Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Servern

Gilt für: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mehr

Zusammenfassung


Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die als “spekulative ausführungsseitige Channelangriffe” (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren wie etwa von Intel, AMD und ARM betreffen.

Hinweis Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.

Microsoft liegen bisher keine Informationen vor, die darauf hindeuten, dass diese Sicherheitsrisiken für Angriffe auf Kunden genutzt wurden. Microsoft arbeitet zum Schutz von Kunden eng mit Branchenpartnern wie Chipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.

Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:

Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter ADV180002 und ADV180012.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Empfohlene Maßnahmen


Kunden müssen folgende Maßnahmen zum Schutz gegen die Sicherheitsanfälligkeiten ergreifen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates. Details zum Aktivieren dieser Updates finden Sie im Microsoft Knowledge Base-Artikel 4072699.
  2. Installieren Sie entsprechende Firmware (Microcode)-Updates des Geräteherstellers (OEM).
  3. Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002 und ADV180012 sowie in diesem Knowledge Base-Artikel.
  4. Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.

Risikominderungseinstellungen für Windows Server


In den Sicherheitsempfehlungen ADV180002 und ADV180012 finden Sie Informationen zu den Risiken dieser Sicherheitsanfälligkeiten und zum Standardzustand der Risikominderungen für Windows Server-Systeme. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows Server zusammen.

CVE CPU-Microcode/Firmware erforderlich? Standardzustand der Risikominderung

CVE-2017-5753

Nein

Standardmäßig aktiviert (keine Option zum Deaktivieren)

CVE-2017-5715

Ja

Standardmäßig deaktiviert.

CVE-2017-5754

Nein

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

CVE-2018-3639

Intel: Ja

AMD: Nein

Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

Kunden, die alle verfügbaren Schutzmaßnahmen vor diesen Sicherheitsanfälligkeiten nutzen möchten, müssen Änderungen an Registrierungsschlüsseln vornehmen, um die standardmäßig deaktivierten Risikominderungen zu aktivieren.

Das Ergreifen dieser Maßnahmen kann sich auf die Leistung auswirken. Der Umfang der Leistungsauswirkungen hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz in Ihrem physischen Host und den ausgeführten Workloads. Wir empfehlen Kunden, die Leistungsauswirkungen zu analysieren und die erforderlichen Anpassungen vorzunehmen.

Ihr Server ist einem gesteigerten Risiko ausgesetzt, wenn er in eine der folgenden Kategorien fällt:

  • Hyper-V-Hosts – Erfordert Schutz vor Angriffen zwischen VMs sowie zwischen VMs und Hosts.
  • Remotedesktopdienste-Hosts (Remote Desktop Services Hosts, RDSH) – Erfordert Schutz vor Angriffen zwischen Sitzungen oder zwischen Sitzungen und Hosts.
  • Physische Hosts oder virtuelle Computer, auf denen nicht vertrauenswürdiger Code ausgeführt wird, wie etwa Container oder nicht vertrauenswürdige Datenbankerweiterungen, nicht vertrauenswürdige Webinhalte oder Workloads, für die Code aus externen Quellen ausführen. Diese Elemente benötigen Schutz vor Angriffen zwischen nicht vertrauenswürdigen Prozessen oder zwischen einem nicht vertrauenswürdigen Prozess und dem Kernel.

Verwenden Sie die folgenden Registrierungsschlüsseleinstellungen, um die Risikominderungen auf dem Server zu aktivieren, und starten Sie das System neu, um die Änderungen zu übernehmen.

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

 

322756 Sichern und Wiederherstellen der Registrierung in Windows

Verwalten von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)


So aktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.


Hinweis 
Der Wert 3 für „FeatureSettingsOverrideMask“ ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)

Verwalten der Risikominderung für CVE-2017-5715 (Spectre Variante 2)


So deaktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715  Branch Target Injection“):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715  „Branch Target Injection“):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2)


Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 in ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)



So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) UND Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

 

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2) und CVE-2018-3639 (Speculative Store Bypass)


Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 in ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Sicherstellen, dass Schutzmaßnahmen aktiviert sind


Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.

PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls:

PS> Install-Module SpeculationControl

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das Technet ScriptCenter:

  1. Navigieren Sie zu https://aka.ms/SpeculationControlPS.
  2. Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.
  3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner. Beispiel: „C:\ADV180002“

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell, und verwenden Sie das obige Beispiel, um die folgenden Befehle zu kopieren und auszuführen:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Ausführliche Erläuterungen zur Ausgabe des PowerShell-Skripts finden Sie im
Knowledge Base-Artikel 4074629

Häufig gestellte Fragen


Informationsquellen