Bemærk!: Denne artikel opdateres, efterhånden som yderligere oplysninger bliver tilgængelige. Vend regelmæssigt tilbage hertil for at få opdateringer og nye ofte stillede spørgsmål.

Sårbarheder

I denne artikel beskrives følgende speculative execution-sikkerhedsrisici:

Windows Update kan også afhjælpe Internet Explorer og Edge. Vi fortsætter med at forbedre disse afhjælpninger i forhold til denne klasse af sårbarheder.

Du kan få mere at vide om denne klasse af sårbarheder under

Den 14. maj 2019 offentliggjorde Intel oplysninger om en ny underklasse af speculative execution side-channel-sikkerhedsrisici kendt som Microarchitectural Data Sampling og dokumenteret i ADV190013-| Stikprøver af mikroarkitekturdata. De har fået tildelt følgende cv'er:

Vigtigt!: Disse problemer påvirker andre systemer som Android, Chrome, iOS og MacOS. Vi anbefaler, at kunder søger vejledning fra disse leverandører.

Microsoft har udgivet opdateringer for at afhjælpe disse sårbarheder. For at få al tilgængelig beskyttelse er firmware (mikrokode) og softwareopdateringer påkrævet. Dette kan omfatte mikrokode fra enheds-OEM'er. I nogle tilfælde vil det påvirke ydeevnen at installere disse opdateringer. Vi har også handlet for at sikre vores skytjenester. Vi anbefaler på det kraftigste, at du installerer disse opdateringer.

Du kan finde flere oplysninger om dette problem i følgende Security Advisory og bruge scenariebaseret vejledning til at bestemme de handlinger, der er nødvendige for at afhjælpe truslen:

Bemærk!: Vi anbefaler, at du installerer alle de nyeste opdateringer fra Windows Update, før du installerer mikrokodeopdateringer.

Den 6. august 2019 udgav Intel oplysninger om en Windows sårbarhed i forbindelse med afsløring af kerneoplysninger. Denne sårbarhed er en variant af Spectre Variant 1 speculative execution side-channel-sårbarhed og er blevet tildelt CVE-2019-1125.

Den 9. juli 2019 udsendte vi sikkerhedsopdateringer til Windows-operativsystemet for at afhjælpe dette problem. Bemærk, at vi holdt tilbage med at dokumentere denne afhjælpning offentligt indtil den koordinerede brancheoffentliggørelse tirsdag d. 6. august 2019.

Kunder, der har Windows Update aktiveret og har anvendt de sikkerhedsopdateringer, der blev udgivet d. 9. juli 2019, beskyttes automatisk. Der er ingen yderligere konfiguration nødvendig.

Bemærk!: Denne sikkerhedsrisiko kræver ikke en mikrokodeopdatering fra producenten af enheden (OEM).

Du kan finde flere oplysninger om denne sikkerhedsrisiko og relevante opdateringer i Microsofts vejledning til sikkerhedsopdateringer:

Den 12. november 2019 offentliggjorde Intel en teknisk vejledning vedrørende Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed, der er tildelt CVE-2019-11135. Microsoft har udgivet opdateringer for at afhjælpe denne sikkerhedsrisiko, og os-beskyttelse er som standard aktiveret for Windows Server 2019, men deaktiveret som standard for Windows Server 2016 og tidligere Windows Server OS-udgaver.

Den 14. juni 2022 offentliggjorde vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs: 

Anbefalede handlinger

Du skal udføre følgende handlinger for at beskytte dig mod sårbarhederne:

  1. Anvend alle tilgængelige Windows operativsystemopdateringer, herunder de månedlige Windows sikkerhedsopdateringer.

  2. Anvend den gældende firmwareopdatering (mikrokode), der leveres af enhedsproducenten.

  3. Vurder risikoen for dit miljø ud fra de oplysninger, der leveres i Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 og ADV220002 ud over oplysningerne i denne videnbase artikel.

  4. Benyt de råd og oplysninger om registreringsdatabasenøgler, der er angivet i denne artikel om videnbase.

Bemærk!: Surface-kunder modtager en mikrokodeopdatering via Windows Update. Du kan få en liste over de nyeste opdateringer til Surface-enhedsfirmware (mikrokode) i KB4073065.

Indstillinger for afhjælpning af Windows Server og Azure Stack HCI

Sikkerhedsrådgivere ADV180002, ADV180012, ADV190013 og ADV220002 giver oplysninger om risikoen ved disse sårbarheder. De hjælper dig også med at identificere sårbarhederne og identificere standardtilstanden for afhjælpninger for Windows Server-systemer. Tabellen nedenfor indeholder en oversigt over kravene til CPU-mikrokode og standardstatus for afhjælpninger på Windows Server.

CVE

Kræver CPU-mikrokode/firmware?

Standardstatus for afhjælpning

CVE-2017-5753

Nej

Aktiveret som standard (ingen indstilling til at deaktivere)

Se ADV180002 for at få flere oplysninger

CVE-2017-5715

Ja

Deaktiveret som standard.

Se ADV180002 for at få flere oplysninger og denne KB-artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

Bemærk "Retpoline" er som standard aktiveret for enheder, der kører Windows 10 1809 eller nyere, hvis Spectre Variant 2 (CVE-2017-5715) er aktiveret. Du kan få mere at vide om "Retpoline" ved at følge Afhjælpning af Spectre variant 2 med Retpoline på Windows blogindlæg.

CVE-2017-5754

Nej

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard.
Windows Server 2016 og tidligere: Deaktiveret som standard.

Du kan finde flere oplysninger i ADV180002 .

CVE-2018-3639

Intel: Ja

AMD: Nej

Deaktiveret som standard. Se ADV180012 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-11091

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard.
Windows Server 2016 og tidligere: Deaktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-12126

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard.
Windows Server 2016 og tidligere: Deaktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-12127

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard.
Windows Server 2016 og tidligere: Deaktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-12130

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard.
Windows Server 2016 og tidligere: Deaktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2019-11135

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard.
Windows Server 2016 og tidligere: Deaktiveret som standard.

Se CVE-2019-11135 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2022-21123 (del af MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard. 
Windows Server 2016 og tidligere: Deaktiveret som standard.* 

Se CVE-2022-21123 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2022-21125 (del af MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard. 
Windows Server 2016 og tidligere: Deaktiveret som standard.* 

Se CVE-2022-21125 for at få flere oplysninger.

CVE-2022-21127 (del af MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard. 
Windows Server 2016 og tidligere: Deaktiveret som standard.* 

Se CVE-2022-21127 for at få flere oplysninger.

CVE-2022-21166 (del af MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktiveret som standard. 
Windows Server 2016 og tidligere: Deaktiveret som standard.* 

Se CVE-2022-21166 for at få flere oplysninger.

*Følg vejledningen til afhjælpning for Meltdown nedenfor.

Hvis du vil opnå al tilgængelig beskyttelse mod disse sårbarheder, skal du foretage nøgleændringer i registreringsdatabasen for at aktivere disse afhjælpninger, der er deaktiveret som standard.

Aktivering af disse afhjælpninger kan påvirke ydeevnen. Skaleringen af effekterne for ydeevnen afhænger af flere faktorer, f.eks. det specifikke chipsæt i din fysiske vært og de arbejdsbelastninger, der kører. Vi anbefaler, at du vurderer effekterne på ydeevnen for dit miljø og foretager de nødvendige justeringer.

Din server er i øget risiko, hvis den findes i en af følgende kategorier:

  • Hyper-V-værter: Kræver beskyttelse for VM-til-VM- og VM-til-vært-angreb.

  • Fjernskrivebord-tjenesteværter (RDSH): Kræver beskyttelse fra én session til en anden session eller fra angreb mellem sessioner og vært.

  • Fysiske værter eller virtuelle maskiner, der kører upålidelig kode, f.eks. beholdere eller upålidelige udvidelser til database, webindhold, der ikke er tillid til, eller arbejdsbelastninger, der kører kode, der er fra eksterne kilder. Disse kræver beskyttelse mod upålidelige proces-til-en-proces- eller upålidelige proces-til-kerne-angreb.

Brug følgende indstillinger for registreringsdatabasenøglen til at aktivere afhjælpninger på serveren, og genstart enheden, så ændringerne træder i kraft.

Bemærk!: Aktivering af afhjælpninger, der er slået fra, kan som standard påvirke ydeevnen. Den faktiske ydeevneeffekt afhænger af flere faktorer, f.eks. det specifikke chipsæt i enheden og de arbejdsbelastninger, der kører.

Indstillinger i registreringsdatabasen

Vigtigt!: Vi leverer følgende oplysninger i registreringsdatabasen for at aktivere afhjælpninger, der ikke er aktiveret som standard, som beskrevet i Security Advisories ADV180002, ADV180012, ADV190013 og ADV220002.

Desuden leverer vi indstillinger for registreringsdatabasenøgler, hvis du vil deaktivere de afhjælpninger, der er relateret til CVE-2017-5715 og CVE-2017-5754 for Windows-klienter.

Vigtigt!: I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Derfor skal du kontrollere, at du følger disse trin nøje. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan få flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft videnbase:

322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows

Vigtigt!: Som standard er Retpoline aktiveret på Windows 10, version 1809 servere, hvis Spectre, Variant 2 (CVE-2017-5715) er aktiveret. Aktivering af Retpoline på den nyeste version af Windows 10 kan forbedre ydeevnen på servere, der kører Windows 10, version 1809 for Spectre variant 2, især på ældre processorer.

Sådan aktiverer du afhjælpning for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

Sådan deaktiverer du afhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bemærk!: Indstilling af FeatureSettingsOverrideMask til 3 er nøjagtig for både indstillingerne "aktivér" og "deaktiver". (Se afsnittet "Ofte stillede spørgsmål " for at få flere oplysninger om registreringsdatabasenøgler).

Sådan deaktiverer du afhjælpning af variant 2: (CVE-2017-5715  "Branch Target Injection"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiverer du afhjælpning af Variant 2: (CVE-2017-5715  "Branch Target Injection"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD CPU'er. Kunderne skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715.  Du kan få mere at vide under Ofte stillede spørgsmål nr. 15 i ADV180002.

Aktivér bruger-til-kerne-beskyttelse på AMD-processorer sammen med andre beskyttelser for CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiverer du afhjælpning for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

Sådan deaktiverer du afhjælpninger for CVE-2018-3639 (Speculative Store Bypass) OG afhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD-processorer. Kunderne skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715.  Du kan få mere at vide under Ofte stillede spørgsmål nr. 15 i ADV180002.

Aktivér bruger-til-kerne-beskyttelse på AMD-processorer sammen med andre beskyttelser for CVE 2017-5715 og beskyttelse af CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiverer du afhjælpninger for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715] og Meltdown [CVE-2017-5754] varianter, herunder Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646] uden at deaktivere Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiverer du afhjælpninger for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med Spectre [ CVE-2017-5753 & CVE-2017-5715 ] and Meltdown [ CVE-2017-5754 ] varianter, herunder Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646 ] med Hyper-Threading deaktiveret:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

Sådan deaktiverer du afhjælpninger for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med Spectre [ CVE-2017-5753 & CVE-2017-5715 ] and Meltdown [ CVE-2017-5754 ] varianter, herunder Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Kontrollerer, at beskyttelse er aktiveret

For at bekræfte, at beskyttelse er aktiveret, har vi udgivet et PowerShell-script, som du kan køre på dine enheder. Installér og kør scriptet ved hjælp af en af følgende metoder.

Installér PowerShell-modulet:

PS> Install-Module SpeculationControl

Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installér PowerShell-modulet fra Technet ScriptCenter:

  1. Gå til https://aka.ms/SpeculationControlPS .

  2. Download SpeculationControl.zip til en lokal mappe.

  3. Udpak indholdet til en lokal mappe. Eksempel: C:\ADV180002

Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret:

Start PowerShell, og brug derefter det forrige eksempel til at kopiere og køre følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Du kan finde en detaljeret forklaring af outputtet af PowerShell-scriptet i KB4074629

Ofte stillede spørgsmål

For at undgå at påvirke kundeenheder negativt blev de Windows sikkerhedsopdateringer, der blev udgivet i januar og februar 2018, ikke tilbudt til alle kunder. Du kan finde flere oplysninger i KB407269 .

Mikrokoden leveres via en firmwareopdatering. Kontakt din OEM om den firmwareversion, der har den relevante opdatering til computeren.

Der er flere variabler, der påvirker ydeevnen, lige fra systemversionen til de arbejdsbelastninger, der kører. For nogle systemer vil ydelseseffekten være ubetydelig. For andre vil det være betydeligt.

Vi anbefaler, at du vurderer effekterne på dine systemer og foretager justeringer efter behov.

Ud over den vejledning, der er i denne artikel om virtuelle maskiner, skal du kontakte din tjenesteudbyder for at sikre, at de værter, der kører dine virtuelle maskiner, er tilstrækkeligt beskyttede.

For Windows Server virtuelle maskiner, der kører i Azure, skal du se Vejledning til afhjælpning af "speculative execution side-channel-sikkerhedsrisici" i Azure . Du kan få vejledning i at bruge Azure Update Management til at afhjælpe dette problem på virtuelle gæstebeskeder i KB4077467.

De opdateringer, der blev udgivet til Windows Server-objektbeholderbilleder til Windows Server 2016 og Windows 10, version 1709, omfatter afhjælpninger for dette sæt sårbarheder. Der kræves ingen yderligere konfiguration.

Bemærk Du skal stadig sikre dig, at den vært, som disse objektbeholdere kører på, er konfigureret til at aktivere de relevante afhjælpninger.

Nej, installationsordren er ligegyldigt.

Ja, du skal genstarte efter firmwareopdateringen (mikrokode) og derefter igen efter systemopdateringen.

Her er detaljerne for registreringsdatabasenøglerne:

FeatureSettingsOverride repræsenterer en bitmap, der tilsidesætter standardindstillingen og styrer, hvilke afhjælpninger der deaktiveres. Bit 0 styrer den afhjælpning, der svarer til CVE-2017-5715. Bit 1 styrer den afhjælpning, der svarer til CVE-2017-5754. Bits er indstillet til 0 for at aktivere afhjælpningen og til 1 for at deaktivere afhjælpningen.

FeatureSettingsOverrideMask repræsenterer en bitmapmaske, der bruges sammen med FeatureSettingsOverride.  I denne situation bruger vi værdien 3 (repræsenteret som 11 i det binære tal eller det grundlæggende talsystem) til at angive de første to bit, der svarer til de tilgængelige afhjælpninger. Denne registreringsdatabasenøgle er indstillet til 3 begge for at aktivere eller deaktivere afhjælpningerne.

MinVmVersionForCpuBasedMitigations er for Hyper-V-værter. Denne registreringsdatabasenøgle definerer den minimumsversion af VM, der kræves, for at du kan bruge de opdaterede firmwarefunktioner (CVE-2017-5715). Indstil denne til 1.0 for at dække alle VM-versioner. Bemærk, at denne registreringsdatabaseværdi ignoreres (godartet) på ikke-Hyper-V-værter. Du kan finde flere oplysninger under Beskyttelse af virtuelle gæstemaskiner fra CVE-2017-5715 (indskydning af grenmål).

Ja, der er ingen bivirkninger, hvis disse indstillinger i registreringsdatabasen anvendes, før du installerer de rettelser, der er relateret til januar 2018.

Se en detaljeret beskrivelse af scriptoutputtet på KB4074629: Om SpeculationControl PowerShell-scriptoutput .

Ja, for Windows Server 2016 Hyper-V-værter, der endnu ikke har firmwareopdateringen tilgængelig, har vi udgivet en alternativ vejledning, der kan hjælpe med at reducere VM'en til VM eller VM for at hoste angreb. Se Alternativ beskyttelse for Windows Server 2016 Hyper-V-værter mod "speculative execution side-channel-sikkerhedsrisici".

Opdateringer, der kun gælder sikkerhed, er ikke kumulative. Afhængigt af din version af operativsystemet skal du muligvis installere flere sikkerhedsopdateringer for at få fuld beskyttelse. Generelt skal kunderne installere opdateringerne for januar, februar, marts og april 2018. Systemer, der har AMD-processorer, skal have en ekstra opdatering, som vist i følgende tabel:

Version af operativsystem

Sikkerhedsopdatering

Windows 8.1, Windows Server 2012 R2

KB4338815 – månedlig opdateringspakke

KB4338824 – kun sikkerhed

Windows 7 SP1, Windows Server 2008 R2 SP1 eller Windows Server 2008 R2 SP1 (Server Core-installation)

KB4284826 – månedlig opdateringspakke

KB4284867 – kun sikkerhed

Windows Server 2008 SP2

KB4340583 – sikkerhedsopdatering

Vi anbefaler, at du installerer kun sikkerhedsopdateringerne i den rækkefølge, de udgives.

Bemærk!: En tidligere version af disse ofte stillede spørgsmål angav fejlagtigt, at sikkerhedsopdateringen for februar indeholdt de sikkerhedsrettelser, der blev udgivet i januar. Det gør det faktisk ikke.

Nej. Sikkerhedsopdatering KB4078130 var en specifik rettelse for at forhindre uforudsigelige systemadfærd, problemer med ydeevnen og uventede genstarter efter installationen af mikrokode. Anvendelse af sikkerhedsopdateringer på Windows klientoperativsystemer muliggør alle tre afhjælpninger. På Windows Server-operativsystemer skal du stadig aktivere afhjælpningen, når du har udført korrekt test. Du kan få flere oplysninger i KB4072698.

Dette problem blev løst i KB4093118.

I februar 2018 meddelte Intel, at de havde fuldført deres valideringer og begyndte at udgive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige, der vedrører Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 viser specifikke videnbase artikler efter Windows version. Hver specifik KB-artikel indeholder de tilgængelige Intel-mikrokodeopdateringer efter CPU.

Den 11. januar 2018 rapporterede Intel om problemer i den nyligt udgivne mikrokode, der skulle håndtere Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Intel bemærkede specifikt, at denne mikrokode kan forårsage "genstart, der er højere end forventet, og anden uforudsigelig systemfunktionsmåde", og at disse scenarier kan medføre "datatab eller beskadigelse." Vores erfaring er, at systemets ustabilitet kan medføre tab af data eller beskadigelse i nogle tilfælde. Den 22. januar anbefalede Intel, at kunder stopper med at installere den aktuelle mikrokodeversion på berørte processorer, mens Intel udfører yderligere test på den opdaterede løsning. Vi forstår, at Intel fortsætter med at undersøge den potentielle effekt af den aktuelle version af mikrokode. Vi opfordrer kunderne til løbende at gennemgå deres vejledning for at informere deres beslutninger.

Mens Intel tester, opdaterer og installerer ny mikrokode, gør vi en OOB-opdatering (out-of-band), KB4078130, der specifikt kun deaktiverer afhjælpningen mod CVE-2017-5715. I vores test er denne opdatering fundet for at forhindre den beskrevne funktionsmåde. Du kan finde en komplet liste over enheder i vejledningen til revision af mikrokode fra Intel. Denne opdatering dækker Windows 7 Service Pack 1 (SP1), Windows 8.1 og alle versioner af Windows 10, både klient og server. Hvis du kører en berørt enhed, kan denne opdatering anvendes ved at downloade den fra webstedet Microsoft Update-katalog. Anvendelse af denne nyttelast deaktiverer specifikt kun afhjælpningen mod CVE-2017-5715.

Fra og med dette tidspunkt er der ingen kendte rapporter, der angiver, at denne Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") er blevet brugt til at angribe kunder. Vi anbefaler, at når det er relevant, Windows brugere genaktivere afhjælpningen mod CVE-2017-5715, når Intel rapporterer, at denne uforudsigelige systemfunktionsmåde er blevet løst for din enhed.

I februar 2018meddelte Intel, at de har fuldført deres valideringer og er begyndt at udgive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer, der er relateret til Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 viser specifikke videnbase artikler efter Windows version. KB-listen over tilgængelige Intel-mikrokodeopdateringer efter CPU.

Du kan få mere at vide under AMD-sikkerhedsopdateringer og AMD-hvidbog: Retningslinjer for arkitektur omkring Indirect Branch Control . Disse er tilgængelige fra OEM-firmwarekanalen.

Vi gør Intel-validerede mikrokodeopdateringer tilgængelige, der vedrører Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). For at få de nyeste Intel-mikrokodeopdateringer via Windows Update skal kunderne have installeret Intel-mikrokode på enheder, der kører et Windows 10 operativsystem, før de opgraderer til Windows 10 April 2018-opdateringen (version 1803).

Mikrokodeopdateringen er også tilgængelig direkte fra Microsoft Update-kataloget, hvis den ikke blev installeret på enheden, før du opgraderede systemet. Intel-mikrokode fås via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update-kataloget. Du kan finde flere oplysninger og downloadinstruktioner i KB4100347.

Se afsnittene "Anbefalede handlinger" og "Ofte stillede spørgsmål" i  ADV180012 | Microsoft Guidance for Speculative Store Bypass.

For at bekræfte status for SSBD er Scriptet Get-SpeculationControlSettings PowerShell blevet opdateret for at registrere berørte processorer, status for opdateringer til SSBD-operativsystemet og processorens mikrokode, hvis det er relevant. Du kan finde flere oplysninger og hente PowerShell-scriptet i KB4074629.

Den 13. juni 2018 blev en ekstra sårbarhed, der involverer side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665 . Du kan få mere at vide om denne sårbarhed og anbefalede handlinger i Security Advisory ADV180016-| Microsoft Guidance for Lazy FP State Restore .

Bemærk Der er ingen påkrævede konfigurationsindstillinger (registreringsdatabase) for Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) blev offentliggjort d. 10. juli 2018 og tildelt CVE-2018-3693. Vi anser BCBS for at tilhøre den samme klasse af sårbarheder som Bounds Check Bypass (Variant 1). Vi er i øjeblikket ikke opmærksomme på nogen forekomster af BCBS i vores software. Vi undersøger dog fortsat denne sårbarhedsklasse og samarbejder med branchepartnere om at frigive afhjælpninger efter behov. Vi opfordrer forskere til at indsende relevante resultater til Microsoft Speculative Execution Side Channel-dusørprogrammet, herunder alle udnyttelige forekomster af BCBS. Softwareudviklere bør gennemgå de udviklervejledninger, der er blevet opdateret for BCBS på C++Developer Guidance for Speculative Execution Side Channels 

Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret og tildelt flere CVEs. Disse nye "speculative execution side-channel"-sikkerhedsrisici kan bruges til at læse indholdet af hukommelsen på tværs af en pålidelig grænse, og hvis de udnyttes, kan det føre til afsløring af oplysninger. Der er flere vektorer, hvorved en hacker kan udløse sårbarhederne, afhængigt af det konfigurerede miljø. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®.

Du kan finde flere oplysninger om denne sårbarhed og en detaljeret oversigt over berørte scenarier, herunder Microsofts tilgang til afhjælpning af L1TF, i følgende ressourcer:

Fremgangsmåden til at deaktivere Hyper-Threading er forskellig fra OEM til OEM, men er generelt en del af BIOS- eller firmwareinstallations- og -konfigurationsværktøjerne.

Kunder, der bruger 64-bit ARM-processorer, skal kontakte enheds-OEM'en for at få firmwaresupport, fordi arm64-operativsystembeskyttelse, der afhjælper CVE-2017-5715 | Branch target injection (Spectre, Variant 2) kræver, at den seneste firmwareopdatering fra enheds-OEM'er træder i kraft.

Du kan finde flere oplysninger om Retpoline enablement i vores blogindlæg: Afhjælpning af Spectre variant 2 med Retpoline på Windows .

Du kan finde flere oplysninger om denne sårbarhed i Microsofts sikkerhedsvejledning: CVE-2019-1125 | Windows sårbarhed i forbindelse med afsløring af kerneoplysninger.

Vi er ikke opmærksomme på nogen forekomst af denne sårbarhed i forbindelse med afsløring af oplysninger, der påvirker vores skytjenesteinfrastruktur.

Så snart vi blev opmærksomme på dette problem, arbejdede vi hurtigt på at løse det og udgive en opdatering. Vi tror på tætte partnerskaber med både forskere og branchepartnere for at gøre kunderne mere sikre og offentliggjorde ikke detaljer før tirsdag d. 6. august i overensstemmelse med koordineret offentliggørelse af sårbarheder.

Referencer

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?

Tak for din feedback!

×