Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Servern

Gilt für: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Zusammenfassung


Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die als „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren wie etwa von Intel, AMD, VIA und ARM betreffen.

Hinweis Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.

Microsoft hat aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden. Microsoft arbeitet zum Schutz von Kunden eng mit Branchenpartnern wie Chipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.

Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:

Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.

Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter

AKTUALISIERT AM 14. Mai 2019: Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten veröffentlicht, die als Microarchitectural Data Sampling bezeichnet werden. Ihnen wurden die folgenden CVEs zugewiesen:

Wichtig: Diese Probleme betreffen andere Systeme wie etwa Android, Chrome, iOS und MacOS. Wir raten Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Es wird dringend empfohlen, diese Updates bereitzustellen.

Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:

Hinweis Es wird empfohlen, alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

AKTUALISIERT AM 6. AUGUST 2019: Am 6. August 2019 hat Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen bekanntgegeben. Diese Sicherheitsanfälligkeit ist eine Variante der spekulativen ausführungsseitigen Channelsicherheitsanfälligkeit Spectre Variante 1 und wird unter CVE-2019-1125 gelistet.

Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Beachten Sie, dass wir die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.

Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.

Hinweis Beachten Sie, dass für diese Sicherheitsanfälligkeit kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich ist.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie im Leitfaden für Sicherheitsupdates von Microsoft:  CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen.

Empfohlene Maßnahmen


Kunden müssen folgende Maßnahmen zum Schutz gegen die Sicherheitsanfälligkeiten ergreifen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
  2. Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
  3. Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002, ADV180012, ADV190013 und in diesem Knowledge Base-Artikel.
  4. Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.

Hinweis Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der neuesten Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB 4073065.

Risikominderungseinstellungen für Windows Server


In den Sicherheitsempfehlungen ADV180002, ADV180012 und ADV190013 finden Sie Informationen zu den Risiken dieser Sicherheitsanfälligkeiten und zum Standardzustand der Risikominderungen für Windows Server-Systeme. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows Server zusammen.

CVECPU-Microcode/Firmware erforderlich?Standardzustand der Risikominderung

CVE-2017-5753

Nein

Standardmäßig aktiviert (keine Option zum Deaktivieren)

Weitere Informationen finden Sie unter ADV180002.

CVE-2017-5715

Ja

Standardmäßig deaktiviert.

Siehe ADV180002 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

Hinweis: „Retpoline“ ist für Geräte, auf denen Windows 10, Version 1809, oder eine neuere Version ausgeführt wird, standardmäßig aktiviert, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu „Retpoline“ finden Sie im Blogbeitrag Mitigating Spectre variant 2 with Retpoline on Windows.

CVE-2017-5754

Nein

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Weitere Informationen finden Sie unter ADV180002.

CVE-2018-3639

Intel: Ja

AMD: Nein

Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-11091Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.
CVE-2018-12126Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.
CVE-2018-12127Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.
CVE-2018-12130Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

Kunden, die alle verfügbaren Schutzmaßnahmen vor diesen Sicherheitsanfälligkeiten nutzen möchten, müssen Änderungen an Registrierungsschlüsseln vornehmen, um die standardmäßig deaktivierten Risikominderungen zu aktivieren.

Das Ergreifen dieser Maßnahmen kann sich auf die Leistung auswirken. Der Umfang der Leistungsauswirkungen hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz in Ihrem physischen Host und den ausgeführten Workloads. Wir empfehlen Kunden, die Leistungsauswirkungen zu analysieren und die erforderlichen Anpassungen vorzunehmen.

Ihr Server ist einem gesteigerten Risiko ausgesetzt, wenn er in eine der folgenden Kategorien fällt:

  • Hyper-V-Hosts – Erfordert Schutz vor Angriffen zwischen VMs sowie zwischen VMs und Hosts.
  • Remotedesktopdienste-Hosts (Remote Desktop Services Hosts, RDSH) – Erfordert Schutz vor Angriffen zwischen Sitzungen oder zwischen Sitzungen und Hosts.
  • Physische Hosts oder virtuelle Computer, auf denen nicht vertrauenswürdiger Code ausgeführt wird, wie etwa Container oder nicht vertrauenswürdige Datenbankerweiterungen, nicht vertrauenswürdige Webinhalte oder Workloads, für die Code aus externen Quellen ausführen. Diese Elemente benötigen Schutz vor Angriffen zwischen nicht vertrauenswürdigen Prozessen oder zwischen einem nicht vertrauenswürdigen Prozess und dem Kernel.

Verwenden Sie die folgenden Registrierungsschlüsseleinstellungen, um die Risikominderungen auf dem Server zu aktivieren, und starten Sie das System neu, um die Änderungen zu übernehmen.

Hinweis Die Aktivierung von Risikominderungen, die standardmäßig deaktiviert sind, kann sich auf die Leistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.

Registrierungseinstellungen


Mit den folgenden Registrierungsinformationen können Sie Risikominderungen aktivieren, die standardmäßig nicht aktiviert sind. Beachten Sie dazu die Sicherheitsempfehlungen ADV180002, ADV180012 und ADV190013.

Außerdem finden Sie hier Registrierungsschlüsseleinstellungen, mit denen Sie die Risikominderungen im Zusammenhang mit CVE-2017-5715 und CVE-2017-5754 für Windows-Clients deaktivieren können.

Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

 
 

Verwalten von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)


Wichtiger Hinweis: „Retpoline“ ist auf Servern unter Windows 10, Version 1809, standardmäßig aktiviert, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Durch Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 kann die Leistung auf Servern, auf denen Windows 10, Version 1809, ausgeführt wird, für Spectre Variante 2 insbesondere bei älteren Prozessoren verbessert werden.

So aktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.


Hinweis
Der Wert 3 für „FeatureSettingsOverrideMask“ ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)

Verwalten der Risikominderung für CVE-2017-5715 (Spectre Variante 2)


So deaktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715 „Branch Target Injection“):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715 „Branch Target Injection“):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2)


Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 in ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)



So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) UND Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2) und CVE-2018-3639 (Speculative Store Bypass)


Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 in ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten von Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646]


So aktivieren Sie Risikominderungen für Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646], ohne Hyperthreading zu deaktivieren:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie Risikominderungen für Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646] mit deaktiviertem Hyperthreading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Sicherstellen, dass Schutzmaßnahmen aktiviert sind


Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.

PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls:

PS> Install-Module SpeculationControl

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das Technet ScriptCenter:

  1. Navigieren Sie zu https://aka.ms/SpeculationControlPS.
  2. Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.
  3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner. Beispiel: „C:\ADV180002“

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell, und verwenden Sie das obige Beispiel, um die folgenden Befehle zu kopieren und auszuführen:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Ausführliche Erläuterungen zur Ausgabe des PowerShell-Skripts finden Sie im Knowledge Base-Artikel 4074629.

Häufig gestellte Fragen


Informationsquellen