ano |
Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno. Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru. |
|
CVE-2018-12127 |
Intel: Ano |
Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno. Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru. |
|
CVE-2018-12130 |
Intel: Ano |
Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno. Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru. |
|
CVE-2019-11135 |
Intel: Ano |
Windows Server 2019: ve výchozím nastavení povoleno. Windows Server 2016 a starší: ve výchozím nastavení je zakázáno. Viz CVE-2019-11135 další informace a tento článek znalostní báze Knowledge Base pro příslušné nastavení klíčů registru. |
Zákazníci, kteří chtějí získat všechny dostupné ochrany proti těmto chybám zabezpečení, musí provést změny klíčů registru, aby mohli povolit tato zmírující snížení hodnoty.
Povolení těchto zmírněním může ovlivnit výkon. Měřítko efektů výkonu závisí na několika faktorech, jako je například specifická Čipová sada ve fyzickém hostiteli a spuštěné pracovní vytížení. Doporučujeme, aby zákazníci vyhodnotili výkonnostní účinky pro jejich prostředí a udělali potřebné úpravy.
Pokud je server v jedné z následujících kategorií, je zvýšeno riziko:
-
Hostitelé Hyper-V – vyžaduje ochranu proti útokům typu VM-to-VM a typu VM-hostitel.
-
Hostitelé služby Vzdálená plocha (RDSH) – vyžaduje ochranu od jedné relace k jiné relaci nebo od útoků mezi hostiteli.
-
Fyzické hostitele nebo virtuální počítače, ve kterých je spuštěn nedůvěryhodný kód, například kontejnery nebo nedůvěryhodná rozšíření databáze, nedůvěryhodný webový obsah nebo pracovní vytížení, které spouští kód z externích zdrojů. Ty vyžadují ochranu před útoky nedůvěryhodného procesu na jiné procesy nebo mezi procesy nedůvěryhodného procesu.
Chcete-li povolit zmírění na serveru, použijte následující nastavení klíče registru a restartujte systém, aby se změny projevily.
Poznámka: Povolení zmírněním, které je vypnuto, může ovlivnit výkon. Skutečný efekt výkonu závisí na několika faktorech, jako je například specifická Čipová sada v zařízení a spuštěné pracovní zatížení.
Nastavení registru
V registru jsou uvedeny následující informace, které umožňují povolit zmírní skutečnosti, které nejsou ve výchozím nastavení povoleny, jak je uvedeno v informačních zpravodajích zabezpečení ADV180002, ADV180012a ADV190013.
Kromě toho zajišťujeme nastavení klíčů registru pro uživatele, kteří chtějí zakázat snižující závažnost rizika, která souvisejí s CVE-2017-5715 a CVE-2017-5754 pro klienty systému Windows.
Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám řeknou, jak upravit registr. Při nesprávném úpravách registru však může dojít k vážným problémům. Proto se ujistěte, že jste pečlivě dodržli tyto kroky. Z důvodu přidané ochrany před úpravami registr zálohujte. Poté můžete registr obnovit v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 jak zálohovat a obnovit registr v systému Windows
Správa snižující závažnost rizika pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)
Důležitá Poznámka Funkce retpoline je ve výchozím nastavení zapnuta na serverech Windows 10, Version 1809, pokud je povolena funkce Spectre, variant 2 ( CVE-2017-5715 ). Povolením možnosti Retpoline v nejnovější verzi systému Windows 10 můžete zvýšit výkon serverů se systémem Windows 10, verze 1809 pro Spectre variant 2, zejména u starších procesorů.
|
Chcete-li povolit zmírávky pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje. Změny se projeví až po restartování počítače. Zakázání zmírnit pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Změny se projeví až po restartování počítače. |
Poznámka: Nastavení FeatureSettingsOverrideMask na 3 je přesné pro nastavení "Povolit" i "Zakázat". (Další informace o klíčích registru naleznete v částiNejčastější dotazy .)
Správa omezení pro CVE-2017-5715 (Spectre variant 2)
|
Zakázání varianty 2: (CVE-2017-5715 "injekce cíle pobočky") : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Změny se projeví až po restartování počítače. Povolení varianty 2: (CVE-2017-5715 "injekce cíle pobočky") : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Změny se projeví až po restartování počítače. |
Pouze procesory AMD: povolit úplné omezení pro CVE-2017-5715 (Spectre variant 2)
Ve výchozím nastavení je ochrana proti jádře pro chyby zabezpečení CVE-2017-5715 pro procesory AMD CPU zakázána. Zákazníci musí v případě chyby CVE-2017-5715 umožnit, aby toto snížení mohlo získat další ochranu. Další informace naleznete v tématu FAQ #15 v ADV180002.
|
Povolit ochranu mezi uživateli a jádrem v PROCESORECH AMD spolu s dalšími ochrannými ochranou pro CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje. Změny se projeví až po restartování počítače. |
Správa snižující závažnost rizika pro CVE-2018-3639 (vynechání úložiště spekulativních obchodů), CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)
|
Chcete-li povolit snižující závažnost rizika pro CVE-2018-3639 (potlačení spekulativních obchodů), CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje. Změny se projeví až po restartování počítače. Zakázání zmírnit na CVE-2018-3639 (potlačení spekulativních obchodů) a snižující závažnost rizika pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Změny se projeví až po restartování počítače. |
Pouze procesory AMD: Povolení úplného omezení pro CVE-2017-5715 (Spectre variant 2) a CVE 2018-3639 (obcházení spekulativních obchodů)
Ve výchozím nastavení je ochrana proti jádře CVE-2017-5715 pro procesory AMD zakázána. Zákazníci musí v případě chyby CVE-2017-5715 umožnit, aby toto snížení mohlo získat další ochranu. Další informace naleznete v tématu FAQ #15 v ADV180002.
|
Povolit ochranu mezi uživateli a jádrem v PROCESORECH AMD spolu s dalšími ochrannými ochranou pro cve 2017-5715 a ochranu pro CVE-2018-3639 (bypass pro spekulativní úložiště): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje. Změny se projeví až po restartování počítače. |
Správa rozšíření transakční synchronizace Intel® (Intel® TSX) Chyba zabezpečení asynchronní přerušení transakce (CVE-2019-11135) a vzorkování dat mikroarchitektury (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754], včetně nepoužívání nezahrnující spekulativní úložiště (SSBD) [CVE-2018-3639], stejně jako terminální chyba L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646]
|
Chcete-li povolit zmírování pro rozšíření transakce Intel® Transaction synchronizace (Intel® TSX) chyby zabezpečení asynchronního přerušení (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spektre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754] varianty, včetně spekulativních Zakázání zákazu ukládání do úložiště (SSBD) [CVE-2018-3639] a stejně tak jako konečná chyba L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez zakázání technologie Hyper-Threading: reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 72/f reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru: reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizace"/v Minvmversionforcpubasedzmírations/t REG_SZ/d "1,0"/f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje. Změny se projeví až po restartování počítače. Chcete-li povolit snižující závažnost rizika pro rozšíření transakční synchronizace mezi procesorem Intel® (Intel® TSX) (CVE-2019-11135) a pro vzorkování dat mikroarchitektury ( CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) spolu s Spektre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754], včetně Nepovoleno použití nástroje pro spekulativní obchod (SSBD) [CVE-2018-3639] a rovněž chyba (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] s technologií Hyper-Threading: reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru: reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizace"/v Minvmversionforcpubasedzmírations/t REG_SZ/d "1,0"/f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje. Změny se projeví až po restartování počítače. Chcete-li zakázat oslabení zabezpečení pro rozšíření transakce Intel® transakční synchronizace (Intel® TSX), což je chyba asynchronního přerušení transakcí (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spolu s Spektre [CVE-2017-5753 & CVE-2017-5715] a zhroucení [CVE-2017-5754], včetně Zákaz použití nepro spekulativní obchod (SSBD) [CVE-2018-3639] stejně jako selhání terminálu L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 3/f reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Změny se projeví až po restartování počítače. |
Ověřování povolení ochrany
Za účelem pomoci zákazníkům ověřit, zda je ochrana povolena, vydala společnost Microsoft skript PowerShell, který mohou zákazníci spustit v jejich systémech. Nainstalujte a spusťte skript spuštěním následujících příkazů.
|
Ověřování prostředí PowerShell pomocí Galerie PowerShell (Windows Server 2016 nebo WMF 5.0/5.1) |
|
Instalace modulu PowerShell: PS> Install-Module SpeculationControl Spuštěním modulu PowerShell ověřte, zda jsou povoleny ochrany: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Ověřování prostředí PowerShell pomocí stažení z webu TechNet (starší verze operačního systému a starší verze WMF) |
|
Nainstalujte modul PowerShell z webu TechNet ScriptCenter:
Spuštěním modulu PowerShell ověřte, zda jsou povoleny ochrany: Spusťte prostředí PowerShell a pomocí předchozího příkladu zkopírujte a spusťte následující příkazy: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Podrobné vysvětlení výstupu skriptu PowerShell naleznete v článku 4074629 znalostní báze .
Časté dotazy
Nebyly mi nabídnuty aktualizace zabezpečení systému Windows vydané v lednu a únoru 2018. Co mám dělat?
Aktualizace zabezpečení systému Windows vydané v lednu a únoru 2018 nebyly nabízeny všem zákazníkům, aby se předešlo nepříznivému ovlivnění zákaznických zařízení. Další informace získáte v článku 4072699 znalostní báze Microsoft Knowledge Base .
Jak lze zjistit, zda mám správnou verzi MIKROKÓDU procesoru?
Mikrokód je dodáván prostřednictvím aktualizace firmwaru. Poraďte se s výrobcem OEM o verzi firmwaru, která má příslušnou aktualizaci pro váš počítač.
Jaké jsou účinky zmírocenění na výkon?
K dispozici je více proměnných ovlivňujících výkon od verze systému až po pracovní vytížení, které je spuštěno. U některých systémů bude účinek výkonu zanedbatelný. Pro ostatní to bude značné.
Doporučujeme posoudit vliv na výkon systému a provést potřebné úpravy.
Systém Windows Server je spuštěn v hostovaném prostředí nebo síťovém shluku jiného výrobce. Co mám dělat?
Kromě pokynů v tomto článku týkajících se virtuálních počítačů byste se měli obrátit na poskytovatele služeb a ujistit se, že hostitelé, kteří používají virtuální počítače, jsou dostatečně chráněni. V případě virtuálních počítačů se systémem Windows Server, které jsou spuštěny v Azure, viz pokyny pro zmírnění spekulativních chyb při provádění vedlejších kanálů v Azure . Pokyny pro použití správy aktualizací Azure ke zmírnění tohoto problému na serveru Host VMs naleznete v článku 4077467 znalostní báze Microsoft Knowledge Base .
Jsou zde nějaké pokyny pro kontejnerový server Windows?
Aktualizace vydané pro bitové kopie kontejnerů systému Windows Server pro systémy Windows Server 2016 a Windows 10, verze 1709, zahrnují zmírňovány na tuto sadu chyb zabezpečení. Není vyžadována žádná další konfigurace. Poznámka: Přesto je třeba se ujistit, že hostitel, ve kterém jsou tyto kontejnery spuštěny, je konfigurován tak, aby umožňoval odpovídající zmírní závažnost.
Je nutné nainstalovat software a aktualizace hardwaru v určitém pořadí?
Ne, na pořadí instalace nezáleží.
Bude více restartování?
Ano, po aktualizaci firmwaru (mikrokódu) a následně po aktualizaci systému je nutné restartovat počítač.
Můžete zadat další podrobnosti o klíčích registru?
Zde jsou podrobnosti o klíčích registru:
Featuresettingsoverride představuje bitmapu, která přepíše výchozí nastavení a řídí, které zmírňuje hodnoty. Bit 0 řídí potlačení, které odpovídá CVE-2017-5715. Bit 1 řídí potlačení, které odpovídá CVE-2017-5754. Bity jsou nastaveny na 0 , aby bylo možné zmírnit a 1 vypnout.
Featuresettingsoverridemask představuje bitmapovou masku, která se používá společně s Featuresettingsoverride. V této situaci se používá hodnota 3 (představovaná 11 v binárním číslovacím systému nebo Base 2) k označení prvních dvou bitů, které odpovídají dostupným zmírním hodnotám. Tento klíč registru je nastaven na 3 , aby bylo možné zmírnit nebo zakázat.
Minvmversionforcpubasedzmírations je pro hostitele Hyper-V. Tento klíč registru definuje minimální verzi VM, která je požadována pro použití aktualizovaných schopností firmwaru (CVE-2017-5715). Nastavte na 1,0 , aby se pokryli všechny verze VM. Všimněte si, že tato hodnota registru bude pro hostitele bez technologie Hyper-V ignorována (neškodná). Další informace naleznete v části ochrana virtuálních počítačů Guest před CVE-2017-5715 (injekce cílové větve) .
Lze nastavit klíče registru před instalací aktualizace a potom nainstalovat aktualizaci a restartovat, aby se změny projevily?
Ano, pokud je toto nastavení registru použito před instalací oprav souvisejících s 2018 z ledna, nejsou k dispozici žádné vedlejší efekty.
Můžete zadat další podrobnosti o výstupu ověřovacího skriptu PowerShell?
Další informace naleznete v podrobném popisu výstupu skriptu při pochopení výstupu skriptu PowerShell Get-Spekulationcontrolsettings .
Pokud není aktualizace firmwaru (mikrokódu) dosud k dispozici u výrobce OEM, existuje ještě způsob, jak ochránit mého hostitele Hyper-V?
Ano, pro hostitele Hyper-V systému Windows Server 2016, které ještě nemají aktualizaci firmwaru k dispozici, jsme publikovali alternativní pokyny, které by mohly usnadnit řešení VM útokům na VM nebo VM. Viz alternativní ochrana pro systém Windows Server 2016 hostitele Hyper-V proti spekulativním chybám v bočním kanálu .
Pokud jsem v pobočce pouze zabezpečení, je nutné nainstalovat aktualizace zabezpečení, aby byla chráněna před těmito chybami zabezpečení?
Aktualizace pouze pro zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému bude pravděpodobně nutné nainstalovat několik aktualizací zabezpečení pro úplnou ochranu. Obecně bude nutné, aby zákazníci nainstalovali aktualizace leden, únor, březen a duben 2018. Systémy, které mají procesory AMD, potřebují dodatečnou aktualizaci, jak je uvedeno v následující tabulce:
|
Verze operačního systému |
Aktualizace zabezpečení |
|
Windows 8,1, Windows Server 2012 R2 |
4338815-Měsíční souhrn |
|
4338824 – pouze zabezpečení |
|
|
Windows 7 SP1, Windows Server 2008 R2 SP1 nebo Windows Server 2008 R2 SP1 (instalace serverového jádra) |
4284826-Měsíční souhrn |
|
4284867 – pouze zabezpečení |
|
|
Windows Server 2008 SP2 |
4340583 – aktualizace zabezpečení |
Doporučujeme nainstalovat aktualizace zabezpečení pouze v pořadí, v jakém jsou k vydání.
Poznámka : dřívější verze tohoto FAQ nesprávně uvedla, že v únoru byla zahrnuta pouze aktualizace zabezpečení vydané v lednu. Ve skutečnosti to tak není.
Pokud uplatním některé z použitelných aktualizací zabezpečení, zakáže ochranu před CVE-2017-5715 stejným způsobem jako aktualizace zabezpečení KB 4078130?
Ne. Aktualizace zabezpečení KB 4078130 byla specifická oprava, která zabránila nepředvídatelným chováním systému, problémům s výkonem a neočekávaným restartováním po instalaci mikrokódu. Použití aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechny tři skutečnosti snižující závažnost rizika. V operačních systémech Windows Server je stále nutné povolit zmírující závažnost rizika po provedení správného testování. Další informace získáte v článku 4072698 znalostní báze Microsoft Knowledge Base .
Známý problém: někteří uživatelé mohou při 2018 instalaci aktualizace zabezpečení (KB 4088875) zaznamenat problémy s připojením k síti nebo ztratit nastavení adresy IP.
Tato otázka byla vyřešena v KB 4093118 .
Společnost Intel identifikovala problémy s restartováním, které zahrnují mikrokód u některých starších procesorů. Co mám dělat?
V únoru 2018 Intel oznámil , že dokončily ověření a začaly uvolňovat mikrokód pro novější platformy procesoru. Společnost Microsoft zpřístupní aktualizace mikrokódu ověřené Intel, které se týkají Spectre variant 2 Spectre variant 2 (CVE-2017-5715 – "injekce cíle pobočky"). KB 4093836 uvádí konkrétní články znalostní báze Microsoft Knowledge Base podle verze systému Windows. Každý konkrétní článek znalostní báze obsahuje dostupné aktualizace mikrokódu Intel od procesoru.
11. ledna 2018 Společnost Intel ohlásila problémy v nedávno uvolnaným mikrokódu, který byl určen k řešení Spectre variant 2 (CVE-2017-5715 – "injekce cílové větve"). Konkrétně společnost Intel uvedla, že tento mikrokód může způsobitvyšší než očekávané restartování a jiné nepředvídatelné chování systému a že tyto scénáře mohou způsobitztrátu nebo poškození dat. Naše zkušenost spočívá v tom, že nestabilita systému může za určitých okolností způsobit ztrátu dat nebo poškození. 22. ledna doporučil společnost Intel, aby zákazníci zastavili nasazení aktuální verze mikrokódu v ohrožených procesorech, zatímco společnost Intel provádí další testování aktualizovaného řešení. Víme, že Intel nadále prověřuje možný účinek současné verze mikrokódu. Podporujeme zákazníky, aby průběžně přezkoumali své zásady a informovali o svých rozhodnutích.
Zatímco Intel testuje, aktualizuje a nasazuje nový mikrokód, zpřístupňujeme aktualizaci OOB (out-of-band), KB 4078130 , která výslovně zakáže pouze omezení proti CVE-2017-5715. V testech byla nalezena Tato aktualizace, která zabraňuje popsanému chování. Úplný seznam zařízení naleznete v pokynech pro revizi mikrokódu od společnosti Intel. Tato aktualizace zahrnuje aktualizaci Windows 7 Service Pack 1 (SP1), Windows 8,1 a všechny verze systému Windows 10, klienta i serveru. Používáte-li ohrožené zařízení, lze tuto aktualizaci použít stažením z webu katalogu systému Microsoft Update . Použití této datové části výslovně zakáže pouze omezení proti CVE-2017-5715.
Od této doby nejsou známy žádné zprávy, které by naznačují, že tato varianta Spectre variant 2 (CVE-2017-5715 – "injekce cílové větve") byla použita k útoku na zákazníky. Doporučujeme, aby uživatelé systému Windows v případě potřeby znovu povolili řešení CVE-2017-5715, pokud společnost Intel ohlásí, že toto neočekávané chování systému bylo pro dané zařízení vyřešeno.
Slyšel jsem, že Intel vydala aktualizace mikrokódu. Kde je mohu najít?
V únoru 2018 Inteloznámil , že dokončili ověření a začali uvolňovat mikrokód pro novější platformy procesoru. Společnost Microsoft zpřístupní aktualizace mikrokódu ověřované procesorem Intel, které souvisejí se Spektre variant 2 Spectre variant 2 (CVE-2017-5715 – "injekce cíle větve"). KB 4093836 uvádí konkrétní články znalostní báze Microsoft Knowledge Base podle verze systému Windows. Seznam KBs má k dispozici aktualizace pro mikrokódy Intel procesoru.
Další informace naleznete v tématu AMD Security Updates a AMD whitepaper: Obecné zásady architektury kolem nepřímého řízení pobočky . Tyto jsou k dispozici na kanálu firmwaru OEM.
Mám spuštěný systém Windows 10 duben 2018 Update (verze 1803). Je pro mé zařízení k dispozici mikrokód Intel? Kde ji mohu najít?
Zpřístupněné aktualizace mikrokódu ověřené společností Intel, které se týkají Spectre variant 2 (CVE-2017-5715 – "injekce cíle pobočky "). Chcete-li získat nejnovější aktualizace mikrokódu společnosti Intel prostřednictvím systému Windows Update, musí mít zákazníci nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10 před upgradem na aktualizaci Windows 10 duben 2018 (verze 1803).
Aktualizace mikrokódu je také k dispozici přímo z katalogu systému Microsoft Update, pokud nebyla v zařízení nainstalována před upgradem systému. Mikrokód Intel je k dispozici prostřednictvím systému Windows Update, služby WSUS (Windows Server Update Services) nebo katalogu systému Microsoft Update. Další informace a pokyny ke stažení naleznete v článku KB 4100347 .
Kde mohu najít informace o nových chybách na straně se spekulativním výkonem na vedlejším kanálu (bypass pro spekulativních obchodů – cve-2018-3639 a registr neautorizovaných systémů – cve-2018-3640)?
Další informace naleznete v následujících zdrojích:
Kde mohu najít další informace o podpoře systému Windows pro funkci spekulativních obchodů s VYNECHÁNÍM (ssbd) v procesorech Intel?
Viz oddíl "Doporučené akce" a "časté otázky" ADV180012 | Návod společnosti Microsoft pro přemostění spekulativních obchodů .
Jak lze zjistit, zda je funkce ssbd povolena nebo zakázána?
Chcete-li ověřit stav protokolu SSBD, byl skript Get-SpekulationcontrolsettingsPowerShell aktualizován tak, aby zjišťoval ovlivněné procesory, stav aktualizací operačního systému ssbd a případně i stav mikrokódu procesoru. Další informace a získání skriptu PowerShell naleznete v KB 4074629 .
Slyšel jsem o "opožděné obnovení stavu FP" (CVE-2018-3665). Bude pro ni společnost Microsoft verze zmírňovat?
13. června 2018 byla ohlášena další chyba zabezpečení, která zahrnuje spekulativní exekuce s postranním kanálem, známá jako " líná funkce obnovení stavu FP", která byla přidělena CVE-2018-3665 . Informace o této chybě zabezpečení a doporučených akcích naleznete v tématu Security Advisory ADV180016 | Návod společnosti Microsoft pro obnovení stavu opožděné FP .
Poznámka: Pro obnovení s možností opožděného obnovení FP není vyžadováno žádné nastavení konfigurace (registru).
Slyšel jsem, že CVE-2018-3693 ("obchod pro kontrolu hranic") souvisí s Spectre. Bude pro ni společnost Microsoft verze zmírňovat?
Obchod s vynecháním hranic (BCBS) byl zveřejněn 10. července 2018 a byl přidělen CVE-2018-3693 . Podle názoru BCBS patří ke stejné třídě slabých míst jako omezení hranice (variant 1). V současné době si nejsme vědomi žádného z případů BCBS v našem softwaru. Pokračujeme v průzkumu této třídy zranitelnosti a budeme spolupracovat s partnery v oboru, abychom uvolňovat zmírňovací řešení podle potřeby. Podporujeme výzkumné pracovníky, aby předložili všechny důležité nálezy programu odměn na straně společnosti Microsoft pro spekulativní výkon, včetně všech zneužitelných instancí systému BCBS. Vývojáři softwaru by měli prostudovat pokyny pro vývojáře, které byly aktualizovány pro program BCBS v C++ Developer orientování pro spekulativní exekuce .
Slyšel jsem, že se o tom dozvěděl terminál L1 (L1TF). Kde lze najít další informace o této podpoře a podporu systému Windows?
14. srpna 2018 bylo oznámeno, že k terminálu L1 (L1TF) bylo přiřazeno více CVEs. Tyto nové spekulativní exekuce na vedlejších kanálech mohou být využity ke čtení obsahu paměti v rámci důvěryhodné hranice a pokud by byly zneužity, mohly by vést ke zpřístupnění informací. Existuje několik vektorů, podle kterých by útočník mohl tyto chyby zabezpečení spustit v závislosti na nakonfigurovaném prostředí. L1TF má vliv na procesory Intel® Core® a procesory Intel® Xeon®.
Další informace o této chybě zabezpečení a podrobné zobrazení postižených scénářů, včetně přístupu společnosti Microsoft ke zmírnění L1TF, naleznete v následujících zdrojích:
Jak v zařízení zakážete technologii Hyper-Threading pro L1TF?
Postup zakázání technologie Hyper-Threading se od výrobce OEM liší od výrobce OEM, ale obecně jsou součástí nástrojů pro nastavení a konfiguraci systému BIOS nebo firmwaru.
Kde je možné získat firmware ARM64, který zmírňuje předsunu cílové větve CVE-2017-5715 (Spectre variant 2)?
Zákazníci, kteří používají 64, by měli kontaktovat zařízení OEM pro podporu firmwaru, protože ochrana operačního systému ARM64, která zmírňují cílovou injekci typu CVE-2017-5715 -větev (Spectre, variant 2), vyžaduje nejnovější aktualizaci firmwaru od výrobců OEM zařízení, které se projeví.
Kde najdu informace o prozrazení od společnosti Intel v oblasti vzorkování dat mikroarchitektury (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130)
Další informace naleznete v následujících informačních zpravodajích zabezpečení
Kde mohu najít pokyny založené na scénáři, které slouží k určení akcí nutných ke zmírnění chyb zabezpečení vzorkování Microarchitektonickými daty?
Další pokyny lze nalézt v pokynech pro systém Windows, které chrání proti chybám zabezpečení vedlejších kanálů v bočním kanálu
Jak mohu v zařízení zakázat technologii Hyper-Threading pro MDS?
Další informace o ochraně proti spekulativním chybám v postranním kanálu naleznete v pokynech k systému Windows
Kde mohu najít vodítko pro Azure?
Pro Azure pokyny se prosím podívejte na tento článek: pokyny pro zmírnění spekulativních chyb v bočních kanálech v Azure .
Kde mohu získat další informace o Přesměrovce Retpoline na Windows 10, verze 1809?
Další informace o aktivětu Retpoline naleznete v našem příspěvku na blog: zklidňující spektrum variant 2 s Retpoline v systému Windows .
Slyšel jsem, že existuje určitá varianta chyby zabezpečení na straně, která je spekulativní na vedlejším kanálu Spectre variant 1. Kde se mohu dozvědět více?
Další informace o této chybě zabezpečení naleznete v příručce Microsoft Security Guide: CVE-2019-1125 | Chyba zabezpečení umožňující zpřístupnění informací jádra systému Windows.
Je CVE-2019-1125 | Chyba zabezpečení systému Windows pro zpřístupnění informací jádra ovlivňuje služby mraků společnosti Microsoft?
Nejsme si vědomi žádné instance této chyby zabezpečení, která by ovlivnila naši infrastrukturu cloudové služby.
Pokud aktualizace pro CVE-2019-1125 | Chyba zabezpečení týkající se zpřístupnění informací jádra systému Windows byla vydána 9. července 2019, proč byly podrobnosti zveřejněny 6. srpna 2019?
Jakmile jsme si o tomto problému uvědomili, pracovali jsme rychle na jejich řešení a vydání aktualizace. Důrazně věříme v těsné partnerství s výzkumnými pracovníky i partnery v odvětví, aby se zákazníci lépe zabezpečovali a nezveřejnily detaily až do úterý 6.
Kde lze najít pokyny založené na scénářích, které určují akce nezbytné ke zmírnění chyby zabezpečení procesoru Intel® transakční synchronizace (Intel® TSX) (CVE-2019-11135)?
Další pokyny lze nalézt v pokynech pro systém Windows, které chrání před spekulativními chybami zabezpečení vedlejších kanálů.
Je třeba v zařízení zakázat technologii Hyper-Threading pro rozšíření pro transakční synchronizaci Intel® (Intel® TSX), což je 2019-11135 chyba asynchronního přerušení transakce
Další pokyny lze nalézt v pokynech pro systém Windows, které chrání před spekulativními chybami zabezpečení vedlejších kanálů.
Lze zakázat možnost rozšíření Intel® transakční synchronizace (Intel® TSX)?
Další pokyny naleznete v pokynech pro zakázání funkce intel® transakčních synchronizace (intel® TSX).
Odkazy
Informace třetích stran – právní omezení
Produkty jiných poskytovatelů, o kterých se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.