KB4072698: Windows Server und Azure Stack HCI-Anleitung zum Schutz vor siliziumbasierten mikroarchitektonischen Schwachstellen und Seitenkanalschwachstellen durch spekulative Ausführung

Gilt für
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Änderungsprotokoll
Datum ändern Beschreibung der Änderung
20. April 2023
  • MMIO-Registrierungsinformationen hinzugefügt.
8. August 2023
  • Inhalt zu CVE-2022-23816 entfernt, da die CVE-Nummer nicht verwendet wird
  • "Branch Type Confusion" im Abschnitt "Sicherheitsrisiken" hinzugefügt
  • Weitere Informationen wurden dem Abschnitt "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" im Register hinzugefügt.
9. August 2023
  • Der Abschnitt "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" im Register wurde aktualisiert.
  • CVE-2023-20569 | AMD CPU Return Address Predictor" zum Abschnitt "Zusammenfassung" hinzugefügt
  • Der Abschnitt "CVE-2023-20569 | AMD CPU Return Address Predictor" wurde dem Register hinzugefügt.
9. April 2024
  • CVE-2022-0001 hinzugefügt | Intel Branch History Injection
16. April 2024
  • Der Abschnitt „Aktivieren mehrerer Risikominderungen“ wurde hinzugefügt.

Zusammenfassung

Dieser Artikel enthält Anleitungen für eine neue Klasse von auf Silizium basierenden mikroarchitecturalen und spekulativen Ausführungsseitenkanal-Sicherheitslücken, die viele moderne Prozessoren und Betriebssysteme betreffen. Dazu gehören Intel, AMD und ARM. Spezifische Details zu diesen auf Silizium basierenden Sicherheitslücken finden Sie in den folgenden ADVs (Sicherheitsberatungen) und CVEs (Gemeinsame Schwachstellen und Expositionen):

Wichtig

Diese Probleme betreffen auch andere Betriebssysteme wie Android, Chrome, iOS und MacOS. Wir empfehlen Kunden, sich von diesen Anbietern beraten zu lassen.

Wir haben mehrere Updates veröffentlicht, um diese Schwachstellen zu minimieren. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.

Wir haben noch keine Informationen erhalten, die darauf hinweisen, dass diese Schwachstellen zum Angriff auf Kunden verwendet wurden. Wir arbeiten zum Schutz der Kunden eng mit Branchenpartnern wie Prozessorchipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.

Sicherheitsrisiken

Spekulative Ausführung

In diesem Artikel werden die folgenden Sicherheitsanfälligkeiten bezüglich spekulativer Ausführung behandelt:

Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.

Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter

Sicherheitsrisiko bei der Stichprobenentnahme von mikroarchitecturalen Daten

Am 14. Mai 2019 veröffentlichte Intel Informationen zu einer neuen Unterklasse von spekulativen Ausführungsseitenkanal-Sicherheitslücken, die als Microarchitectural Data Sampling bekannt sind und in ADV190013 dokumentiert sind | Stichprobenentnahme für mikroarchitecturale Daten. Ihnen wurden die folgenden CVEs zugewiesen:

Wichtig

Diese Probleme betreffen andere Systeme wie etwa Android, Chrome, iOS und MacOS. Wir empfehlen Kunden, sich von diesen Anbietern beraten zu lassen.

Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Es wird dringend empfohlen, diese Updates bereitzustellen.

Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:

Hinweis

Wir empfehlen , alle neuesten Updates von Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Sicherheitsrisiko "Spectre, Variant 1"

Am 6. August 2019 hat Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen bekanntgegeben. Diese Sicherheitsanfälligkeit ist eine Variante des Spectre,Variant 1-Sicherheitsrisikos für spekulative Ausführung im Seitenkanal und wurde CVE-2019-1125 zugewiesen.

Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Beachten Sie, dass wir die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.

Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.

Hinweis

Für diese Sicherheitsanfälligkeit ist kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie im Leitfaden für Sicherheitsupdates von Microsoft:

Sicherheitsrisiko für asynchronen Transaktionsabbruch

Am 12. November 2019 veröffentlichte Intel eine technische Empfehlung zu Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-Sicherheitsrisiko, die CVE-2019-11135 zugewiesen ist. Microsoft hat Updates veröffentlicht, um diese Sicherheitsanfälligkeit zu verringern, und der Betriebssystemschutz ist für Windows Server 2019 standardmäßig aktiviert, aber für Windows Server 2016 und frühere Windows Server-Betriebssystemeditionen standardmäßig deaktiviert.

Sicherheitsanfälligkeit in MMIO: Veraltete Datensampling

Am 14. Juni 2022 haben wir ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs( Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs:

Empfohlene Aktionen

Sie sollten die folgenden Maßnahmen ergreifen, um sich vor den Sicherheitsanfälligkeiten zu schützen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
  2. Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
  3. Bewerten Sie das Risiko für Ihre Umgebung basierend auf den Informationen, die in Microsoft-Sicherheitsempfehlungen bereitgestellt werden: ADV180002, ADV180012, ADV190013 und ADV220002, zusätzlich zu den Informationen in diesem Wissensdatenbank Artikel.
  4. Ergreifen Sie die erforderlichen Maßnahmen, indem Sie die Empfehlungen und Informationen zum Registrierungsschlüssel anwenden, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.

Hinweis

Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der neuesten Updates der Surface-Gerätefirmware (Microcode) finden Sie unter KB4073065.

Verwechslung des Branchtyps

Am 12. Juli 2022 haben wir CVE-2022-23825 | AMD CPU Branch Type Konfusion , die beschreibt, dass Aliase im Branch-Prädiktor dazu führen können, dass bestimmte AMD-Prozessoren den falschen Branchtyp vorhersagen. Dieses Problem kann möglicherweise zur Offenlegung von Informationen führen.

Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach Juli 2022 datiert sind, und dann maßnahmen gemäß CVE-2022-23825 und Registrierungsschlüsselinformationen zu ergreifen, die in diesem Wissensdatenbank Artikel bereitgestellt werden.

Weitere Informationen finden Sie im AMD-SB-1037-Sicherheitsbulletin .

Absenderadressenvorhersage

Am 8. August 2023 haben wir CVE-2023-20569 | Return Address Predictor (auch als Inception bezeichnet), der einen neuen spekulativen Seitenkanalangriff beschreibt, der zu spekulativer Ausführung an einer vom Angreifer gesteuerten Adresse führen kann. Dieses Problem betrifft bestimmte AMD-Prozessoren und kann möglicherweise zur Offenlegung von Informationen führen.

Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach August 2023 datiert sind, und dann maßnahmen zu ergreifen, die von CVE-2023-20569 und registrierungsschlüsselinformationen erforderlich sind, die in diesem Wissensdatenbank Artikel bereitgestellt werden.

Weitere Informationen finden Sie im AMD-SB-7005 Security Bulletin.

Branch History Injection

Am 9. April 2024 haben wir CVE-2022-0001 | Intel Branch History Injection , die Branch History Injection (BHI) beschreibt, eine spezifische Form von intra-mode BTI. Diese Sicherheitslücke tritt auf, wenn ein Angreifer den Verzweigungsverlauf manipulieren kann, bevor er vom Benutzer- in den Supervisor-Modus (oder vom VMX non-root/guest in den Root-Modus) wechselt. Diese Manipulation könnte dazu führen, dass ein Prädiktor für indirekte Verzweigungen einen bestimmten Prädiktoreintrag für eine indirekte Verzweigung auswählt und ein Offenlegungsgadget am vorhergesagten Ziel vorübergehend ausgeführt wird. Dies kann möglich sein, weil der relevante Verzweigungsverlauf Verzweigungen enthalten kann, die in früheren Sicherheitskontexten und insbesondere in anderen Prädiktormodi vorgenommen wurden.

Risikominderungseinstellungen für Windows Server und Azure Stack HCI

Sicherheitswarnungen (ADVs) und CVEs liefern Informationen über das Risiko, das durch diese Sicherheitslücken entsteht, und bieten Informationen dazu. Sie helfen Ihnen auch, die Sicherheitsrisiken zu identifizieren und den Standardstatus von Risikominderungen für Windows Server-Systeme zu identifizieren. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows Server zusammen.

CVE CPU-Microcode/Firmware erforderlich? Standardzustand der Risikominderung
CVE-2017-5753 Nein Standardmäßig aktiviert (keine Option zum Deaktivieren)
Weitere Informationen finden Sie unter ADV180002.
CVE-2017-5715 Ja Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter ADV180002 und in diesem KB-Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
Hinweis "Retpoline" ist standardmäßig für Geräte mit Windows 10, Version 1809 und höher aktiviert, wenn Spectre Variant 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu "Retpoline" findest du im Blogbeitrag Zur Milderung von Spectre Variante 2 mit Retpoline unter Windows .
CVE-2017-5754 Nein Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter ADV180002.
CVE-2018-3639 Intel: Ja
AMD: Nein
Standardmäßig deaktiviert. Weitere Informationen finden Sie unter ADV180012 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2018-11091 Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2018-12126 Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2018-12127 Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2018-12130 Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter ADV190013 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2019-11135 Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.
Weitere Informationen finden Sie unter CVE-2019-11135 und in diesem Artikel die entsprechenden Registrierungsschlüsseleinstellungen.
CVE-2022-21123 (Teil von MMIO ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.*
Weitere Informationen finden Sie unter CVE-2022-21123 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2022-21125 (Teil von MMIO ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.*
Weitere Informationen finden Sie unter CVE-2022-21125 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2022-21127 (Teil der MMIO-ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.*
Weitere Informationen finden Sie unter CVE-2022-21127 und in diesem Artikel die entsprechenden Registrierungsschlüsseleinstellungen.
CVE-2022-21166 (Teil der MMIO-ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 und Azure Stack HCI: Standardmäßig aktiviert.
Windows Server 2016 und früher: Standardmäßig deaktiviert.*
Weitere Informationen finden Sie unter CVE-2022-21166 und in diesem Artikel die entsprechenden Registrierungsschlüsseleinstellungen.
CVE-2022-23825 (AMD CPU Branch Type Confusion) AMD: Nein Weitere Informationen finden Sie unter CVE-2022-23825 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2023-20569
(AMD CPU Return Address Predictor)
AMD: Ja Weitere Informationen finden Sie unter CVE-2023-20569 und in diesem Artikel finden Sie entsprechende Registrierungsschlüsseleinstellungen.
CVE-2022-0001 Intel: Nein Standardmäßig deaktiviert
Weitere Informationen finden Sie unter CVE-2022-0001 und in diesem Artikel die entsprechenden Registrierungsschlüsseleinstellungen.

Hinweis

* Befolgen Sie unten die Anleitungen zur Entschärfung für Meltdown.

Wenn Sie alle verfügbaren Schutzmaßnahmen gegen diese Sicherheitsanfälligkeiten erhalten möchten, müssen Sie Änderungen am Registrierungsschlüssel vornehmen, um diese standardmäßig deaktivierten Risikominderungen zu aktivieren.

Das Ergreifen dieser Maßnahmen kann sich auf die Leistung auswirken. Der Umfang der Leistungsauswirkungen hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz in Ihrem physischen Host und den ausgeführten Workloads. Wir empfehlen, die Leistungseffekte für Ihre Umgebung zu bewerten und alle erforderlichen Anpassungen vorzunehmen.

Ihr Server ist einem gesteigerten Risiko ausgesetzt, wenn er in eine der folgenden Kategorien fällt:

  • Hyper-V-Hosts: Erfordert Schutz für VM-zu-VM- und VM-zu-Host-Angriffe.
  • Remotedesktopdienste-Hosts (RDSH): Erfordert Schutz vor Sitzung-zu-Sitzung- oder von Sitzung-zu-Host-Angriffen.
  • Physische Hosts oder virtuelle Computer, auf denen nicht vertrauenswürdiger Code ausgeführt wird, z. B. Container oder nicht vertrauenswürdige Erweiterungen für Datenbanken, nicht vertrauenswürdige Webinhalte oder Workloads, die Code aus externen Quellen ausführen. Diese Elemente benötigen Schutz vor Angriffen zwischen nicht vertrauenswürdigen Prozessen oder zwischen einem nicht vertrauenswürdigen Prozess und dem Kernel.

Verwenden Sie die folgenden Registrierungsschlüsseleinstellungen, um die Risikominderungen auf dem Server zu aktivieren, und starten Sie das Gerät neu, damit die Änderungen wirksam werden.

Hinweis

Die Aktivierung von Risikominderungen, die standardmäßig deaktiviert sind, kann sich auf die Leistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.

Registrierungseinstellungen

Wir stellen die folgenden Registrierungsinformationen zur Verfügung, um Schutzmaßnahmen zu aktivieren, die standardmäßig nicht aktiviert sind, wie in den Sicherheitshinweisen (ADVs) und CVEs dokumentiert. Darüber hinaus stellen wir Registrierungsschlüssel-Einstellungen für Benutzer bereit, die die Risikominderungen deaktivieren möchten, wenn sie für Windows-Clients gelten.

Hinweis

  • WICHTIG Dieser Abschnitt, diese Methode oder aufgabe enthält Schritte, die Ihnen mitteilen, wie Sie die Registrierung ändern. Durch Fehler beim Ändern der Registrierung können jedoch schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie daher vor dem Ändern der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zur Sicherung und Wiederherstellung der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
  • KB322756 Sichern und Wiederherstellen der Registrierung in Windows

Verwalten von Entschärfungen für CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) und CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Hinweis

  • WICHTIG Standardmäßig ist Retpoline wie folgt konfiguriert, wenn spectre, Variant 2 mitigation (CVE-2017-5715) aktiviert ist:
    • Die Retpoline-Entschärfung ist unter Windows 10, Version 1809 und höheren Windows-Versionen aktiviert.
    • Die Retpoline-Entschärfung ist ab Windows Server 2019 Windows Server Versionen deaktiviert.
  • Weitere Informationen zur Konfiguration von Retpoline finden Sie unter Mildernde Spectre-Variante 2 mit Retpoline unter Windows.
  • So aktivieren Sie Abhilfemaßnahmen für CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) und CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.
    Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
  • So deaktivieren Sie Die Risikominderungen für CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) und CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Starten Sie das Gerät neu, damit die Änderungen wirksam werden.

Hinweis

Das Festlegen von FeatureSettingsOverrideMask auf 3 ist sowohl für die Einstellungen "Aktivieren" als auch "Deaktivieren" korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „FAQ“.)

Verwalten der Entschärfung für CVE-2017-5715 (Spectre Variant 2)
So deaktivieren Sie Variante 2: (CVE-2017-5715 | Branch Target Injection)-Entschärfung:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
So aktivieren Sie Variante 2: (CVE-2017-5715 | Branch Target Injection)-Entschärfung:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
Nur AMD-Prozessoren: Aktivieren der vollständigen Entschärfung für CVE-2017-5715 (Spectre Variant 2)

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.

Aktivieren Sie den Benutzer-zu-Kernel-Schutz auf AMD-Prozessoren zusammen mit anderen Schutzmaßnahmen für CVE 2017-5715:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
Verwalten von Risikominderungen für CVE-2018-3639 (Spekulative Speicherumgehung), CVE-2017-5715 (Spectre Variant 2) und CVE-2017-5754 (Meltdown)
So aktivieren Sie Risikominderungen für CVE-2018-3639 (Spekulative Speicherumgehung), CVE-2017-5715 (Spectre Variant 2) und CVE-2017-5754 (Meltdown):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Spekulative Speicherumgehung) UND Entschärfungen für CVE-2017-5715 (Spectre Variant 2) und CVE-2017-5754 (Meltdown)
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
Nur AMD-Prozessoren: Aktivieren Sie die vollständige Entschärfung für CVE-2017-5715 (Spectre Variant 2) und CVE 2018-3639 (Speculative Store Bypass)

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.

Aktivieren Sie den Benutzer-zu-Kernel-Schutz auf AMD-Prozessoren zusammen mit anderen Schutzmaßnahmen für CVE 2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
Verwalten des Sicherheitsrisikos "Asynchroner Transaktionsabbruch", "Microarchitectural Data Sampling", "Spectre", "Meltdown", "MMIO", "Speculative Store Bypass Disable" (SSBD) und L1-Terminalfehler (L1TF)
So aktivieren Sie Entschärfungen für die Sicherheitsanfälligkeit in Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) und Stichprobenentnahme für mikroarchitecturale Daten ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] Variants, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, und CVE-2022-21166) einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646] ohne Deaktivierung von Hyperthreading:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle Virtual Machines vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
So aktivieren Sie Entschärfungen für die Sicherheitsanfälligkeit in Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) zusammen mit den Varianten Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754] including Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1-Terminalfehler (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646] mit deaktiviertem Hyper-Threading:
reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f hinzufügen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Vollständiges Herunterfahren aller Virtual Machines. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
So deaktivieren Sie entschärfungen für die Sicherheitsanfälligkeit in Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) und Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) zusammen mit den Varianten Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754] including Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1-Terminalfehler (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646]:
reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f hinzufügen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Starten Sie das Gerät neu, damit die Änderungen wirksam werden.
CVE-2022-23825 \| AMD CPU Branch Type Confusion (BTC)

So aktivieren Sie die Entschärfung für CVE-2022-23825 auf AMD-Prozessoren:

reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f hinzufügen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Um vollständig geschützt zu sein, müssen Kunden möglicherweise auch Hyperthreading deaktivieren (auch als gleichzeitiges Multithreading (Simultaneous Multi Threading, SMT) bezeichnet). Anleitungen zum Schutz von Windows-Geräten finden Sie unter KB4073757 .

CVE-2023-20569 \| AMD CPU Return Address Predictor

So aktivieren Sie die Entschärfung für CVE-2023-20569 auf AMD-Prozessoren:

reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f hinzufügen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Intel Branch History Injection

So aktivieren Sie die Entschärfung für CVE-2022-0001 auf Intel-Prozessoren:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Aktivieren mehrerer Risikominderungen

Um mehrere Risikominderungen zu aktivieren, müssen Sie den REG_DWORD-Wert jeder Risikominderung zusammen hinzufügen.

Beispiel:


Risikominderung für Sicherheitsanfälligkeit bezüglich asynchronem Transaktionsabbruch, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) und L1 Terminal Fault (L1TF) mit deaktiviertem Hyperthreading reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
HINWEIS 8264 (in Dezimal) = 0x2048 (in Hexadezimal)
Um BHI zusammen mit anderen vorhandenen Einstellungen zu aktivieren, müssen Sie bitweises OR mit dem aktuellen Wert 8.388.608 (0x800000) verwenden.
0x800000 ODER 0x2048(8264 dezimal) und wird zu 8.396.872 (0x802048). Identisch mit FeatureSettingsOverrideMask.
Risikominderung für CVE-2022-0001 auf Intel-Prozessoren reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Kombinierte Risikominderung reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Sicherstellen, dass Schutzmaßnahmen aktiviert sind

Um zu überprüfen, ob Der Schutz aktiviert ist, haben wir ein PowerShell-Skript veröffentlicht, das Sie auf Ihren Geräten ausführen können. Installieren Sie das Skript, und führen Sie es mithilfe einer der folgenden Methoden aus.

Methode 1: PowerShell-Überprüfung mithilfe des PowerShell-Katalog (Windows Server 2016 oder WMF 5.0/5.1)
Installieren des PowerShell-Moduls:
PS> Install-Module SpeculationControl
Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Methode 2: PowerShell-Überprüfung mithilfe eines Downloads von Technet (frühere Betriebssystemversionen und frühere WMF-Versionen)
Installieren Sie das PowerShell-Modul aus Technet ScriptCenter:

  1. Wechseln Sie zu https://aka.ms/SpeculationControlPS .
  2. Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.
  3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner. Beispiel: C:\ADV180002
Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell, und verwenden Sie das obige Beispiel, um die folgenden Befehle zu kopieren und auszuführen:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Eine ausführliche Erläuterung der Ausgabe des PowerShell-Skripts finden Sie unter KB4074629 .

Häufig gestellte Fragen

Mir wurden die Windows-Sicherheitsupdates, die im Januar und Februar 2018 veröffentlicht wurden, nicht angeboten. Was soll ich tun?

Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar und Februar 2018 veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Weitere Informationen finden Sie unter KB407269 .

Wie kann ich feststellen, ob ich die richtige Version des CPU-Mikrocodes habe?

Der Microcode wird über ein Firmwareupdate bereitgestellt. Informieren Sie sich beim OEM über die Firmwareversion mit dem richtigen Update für Ihren Computer.

Welche Auswirkungen haben die Risikominderungen auf die Leistung?

Die Leistung dieser Maßnahmen wird durch mehrere Variablen beeinflusst, von der System-Version bis hin zu den ausgeführten Workloads. In einigen Systemen wird der Leistungseffekt minimal sein. In anderen er bedeutender sein.

Wir empfehlen Ihnen, den Leistungseffekt auf Ihren Systemen zu überprüfen, und gegebenenfalls Anpassungen vorzunehmen.

Ich verwende Windows Server in einer gehosteten Umgebung oder Cloud eines Drittanbieters. Was soll ich tun?

Lesen Sie den obigen Artikel zu virtuellen Computern, und kontaktieren Sie Ihren Dienstanbieter, um sicherzustellen, dass die Hosts, auf denen Ihre virtuellen Computer ausgeführt werden, angemessen geschützt sind.

Informationen zu virtuellen Maschinen unter Windows Server, die in Azure ausgeführt werden, finden Sie unter Anleitung zur Minderung spekulativer Sicherheitsanfälligkeiten der Sidechannels in Azure. Anleitungen zur Verwendung der Azure Updateverwaltung zum Beheben dieses Problems auf Gast-VMs finden Sie unter KB4077467.

Gibt es Windows Server containerspezifische Richtlinien?

Die für Windows Server-Containerimages für Windows Server 2016 und Windows 10, Version 1709, veröffentlichten Updates enthalten die Risikominderungen für diese Sicherheitsanfälligkeiten. Keine weiteren Konfigurationen sind notwendig.

Hinweis Sie müssen dennoch sicherstellen, dass der Host, auf dem diese Container ausgeführt werden, so konfiguriert ist, dass die entsprechenden Risikominderungen aktiviert sind.

Müssen die Software- und Hardwareupdates in einer bestimmten Reihenfolge installiert werden?

Nein, die Reihenfolge der Installation spielt keine Rolle.

Wird es mehrere Neustarts geben?

Ja, Sie müssen nach der Aktualisierung der Firmware (Microcode) und dann nach dem Systemupdate neu starten.

Können Sie weitere Details zu den Registrierungsschlüsseln angeben?

Für die Registrierungsschlüssel gilt Folgendes:

FeatureSettingsOverride stellt eine Bitmap dar, die die Standardeinstellung außer Kraft setzt und bestimmt, welche Risikominderungen deaktiviert werden. Bit 0 steuert die Risikominderung für CVE-2017-5715. Bit 1 steuert die Entschärfung, die CVE-2017-5754 entspricht. Die Bits werden auf 0 festgelegt, um die Entschärfung zu aktivieren, und auf 1 , um die Entschärfung zu deaktivieren.

FeatureSettingsOverrideMask stellt eine Bitmapmaske dar, die in Verbindung mit FeatureSettingsOverride verwendet wird. In diesem Fall verwenden wir den Wert 3 (dargestellt als 11 im binären Zahlen- oder Basis-2-Zahlensystem), um die ersten beiden Bits anzugeben, die den verfügbaren Risikominderungen entsprechen. Dieser Registrierungsschlüssel wird auf 3 festgelegt, um die Risikominderungen zu aktivieren oder zu deaktivieren.

MinVmVersionForCpuBasedMitigations ist für Hyper-V-Hosts. Dieser Registrierungsschlüssel definiert die mindestens erforderliche VM-Version, um die aktualisierten Firmwarefunktionen verwenden zu können (CVE-2017-5715). Legen Sie diesen Wert auf 1.0 fest, um alle VM-Versionen abzudecken. Beachten Sie, dass dieser Registrierungswert für Nicht-Hyper-V-Hosts ignoriert wird (ohne Auswirkungen). Weitere Informationen finden Sie unter Schützen virtueller Gastcomputer vor CVE-2017-5715 (Branchzieleinschleusung).

Kann ich die Registrierungsschlüssel festlegen, bevor ich das Update installiere, und dann das Update installieren und neu starten, damit die Änderungen wirksam werden?

Ja, es gibt keine Nebenwirkungen, wenn diese Registrierungseinstellungen vor der Installation der entsprechenden Fixes vom Januar 2018 angewendet werden.

Können Sie weitere Details zur Ausgabe des PowerShell-Überprüfungsskripts angeben?

Eine ausführliche Beschreibung der Skriptausgabe finden Sie unter KB4074629: Grundlegendes zu SpeculationControl PowerShell-Skriptausgabe .

Wenn das Firmwareupdate (Microcode) von meinem OEM noch nicht verfügbar ist, gibt es dann noch eine Möglichkeit, meinen Hyper-V-Host zu schützen?

Ja, für Windows Server 2016-Hyper-V-Hosts, für die das Firmwareupdate noch nicht verfügbar ist, haben wir alternative Anweisungen veröffentlicht, mit denen das Risiko von Angriffen zwischen VMs sowie zwischen VMs und Hosts reduziert werden kann. Siehe Alternativer Schutz für Windows Server 2016-Hyper-V-Hosts vor den spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten.

Welche reinen Sicherheitsupdates muss ich installieren, wenn ich mich im Branch "Nur Sicherheit" beteilige, um vor diesen Sicherheitsrisiken geschützt zu sein?

Reine Sicherheitsupdates sind nicht kumulativ. Je nach Ihrer Betriebssystemversion müssen Sie unter Umständen mehrere Sicherheitsupdates installieren, um vollständig geschützt zu sein. Im Allgemeinen müssen Kunden die Updates vom Januar, Februar, März und April 2018 installieren. Systeme mit AMD-Prozessoren benötigen wie in der folgenden Tabelle beschrieben ein zusätzliches Update:

Betriebssystemversion Sicherheitsupdate
Windows 8.1, Windows Server 2012 R2 KB4338815 – Monatliches Rollup
KB4338824– Nur Sicherheit
Windows 7 SP1, Windows Server 2008 R2 SP1 oder Windows Server 2008 R2 SP1 (Server Core-Installation) KB4284826 – Monatliches Rollup
KB4284867 – Nur Sicherheit
Windows Server 2008 SP2 KB4340583 : Sicherheitsupdate

Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.

Hinweis

In einer früheren Version dieser häufig gestellten Fragen wurde fälschlicherweise angegeben, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes enthielt. Dies ist nicht der Fall.

Wenn ich eines der anwendbaren Sicherheitsupdates anwendet, werden die Schutzmaßnahmen für CVE-2017-5715 auf die gleiche Weise deaktiviert wie Sicherheitsupdates KB4078130?

Nein. Sicherheitsupdate KB4078130 war ein spezifischer Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert. Unter Windows-Serverbetriebssystemen müssen Sie noch die Risikominderungen aktivieren, nachdem Sie entsprechende Tests durchgeführt haben. Weitere Informationen finden Sie unter KB4072698.

Bekanntes Problem: Bei einigen Benutzern treten möglicherweise Probleme mit der Netzwerkkonnektivität auf oder verlieren IP-Adresseinstellungen, nachdem sie das Sicherheitsupdate vom 13. März 2018 (KB-4088875) installiert haben.

Dieses Problem wurde in KB4093118 behoben.

Intel hat Neustartprobleme identifiziert, die microcode auf einigen älteren Prozessoren betreffen. Was soll ich tun?

Im Februar 2018 gab Intel bekannt , dass die Überprüfungen abgeschlossen wurden und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates zur Verfügung, die Spectre Variant 2 Spectre Variant 2 betreffen (CVE-2017-5715 | BranchZieleinschleusung).  KB4093836 listet bestimmte Wissensdatenbank Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.

Am 11. Januar 2018 meldete Intel Probleme im kürzlich veröffentlichten Microcode, der spectre Variante 2 (CVE-2017-5715 | BranchZieleinschleusung). Intel stellte insbesondere fest, dass dieser Microcode "höhere Neustarts als erwartet und anderes unvorhersehbares Systemverhalten" verursachen kann und dass diese Szenarien "Datenverlust oder Beschädigung" verursachen können. Unsere Erfahrung ist, dass Systeminstabilität unter bestimmten Umständen zu Datenverlusten oder Beschädigungen führen kann. Am 22. Januar hat Intel Kunden empfohlen, die Bereitstellung der aktuellen Microcodeversion für betroffene Prozessoren so lange auszusetzen, bis Intel zusätzliche Tests für die aktualisierte Lösung ausgeführt hat. Wir wissen, dass Intel den möglichen Effekt der aktuellen Mikrocodeversion weiter untersucht. Wir empfehlen unseren Kunden, ihre Leitfaden laufend zu überprüfen, um ihre Entscheidungen zu treffen.

Während Intel neuen Microcode testet, aktualisiert und bereitstellt, stellen wir ein Out-of-Band-Update (OOB) KB4078130 zur Verfügung, das speziell nur die Entschärfung gegen CVE-2017-5715 deaktiviert. Unsere Tests haben ergeben, dass dieses Update das beschriebene Verhalten verhindert. Die vollständige Liste der Geräte finden Sie im Leitfaden zur Microcoderevision von Intel. Dieses Update betrifft Windows 7 Service Pack 1 (SP1), Windows 8.1 und alle Versionen von Windows 10 (Client und Server). Wenn Sie ein betroffenes Gerät ausführen, kann dieses Update angewendet werden, indem Sie es von der Microsoft Update-Katalogwebsite herunterladen. Durch Anwenden dieses Updates wird nur die Risikominderung für CVE-2017-5715 deaktiviert.

Derzeit sind keine Berichte bekannt, die darauf hinweisen, dass dieser Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) wurde verwendet, um Kunden anzugreifen. Wir empfehlen, dass Windows-Benutzer ggf. die Risikominderung für CVE-2017-5715 erneut aktivieren, sobald Intel meldet, dass dieses unberechenbare Systemverhalten für Ihr Gerät behoben wurde.

Ich habe gehört, dass Intel Microcode-Updates veröffentlicht hat. Wo finde ich sie?

Im Februar 2018 gab Intel bekannt , dass die Überprüfungen abgeschlossen wurden und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | BranchZieleinschleusung). KB4093836 listet bestimmte Wissensdatenbank Artikel nach Windows-Version auf. Jeder KB-Artikel listet die verfügbaren Microcodeupdates von Intel nach CPU auf.

Weitere Informationen finden Sie unter AMD Security Updates und AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Verfügbar sind diese über den OEM-Firmwarechannel.

Ich verwende Windows 10 Update vom April 2018 (Version 1803). Ist Intel Microcode für mein Gerät verfügbar? Wo finde ich sie?

Wir stellen Intel-validierte Microcodeupdates zur Verfügung, die Spectre Variant 2 betreffen (CVE-2017-5715 | BranchZieleinschleusung). Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, wenn es vor dem Upgrade des Systems nicht auf dem Gerät installiert wurde. Intel-Microcode ist über Windows Update, Windows Server Update Services (WSUS) oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Downloadanweisungen finden Sie unter KB4100347.

Wo finde ich Informationen zu den neuen Sicherheitslücken im Seitenkanal für spekulative Ausführung (Spekulative Speicherumgehung – CVE-2018-3639 und Nicht autorisiertes Systemregister – CVE-2018-3640)?

Weitere Informationen finden Sie in den folgenden Ressourcen:

Wo finde ich weitere Informationen zur Windows-Unterstützung für SSBD (Speculative Store Bypass Disable) in Intel-Prozessoren?

Weitere Informationen finden Sie in den Abschnitten "Empfohlene Aktionen" und "Häufig gestellte Fragen" in ADV180012 | Microsoft-Leitfaden für spekulative Speicherumgehung.

Gewusst wie bestimmen, ob SSBD aktiviert oder deaktiviert ist?

Um die status von SSBD zu überprüfen, wurde das PowerShell-Skript Get-SpeculationControlSettings aktualisiert, um betroffene Prozessoren, status der SSBD-Betriebssystemupdates und ggf. den Status des Mikrocodes des Prozessors zu erkennen. Weitere Informationen und Informationen zum Beziehen des PowerShell-Skripts finden Sie unter KB4074629.

Ich habe von "Lazy FP State Restore" gehört (CVE-2018-3665). Werden von Microsoft Entschärfungen dafür veröffentlicht?

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit, die eine spekulative Nebenkanalausführung umfasst, bekannt als verzögerte FP-Zustandswiederherstellung, angekündigt und CVE-2018-3665 zugewiesen. Informationen zu diesem Sicherheitsrisiko und empfohlenen Aktionen finden Sie in der Sicherheitsempfehlung ADV180016 | Microsoft-Leitfaden für verzögerte FP-Zustandswiederherstellung .

Hinweis Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Ich habe gehört, dass CVE-2018-3693 (Bounds Check Bypass Store) mit Spectre zusammenhängt. Werden von Microsoft Entschärfungen dafür veröffentlicht?

Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und CVE-2018-3693 zugewiesen. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Derzeit sind uns keine Fälle von BCBS in unserer Software bekannt. Wir werden jedoch weiterhin diese Anfälligkeitsklasse erforschen und mit Industriepartnern zusammenarbeiten, um die erforderlichen Maßnahmen zu ergreifen. Wir empfehlen Forschern, alle relevanten Ergebnisse an das Microsoft Speculative Execution Side Channel-Bounty-Programm zu übermitteln, einschließlich aller ausnutzbaren Instanzen von BCBS. Softwareentwickler sollten den Für BCBS aktualisierten Entwicklerleitfaden unter C++-Entwicklerleitfaden für spekulative Ausführungsseitenkanäle lesen.

Ich habe gehört, dass L1 Terminal Fault (L1TF) offengelegt wurde. Wo finde ich weitere Informationen dazu und Windows-Unterstützung dafür?

Am 14. August 2018 wurde L1 Terminal Fault (L1TF) angekündigt und zu mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:

Gewusst wie Hyper-Threading für L1TF auf meinem Gerät deaktivieren?

Die erforderlichen Schritte zum Deaktivieren von HT hängen vom jeweiligen OEM ab. Sie sind jedoch in der Regel Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.

Wo erhalte ich ARM64-Firmware, die CVE-2017-5715 entschärft \| Branchzieleinschleusung (Spectre Variant 2)?

Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wenden, um Firmwareunterstützung zu erfragen, da ARM64-Betriebssystemschutze gegen CVE-2017-5715 | Branchzieleinschleusung (Spectre, Variante 2) erfordert, dass das neueste Firmwareupdate von Geräte-OEMs wirksam wird.

Wo finde ich Informationen zur Offenlegung von Intel im Bereich microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:

Wo finde ich den szenariobasierten Leitfaden zum Ermitteln von Aktionen, die erforderlich sind, um Sicherheitsrisiken bei der Microarchitectural Data Sampling zu minimieren?

Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.

Gewusst wie Hyper-Threading für MDS auf meinem Gerät deaktivieren?

Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.

Wo finde ich Anleitungen für Azure?

Azure Anleitungen finden Sie in diesem Artikel: Leitfaden zum Beheben von Sicherheitsrisiken für spekulative Ausführungsseitenkanals in Azure.

Wo kann ich mehr über die Aktivierung von Retpoline auf Windows 10, Version 1809 erfahren?

Weitere Informationen zur Aktivierung von Retpoline finden Sie in unserem Blogbeitrag: Mildernde Spectre-Variante 2 mit Retpoline unter Windows .

Ich habe gehört, dass es eine Variante der Spectre Variant 1 Spekulative Ausführung Seitenkanal-Schwachstelle gibt. Wo kann ich mehr erfahren?

Ausführliche Informationen zu diesem Sicherheitsrisiko finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Sicherheitsrisiko bei der Offenlegung von Informationen im Windows-Kernel.

Does CVE-2019-1125 \| Windows Kernel Information Disclosure Vulnerability hat Auswirkungen auf die Clouddienste von Microsoft?

Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.

Updates für CVE-2019-1125 \| Die Sicherheitsanfälligkeit bezüglich Offenlegung von Windows-Kernelinformationen wurde am 9. Juli 2019 veröffentlicht. Warum wurden die Details am 6. August 2019 veröffentlicht?

Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.

Wo finde ich den szenariobasierten Leitfaden zum Ermitteln von Aktionen, die erforderlich sind, um das Sicherheitsrisiko aufgrund eines asynchronen Transaktionsabbruchs von Intel TSX (Intel Transactional Synchronization Extensions) zu verringern (CVE-2019-11135)?

Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.

Muss ich Hyper-Threading für das Sicherheitsrisiko durch asynchronen Transaktionsabbruch (CVE-2019-11135) von Intel Transactional Synchronization Extensions (Intel TSX) auf meinem Gerät deaktivieren?

Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.

Gibt es eine Möglichkeit, die Intel TSX-Funktion (Transactional Synchronization Extensions) zu deaktivieren?

Weitere Anleitungen finden Sie unter Leitfaden zum Deaktivieren der Intel TSX-Funktion (Transactional Synchronization Extensions).

Informationsquellen

Haftungsausschluss für Drittanbieterinformationen

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.