Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Servern

Gilt für: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mehr

Zusammenfassung


Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die als “spekulative ausführungsseitige Channelangriffe” (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren wie etwa von Intel, AMD und ARM betreffen.

Hinweis Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.

Microsoft liegen bisher keine Informationen vor, die darauf hindeuten, dass diese Sicherheitsrisiken für Angriffe auf Kunden genutzt wurden. Microsoft arbeitet zum Schutz von Kunden eng mit Branchenpartnern wie Chipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.

Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:

Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter ADV180002 und ADV180012.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Empfohlene Maßnahmen


Mit den folgenden Maßnahmen können sich Kunden vor diesen Sicherheitsanfälligkeiten schützen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates. Details zum Aktivieren dieser Updates finden Sie im Microsoft Knowledge Base-Artikel 4072699.
  2. Installieren Sie entsprechende Firmware (Microcode)-Updates des Geräteherstellers (OEM).
  3. Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002 und ADV180012 sowie in diesem Knowledge Base-Artikel.
  4. Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.

Aktivieren von Schutzmaßnahmen unter Windows Server


Die Risikominderungen für CVE-2017-5753 sind in Windows Server standardmäßig aktiviert und können nicht per Administratoroption deaktiviert werden. Die Risikominderungen für die anderen drei Sicherheitsanfälligkeiten, die in diesem Artikel beschrieben werden, sind standardmäßig deaktiviert. Kunden, die alle verfügbaren Schutzmaßnahmen vor diesen Sicherheitsanfälligkeiten nutzen möchten, müssen Änderungen an Registrierungsschlüsseln vornehmen, um die Risikominderungen zu aktivieren.

Das Ergreifen dieser Maßnahmen kann sich auf die Leistung auswirken. Der Umfang der Leistungsauswirkungen hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz in Ihrem physischen Host und den ausgeführten Workloads. Wir empfehlen Kunden, die Leistungsauswirkungen zu analysieren und die erforderlichen Anpassungen vorzunehmen.

Ihr Server ist einem gesteigerten Risiko ausgesetzt, wenn er in eine der folgenden Kategorien fällt:

  • Hyper-V-Hosts – Erfordert Schutz vor Angriffen zwischen VMs sowie zwischen VMs und Hosts.
  • Remotedesktopdienste-Hosts (Remote Desktop Services Hosts, RDSH) – Erfordert Schutz vor Angriffen zwischen Sitzungen oder zwischen Sitzungen und Hosts.
  • Physische Hosts oder virtuelle Computer, auf denen nicht vertrauenswürdiger Code ausgeführt wird, wie etwa Container oder nicht vertrauenswürdige Datenbankerweiterungen, nicht vertrauenswürdige Webinhalte oder Workloads, für die Code aus externen Quellen ausführen. Diese Elemente benötigen Schutz vor Angriffen zwischen nicht vertrauenswürdigen Prozessen oder zwischen einem nicht vertrauenswürdigen Prozess und dem Kernel.

Verwenden Sie die folgenden Registrierungsschlüsseleinstellungen, um die Risikominderungen auf dem Server zu aktivieren, und starten Sie das System neu, um die Änderungen zu übernehmen.

Aktivieren von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)


Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

So aktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Server neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Server neu, damit die Änderungen wirksam werden.

(„MinVmVersionForCpuBasedMitigations“ muss nicht geändert werden.)


Hinweise

Deaktivieren der Risikominderung für CVE-2017-5715 (Spectre Variante 2)


Während von Intel neuer Microcode getestet, aktualisiert und bereitgestellt wird, bieten wir für Benutzer mit fortgeschrittenen Kenntnissen eine neue Option an, um auf betroffenen Geräten die Risikominderung für Spectre Variante 2 (CVE-2017-5715 – „Branch Target Injection“) separat manuell zu deaktivieren und aktivieren, indem sie Änderungen an den  Registrierungseinstellungen vornehmen.

Wenn Sie den Microcode installiert haben, aber die Risikominderung für CVE-2017-5715 wegen unerwarteter Neustarts oder Problemen mit der Systemstabilität deaktivieren möchten, gehen Sie wie folgt vor.

So deaktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715 – Branch Target Injection“) Risikominderung:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

So aktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715 – „Branch Target Injection“) Risikominderung:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f


Hinweis
 Das Deaktivieren und Aktivieren der Risikominderung für Variante 2 durch Änderungen der Registrierungseinstellungen erfordert Administratorrechte und einen Neustart.

Aktivieren von Indirect Branch Prediction Barrier (IBPB) für Spectre Variante 2 für AMD-Prozessoren (CPUs)


Manche AMD-Prozessoren (CPUs) bieten eine Indirect Branch Control-Funktion an, mit der das Risiko von indirekten Branch Target Injections über einen Indirect Branch Prediction Barrier (IBPB)-Mechanismus abgewehrt werden soll. (Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002 and AMD Architecture Guidelines around Indirect Branch Control (AMD-Richtlinien zur Architektur bezüglich Indirect Branch Control) sowie in den AMD-Sicherheitsupdates.)

Mit diesen Anweisungen können Sie die Verwendung von IBPB kontrollieren, wenn Sie vom Benutzerkontext zum Kernelkontext umschalten:

So aktivieren  Sie die Verwendung von Indirect Branch Prediction Barrier (IBPB) beim Umschalten  vom Benutzerkontext auf den Kernelkontext:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


Hinweis
 Das Aktivieren der Verwendung von Indirect Branch Prediction Barrier (IBPB) über die Änderung von Registrierungseinstellungen erfordert Administratorrechte und einen Neustart.

Aktivieren von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)



So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) UND Risikominderungen für CVE-2017-5715 (Spectre Variant 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


Hinweis
Diese Registrierungsänderungen erfordern Administratorrechte und einen Neustart.

Sicherstellen, dass Schutzmaßnahmen aktiviert sind


Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass angemessene Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.

PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls:

PS> Install-Module SpeculationControl

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das Technet ScriptCenter:

  1. Navigieren Sie zu https://aka.ms/SpeculationControlPS.
  2. Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.
  3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner. Beispiel: „C:\ADV180002“

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell, und verwenden Sie das obige Beispiel, um die folgenden Befehle zu kopieren und auszuführen:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Ausführliche Erläuterungen zur Ausgabe des PowerShell-Skripts finden Sie im
Knowledge Base-Artikel 4074629

Häufig gestellte Fragen


Mir wurden die Windows-Sicherheitsupdates vom Januar und Februar 2018 nicht angeboten. Was ist zu tun?

Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar und Februar  2018  veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Details finden Sie im Microsoft Knowledge Base-Artikel 4072699.

Informationsquellen