Οδηγίες διακομιστή των Windows για την προστασία από θέματα ευπάθειας πλευρά κανάλι κερδοσκοπίας εκτέλεσης

Ισχύει για: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Περισσότερα

Σύνοψη


Η Microsoft έχει πληροφορηθεί νέα δημόσια κλάσης από θέματα ευπάθειας που ονομάζονται "Εκτέλεση κερδοσκοπικές επιθέσεις πλευρά κανάλι" και που επηρεάζουν πολλά σύγχρονα επεξεργαστές, συμπεριλαμβανομένης της Intel, AMD και ARM.

Σημείωση Αυτό το ζήτημα επηρεάζει και άλλα λειτουργικά συστήματα, όπως το Android, χρώμιο, iOS και macOS. Επομένως, συμβουλεύει τους πελάτες να ζητούν συμβουλές από τους συγκεκριμένους προμηθευτές.

Η Microsoft έχει κυκλοφορήσει αρκετές ενημερωμένες εκδόσεις για τη μείωση αυτών των θεμάτων ευπάθειας. Εμείς έλαβαν επίσης ενέργεια για την ασφάλεια των υπηρεσιών μας σύννεφο. Ανατρέξτε στις ακόλουθες ενότητες για περισσότερες λεπτομέρειες.

Η Microsoft δεν έχει λάβει ακόμα κάθε πληροφορία για να υποδείξετε ότι αυτά τα θέματα ευπάθειας έχουν χρησιμοποιηθεί για επιθέσεις κατά πελατών. Η Microsoft συνεργάζεται στενά με συνεργάτες βιομηχανίας, συμπεριλαμβανομένων των chip κατασκευαστές, OEM υλικού και προμηθευτές εφαρμογών για την προστασία των πελατών. Για να λάβετε όλα τα διαθέσιμα προστασία, υλικολογισμικού (μικροκώδικα) και λογισμικό απαιτούνται ενημερωμένες εκδόσεις. Περιλαμβάνεται μικροκώδικα από OEM της συσκευής και, σε ορισμένες περιπτώσεις, ενημερώνει με λογισμικό προστασίας από ιούς.

Αυτό το άρθρο ασχολείται με τα ακόλουθα θέματα ευπάθειας:

Για να μάθετε περισσότερα σχετικά με αυτήν την κλάση από θέματα ευπάθειας, ανατρέξτε στο θέμα ADV180002 και ADV180012.

Η Microsoft παρέχει πληροφορίες επικοινωνίας με άλλους κατασκευαστές, για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια αυτών των πληροφοριών επικοινωνίας με άλλους κατασκευαστές.

Προτεινόμενες ενέργειες


Οι πελάτες θα πρέπει να λαμβάνουν τις ακόλουθες ενέργειες για να βοηθήσουν στην προστασία από αυτά τα θέματα ευπάθειας:

  1. Ισχύουν όλες διαθέσιμες λειτουργικού συστήματος ενημερωμένες εκδόσεις των Windows, συμπεριλαμβανομένων των μηνιαίων ενημερωμένων εκδόσεων ασφαλείας των Windows. Για λεπτομέρειες σχετικά με τον τρόπο για να ενεργοποιήσετε αυτές τις ενημερώσεις, see 4072699 το άρθρο της Γνωσιακής βάσης.
  2. Εφαρμόστε τις αλλαγές που εφαρμόζονται υλικολογισμικού (μικροκώδικα) από τον κατασκευαστή της συσκευής (OEM).
  3. Αξιολόγηση του κινδύνου για το περιβάλλον σας με βάση τις πληροφορίες που είναι σε Advisories ασφαλείας της MicrosoftADV180002καιADV180012και σε αυτό το άρθρο της Γνωσιακής βάσης.
  4. Ενεργήστε όπως απαιτείται, χρησιμοποιώντας το advisories και πληροφορίες κλειδιών μητρώου που παρέχεται σε αυτό το άρθρο της Γνωσιακής βάσης.

Ενεργοποίηση προστασίας στον Windows Server


Το μετριασμούς για CVE-2017-5753 είναι ενεργοποιημένη από προεπιλογή στον Windows Server και δεν υπάρχει καμία επιλογή διαχειριστή που είναι διαθέσιμες για να τις απενεργοποιήσετε. Ελαφρύνσεις για τις τρεις ευπάθειες που περιγράφονται σε αυτό το άρθρο είναι απενεργοποιημένη από προεπιλογή. Οι πελάτες που θέλουν να αποκτήσουν όλες τις διαθέσιμες προστασία έναντι αυτά τα θέματα ευπάθειας πρέπει να κάνετε αλλαγές στο κλειδί μητρώου για να ενεργοποιήσετε αυτές τις ελαφρύνσεις του.

Ενεργοποίηση αυτών των μετριασμούς ενδέχεται να επηρεάσει τις επιδόσεις. Η κλίμακα των επιπτώσεων επιδόσεων εξαρτάται από πολλούς παράγοντες, όπως το συγκεκριμένο chipset σας φυσική κεντρικού υπολογιστή και το φόρτο εργασίας που εκτελούνται. Συνιστούμε να αξιολογεί τις επιδόσεις επιπτώσεις για το περιβάλλον τους πελάτες και να κάνετε τις απαραίτητες προσαρμογές.

Ο διακομιστής είναι σε αυξημένο κίνδυνο αν βρίσκεται σε μία από τις ακόλουθες κατηγορίες:

  • Hyper-V φιλοξενεί – απαιτεί προστασία για επιθέσεις VM-VM και VM προς κεντρικό υπολογιστή.
  • Απομακρυσμένη επιφάνεια εργασίας υπηρεσίες κεντρικών υπολογιστών (RDSH) – απαιτεί προστασία από μία περίοδο λειτουργίας σε μια άλλη περίοδο λειτουργίας ή από επιθέσεις περιόδου λειτουργίας προς κεντρικό υπολογιστή.
  • Φυσική κεντρικούς υπολογιστές ή εικονικές μηχανές που εκτελούν μη αξιόπιστο κώδικα, όπως δοχεία ή μη αξιόπιστη επεκτάσεις για τη βάση δεδομένων, περιεχομένου web μη αξιόπιστη ή φόρτο εργασίας που εκτελεί κώδικα που προέρχεται από εξωτερικές πηγές. Αυτές απαιτούν προστασία από επιθέσεις στο μη αξιόπιστη διαδικασία-σε-άλλο-διαδικασία ή δεν είναι αξιόπιστη-διαδικασία-σε-πυρήνα.

Χρησιμοποιήστε τις παρακάτω ρυθμίσεις του κλειδιού μητρώου για να ενεργοποιήσετε το μετριασμούς στο διακομιστή και επανεκκίνηση του συστήματος για να εφαρμοστούν οι αλλαγές.

Ενεργοποίηση μετριασμούς για CVE-2017-5715 (2 χαρακτηριστικού Spectre) και CVE-2017-5754 (Meltdown)


Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

322756Τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Για να ενεργοποιήσετε την μετριασμούς για CVE-2017-5715 (2 χαρακτηριστικού Spectre) και CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Εάν πρόκειται για έναν κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερωμένες εκδόσεις υλικολογισμικού: Ο τερματισμός πλήρως όλες οι εικονικές μηχανές. Αυτό επιτρέπει το μετριασμό που σχετίζονται με το υλικολογισμικό πρέπει να εφαρμόζονται στον κεντρικό υπολογιστή, πριν από την εκκίνηση του ΣΠΣ. Επομένως, το ΣΠΣ ενημερώνονται επίσης όταν έχετε γίνει επανεκκίνηση.

Κάντε επανεκκίνηση του διακομιστή για να ισχύσουν οι αλλαγές.

Για να απενεργοποιήσετε μετριασμούς για CVE-2017-5715 (2 χαρακτηριστικού Spectre) και CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ξεκινήστε πάλι το διακομιστή για να εφαρμοστούν οι αλλαγές.

(Δεν χρειάζεται να αλλάξετε MinVmVersionForCpuBasedMitigations.)

Σημειώσεις

Απενεργοποίηση μετριασμού για CVE-2017-5715 (2 χαρακτηριστικού Spectre)


Ενώ η Intel δοκιμές, ενημερώνει και αναπτύσσει νέα μικροκώδικα, προσφέρουμε μια νέα επιλογή για προχωρημένους χρήστες σχετικά με συσκευές που έχει επηρεαστεί για να απενεργοποιήσετε με μη αυτόματο τρόπο και να ενεργοποιήσετε το μετριασμό έναντι χαρακτηριστικού 2 Spectre (CVE-2017-5715-"Κλάδο προορισμού έγχυση") ανεξάρτητα μέσω αλλαγές στις ρυθμίσεις του μητρώου.

Εάν εγκαταστήσατε το μικροκώδικα, αλλά θέλετε να απενεργοποιήσετε το μετριασμό CVE-2017-5715 λόγω μη αναμενόμενες επανεκκινήσεις ή ζητήματα σταθερότητας συστήματος, χρησιμοποιήστε τις παρακάτω οδηγίες.

Για να απενεργοποιήσετε το χαρακτηριστικό 2: (CVE -2017 5715"κλάδο προορισμού έγχυση") μετριασμού:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Για να ενεργοποιήσετε το χαρακτηριστικό 2: (CVE-2017-5715"Κλάδο προορισμού έγχυση") μετριασμού:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Σημείωση Απενεργοποίηση και ενεργοποίηση το μετριασμό χαρακτηριστικού 2 μέσω αλλαγές των ρυθμίσεων μητρώου απαιτεί δικαιώματα διαχειριστή και επανεκκίνηση.

Ενεργοποίηση φράγμα πρόβλεψη έμμεσης κλάδο (IBPB) για το χαρακτηριστικό Spectre 2 σε επεξεργαστές AMD (CPU)


Ορισμένοι επεξεργαστές AMD (CPU) παρέχουν τη δυνατότητα ελέγχου μια έμμεση κλάδο για τον περιορισμό της έμμεσης κλάδου εγχύσεις προορισμού μέσω ενός μηχανισμού φράγμα πρόβλεψη έμμεσης κλάδο (IBPB). (Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Συνήθεις Ερωτήσεις #15 σεADV180002καικατευθυντήριες γραμμές αρχιτεκτονική AMD γύρω από υποκατάστημα έμμεσο έλεγχο και ενημερωμένες εκδόσεις ασφαλείας AMD.)

, Ακολουθήστε αυτές τις οδηγίες για τον έλεγχο IBPB κατά τη μετάβαση από το περιβάλλον χρήστη για να πυρήνα περιβάλλον:

Για να ενεργοποιήσετε τη χρήση φράγματος πρόβλεψη έμμεσης κλάδο (IBPB) κατά τη μετάβαση από το περιβάλλον χρήστη σε περιβάλλον πυρήνα:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Σημείωση Ενεργοποίηση χρησιμοποιώντας φράγμα πρόβλεψη έμμεσης κλάδο (IBPB) μέσω μητρώου αλλαγές στις ρυθμίσεις απαιτεί δικαιώματα διαχειριστή και επανεκκίνηση.

Ενεργοποίηση μετριασμούς για CVE-2018-3639 (παράκαμψη κερδοσκοπίας αποθήκευσης), CVE-2017-5715 (2 χαρακτηριστικού Spectre) και CVE-2017-5754 (Meltdown)



Για να ενεργοποιήσετε μετριασμούς για CVE-2018-3639 (παράκαμψη κερδοσκοπίας αποθήκευσης), CVE-2017-5715 (2 χαρακτηριστικού Spectre) και CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Να απενεργοποιήσετε μετριασμούς για CVE-2018-3639 (παράκαμψη κερδοσκοπίας αποθήκευσης) και μετριασμούς για CVE-2017-5715 (2 χαρακτηριστικού Spectre) και CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Σημείωση αυτές οι αλλαγές μητρώου απαιτούν δικαιώματα διαχειριστή και επανεκκίνηση.

Επαλήθευση ότι είναι ενεργοποιημένη η προστασία


Για να βοηθήσει τους πελάτες να βεβαιωθείτε ότι έχει ενεργοποιηθεί η κατάλληλη προστασία, η Microsoft έχει δημοσιεύσει μια δέσμη ενεργειών PowerShell που μπορούν να εκτελούν οι πελάτες στα συστήματά τους. Iγκατάσταση και εκτέλεση της δέσμης ενεργειών, εκτελώντας τις ακόλουθες εντολές.

Επαλήθευση PowerShell χρησιμοποιώντας τη συλλογή PowerShell (Windows Server 2016 ή WMF 5.0/5.1)

Εγκατάσταση λειτουργικής μονάδας PowerShell:

PS> Install-Module SpeculationControl

Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένη η προστασία:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Επαλήθευση PowerShell, χρησιμοποιώντας μια λήψη από την Technet (OS παλαιότερες εκδόσεις WMF/παλαιότερες εκδόσεις)

Εγκαταστήστε τη λειτουργική μονάδα PowerShell από Technet ScriptCenter:

  1. Μεταβείτε στο https://aka.ms/SpeculationControlPS.
  2. Άμεση λήψη του SpeculationControl.zip σε έναν τοπικό φάκελο.
  3. Εξαγάγετε τα περιεχόμενα σε έναν τοπικό φάκελο. Για παράδειγμα: C:\ADV180002

Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένη η προστασία:

Εκκίνηση του PowerShell και στη συνέχεια χρησιμοποιήστε το προηγούμενο παράδειγμα, για να αντιγράψετε και εκτελέστε τις ακόλουθες εντολές:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Για λεπτομερείς επεξηγήσεις σχετικά με το αποτέλεσμα της δέσμης ενεργειών PowerShell, ανατρέξτε στο θέμα το άρθρο 4074629 της Γνωσιακής βάσης

Συνήθεις ερωτήσεις


Αναφορές