Akce a doporučení

Zákazníci by měli k ochraně před chybami zabezpečení provádět následující akce:

  1. Použijte všechny dostupné Windows operačního systému, včetně měsíčních aktualizací Windows zabezpečení.

  2. Použijte příslušnou aktualizaci firmwaru (mikrokódu), kterou poskytl výrobce zařízení.

  3. Vyhodnoťte rizika pro vaše prostředí na základě informací, které jsou k dispozici v poradách zabezpečení společnosti Microsoft: ADV180002, ADV180012, ADV190013a informací uvedených v tomto článku znalostní báze Knowledge Base.

  4. Podle potřeby udělejte akci pomocí poradců a informací o klíči registru, které jsou uvedené v tomto článku znalostní báze Knowledge Base.

PoznámkaZákazníci surface obdrží prostřednictvím aktualizace mikrokódu Windows aktualizaci. Seznam nejnovějších aktualizací firmwaru zařízení Surface (mikrokódu) najdete v článku Kb 4073065.

Omezení Nastavení pro Windows Server

Poradce pro zabezpečení ADV180002, ADV180012a ADV190013 poskytují informace o riziku, které představují tyto chyby zabezpečení.  Pomáhají také identifikovat tyto chyby zabezpečení a určit výchozí stav zmírnění rizik pro Windows Server. Následující tabulka shrnuje požadavek mikrokódu procesoru a výchozí stav zmírnění rizik na Windows Serveru.

CVE

Vyžaduje mikrokód/firmware procesoru?

Omezení výchozího stavu

CVE-2017-5753

Ne

Ve výchozím nastavení povoleno (bez možnosti zakázat)

Další informace najdete v článku ADV180002.

CVE-2017-5715

Ano

Ve výchozím nastavení je zakázané.

Další informace najdete v článku ADV180002 a v tomto článku znalostní báze o příslušných nastaveních klíčů registru.

Poznámka: Funkce "Retpoline" je ve výchozím nastavení povolená pro zařízení s Windows 10 1809 nebo novějším, pokud je povolena možnost Spectre Variant 2 (CVE-2017-5715). Další informace najdete v článku Retpoline (Retpoline) v článku Mitigating Spectre variant 2 with Retpoline on Windows blog post (Mitigating Spectre variant 2 with Retpoline on Windows blog post).

CVE-2017-5754

Ne

Windows Server 2019, Windows Server 2022: Ve výchozím nastavení povoleno.
Windows Server 2016 a starší: Ve výchozím nastavení je zakázané.

Další informace najdete v článku ADV180002.

CVE-2018-3639

Intel: Ano

AMD: Ne

Ve výchozím nastavení je zakázané. Další informace najdete v článku ADV180012 a v tomto článku znalostní báze o příslušných nastaveních klíčů registru.

CVE-2018-11091

Intel: Ano

Windows Server 2019, Windows Server 2022: Ve výchozím nastavení povoleno.
Windows Server 2016 a starší: Ve výchozím nastavení je zakázané.

Další informace najdete v článku ADV190013 a v tomto článku znalostní báze o příslušných nastaveních klíčů registru.

CVE-2018-12126

Intel: Ano

Windows Server 2019, Windows Server 2022: Ve výchozím nastavení povoleno.
Windows Server 2016 a starší: Ve výchozím nastavení je zakázané.

Další informace najdete v článku ADV190013 a v tomto článku znalostní báze o příslušných nastaveních klíčů registru.

CVE-2018-12127

Intel: Ano

Windows Server 2019, Windows Server 2022: Ve výchozím nastavení povoleno.
Windows Server 2016 a starší: Ve výchozím nastavení je zakázané.

Další informace najdete v článku ADV190013 a v tomto článku znalostní báze o příslušných nastaveních klíčů registru.

CVE-2018-12130

Intel: Ano

Windows Server 2019, Windows Server 2022: Ve výchozím nastavení povoleno.
Windows Server 2016 a starší: Ve výchozím nastavení je zakázané.

Další informace najdete v článku ADV190013 a v tomto článku znalostní báze o příslušných nastaveních klíčů registru.

CVE-2019-11135

Intel: Ano

Windows Server 2019, Windows Server 2022: Ve výchozím nastavení povoleno.
Windows Server 2016 a starší: Ve výchozím nastavení je zakázané.

Další informace najdete v článku CVE-2019-11135 a v tomto článku znalostní báze, ve které najdete příslušná nastavení klíče registru.

Zákazníci, kteří chtějí získat všechny dostupné ochrany proti těmto chybám zabezpečení, musí provést změny klíče registru, aby tato omezení, která jsou ve výchozím nastavení zakázaná, povolují.

Povolení těchto omezení může mít vliv na výkon. Rozsah efektů výkonu závisí na několika faktorech, jako je konkrétní čipová sada ve fyzickém hostiteli a spuštěné úlohy. Doporučujeme zákazníkům vyhodnotit vlivy výkonu pro jejich prostředí a provést potřebné úpravy.

Váš server je ohrožený vyšším rizikem, pokud je v jedné z následujících kategorií:

  • Hostitelé Hyper-V – vyžaduje ochranu pro útoky mezi virtuálními počítači a virtuálními počítači a hostiteli.

  • Hostitelé služby Vzdálená plocha (RDSH) – Vyžaduje ochranu mezi relacemi nebo útoky mezi relacemi.

  • Fyzické hostitele nebo virtuální počítače s nedůvěryhodným kódem, jako jsou kontejnery nebo nedůvěryhodná rozšíření pro databázi, nedůvěryhodný webový obsah nebo úlohy, které spouštěly kód z externích zdrojů. Tyto útoky vyžadují ochranu před nedůvěryhodnými útoky procesu na jiný proces nebo nedůvěryhodnými útoky mezi procesy a jádry.

Pomocí následujícího nastavení klíče registru povolte zmírnění rizik na serveru a restartujte systém, aby se změny projeví.

PoznámkaPovolení omezení rizik, která jsou ve výchozím nastavení vypnutá, může mít vliv na výkon. Skutečný výkonový efekt závisí na několika faktorech, jako je konkrétní čipová sada v zařízení a spuštěné úlohy.

Nastavení registru

Poskytujeme následující informace registru, které umožňují zmírnění rizik, která nejsou ve výchozím nastavení povolená, jak je uvedená v článku Poradce pro zabezpečení ADV180002, ADV180012a ADV190013.

Kromě toho poskytujeme nastavení klíče registru pro uživatele, kteří chtějí zakázat omezení rizik související s CHYBOU 2017–5715 a chybou CVE-2017-5754 pro Windows klienty.

Důležité Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

322756 Postup zálohování a obnovení registru v systému Windows

Správa zmírňujících rizik pro CHYBY ZABEZPEČENÍ (CVE-2017-5715) (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

Důležitá poznámka Funkce Retpoline je ve výchozím nastavení povolená na Windows 10 verze 1809, pokud je povolená možnost Spectre, varianta 2 (CVE-2017-5715). Povolení funkce Retpoline v nejnovější verzi Windows 10 může zvýšit výkon na serverech se systémem Windows 10 verze 1809 spectre variant 2, zejména na starších procesorech.

Povolení zmírňování rizik pro CHYBU PODSOUVÁNÍ-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny virtuální počítače. To umožňuje, aby se zmírnění rizik souvisejících s firmwarem použilo na hostiteli před tím, než se virtuální počítače schytá. Proto se virtuální počítače aktualizují i po restartování.

Aby se změny projeví, restartujte počítač.

Zakázání zmírňování rizik pro CHYBU PODSOUVÁNÍ-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Aby se změny projeví, restartujte počítač.


Poznámka: Nastavení funkce FeatureSettingsOverrideMask na hodnotu 3 je přesné pro nastavení "povolit" i "zakázat". (Další podrobnosti oklíčích registru najdete v části Časté otázky.)

Správa zmírňování rizik pro CHYBU ZABEZPEČENÍ VI.2017-5715 (Spectre Variant 2)

Zakázání funkce Variant 2: (CVE-2017-5715 "Branch Target Injection") ke zmírnění:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Aby se změny projeví, restartujte počítač.

Povolení funkce Variant 2: (CVE-2017-5715 "Branch Target Injection") ke zmírnění:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Aby se změny projeví, restartujte počítač.

Jenom procesory AMD: Povolte úplné zmírňování rizik v případě chyby CVE-2017-5715 (Spectre Variant 2)

Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro procesory AMD zakázaná pro procesory AMD. Zákazníci musí povolit, aby ke zmírnění rizik došly další ochrany pro chybu CVE-2017-5715.  Další informace najdete v článku Časté otázky #15 v adv180002.

Povolte ochranu mezi uživateli a jádrem na procesorech AMD a další ochrany pro chybu CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny virtuální počítače. To umožňuje, aby se zmírnění rizik souvisejících s firmwarem použilo na hostiteli před tím, než se virtuální počítače schytá. Proto se virtuální počítače aktualizují i po restartování.

Aby se změny projeví, restartujte počítač.

Správa zmírňujících rizik pro CHYBU ZABEZPEČENÍ (CVE-2018-3639) (obcházení spekulativního úložiště), CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

Chcete-li povolit zmírnění rizik pro chybu ZABEZPEČENÍ (CVE-2018-3639) (obcházení spekulativního úložiště), CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny virtuální počítače. To umožňuje, aby se zmírnění rizik souvisejících s firmwarem použilo na hostiteli před tím, než se virtuální počítače schytá. Proto se virtuální počítače aktualizují i po restartování.

Aby se změny projeví, restartujte počítač.

Zakázání zmírňování rizik pro chybu zabezpečení CVE-2018-3639 (obcházení spekulativních skladů) AND pro chyby zabezpečení CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Aby se změny projeví, restartujte počítač.

Jenom procesory AMD: Povolte úplné zmírňování rizik pro CHYBU ZABEZPEČENÍ (CVE-2017-5715) (Spectre Variant 2) a CVE 2018-3639 (Bypass pro spekulativní úložiště)

Ve výchozím nastavení je pro procesory AMD pro procesory AMD zakázána ochrana mezi uživateli a jádry pro chybu CVE-2017-5715. Zákazníci musí povolit, aby ke zmírnění rizik došly další ochrany pro chybu CVE-2017-5715.  Další informace najdete v článku Časté otázky #15 v adv180002.

Povolení ochrany mezi uživateli a jádrem u procesorů AMD spolu s dalšími ochranami pro chybu CVE 2017-5715 a ochranou pro chybu CVE-2018-3639 (Obcházení spekulativního úložiště):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny virtuální počítače. To umožňuje, aby se zmírnění rizik souvisejících s firmwarem použilo na hostiteli před tím, než se virtuální počítače schytá. Proto se virtuální počítače aktualizují i po restartování.

Aby se změny projeví, restartujte počítač.

Správa chyby zabezpečení asynchronního přerušení transakce Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) a vzorkování mikroarchitekturních dat (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) spolu s variantami Spectre [ CVE-2017-5753 & CVE-2017-5715 ] a Meltdown [ CVE-2017-5754 ] včetně funkce SSBD (Zrcadlový obchvat úložiště) [ CVE-2018-3639 ] a L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ]

Povolení zmírnění rizik pro chyby zabezpečení asynchronního přerušení transakce Intel® Transactional Synchronization Extensions (Intel® TSX)(CVE-2019-11135)a Mikroarchitekturní vzorkování dat(CVE-2018-11091,CVE-2018-12126,CVE-2 018-12127, CVE-2018-12130) spolu s variantamiSpectre [CVE-2017-5753 & CVE-2017-5715] a Meltdown [CVE-2017-5754], včetně funkce SSBD (Přemostění spekulativního úložiště) [CVE-2018-3639 ] stejně jako L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez zakázání technologie Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny virtuální počítače. To umožňuje, aby se zmírnění rizik souvisejících s firmwarem použilo na hostiteli před tím, než se virtuální počítače schytá. Proto se virtuální počítače aktualizují i po restartování.

Aby se změny projeví, restartujte počítač.

Povolení zmírnění rizik pro chyby zabezpečení asynchronního přerušení transakce Intel® Transactional Synchronization Extensions (Intel® TSX)(CVE-2019-11135)a Mikroarchitekturní vzorkování dat(CVE-2018-11091,CVE-2018-12126, CVE-11091, CVE-2018-121262018-12127, CVE-2018-12130) spolu sespectre [ CVE-2017-5753 & CVE-2017-5715 ] a Meltdown [ CVE-2017-5754 ] varianty, včetně funkce SSBD (Přemostění spekulativního úložiště) [ CVE-2018-3639 ] stejně jako L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ] se zakázaným Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny virtuální počítače. To umožňuje, aby se zmírnění rizik souvisejících s firmwarem použilo na hostiteli před tím, než se virtuální počítače schytá. Proto se virtuální počítače aktualizují i po restartování.

Aby se změny projeví, restartujte počítač.

Zakázání zmírnění rizik pro chyby zabezpečení asynchronního přerušení transakce Intel® Transactional Synchronization Extensions (Intel® TSX)(CVE-2019-11135)a Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-11091, CVE-2018-12126, CVE-2018-12126 2018-12127 , CVE-2018-12130) spolu sespectre [ CVE-2017-5753 & CVE-2017-5715 ] a Meltdown [ CVE-2017-5754 ] varianty, včetně funkce SSBD (Přemostění úložiště spekulativních dat) [ CVE-2018-3639 ] a také L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Aby se změny projeví, restartujte počítač.

Ověření, jestli jsou povolené ochrany

Microsoft publikoval skript PowerShellu, který zákazníci můžou na svých systémech spouštět, aby zákazníkům pomohli ověřit, jestli jsou povolené ochrany. Nainstalujte a spusťte skript spuštěním následujících příkazů.

Ověření PowerShellu pomocí Galerie PowerShellu (Windows Server 2016 nebo WMF 5.0/5.1)

Nainstalujte modul PowerShellu:

PS> Install-Module SpeculationControl

Spusťte modul PowerShellu a ověřte, jestli jsou povolené ochrany:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Ověření PowerShellu pomocí stažení z Webu Technet (starší verze operačního systému a starší verze WMF)

Nainstalujte modul PowerShellu z Webu Technet ScriptCenter:

  1. Přejděte na https://aka.ms/SpeculationControlPS .

  2. Stáhněte SpeculationControl.zip do místní složky.

  3. Extrahujte obsah do místní složky. Příklad: C:\ADV180002

Spusťte modul PowerShellu a ověřte, jestli jsou povolené ochrany:

Spusťte PowerShell a potom pomocí předchozího příkladu zkopírujte a spusťte následující příkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Podrobné vysvětlení výstupu skriptu PowerShellu najdete v článku znalostní báze Knowledge Base 4074629

Časté dotazy

Aby se zabránilo nepříznivým vlivům na zákaznická zařízení, Windows aktualizace zabezpečení vydané v lednu a únoru 2018 nenabízely všem zákazníkům. Podrobnosti najdete v článku znalostní báze Microsoft Knowledge Base 4072699 .

Mikrokód se dodává prostřednictvím aktualizace firmwaru. Obraťte se na výrobce OEM o verzi firmwaru, která má příslušnou aktualizaci pro váš počítač.

Existuje několik proměnných, které mají vliv na výkon, od systémové verze až po spuštěné úlohy. U některých systémů bude výkonový efekt zanedbatelný. Pro ostatní to bude hodně.

Doporučujeme, abyste posoudili vlivy výkonu na vaše systémy a podle potřeby udělaly potřebné úpravy.

Kromě pokynů v tomto článku týkajících se virtuálních počítačů byste se měli obrátit na poskytovatel metadat a ujistit se, že hostitelé, na kterých běží vaše virtuální počítače, jsou přiměřeně chráněni.

Informace Windows serverových virtuálních počítačů, které běží v Azure, najdete v tématu Pokyny ke zmírnění chyb zabezpečení spekulativního spuštění na straně kanálu v Azure . Pokyny k použití Azure Update Managementu ke zmírnění tohoto problému na hostované virtuální počítače najdete v článku znalostní báze Microsoft Knowledge Base 4077467 .

Aktualizace vydané pro bitové kopie kontejnerů Windows Server pro Windows Server 2016 a Windows 10, verze 1709 zahrnují omezení rizik pro tuto sadu chyb zabezpečení. Nevyžaduje se žádná další konfigurace.

Poznámka: Pořád se musíte ujistit, že hostitel, na kterém jsou tyto kontejnery spuštěné, je nakonfigurovaný tak, aby povoloval odpovídající omezení rizik.

Ne, na objednávce instalace nezáleží.

Ano, musíte restartovat po aktualizaci firmwaru (mikrokódu) a potom znovu po aktualizaci systému.

Tady jsou podrobnosti o klíčích registru:

FeatureSettingsOverride představuje rastrový obrázek, který přepíše výchozí nastavení a řídí, které omezení budou zakázána. Bit 0 určuje zmírnění, které odpovídá 2017-5715. Bit 1 určuje zmírnění, které odpovídá 2017-5754. Bity jsou nastavené na hodnotu 0, aby bylo možné zmírnění rizik povolit, a na hodnotu 1.

FeatureSettingsOverrideMask představuje rastrovou masku, která se používá společně s funkcí FeatureSettingsOverride.  V této situaci používáme hodnotu 3 (vyjádřenou jako 11 v binárním číselném nebo dvojčíslítkovém systému) k označení prvních dvou bitů, které odpovídají dostupným omezením. Tento klíč registru je nastavený na hodnotu 3, aby bylo možné tato omezení povolit nebo zakázat.

MinVmVersionForCpuBasedMitigations je pro hostitele Hyper-V. Tento klíč registru definuje minimální verzi virtuálního počítače, která je potřebná k použití aktualizovaných funkcí firmwaru (CVE-2017-5715). Nastavte tuto možnost na 1.0 tak, aby pokryje všechny verze virtuálních počítače. Všimněte si, že tato hodnota registru bude u hostitelů bez technologie Hyper-V ignorována (neškodná). Další informace najdete v tématu Ochrana virtuálních počítačů hosta před chybou CVE-2017-5715 (injekcí cílové větve).

Ano, pokud se tato nastavení registru použijí před instalací oprav souvisejících s lednem 2018, nejsou žádné vedlejší účinky.

Podrobný popis výstupu skriptu najdete v tématu Principy Get-SpeculationControlSettings výstupu skriptu PowerShellu.

Ano, u hostitelů Windows Server 2016 Hyper-V, kteří ještě nemají k dispozici aktualizaci firmwaru, jsme publikovali alternativní pokyny, které můžou pomoct zmírnit útoky virtuálního počítače na virtuální počítač nebo virtuální počítač. Další informace najdete v tématu Alternativní Windows Server 2016 pro hostitele Hyper-V před chybami zabezpečení na straně kanálu s spekulativním prováděním .

Pouze aktualizace zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému budete možná muset nainstalovat několik aktualizací zabezpečení, abyste měli úplnou ochranu. Obecně platí, že zákazníci si budou muset nainstalovat aktualizace z ledna, února, března a dubna 2018. Systémy s procesory AMD potřebují další aktualizaci, jak je znázorněno v následující tabulce:

Verze operačního systému

Aktualizace zabezpečení

Windows 8.1, Windows Server 2012 R2

4338815 – měsíční kumulativní aktualizace

4338824 – pouze zabezpečení

Windows 7 SP1, Windows Server 2008 R2 SP1 nebo Windows Server 2008 R2 SP1 (instalace Server Core)

4284826 – měsíční kumulativní aktualizace

4284867 – pouze zabezpečení

Windows Server 2008 SP2

4340583 – aktualizace zabezpečení

Doporučujeme nainstalovat aktualizace Pouze zabezpečení v pořadí vydání.

Poznámka:   Starší verze těchto častých otázek nesprávně uvedla, že únorová aktualizace Zabezpečení pouze zahrnovala opravy zabezpečení vydané v lednu. Ve skutečnosti ne.

Ne. Aktualizace zabezpečení kb 4078130 byla konkrétní oprava, která zabránila nepředvídatelnému chování systému, problémům s výkonem a neočekávaným restartováním po instalaci mikrokódu. Použití aktualizací zabezpečení v Windows klientských operačních systémech umožňuje všechny tři omezení. V Windows serverových operačních systémech budete muset zmírnění rizik povolit i po provedení správného testování. Další informace najdete v článku znalostní báze Microsoft Knowledge Base 4072698 .

Tento problém byl vyřešen v článku KB 4093118 .

V únoru 2018 Intel oznámil, že dokončil ověření a začal vypouštět mikrokód pro novější platformy PROCESORU. Microsoft zproštuje aktualizace mikrokódu ověřené společností Intel, které se týkají spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Kb 4093836 uvádí konkrétní články znalostní báze Knowledge Base podle Windows verze. Každý konkrétní článek znalostní báze obsahuje dostupné aktualizace mikrokódu Intel podle procesoru.

11. ledna 2018Intel nahlásil problémy v nedávno vydaném mikrokódu, který měl řešit spectre variantu 2 (CVE-2017-5715 – "Branch Target Injection"). Společnost Intel konkrétně uvedla, že tento mikrokód může způsobit" vyšší než očekávané restartování a jiné nepředvídatelné chování systému " a že tyto scénáře mohou způsobit " ztrátu nebo poškozenídat. " Naše prostředí je v tom, že nestabilita systému může za určitých okolností způsobit ztrátu nebo poškození dat. 22. ledna společnost Intel doporučila zákazníkům přestat nasazovat aktuální verzi mikrokódu na ovlivněné procesory, zatímco Společnost Intel provádí další testování aktualizovaného řešení. Chápeme, že Intel dál prošetřuje potenciální vliv aktuální verze mikrokódu. Doporučujeme zákazníkům, aby průběžně zhodnotili jejich pokyny a informovali je o svých rozhodnutích.

Zatímco Společnost Intel testuje, aktualizuje a nasazovat nový mikrokód, získejte k dispozici aktualizaci OOB (Out-of-band), kb 4078130 , která konkrétně zakáže pouze zmírnění rizik v případě chyby CVE-2017-5715. V našem testování se zjistilo, že tato aktualizace brání popsanému chování. Úplný seznam zařízení najdete v pokynech k revizi mikrokódu od Společnosti Intel. Tato aktualizace se Windows 7 Service Pack 1 (SP1), Windows 8.1 a všech verzích Windows 10, klienta i serveru. Pokud používáte ovlivněné zařízení, můžete tuto aktualizaci použít tak, že si ji stáhnete z webu Katalog služby Microsoft Update . Použití této datové části výslovně zakáže pouze zmírnění rizik v případě chyby CVE-2017-5715.

Od této doby neexistují žádné známé sestavy, které by označované jako spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") používaly k útoku na zákazníky. V případě potřeby doporučujeme, aby Windows uživatelé znovu uchytnaly zmírnění rizik v případě chyby CVE-2017-5715, když intel hlásí, že toto nepředvídatelné chování systému bylo pro vaše zařízení vyřešeno.

V únoru 2018Intel oznámil, že dokončil ověření a začal vypouštět mikrokód pro novější platformy PROCESORU. Microsoft zproštuje aktualizace mikrokódu ověřené společností Intel, které souvisejí s variantou Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Kb 4093836 uvádí konkrétní články znalostní báze Knowledge Base podle Windows verze. V seznamu KBs jsou dostupné aktualizace mikrokódu Intelu podle procesoru.

Další informace najdete v článku Aktualizace zabezpečení pro procesory AMD a Dokument Whitepaper společnosti AMD: Pokyny k architektuře týkající se řízení nepřímých větví. Jsou dostupné z kanálu firmwaru OEM.

Nabízíme aktualizace mikrokódu ověřené intelem, které se týkají spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Pokud chcete získat nejnovější aktualizace mikrokódu Intel prostřednictvím aktualizace Windows, musí mít zákazníci před upgradem na aktualizaci Windows 10 z dubna 2018 (verze 1803) nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10.

Aktualizace mikrokódu je také dostupná přímo z katalogu Microsoft Update, pokud nebyla před upgradem systému nainstalovaná na zařízení. Mikrokód Intelu je dostupný prostřednictvím Windows Update, Windows Server Update Services (WSUS) nebo katalogu Microsoft Update. Další informace a pokyny ke stažení najdete v článku Kb 4100347 .

V části Doporučené akce a Časté otázky najdete v článku  ADV180012 | Pokyny společnosti Microsoft pro obcházení v obchodě s spekulativními daty

Pokud chcete ověřit stav SSBD, aktualizoval se skript Get-SpeculationControlSettings PowerShellu, aby detekoval ovlivněné procesory, stav aktualizací operačního systému SSBD a případně stav mikrokódu procesoru. Další informace a získání skriptu PowerShellu najdete v článku Kb 4074629 .

13. června 2018 byla oznámena další chyba zabezpečení, která zahrnuje spekulativní provádění na straně kanálu, známé jako Lazy FP State Restore, a přiřazena chyba CVE-2018-3665 . Informace o této chybě zabezpečení a doporučených akcích najdete v informačním zpravodaji zabezpečení ADV180016 | Pokyny microsoftu pro opožděné obnovení stavu fp .

Poznámka Pro opožděné obnovení fp restoreu nejsou žádná požadovaná nastavení konfigurace (registru).

10. července 2018 a přiřazená hodnota CVE-2018-3693 byla zveřejněna v obchodě BCBS (Bounds Check Bypass Store). Bcbs považujeme za náležejí do stejné třídy chyb zabezpečení, jako je obcházení kontroly bounds (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru. Tuto třídu zranitelnosti ale budeme dál zkoumat a podle potřeby budeme spolupracovat s průmyslovými partnery na uvolnění zmírňujících rizik. Doporučujeme výzkumným pracovníkům, aby do programu microsoftu Prosycené štědročího kanálu Microsoftu pro spekulativní provádění na straně společnosti Microsoft, včetně všech zneužítelných instancí BCBS, předkládají veškeré relevantní poznatky. Vývojáři softwaru by si měli prohlédněte pokyny pro vývojáře, které byly aktualizovány pro BCBS na webu C++ Developer Guidance for Spekulativní spuštění bočních kanálů .

14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a přiřazena více cvEs. Tyto nové chyby zabezpečení týkající se spekulativního provádění na straně kanálu lze použít ke čtení obsahu paměti napříč důvěryhodnou hranicí a v případě zneužití by mohly vést ke zpřístupnění informací. Existuje několik vektorů, pomocí kterých by útočník mohl tyto chyby zabezpečení aktivovat v závislosti na nakonfigurovaném prostředí. L1TF má vliv na procesory Intel® Core® a Intel® Xeon® procesory.

Další informace o této chybě zabezpečení a podrobném zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění L1TF, najdete v následujících zdrojích informací:

Postup zakázání systému Hyper-Threading od výrobce OEM k OEM, ale obvykle je součástí systému BIOS nebo nástrojů pro nastavení a konfiguraci firmwaru.

Zákazníci, kteří používají 64bitové procesory ARM, by se měli obrátit na výrobce OEM zařízení s podporou firmwaru, protože ochrana operačního systému ARM64, která zmírní chybu CVE-2017-5715 – Vkládání cílových větví (Spectre, Variant 2), vyžadují, aby se projeví nejnovější aktualizace firmwaru od OEM zařízení.

Další pokyny najdete v pokynech Windows k ochraně před chybami zabezpečení na straně kanálu na straně spekulativního provádění.

Přečtěte si pokyny v Windows pokyny k ochraně před chybami zabezpečení na straně kanálu na straně spekulativního provádění.

Pokyny k Azure najdete v tomto článku: Pokyny ke zmírnění chyb zabezpečení na straně kanálu spekulativního provádění v Azure .

Další informace o povolení funkce Retpoline najdete v našem blogovém příspěvku: Zmírnění varianty Spectre 2 s retpolinem na Windows .

Podrobnosti o této chybě zabezpečení najdete v příručce Microsoft Security Guide: CVE-2019-1125 | Windows zpřístupnění informací o jádru.

O žádné instanci této chyby zabezpečení týkající se zpřístupnění informací, která má vliv na naši infrastrukturu cloudových služeb, si nejsme vědomi.

Jakmile se o tomto problému dozvíme, rychle jsme na tom pracovali a vypracovali aktualizaci. Pevně věříme v úzká partnerství s výzkumnými pracovníky i partnery v oboru, aby byli zákazníci bezpečnější, a podrobnosti publikují až do úterý 6. srpna v souladu s koordinovanými postupy pro zveřejňování informací o zranitelnosti.

Další pokyny najdete v Windows, které chrání před chybami zabezpečení na straně kanálu na straně spekulativního provádění.

Další pokyny najdete v Windows, které chrání před chybami zabezpečení na straně kanálu na straně spekulativního provádění.

Další pokyny najdete v pokynech k zakázání funkce Intel® Transactional Synchronization Extensions (Intel® TSX).

Informace třetích stran – právní omezení

Produkty jiných poskytovatelů, o kterých se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×