Windows Serveri juhiseid kaitsta spekulatiivne täitmise külg-channel nõrkused

Kehtib: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Rohkem

Kokkuvõte


Microsoft on teadlik nõrkused, mida nimetatakse "spekulatiivne täitmise külg-channel rünnakud" ja mis mõjutavad paljud tänapäeva protsessorid Inteli ja AMD ARM sh avalikustatud uutel.

Märkus. See probleem mõjutab ka teiste operatsioonisüsteemide nagu Android, Chrome, iOS-i ja macOS. Seetõttu soovitame klientidel nende müüja nõu küsida.

Microsoft on andnud välja mitmeid uuendusi aidata leevendada haavatavused. Oleme võtnud ka meetmeid meie pilvepõhiste teenuste tagamiseks. Vaadake lisateavet järgmistes jaotistes.

Microsoft ei ole veel saanud teavet, et haavatavused on kasutatud rünnak klientidele. Microsoft teeb tihedat koostööd valdkonna partneritega kiibi tegijad, riistvara OEM-ide ja rakenduse tarnijad klientide. Saada kõik saadaval kaitstud, püsivara (mikrotasandil) ja tarkvara värskendused on vajalikud. See hõlmab mikrotasandil: seadme OEM-ide ja mõnel juhul värskendab viirusetõrjetarkvara.

Käesolevas artiklis käsitletakse järgmisi nõrkused:

Lisateabe saamiseks selle klassi haavatavused, vt ADV180002 ja ADV180012.

Microsoft pakub tehnilise toe saamiseks teiste tootjate kontaktteavet. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei garanteeri teiste tootjate kontaktteabe täpsust.

Soovitatavad toimingud


Kliendid peaksid tehke järgmised toimingud aitavad kaitsta haavatavused:

  1. Kõik värskendused saadaval Windowsi operatsioonisüsteemi, sealhulgas kuus turvavärskendused Windows. Üksikasjade kohta, Kuidas lubada need värskendused, see Microsofti teabebaasi (Knowledge Base) artikli 4072699.
  2. Vastava püsivara (mikrotasandil) värskendused seadme tootjalt (OEM).
  3. Hinnake oma keskkonnas, mis on Microsofti Turvanõuanded teabe põhjal ohtADV180002jaADV180012ja selles teabebaasi artiklis.
  4. Tegutsema vastavalt vajadusele, kasutades registri võtme teave selles teabebaasi artiklis ja juhendid.

Lubamine kaitstud kohta Windows Server


CVE-2017-5753 kergendamise on vaikimisi Windows Server ja administraatori võimalust keelata saadaval. Kergendamise on kolm haavatavuste, mida on kirjeldatud selles artiklis on vaikimisi keelatud. Kliendid, kes soovivad saada kõik saadaolevad kaitset need nõrkused tuleb teha registri muutub sellele lubada nende kergendamise.

Nende kergendamise lubamine võib mõjutada jõudlust. Jõudluse mõju ulatus sõltub mitmetest teguritest nagu füüsilise hosti ja töökoormused töötavad teatud kiibistik. Soovitame klientidel hinnata jõudlus mõju oma keskkonda ja tehke vajalikud muudatused.

Teie server on suurem risk, kui see on üks järgmistest kategooriatest:

  • Hyper-V hosts-kaitse nõuab VM VM ja VM-i hosti rünnakute eest.
  • Remote Desktop Services Hosts (RDSH) – vaja ühte seanssi teist seanssi või kaugtöölauaseansi hosti rünnakute eest kaitsta.
  • Füüsilise hosts või virtuaalarvuti, mis töötavad ebausaldusväärne koodi, näiteks ümbrised või ebausaldusväärne laiendid andmebaasi, ebausaldusväärne veebilehe sisu või töökoormus, mis töötavad koodi, mis on välistest allikatest. Need vajavad kaitset ebausaldusväärne protsessi-to-teise-protsessi või mitteusaldusväärsel-protsess-to-tuuma rünnakute eest.

Järgmine registri sätete abil saate lubada kergendamise server ja muudatuste jõustamiseks taaskäivitada.

Lubage kergendamise CVE-2017-5715 (viirastus Variant 2) ja CVE-2017-5754 (krahhi)


NB!See osa, meetod või toiming sisaldab etappe, mille käigus õpetatakse registrit muutma. Registri vale muutmine võib aga põhjustada tõsiseid probleeme. Vastasel juhul järgige neid samme hoolikalt. Lisakaitseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Kuidas varundada ja taastada registrit kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

322756Kuidas varundada ja taastada Windowsi registrit

Et lubada kergendamise CVE-2017-5715 (viirastus Variant 2) ja CVE-2017-5754 (krahhi)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui see on Hyper-V server ja püsivara värskenduste rakendamist: Täielikult sulgeda kõik virtuaalarvutid. See võimaldab püsivara seotud leevendamine tarvis Host enne VMs. Seetõttu VMs värskendatakse ka need on taaskäivitamisel.

Taaskäivitage server muutuste jõustumiseks.

Keelata kergendamise CVE-2017-5715 (viirastus Variant 2) ja CVE-2017-5754 (krahhi)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Taaskäivitage server muutuste jõustumiseks.

(Teil on muuta MinVmVersionForCpuBasedMitigations.)

Märkused

Keelake leevendamine CVE-2017-5715 (viirastus Variant 2)


Kuigi Intel testid, värskendused ja juurutab uue mikrotasandil, pakume uus võimalus mõjutatud seadmete käsitsi keelata ja lubada viirastus Variant 2 (CVE-2017-5715 – "Haru Target injektsioon") leevendamine sõltumatult läbi kogenud kasutajatele registris seadistus muutub.

Kui installisite selle mikrotasandil, kuid soovite keelata CVE-2017-5715 leevendamine ootamatu taaskäivitab või süsteemi stabiilsus probleemide tõttu, kasutage järgmisi juhiseid.

Keelamiseks Variant 2: (CVE -2017-5715"haru Target injektsioon") leevendamine:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lubamiseks Variant 2: (CVE-2017-5715"Haru Target injektsioon") :leevendamine

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Märkus keelamine ja lubamine variandi 2 leevendamine registri sätte muutmise kaudu nõuab administraatoriõigusi ja taaskäivitamine.

Kaudne haru ennustus tõke (IBPB) lubamine viirastus variandi 2 AMD protsessorite (CPU)


Mõned AMD protsessorid (CPU) paku kaudsed haru haldamise funktsioon, kaudse haru target süstid leevendamiseks kaudse haru ennustus tõke (IBPB) mehhanismi kaudu. (Lisateabe saamiseks Lugege KKK #15ADV180002jaAMD arhitektuuri põhimõtteid ümber kaudne haru kontrolli ja AMD turbevärskendusi.)

, Järgige neid juhiseid kontrolli IBPB vahetamisel kasutaja seoses tuuma kontekstis:

Et lubada kasutada kaudse haru ennustus tõke (IBPB), kui aktiveerite kasutajakontekst tuuma kontekst:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Märkus lubamine, kasutades kaudne haru ennustus tõke (IBPB) Seadistus muutub registri kaudu nõuab administraatoriõigusi ja taaskäivitamine.

Lubage kergendamise CVE-2018-3639 (spekulatiivne poe Bypass), CVE-2017-5715 (viirastus Variant 2) ja CVE-2017-5754 (krahhi)



Et lubada kergendamise CVE-2018-3639 (spekulatiivne poe Bypass), CVE-2017-5715 (viirastus Variant 2) ja CVE-2017-5754 (krahhi):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Keelata kergendamise CVE-2018-3639 (spekulatiivne poe Bypass) ja kergendamise CVE-2017-5715 (viirastus Variant 2) ja CVE-2017-5754 (krahhi)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Märkus nende registrimuudatusi nõuab administraatoriõigusi ja taaskäivitamine.

Tuvastamaks, et kaitstud on lubatud


Aidata klientidel kontrollida sobiva kaitse lubatud, Microsoft on avaldanud PowerShelli skripti, et kliendid käivitada oma süsteemides. Manstalli ja käivitage skript, käivitades järgmised käsud.

PowerShelli kontrollimine, kasutades PowerShelli Galerii (Windows Server 2016 või WMF 5.0/5.1)

Installige PowerShelli moodul:

PS> Install-Module SpeculationControl

Käivitage PowerShelli moodul kontrollida kaitse lubatud.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShelli kontrollimise abil alla laadida TechNeti (OS varasemate versioonide/varasemates WMF versioonid)

Install PowerShelli moodul TechNeti ScriptCenter:

  1. Jätkake https://aka.ms/SpeculationControlPS.
  2. Laadige alla SpeculationControl.zip kohalikku kausta.
  3. Ekstraktige kohalikku kausta. Näiteks: C:\ADV180002

Käivitage PowerShelli moodul kontrollida kaitse lubatud.

Käivitage PowerShelli ja kasutage eelmises näites kopeerida ja käivitage järgmised käsud:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Üksikasjalik kirjeldus PowerShelli skripti väljundi, vaadake teabebaasi (Knowledge Base) artiklis 4074629

korduma kippuvad küsimused


Ei ole saadaval Windowsi turvavärskenduste kohta, mis anti välja jaanuaris ja veebruaris 2018. Mida ma peaksin tegema?

Negatiivselt kliendi seadmete vältida on saadaval Windowsi turvavärskenduste kohta, mis anti välja jaanuaris ja veebruaris 2018 kõigile klientidele. Lisateavet Microsofti teabebaasi (Knowledge Base) artiklis 4072699.

Viited