Leitfaden für IT-Experten zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Clients

Gilt für: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mehr

Zusammenfassung


Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die als “spekulative ausführungsseitige Channelangriffe” (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren wie etwa von Intel, AMD und ARM betreffen.

Hinweis Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Einzelheiten entnehmen Sie den folgenden Abschnitten.

Microsoft liegen bisher keine Informationen vor, die darauf hindeuten, dass diese Sicherheitsrisiken für Angriffe auf Kunden genutzt wurden. Microsoft arbeitet zum Schutz von Kunden eng mit Branchenpartnern wie Chipherstellern, Hardware-OEMs und App-Anbietern zusammen. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.

Dieser Artikel betrifft folgende Sicherheitsanfälligkeiten:

Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.

Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter ADV180002 und ADV180012.

Empfohlene Maßnahmen


Kunden müssen folgende Maßnahmen zum Schutz gegen die Sicherheitsrisiken ergreifen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.
  2. Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.
  3. Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002 und ADV180012 und in diesem Knowledge Base-Artikel.
  4. Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.

Hinweis Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie in KB 4073065.

Risikominderungseinstellungen für Windows-Clients


In den Sicherheitsempfehlungen ADV180002 und ADV180012 finden Sie Informationen zu den Risiken dieser Sicherheitsanfälligkeiten und zum Standardzustand der Risikominderungen für Windows-Clientsysteme. Die folgende Tabelle fasst die den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen im Windows-Client zusammen.

CVE

CPU-Microcode erforderlich?

Standardzustand der Risikominderung

CVE-2017-5753

Nein

Standardmäßig aktiviert (keine Option zum Deaktivieren)

CVE-2017-5715

Ja

Standardmäßig aktiviert. Benutzer mit AMD-basierten Systemen finden in der FAQ Nr. 15 unter ADV180002 weitere Hinweise zu zusätzlichen Maßnahmen und in diesemKB-Artikel Informationen zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2017-5754

Nein

Standardmäßig aktiviert

CVE-2018-3639

Ja

Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

Die Aktivierung von Risikominderungen, die standardmäßig deaktiviert sind, kann sich auf die Leistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.

Option | Registrierungseinstellungen


Mit den folgenden Registrierungsinformationen können Sie Risikominderungen aktivieren, die standardmäßig nicht aktiviert sind. Beachten Sie dazu die Sicherheitsempfehlungen ADV180002 und ADV180012. Außerdem finden Sie hier Registrierungsschlüsseleinstellungen, mit denen Sie die Risikominderungen im Zusammenhang mit CVE-2017-5715 und CVE-2017-5754 für Windows-Clients deaktivieren können.

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Verwalten von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)


So aktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Hinweis Der Wert 3 für „FeatureSettingsOverrideMask“ ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)

Verwalten der Risikominderung für CVE-2017-5715 (Spectre Variante 2)


Während Intel neuen Microcode testet, aktualisiert und bereitstellt, bieten wir für fortgeschrittene Benutzer eine neue Option an, um die Risikominderung für Spectre Variante 2 (CVE-2017-5715 – „Branch Target Injection“) auf betroffenen Geräten separat manuell zu deaktivieren und aktivieren, indem sie Änderungen an den Registrierungseinstellungen vornehmen.

Wenn Sie den Microcode installiert haben, aber die Risikominderung für CVE-2017-5715 wegen unerwarteter Neustarts oder Problemen mit der Systemstabilität deaktivieren möchten, gehen Sie wie folgt vor.

So deaktivieren Sie die Risikominderung für Variante 2: (CVE-2017 „Branch Target Injection“) Risikominderung:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715„Branch Target Injection“) Risikominderung:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Aktivieren mithilfe von Indirect Branch Prediction Barrier (IBPB) für Spectre Variante 2 für AMD-Prozessoren (CPUs)


Manche AMD-Prozessoren (CPUs) bieten eine Indirect Branch Control-Funktion an, mit der das Risiko von indirekten Branch Target Injections über einen Indirect Branch Prediction Barrier (IBPB)-Mechanismus abgewehrt werden soll. (Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002 and AMD Architecture Guidelines around Indirect Branch Control (AMD-Richtlinien zur Architektur bezüglich Indirect Branch Control) sowie in den AMD-Sicherheitsupdates).

Anhand der folgenden Anweisungen können Sie die Verwendung von IBPB kontrollieren, wenn Sie vom Benutzerkontext auf den Kernelkontext umschalten:

So aktivieren Sie die Verwendung von Indirect Branch Prediction Barrier (IBPB) beim Umschalten vom Benutzerkontext auf den Kernelkontext:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)


So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) UND Risikominderungen für CVE-2017-5715 (Spectre Variant 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Sicherstellen, dass Schutzmaßnahmen aktiviert sind


Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.

PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls:

PS> Install-Module SpeculationControl

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das Technet ScriptCenter:

Navigieren Sie zu https://aka.ms/SpeculationControlPS

Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.

Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV180002“.

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell. Anschließend müssen Sie (unter Verwendung des vorherigen Beispiels) die folgenden Befehle kopieren und ausführen:

PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Eine ausführliche Beschreibung der Ausgabe des PowerShell-Skripts finden Sie im Knowledge Base-Artikel 4074629.

Häufig gestellte Fragen


Wie kann ich feststellen, ob ich die richtige Version des CPU-Microcodes habe?

Der Microcode wird über ein Firmwareupdate bereitgestellt. Erkundigen Sie sich beim Hersteller der CPU (Chipsatz) bzw. des Geräts nach der Verfügbarkeit von Firmwaresicherheitsupdates für das jeweilige Gerät. Weitere Informationen finden Sie unter Intel – Microcode Revision Guidance.