Guía de Windows Server para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa

Se aplica a: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Resumen


Microsoft es consciente de una nueva clase de vulnerabilidades publicadas que se conocen como “ataques de canal lateral de ejecución especulativa” que afectan a muchos procesadores, incluidos Intel, AMD, VIA y ARM.

Nota Este problema también afecta a otros sistemas operativos, como Android, Chrome, iOS y MacOS. Por ello, aconsejamos a los clientes que pidan asistencia a dichos proveedores.

Hemos lanzado varias actualizaciones para ayudar a mitigar estas vulnerabilidades. Así mismo, también ha tomado medidas para proteger sus servicios en la nube. Para obtener más detalles, consulte las secciones siguientes:

Microsoft todavía no ha recibido información que indique que estas vulnerabilidades se usaron para atacar a los clientes. Seguimos trabajando estrechamente con asociados del sector, como fabricantes de chips, OEM de hardware y proveedores de aplicaciones para proteger a los clientes. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto incluye microcódigo de los OEM del dispositivo y, en algunos casos, actualizaciones del software antivirus.

En este artículo, se abordan las siguientes vulnerabilidades:

Windows Update también proporcionará mitigaciones de Internet Explorer y Edge. Continuaremos mejorando estas mitigaciones contra esta clase de vulnerabilidades.

Para más información sobre esta clase de vulnerabilidades, consulte

ÚLTIMA ACTUALIZACIÓN: 14 de mayo de 2019 El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal lateral de ejecución especulativa, conocida como Muestreo de datos de microarquitectura. A estas vulnerabilidades, se les han asignado los CVE siguientes:

Importante Estos problemas también afectan a otros sistemas, como Android, Chrome, iOS y MacOS. Recomendamos a los clientes que consulten con sus respectivos proveedores para obtener orientación.

Microsoft ha publicado actualizaciones para ayudar a mitigar estas vulnerabilidades. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto puedo incluir microcódigo de los OEM del dispositivo. En algunos casos, la instalación de estas actualizaciones afectará al rendimiento. Así mismo, también hemos tomado medidas para proteger sus servicios en la nube. Le recomendamos que implemente estas actualizaciones.

Para obtener más información sobre este problema, consulte el siguiente Aviso de seguridad y siga los consejos basados en escenario para determinar cuáles son las acciones necesarias para mitigar la amenaza:

Nota Antes de instalar cualquier actualización de microcódigo, recomendamos que instale las actualizaciones más recientes de Windows Update.

ÚLTIMA ACTUALIZACIÓN: 6 de agosto de 2019 El 6 de agosto de 2019, Intel publicó información detallada sobre una vulnerabilidad de divulgación de información del kernel de Windows. Esta vulnerabilidad es una variante de la vulnerabilidad de canal lateral de ejecución especulativa Spectre variante 1 y se le asignó el aviso CVE-2019-1125.

El 9 de julio de 2019, publicamos actualizaciones de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Tenga en cuenta que aplazamos la documentación pública de esta mitigación hasta la divulgación coordinada en el sector del martes 6 de agosto de 2019.

Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. No es necesario realizar ninguna configuración adicional.

Nota Esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.

Para obtener más información sobre esta vulnerabilidad y las actualizaciones aplicables, consulte la Guía de actualizaciones de seguridad de Microsoft:

CVE-2019-1125 | Vulnerabilidad de divulgación de información de Windows Kernel

ACTUALIZADO EL 12 DE NOVIEMBRE DE 2019 El 12 de noviembre de 2019, Intel publicó un aviso técnico relacionado con la vulnerabilidad Anulación asincrónica de transacciones de Intel Transactional Synchronization Extensions (Intel TSX) a la que se le asignó el aviso CVE-2019-11135. Microsoft ha publicado actualizaciones para ayudar a mitigar esta vulnerabilidad y las protecciones del SO están habilitadas de manera predeterminada para las ediciones de SO de Windows Server.

Acciones recomendadas


Los clientes deben tomar las siguientes medidas para ayudar a protegerse contra las vulnerabilidades:

  1. Aplique todas las actualizaciones disponibles del sistema operativo Windows, incluidas las actualizaciones de seguridad de Windows mensuales.
  2. Aplique la actualización del firmware (microcódigo) correspondiente que proporciona el fabricante del dispositivo.
  3. Evalúe el riesgo para el entorno en función de la información que se proporcionan en los avisos de seguridad de Microsoft: ADV180002, ADV180012 y ADV190013, así como información que se proporciona en este artículo de Knowledge Base.
  4. Adopte las medidas necesarias según los avisos y la información de la clave del Registro que se proporciona en este artículo de Knowledge Base.

Nota Los clientes de Surface recibirán una actualización de microcódigo a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface más recientes, consulte KB 4073065.

Configuración de mitigación para Windows Server


En los avisos de seguridad ADV180002, ADV180012 y ADV190013 se proporciona información sobre el riesgo que representan estas vulnerabilidades.  También pueden ayudarte a identificar dichas vulnerabilidades y a identificar el estado predeterminado de las mitigaciones para los sistemas Windows Server. En la siguiente tabla, se resumen los requisitos de microcódigo de la CPU y el estado predeterminado de las mitigaciones en Windows Server.

CVE ¿Se requiere microcódigo o firmware de la CPU? Estado predeterminado de la mitigación

CVE-2017-5753

No

Habilitado de manera predeterminada (no existe la opción de deshabilitarlo).

Consulte ADV180002 para obtener información adicional

CVE-2017-5715

Deshabilitado de manera predeterminada.

Consulte ADV180002 para obtener información adicional y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

Nota: "Retpoline" está habilitado de manera predeterminada en los dispositivos que ejecutan la versión 1809 de Windows 10 o una posterior, o si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Para obtener más información sobre "Retpoline", consulte nuestra entrada de blog Mitigating Spectre variant 2 with Retpoline on Windows.

CVE-2017-5754

No

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV180002 para obtener información adicional

CVE-2018-3639

Intel: sí.

AMD: no.

Deshabilitado de manera predeterminada. Consulte ADV180012 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

CVE-2018-11091 Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.
CVE-2018-12126 Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.
CVE-2018-12127 Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.
CVE-2018-12130 Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte ADV190013 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.
CVE-2019-11135 Intel: sí.

Windows Server 2019: habilitado de manera predeterminada.
Windows Server 2016 y versiones anteriores: deshabilitado de manera predeterminada.

Consulte CVE-2019-11135 para obtener más información y lea este artículo de Knowledge Base para ver la configuración de la clave del Registro correspondiente.

Los clientes que desean que todas las protecciones estén disponibles contra estas vulnerabilidades deben realizar cambios en la clave del Registro para habilitar estas mitigaciones deshabilitadas de manera predeterminada.

La habilitación de estas mitigaciones puede afectar al rendimiento. La escala de impactos en el rendimiento depende de varios factores, como el conjunto de chips del host físico y las cargas de trabajo que se ejecutan. Recomendamos que los clientes evalúen el impacto en el rendimiento de su entorno y realicen cualquier ajuste necesario.

Su servidor correrá un mayor riesgo si se encuentra en una de las siguientes categorías:

  • Hosts de Hyper-V: –se necesita protección contra ataques de máquina virtual a máquina virtual y de máquina virtual a host.
  • Hosts de servicios de escritorio remoto (RDSH): –se necesita protección contra ataques de una sesión a otra y de una sesión al host.
  • Hosts físicos o de las máquinas virtuales que ejecutan un código que no es de confianza, como contenedores o extensiones que no son de confianza para la base de datos, contenido web que no es de confianza o cargas de trabajo que ejecutan un código que proviene de orígenes externos: Se necesita protección contra ataques de un proceso que no es de confianza a otro proceso o de un proceso que no es de confianza al kernel.

Use la siguiente configuración de la clave del Registro para habilitar estas mitigaciones en el servidor y reinicie el sistema para aplicar los cambios.

Nota Habilitar las mitigaciones que están deshabilitadas de manera predeterminada puede afectar el rendimiento. El impacto real en el rendimiento depende de varios factores, como el conjunto de chips del dispositivo y las cargas de trabajo que se ejecutan.

Configuración del Registro


Proporcionamos la siguiente información de Registro para habilitar las mitigaciones que están deshabilitadas de manera predeterminada, como se muestra en los avisos de seguridad ADV180002, ADV180012 y ADV190013.

Además, ofrecemos una configuración de la clave del Registro para los usuarios que quieren deshabilitar las mitigaciones relacionadas con CVE-2017-5715 y CVE-2017-5754 para los clientes Windows.

Importante: En esta sección, método o tarea se incluyen pasos que le permitirán modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo hacer una copia de seguridad del Registro y restaurarlo en Windows

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)


Nota importante: "Retpoline" está habilitado de manera predeterminada en los servidores de Windows 10, versión 1809, si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 puede mejorar el rendimiento en los servidores que ejecutan Windows 10, versión 1809 para la variante 2 de Spectre, sobre todo en procesadores antiguos.

Para habilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.


Nota Establecer FeatureSettingsOverrideMask en 3 es preciso para la configuración de "habilitación" o "deshabilitación". (Consulte la sección "Preguntas frecuentes" para obtener más detalles sobre las claves del Registro).

Administrar las mitigaciones para CVE-2017-5715 (variante 2 de Spectre)


Para deshabilitar la variante 2: Mitigración (CVE-2017-5715  "Inyección de destino de bifurcación"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar la variante 2: Mitigación (CVE-2017-5715  "Inyección de destino de bifurcación"):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Solo procesadores AMD: habilitar la mitigación completa para CVE-2017-5715 (variante 2 de Spectre)


De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para las CPU AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para más información, consulte las Preguntas frecuentes #15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Administrar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)



Para habilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo), CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar mitigaciones para CVE-2018-3639 (derivación de almacenamiento especulativo) y mitigaciones para CVE-2017-5715 (variante 2 de Spectre) y CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Solo procesadores AMD: Habilitar la mitigación completa para CVE-2017-5715 (variante 2 de Spectre) y CVE 2018-3639 (derivación de almacenamiento especulativo)


De manera predeterminada, la protección de usuario a kernel para CVE-2017-5715 está deshabilitada para los procesadores AMD. Los clientes deben habilitar la mitigación para recibir protecciones adicionales para CVE-2017-5715.  Para más información, consulte las Preguntas frecuentes #15 en ADV180002.

Habilitar la protección de usuario a kernel en procesadores AMD junto con otras protecciones para CVE 2017-5715 y protecciones para CVE-2018-3639 (derivación de almacenamiento especulativo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Administre la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646)


Para habilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646) sin deshabilitar Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para habilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646) con Hyper-Threading deshabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la característica Hyper-V está instalada, agregue la siguiente configuración del Registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Si se trata de un host de Hyper-V y se han aplicado las actualizaciones del firmware: apague por completo todas las máquinas virtuales. Esto permite que se aplique la mitigación relacionada con el firmware en el host antes de que se inicien las máquinas. Por lo tanto, las máquinas virtuales también se actualizan cuando se reinician.

Reinicie el equipo para que los cambios surtan efecto.

Para deshabilitar las mitigaciones de la vulnerabilidad Anulación asincrónica de transacciones de Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) y el muestreo de datos de microarquitectura (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) junto con las variantes de Spectre (CVE-2017-5753 y CVE-2017-5715) y Meltdown (CVE-2017-5754), incluida la deshabilitación de la derivación de almacenamiento especulativo (SSBD) (CVE-2018-3639) así como L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie el equipo para que los cambios surtan efecto.

Verificar si las protecciones están habilitadas


Para confirmar si las protecciones están habilitadas, Microsoft publicó un script de PowerShell que los clientes pueden ejecutar en sus sistemas. Instale y ejecute el script mediante la ejecución de los siguientes comandos.

Verificación de PowerShell mediante la Galería de PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Instale el módulo de PowerShell:

PS> Install-Module SpeculationControl

Ejecute el módulo de PowerShell para verificar si las  protecciones están habilitadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificación de PowerShell mediante una descarga de Technet (versiones anteriores de sistemas operativos y de WMF)

Instale el módulo PowerShell desde Technet ScriptCenter:

  1. Diríjase a https://aka.ms/SpeculationControlPS.
  2. Descargue SpeculationControl.zip en una carpeta local.
  3. Extraiga el contenido en una carpeta local. Por ejemplo: C:\ADV180002

Ejecute el módulo de PowerShell para verificar si las protecciones están habilitadas:

Inicie PowerShell y, luego, utilice el ejemplo anterior para copiar y ejecutar los siguientes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Para obtener una explicación detallada de la salida del script de PowerShell, consulte el artículo 4074629 de Knowledge Base

Preguntas más frecuentes


Referencias