Empfohlene Maßnahmen

Kunden müssen folgende Maßnahmen zum Schutz gegen die Sicherheitsanfälligkeiten ergreifen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.

  2. Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.

  3. Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002, ADV180012, ADV190013 und in diesem Knowledge Base-Artikel.

  4. Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.

Hinweis Surface-Kunden erhalten ein Microcodeupdate über Windows Update. Eine Liste der neuesten Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB 4073065.

Risikominderungseinstellungen für Windows Server

In den Sicherheitsempfehlungen ADV180002, ADV180012 und ADV190013 finden Sie Informationen zu den Risiken, die von diesen Schwachstellen ausgehen.  und zum Standardzustand der Risikominderungen für Windows Server-Systeme. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows Server zusammen.

CVE

CPU-Microcode/Firmware erforderlich?

Standardzustand der Risikominderung

CVE-2017-5753

Nein

Standardmäßig aktiviert (keine Option zum Deaktivieren)

Weitere Informationen finden Sie unter ADV180002.

CVE-2017-5715

Ja

Standardmäßig deaktiviert.

Siehe ADV180002 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

Hinweis „Retpoline“ ist standardmäßig für Geräte aktiviert, auf denen Windows 10 1809 oder höher ausgeführt wird, wenn Spectre Variant 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu „Retpoline“ finden Sie im Blogbeitrag Mitigating Spectre variant 2 with Retpoline on Windows.

CVE-2017-5754

Nein

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Weitere Informationen finden Sie unter ADV180002.

CVE-2018-3639

Intel: Ja

AMD: Nein

Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-11091

Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-12126

Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-12127

Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-12130

Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2019-11135

Intel: Ja

Windows Server 2019: Standardmäßig aktiviert.
Windows Server 2016 und frühere Versionen: Standardmäßig deaktiviert.

Siehe CVE-2019-11135 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

Kunden, die alle verfügbaren Schutzmaßnahmen vor diesen Sicherheitsanfälligkeiten nutzen möchten, müssen Änderungen an Registrierungsschlüsseln vornehmen, um die standardmäßig deaktivierten Risikominderungen zu aktivieren.

Das Ergreifen dieser Maßnahmen kann sich auf die Leistung auswirken. Der Umfang der Leistungsauswirkungen hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz in Ihrem physischen Host und den ausgeführten Workloads. Wir empfehlen Kunden, die Leistungsauswirkungen zu analysieren und die erforderlichen Anpassungen vorzunehmen.

Ihr Server ist einem gesteigerten Risiko ausgesetzt, wenn er in eine der folgenden Kategorien fällt:

  • Hyper-V-Hosts – Erfordert Schutz vor Angriffen zwischen VMs sowie zwischen VMs und Hosts.

  • Remotedesktopdienste-Hosts (Remote Desktop Services Hosts, RDSH) – Erfordert Schutz vor Angriffen zwischen Sitzungen oder zwischen Sitzungen und Hosts.

  • Physische Hosts oder virtuelle Computer, auf denen nicht vertrauenswürdiger Code ausgeführt wird, wie etwa Container oder nicht vertrauenswürdige Datenbankerweiterungen, nicht vertrauenswürdige Webinhalte oder Workloads, für die Code aus externen Quellen ausführen. Diese Elemente benötigen Schutz vor Angriffen zwischen nicht vertrauenswürdigen Prozessen oder zwischen einem nicht vertrauenswürdigen Prozess und dem Kernel.

Verwenden Sie die folgenden Registrierungsschlüsseleinstellungen, um die Risikominderungen auf dem Server zu aktivieren, und starten Sie das System neu, um die Änderungen zu übernehmen.

Hinweis Die Aktivierung von Risikominderungen, die standardmäßig deaktiviert sind, kann sich auf die Leistung auswirken. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.

Registrierungseinstellungen

Mit den folgenden Registrierungsinformationen können Sie Risikominderungen aktivieren, die standardmäßig nicht aktiviert sind. Beachten Sie dazu die Sicherheitsempfehlungen ADV180002, ADV180012 und ADV190013.

Außerdem finden Sie hier Registrierungsschlüsseleinstellungen, mit denen Sie die Risikominderungen im Zusammenhang mit CVE-2017-5715 und CVE-2017-5754 für Windows-Clients deaktivieren können.

Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Verwalten von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

Wichtiger Hinweis Retpoline ist auf Windows 10 Server, Version 1809, standardmäßig aktiviert, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Durch Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 kann die Leistung auf Servern, auf denen Windows 10, Version 1809, ausgeführt wird, für Spectre Variante 2 insbesondere bei älteren Prozessoren verbessert werden.

So aktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.


Hinweis Das Festlegen von FeatureSettingsOverrideMask auf 3 gilt sowohl für die Einstellungen „Aktivieren“ als auch „Deaktivieren“. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „FAQ“.)

Verwalten der Risikominderung für CVE-2017-5715 (Spectre Variante 2)

So deaktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715 „Branch Target Injection“):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie die Risikominderung für Variante 2: (CVE-2017-5715 „Branch Target Injection“):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2)

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) UND Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2) und CVE-2018-3639 (Speculative Store Bypass)

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten der Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und von Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646]

So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646], ohne Hyperthreading zu deaktivieren:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646] mit deaktiviertem Hyperthreading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Sicherstellen, dass Schutzmaßnahmen aktiviert sind

Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.

PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls:

PS> Install-Module SpeculationControl

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das Technet ScriptCenter:

  1. Navigieren Sie zu https://aka.ms/SpeculationControlPS

  2. Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.

  3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner. Beispiel: „C:\ADV180002“

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell, und verwenden Sie das obige Beispiel, um die folgenden Befehle zu kopieren und auszuführen:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Ausführliche Erläuterungen zur Ausgabe des PowerShell-Skripts finden Sie im Knowledge Base-Artikel 4074629

Häufig gestellte Fragen

Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar und Februar 2018 veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Details finden Sie im Microsoft Knowledge Base-Artikel 4072699.

Der Microcode wird über ein Firmwareupdate bereitgestellt. Informieren Sie sich beim OEM über die Firmwareversion mit dem richtigen Update für Ihren Computer.

Die Leistung dieser Maßnahmen wird durch mehrere Variablen beeinflusst, von der System-Version bis hin zu den ausgeführten Workloads. In einigen Systemen wird der Leistungseffekt minimal sein. In anderen er bedeutender sein.

Wir empfehlen Ihnen, den Leistungseffekt auf Ihren Systemen zu überprüfen, und gegebenenfalls Anpassungen vorzunehmen.

Lesen Sie den obigen Artikel zu virtuellen Computern, und kontaktieren Sie Ihren Dienstanbieter, um sicherzustellen, dass die Hosts, auf denen Ihre virtuellen Computer ausgeführt werden, angemessen geschützt sind.

Informationen zu virtuellen Maschinen unter Windows Server, die in Azure ausgeführt werden, finden Sie unter Anleitung zur Minderung spekulativer Sicherheitsanfälligkeiten der Sidechannels in Azure. Anleitungen zur Verwendung von Azure Update Management zur Minderung dieses Problems auf Gast-VMs finden Sie im Microsoft Knowledge Base-Artikel 4077467.

Die für Windows Server-Containerimages für Windows Server 2016 und Windows 10, Version 1709, veröffentlichten Updates enthalten die Risikominderungen für diese Sicherheitsanfälligkeiten. Keine weiteren Konfigurationen sind notwendig.

Hinweis Sie müssen weiterhin sicherstellen, dass für den Host, auf dem diese Container ausgeführt werden, die entsprechenden Risikominderungen aktiviert werden.

Nein, die Reihenfolge der Installation spielt keine Rolle.

Ja, Sie müssen nach der Aktualisierung der Firmware (Microcode) und dann nach dem Systemupdate neu starten.

Für die Registrierungsschlüssel gilt Folgendes:

FeatureSettingsOverride stellt eine Bitmap dar, die die Standardeinstellung außer Kraft setzt und bestimmt, welche Risikominderungen deaktiviert werden. Bit 0 steuert die Risikominderung für CVE-2017-5715. Bit 1 steuert die Risikominderung für CVE-2017-5754. Diese Bits werden auf 0 festgelegt, um die Risikominderung zu aktivieren, und auf 1, um die Risikominderung zu deaktivieren.

FeatureSettingsOverrideMask stellt eine Bitmapmaske dar, die in Verbindung mit FeatureSettingsOverride verwendet wird.  In diesem Fall verwenden wir den Wert 3 (dargestellt als „11“ im Binärzahlensystem, bzw. im Zahlensystem mit der Basis 2), um auf die ersten beiden Bits zu verweisen, die den verfügbaren Risikominderungen entsprechen. Dieser Registrierungsschlüssel wird auf 3 festgelegt, um die Risikominderungen zu aktivieren oder zu deaktivieren.

MinVmVersionForCpuBasedMitigations ist für Hyper-V-Hosts. Dieser Registrierungsschlüssel definiert die VM-Mindestversion, die für die Verwendung der aktualisierten Firmwarefunktionen nötig ist (CVE-2017-5715). Legen Sie diesen Wert auf 1.0 fest, um alle VM-Versionen abzudecken. Beachten Sie, dass dieser Registrierungswert für Nicht-Hyper-V-Hosts ignoriert wird (ohne Auswirkungen). Weitere Details finden Sie unter Schützen von virtuellen Gastcomputern vor CVE 2017-5715 (Branch Target Injection).

Ja, es gibt keine Nebenwirkungen, wenn diese Registrierungseinstellungen vor der Installation der entsprechenden Fixes vom Januar 2018 angewendet werden.

Eine ausführliche Beschreibung der Skriptausgabe finden Sie unter Grundlegendes zur Ausgabe des PowerShell-Skripts „Get-SpeculationControlSettings“.

Ja, für Windows Server 2016-Hyper-V-Hosts, für die das Firmwareupdate noch nicht verfügbar ist, haben wir alternative Anweisungen veröffentlicht, mit denen das Risiko von Angriffen zwischen VMs sowie zwischen VMs und Hosts reduziert werden kann. Siehe Alternativer Schutz für Windows Server 2016-Hyper-V-Hosts vor den spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten.

Reine Sicherheitsupdates sind nicht kumulativ. Je nach Ihrer Betriebssystemversion müssen Sie unter Umständen mehrere Sicherheitsupdates installieren, um vollständig geschützt zu sein. Im Allgemeinen müssen Kunden die Updates vom Januar, Februar, März und April 2018 installieren. Systeme mit AMD-Prozessoren benötigen wie in der folgenden Tabelle beschrieben ein zusätzliches Update:

Betriebssystemversion

Sicherheitsupdate

Windows 8.1, Windows Server 2012 R2

4338815 – Monatlicher Rollup

4338824 – Reines Sicherheitsupdate

Windows 7 SP1, Windows Server 2008 R2 SP1 oder Windows Server 2008 R2 SP1 (Server Core-Installation)

4284826 – Monatlicher Rollup

4284867 – Reines Sicherheitsupdate

Windows Server 2008 SP2

4340583 – Sicherheitsupdate

Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.

Hinweis In einer früheren Version dieser FAQ wurde fälschlicherweise darauf hingewiesen, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes beinhaltet. Dies ist nicht der Fall.

Nein. Das Sicherheitsupdate KB 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert. Unter Windows-Serverbetriebssystemen müssen Sie noch die Risikominderungen aktivieren, nachdem Sie entsprechende Tests durchgeführt haben. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 4072698.

Dieses Problem wurde in KB 4093118 behoben.

Intel hat im Februar 2018 angekündigt, dass sie die Überprüfung abgeschlossen haben und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen haben. Microsoft stellt von Intel validierte Mikrocode-Updates für Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 - „Branch Target Injection“) zur Verfügung. Unter KB 4093836 finden Sie eine Liste mit Knowledge Base-Artikeln für die einzelnen Windows-Versionen. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.

11. Januar 2018: Intel meldet Probleme mit dem kürzlich veröffentlichten Microcode, der das Problem mit Spectre Variante 2 (CVE-2017-5715 – „Branch Target Injection“) beheben sollte. Intel hat festgestellt, dass dieser Microcode zu einer „höheren Anzahl von Neustarts als erwartet sowie zu sonstigem unberechenbarem Systemverhalten“ führen kann, und weist darauf hin, dass derartige Situationen „Datenverlust oder -beschädigung“ zur Folge haben können. ” Aus eigener Erfahrung wissen wir, dass Systeminstabilität in bestimmten Fällen Datenverlust oder Datenbeschädigung nach sich ziehen kann. Am 22. Januar hat Intel Kunden empfohlen, die Bereitstellung der aktuellen Microcodeversion für betroffene Prozessoren so lange auszusetzen, bis Intel zusätzliche Tests für die aktualisierte Lösung ausgeführt hat. Wir wissen, dass Intel den möglichen Effekt der aktuellen Mikrocodeversion weiter untersucht. Wir empfehlen unseren Kunden, ihre Leitfaden laufend zu überprüfen, um ihre Entscheidungen zu treffen.

Während von Intel neuer Microcode getestet, aktualisiert und bereitgestellt wird, stellen wir das Out-of-Band(OOB)-Update KB 4078130 zur Verfügung, mit dem nur die Risikominderung für CVE-2017-5715 deaktiviert wird. Unsere Tests haben ergeben, dass dieses Update das beschriebene Verhalten verhindert. Eine komplette Liste der Geräte finden Sie unter Microcode Revision Guidance von Intel. Dieses Update betrifft Windows 7 Service Pack 1 (SP1), Windows 8.1 und alle Versionen von Windows 10 (Client und Server). Wenn Sie ein betroffenes Gerät verwenden, können Sie dieses Update anwenden, indem Sie es von der Microsoft Update-Katalog-Website herunterladen. Durch Anwenden dieses Updates wird nur die Risikominderung für CVE-2017-5715 deaktiviert.

Zu diesem Zeitpunkt gibt es keine Hinweise darauf, dass Spectre Variante 2 (CVE-2017-5715 – „Branch Target Injection“) für Angriffe auf Kunden ausgenutzt wurde. Wir empfehlen, dass Windows-Benutzer ggf. die Risikominderung für CVE-2017-5715 erneut aktivieren, sobald Intel meldet, dass dieses unberechenbare Systemverhalten für Ihr Gerät behoben wurde.

Intel hat im Februar 2018 angekündigt, dass die Überprüfung abgeschlossen ist und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 – „Branch Target Injection“) zur Verfügung. Unter KB 4093836 finden Sie eine Liste mit Knowledge Base-Artikeln für die einzelnen Windows-Versionen. Jeder KB-Artikel listet die verfügbaren Microcodeupdates von Intel nach CPU auf.

Weitere Informationen finden Sie in den AMD-Sicherheitsupdates und im AMD-Whitepaper: Architecture Guidelines around Indirect Branch Control (Richtlinien zur Architektur bezüglich Indirect Branch Control). Verfügbar sind diese über den OEM-Firmwarechannel.

Wir werden von Intel geprüfte Microcode-Updates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 – „Branch Target Injection“) zur Verfügung stellen. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt im Microsoft Update-Katalog verfügbar, wenn es vor dem Systemupgrade nicht auf dem Gerät installiert wurde. Der Intel-Microcode ist über Windows Update, Windows Server Update Services (WSUS) oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.

Weitere Informationen finden Sie in den Abschnitten „Empfohlene Maßnahmen“ und „Häufig gestellte Fragen (FAQ)“ in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.

Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript Get-SpeculationControlSettings aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und das PowerShell-Skript zum Herunterladen finden Sie unter KB 4074629.

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit spekulativen ausführungsseitigen Channelangriffen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Weitere Informationen zu dieser Sicherheitsanfälligkeit sowie empfohlene Maßnahmen finden Sie in der Sicherheitsempfehlung ADV180016 | Leitfaden von Microsoft für „Lazy FP State Restore“.

Hinweis Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und wird unter CVE-2018-3693 gelistet. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Derzeit sind uns keine Fälle von BCBS in unserer Software bekannt. Wir werden jedoch weiterhin diese Anfälligkeitsklasse erforschen und mit Industriepartnern zusammenarbeiten, um die erforderlichen Maßnahmen zu ergreifen. Wir bitten Forscher darum, relevante Ergebnisse an das Bounty-Programm für spekulative ausführungsseitige Channelangriffe von Microsoft zu senden, einschließlich etwaiger ausnutzbarer BCBS-Instanzen. Softwareentwickler sollten den Entwicklerleitfaden lesen, der für BCBS aktualisiert und unter C++-Entwicklerleitfaden für spekulative ausführungsseitige Channelangriffe veröffentlicht wurde.

Am 14. August 2018 wurde L1 Terminal Fault (L1TF) angekündigt und zu mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:

Die erforderlichen Schritte zum Deaktivieren von HT hängen vom jeweiligen OEM ab. Sie sind jedoch in der Regel Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.

Kunden mit 64-Bit-ARM-Prozessoren sollten sich wegen Firmwaresupport an den Geräte-OEM wenden, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre, Variante 2) mindern, das neueste Firmwareupdate von Geräte-OEMs erforderlich ist, damit sie wirksam sind.

Weitere Informationen zur Aktivierung von „Retpoline“ finden Sie in unserem Blogbeitrag: Mitigating Spectre variant 2 with Retpoline on Windows.

Details zu dieser Sicherheitsanfälligkeit finden Sie im Leitfaden für Sicherheitsupdates von Microsoft: CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen.

Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.

Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.

Informationsquellen

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Übersetzungsqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×