Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Muuda kuupäeva

Muudatuse decription (Decription of change)

20. aprill 2023

MMIO registriteave on lisatud

8. august 2023

Eemaldatud sisu CVE-2022-23816 kohta, kuna CVE-numbrit ei kasutata

Lisati jaotises "Haavatavused" tekst "Harutüübi segadus".

Lisati rohkem teavet "CVE-2022-23825 | AMD CPU haru tüübi segadus (BTC)" registrijaotis

9. august 2023

Värskendatud "CVE-2022-23825 | AMD CPU haru tüübi segadus (BTC)" registrijaotis

Lisatud "CVE-2023-20569 | AMD CPU return Address Predictor" to "Summary" section

Lisatud on "CVE-2023-20569 | AMD CPU tagastusaadressi ennustaja" registrijaotis

Haavatavuste

Selles artiklis käsitletakse järgmisi spekulatiivsete käivitamise nõrkusi.

Windows Update pakub ka Internet Exploreri ja Edge'i leevendusi. Me jätkame nende leevendusmeetmete parandamist seda tüüpi nõrkuste vastu.

Lisateavet selle nõrkuste klassi kohta leiate teemast

14. mail 2019 avaldas Intel teabe külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi kohta, mida tuntakse nimega Microarchitectural Data Sampling (Mikroarhitektuursete andmete diskreetimine) ja dokumenteeriti dokumendis ADV190013 | Mikroarhitektuursete andmete valim. Neile on määratud järgmised CVEd:

NB!: Need probleemid mõjutavad teisi süsteeme (nt Android, Chrome, iOS ja MacOS). Soovitame klientidel nendelt tarnijatelt juhiseid küsida.

Microsoft on välja andnud värskendused nende nõrkuste leevendamiseks. Kõigi saadaolevate kaitsefunktsioonide hankimiseks on vaja püsivara (mikrokoodi) ja tarkvaravärskendusi. See võib hõlmata seadme OEM-ide mikrokoodi. Mõnel juhul mõjutab nende värskenduste installimine jõudlust. Oleme tegutsenud ka oma pilveteenuste turvalisuse tagamisel. Soovitame tungivalt need värskendused juurutada.

Selle probleemi kohta leiate lisateavet järgmisest turbenõuandla ja kasutusstsenaariumipõhistest juhistest ohu leevendamiseks vajalike toimingute määramiseks.

Märkus.: Soovitame teil enne mikrokoodi värskenduste installimist installida Windows Update kõik uusimad värskendused.

6. augustil 2019 andis Intel välja üksikasjad Windowsi tuumateabe avaldamise nõrkuse kohta. See nõrkus on Spectre'i variant, variant 1 spekulatiivne käivitamise külgmise kanali nõrkus ja sellele on määratud CVE-2019-1125.

9. juulil 2019 andsime välja Windowsi operatsioonisüsteemi turbevärskendused, mis aitavad seda probleemi leevendada. Palun pange tähele, et me oleme tagasi dokumenteerinud selle leevenduse avalikult kuni koordineeritud tööstuse avalikustamiseni teisipäeval, 6. augustil 2019.

Kliendid, kes on Windows Update lubanud ja rakendanud 9. juulil 2019 välja antud turbevärskendusi, on automaatselt kaitstud. Rohkem konfiguratsioone pole vaja.

Märkus.: See nõrkus ei vaja teie seadme tootja (OEM) mikrokoodi värskendust.

Lisateavet selle nõrkuse ja kohalduvate värskenduste kohta leiate Microsofti turbevärskenduste juhendist.

12. novembril 2019 avaldas Intel tehnilise nõuande Intel® Transactional Synchronization Extensionsi (Intel TSX) Transaction Asynchronous Abort nõrkuse kohta, millele on määratud CVE-2019-11135. Microsoft on välja andnud värskendused selle nõrkuse leevendamiseks ja operatsioonisüsteemi kaitse on Windows Server 2019 jaoks vaikimisi lubatud, kuid Windows Server 2016 ja varasemate Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi keelatud.

14. juunil 2022 avaldasime ADV220002 | Microsofti juhised Inteli protsessori MMIO aegunud andmete nõrkuste kohta ja neile on määratud järgmised CVD-d. 

Soovitatud tegevused

Nõrkuste eest kaitsmiseks peaksite tegema järgmist.

  1. Rakendage kõik saadaolevad Windowsi operatsioonisüsteemi värskendused, sh igakuised Windowsi turbevärskendused.

  2. Rakendage seadme tootjalt saadud püsivaravärskendus (mikrokoodi).

  3. Hinnake oma keskkonna ohtu, võttes aluseks Microsofti turbenõustajatelt saadud teabe: ADV180002, ADV180012, ADV190013 ja ADV220002, lisaks selles teabebaas artiklis esitatud teabele.

  4. Tegutsege vastavalt vajadusele selles teabebaas artiklis esitatud nõuandva teabe ja registrivõtmeteabe abil.

Märkus.: Surface'i kliendid saavad Windows Update kaudu mikrokoodi värskenduse. Uusimate Surface'i seadme püsivaravärskenduste (mikrokoodi) värskenduste loendi leiate teemast KB4073065.

12. juulil 2022 avaldasime CVE-2022-23825 | AMD CPU haru tüübi segadus , mis kirjeldab, et haruennustus pseudonüümid võivad põhjustada teatud AMD protsessorite vale harutüübi ennustamise. See probleem võib põhjustada teabe avaldamise.

Selle nõrkuse eest kaitsmiseks soovitame installida Windowsi värskendused, mis on välja antud 2022. aasta juulis või hiljem, ja seejärel võtta vajalikud meetmed CVE-2022-23825 ja registrivõtme teabe, mis on esitatud selles teabebaas artiklis.

Lisateavet leiate AMD-SB-1037 turbebülletäänist.

8. augustil 2023 avaldasime CVE-2023-20569 | Tagastusaadressi ennustaja (tuntud ka kui Inception), mis kirjeldab uut spekulatiivset külgmise kanali rünnakut, mille tulemuseks võib olla ründaja kontrolli all oleval aadressil spekulatiivne käivitamine. See probleem mõjutab teatud AMD protsessoreid ja võib põhjustada teabe avalikustamist.

Selle nõrkuse eest kaitsmiseks soovitame installida Windowsi värskendused, mis on välja antud 2023. aasta augustis või hiljem, ja seejärel võtta vajalikud meetmed CVE-2023-20569 ja registrivõtme teabe, mis on esitatud selles teabebaas artiklis.

Lisateavet leiate AMD-SB-7005 turbebülletäänist.

Windows Serveri ja Azure Stack HCI leevendussätted

Turbenõuandlad (ADV) ja CVEd annavad teavet ohtude kohta, mida need nõrkused kujutavad. Need aitavad teil ka tuvastada haavatavusi ja tuvastada Windows Serveri süsteemide leevenduste vaikeolekut. Allolevas tabelis on kokkuvõte CPU mikrokoodi nõudest ja Windows Serveri leevenduste vaikeolekust.

CVE

Kas vajate protsessori mikrokoodi/püsivara?

Leevenduse vaikeolek

CVE-2017-5753

Ei

Vaikimisi lubatud (keelamise võimalust pole)

Lisateavet leiate ADV180002 artiklist

CVE-2017-5715

Jah

Vaikimisi keelatud.

Lisateavet leiate ADV180002 artiklist ja sellest teabebaasiartiklist kohaldatavate registrivõtmesätete kohta.

Märkus Kui Spectre Variant 2 (CVE-2017-5715) on seadmetes, kus töötab Windows 10 versioon 1809 või uuem versioon, vaikimisi lubatud "Retpoline". Lisateavet "Retpoline" kohta leiate ajaveebipostitusest Spectre variant 2 leevendamine Windowsi ajaveebipostituses Retpoline'iga .

CVE-2017-5754

Ei

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud.
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.

Lisateavet leiate artiklist ADV180002 .

CVE-2018-3639

Intel: jah

AMD: ei

Vaikimisi keelatud. Lisateavet leiate artiklist ADV180012 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-11091

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud.
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-12126

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud.
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-12127

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud.
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-12130

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud.
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2019-11135

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud.
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.

Lisateavet leiate artiklist CVE-2019-11135 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2022-21123 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.* 

Lisateavet leiate artiklist CVE-2022-21123 ja kohalduva registrivõtme sätete kohta selles artiklis.

CVE-2022-21125 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.* 

Lisateavet leiate artiklist CVE-2022-21125 ja kohalduvate registrivõtmete sätete kohta leiate sellest artiklist.

CVE-2022-21127 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.* 

Lisateavet leiate artiklist CVE-2022-21127 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2022-21166 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud.* 

Lisateavet leiate artiklist CVE-2022-21166 ja kohalduvate registrivõtme sätete kohta selles artiklis.

CVE-2022-23825 (AMD CPU harutüübi segadus)

AMD: ei

Lisateavet leiate artiklist CVE-2022-23825 ja kohalduvate registrivõtme sätete kohta selles artiklis.

CVE-2023-20569
(AMD CPU tagastusaadressi ennustaja)

AMD: Jah

Lisateavet leiate artiklist CVE-2023-20569 ja sellest artiklist leiate asjakohased registrivõtme sätted.

* Järgige allpool meltdowni leevendusjuhiseid.

Kui soovite hankida kõik saadaolevad kaitsed nende nõrkuste vastu, peate tegema registrivõtme muudatusi, et lubada need leevendused, mis on vaikimisi keelatud.

Nende leevendusmeetmete lubamine võib mõjutada jõudlust. Jõudluse mõju mastaap sõltub mitmest tegurist, näiteks konkreetsest kiibikomplektist teie füüsilises hostis ja töötavatest töökoormustest. Soovitame teil hinnata oma keskkonna jõudluse mõju ja teha vajalikud muudatused.

Teie server on suurema riskiga, kui see kuulub ühte järgmistest kategooriatest:

  • Hyper-V hostid: nõuab kaitset VM-to-VM-i ja VM-to-host rünnakute jaoks.

  • Kaugtöölaua teenuste hostid (RDSH): nõuab kaitset ühelt seansilt teisele seansi või seansilt hostile suunatud rünnakute eest.

  • Füüsilised hostid või virtuaalarvutid, kus töötab ebausaldusväärne kood (nt andmebaasi ümbrised või ebausaldusväärsed laiendid, ebausaldusväärsed veebisisu või töökoormused, mis käitavad välistest allikatest pärit koodi). Need nõuavad kaitset ebausaldusväärsete protsessidelt teisele või ebausaldusväärsete protsessidelt tuumade rünnakute eest.

Kasutage järgmisi registrivõtme sätteid serveris leevendusmeetmete lubamiseks ja taaskäivitage seade muudatuste jõustumiseks.

Märkus.: Väljalülitatud leevendusmeetmete lubamine võib vaikimisi jõudlust mõjutada. Tegelik jõudluse mõju sõltub mitmest tegurist, näiteks seadme konkreetsest kiibikomplektist ja töötavatest töökoormustest.

Registrisätted

Pakume järgmist registriteavet, et lubada leevendusi, mis pole vaikimisi lubatud, nagu on dokumenteeritud turbenõustajate (ADV) ja CVEs. Lisaks pakume registrivõtme sätteid kasutajatele, kes soovivad Windowsi klientide jaoks rakendatavad leevendused keelata.

NB!: See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaas artikli vaatamiseks järgmist artiklinumbrit:

322756 Registri varundamine ja taastamine Windowsis

OLULINEVaikimisi on Retpoline konfigureeritud järgmiselt, kui Spectre, Variant 2 leevendus (CVE-2017-5715) on lubatud:

- Retpoline leevendus on lubatud Windows 10 versioonis 1809 ja uuemates Windowsi versioonides.

- Retpoline leevendus on Windows Server 2019 ja uuemates Windows Serveri versioonides keelatud.

Lisateavet Retpoline'i konfiguratsiooni kohta leiate teemast Spectre variant 2 leevendamine Windowsis Retpoline'iga.

  • CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ja CVE-2022-21123 leevenduste lubamiseks CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

    Muudatuste jõustumiseks taaskäivitage seade.

  • CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ja CVE-2022-21123 leevenduste keelamiseks CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Muudatuste jõustumiseks taaskäivitage seade.

Märkus.: FeatureSettingsOverrideMask väärtuse 3 määramine on nii lubamis- kui ka keelamissätete puhul täpne. (Registrivõtmete kohta leiate lisateavet jaotisest "KKK ".)

Variandi 2 keelamiseks: (CVE-2017-5715 "Branch Target Injection") leevendus:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Variandi 2 lubamiseks: (CVE-2017-5715 "Branch Target Injection") leevendus:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Vaikimisi on kasutaja tuumade kaitse CVE-2017-5715 jaoks AMD CPU-de jaoks keelatud. Kliendid peavad CVE-2017-5715 jaoks täiendava kaitse saamiseks lubama leevenduse.  Lisateavet leiate artiklist KKK #15 rakenduses ADV180002.

Lubage AMD protsessorites kasutaja tuumavastane kaitse koos muude CVE 2017-5715 kaitsega.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) leevendusmeetmete lubamiseks toimige vormingus:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

CVE-2018-3639 (Speculative Store Bypass) AND leevenduste keelamine CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) jaoks

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Vaikimisi on kasutaja tuuma kaitse CVE-2017-5715 jaoks AMD protsessorite jaoks keelatud. Kliendid peavad CVE-2017-5715 jaoks täiendava kaitse saamiseks lubama leevenduse.  Lisateavet leiate artiklist KKK #15 rakenduses ADV180002.

Lubage AMD protsessorites kasutaja tuumavastane kaitse koos muude CVE 2017-5715 ja CVE-2018-3639 kaitsega (Spekulatiivse salve bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

Inteli tehingu sünkroonimise laienduste (Intel TSX) transaction asünkroonse katkestamise nõrkuse (CVE-2019-11135) ja microarchitectural andmete diskreetimise ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-1212 ) leevenduste lubamine7 , CVE-2018-12130 ) koos Spectre'iga [CVE-2017-5753 & CVE-2017-5715], Sulgumine [CVE-2017-5754] variandid, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 ja CVE-2022-21166) sealhulgas Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] ja L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646] ilma Hyper-Threadingit keelamata:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

Inteli tehingu sünkroonimise laienduste (Intel TSX) transaction asünkroonse katkestamise nõrkuse (CVE-2019-11135) ja microarchitectural andmete valimi ( CVE-2018-11091, CVE-2018-12126, CVE-2018-12126 , CVE-2) leevenduste lubamine 018-12127 , CVE-2018-12130) koos Spectre'iga [CVE-2017-5753 & CVE-2017-5715] ja Meltdown [CVE-2017-5754] variante, sh Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] samuti L1 terminali viga (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646], kus Hyper-Threading keelatud:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

Inteli tehingu sünkroonimise laienduste (Intel TSX) transaction asünkroonse katkestamise nõrkuse (CVE-2019-11135) ja microarchitectural andmete valimi ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12126 , CVE-2) leevenduste keelamine 018-12127 , CVE-2018-12130) koos Spectre'iga [CVE-2017-5753 & CVE-2017-5715] ja Meltdown [CVE-2017-5754] variante, sh Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] samuti L1 terminali viga (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

CVE-2022-23825 leevenduse lubamiseks AMD protsessorites tehke järgmist.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Täieliku kaitse tagamiseks peavad kliendid võib-olla ka Hyper-Threading keelama (tuntud ka kui Samaaegne mitmelõimeline (SMT)). Juhised Windowsi seadmete kaitsmise kohta leiate teemast KB4073757.

CVE-2023-20569 leevenduse lubamiseks AMD protsessorites tehke järgmist.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kaitse lubamise kontrollimine

Veendumaks, et kaitsed on lubatud, oleme avaldanud PowerShelli skripti, mida saate oma seadmetes käitada. Installige ja käivitage skript, kasutades ühte järgmistest meetoditest.

Installige PowerShelli moodul:

PS> Install-Module SpeculationControl

Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installige PowerShelli moodul Techneti ScriptCenterest.

  1. Avage https://aka.ms/SpeculationControlPS .

  2. Laadige SpeculationControl.zip alla kohalikku kausta.

  3. Ekstraktige sisu kohalikku kausta. Näide: C:\ADV180002

Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud:

Käivitage PowerShell ja seejärel kasutage eelmist näidet järgmiste käskude kopeerimiseks ja käivitamiseks.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShelli skripti väljundi üksikasjaliku selgituse leiate teemast KB4074629

Korduma kippuvad küsimused

Kliendiseadmete ebasoodsa mõju vältimiseks ei pakutud kõigile klientidele 2018. aasta jaanuaris ja veebruaris välja antud Windowsi turbevärskendusi. Lisateavet leiate teemast KB407269 .

Mikrokood edastatakse püsivaravärskenduse kaudu. Arvuti jaoks sobiva värskendusega püsivaraversiooni kohta saate teavet oma OEM-ilt.

Jõudlust mõjutavad mitu muutujat alates süsteemi versioonist kuni töötavate töökoormusteni. Mõne süsteemi puhul on jõudluse mõju tühine. Teiste jaoks on see märkimisväärne.

Soovitame teil hinnata jõudluse mõju oma süsteemidele ja teha vajaduse korral kohandusi.

Lisaks selles artiklis toodud juhistele virtuaalarvutite kohta peaksite pöörduma teenusepakkuja poole ja veenduma, et virtuaalarvutiid käitlevad hostid oleksid piisavalt kaitstud.

Windows Serveri virtuaalarvutite kohta, mis töötavad Azure'is, vaadake juhiseid külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks Azure'is . Juhised selle probleemi leevendamiseks külalis-virtuaalarvutites Azure Update Managementi kasutamise kohta leiate teemast KB4077467.

Windows Serveri ümbrisetõmmiste jaoks välja antud värskendused Windows Server 2016 ja Windows 10 versiooni 1709 jaoks hõlmavad selle nõrkuste komplekti leevendusi. Täiendavat konfigureerimist pole vaja.

Märkus Peate siiski veenduma, et host, kus need ümbrised töötavad, oleks konfigureeritud lubama sobivad leevendused.

Ei, installimise järjestus pole oluline.

Jah, peate pärast püsivara (mikrokoodi) värskendamist ja seejärel uuesti pärast süsteemivärskendust taaskäivitama.

Registrivõtmete üksikasjad on järgmised.

FeatureSettingsOverride tähistab rasterpilti, mis alistab vaikesätte ja reguleerib, millised leevendused keelatakse. Bit 0 reguleerib leevendust, mis vastab versioonile CVE-2017-5715. Bitt 1 reguleerib leevendust, mis vastab versioonile CVE-2017-5754. Bittide väärtuseks on seatud 0 leevenduse lubamiseks ja leevenduse keelamiseks väärtusele 1 .

FeatureSettingsOverrideMask tähistab rasterpildimaski, mida kasutatakse koos FeatureSettingsOverride'iga.  Sellises olukorras kasutame väärtust 3 (tähistatud arvuga 11 kahendarvudes või kahendarvusüsteemis), et näidata esimesed kaks bitti, mis vastavad saadaolevatele leevendustele. Leevenduste lubamiseks või keelamiseks on selle registrivõtme väärtuseks seatud 3 .

MinVmVersionForCpuBasedMitigations on Hyper-V hostide jaoks. See registrivõti määratleb minimaalse VM-i versiooni, mida on vaja värskendatud püsivara võimaluste kasutamiseks (CVE-2017-5715). Määrake see väärtuseks 1,0 , et katta kõik VM-i versioonid. Pange tähele, et seda registriväärtust ignoreeritakse (healoomuline) mitte-Hyper-V hostides. Lisateavet leiate teemast Külalisvirtaavitusmasinate kaitsmine CVE-2017-5715 (haru sihtsüst) eest.

Jah, kui need registrisätted on rakendatud enne 2018. aasta jaanuariga seotud paranduste installimist, pole kõrvalmõjusid.

Vaadake skriptiväljundi üksikasjalikku kirjeldust lehel KB4074629: Understanding SpeculationControl PowerShelli skriptiväljund .

Jah, Windows Server 2016 Hyper-V hostide jaoks, millel pole veel püsivaravärskendust saadaval, oleme avaldanud alternatiivsed juhised, mis aitavad leevendada VM-i või VM-i rünnakute korral. Vaadake Windows Server 2016 Hyper-V hostide alternatiivseid kaitset külgmise kanali spekulatiivsete käivitamise nõrkuste eest .

Ainult turbevärskendused pole kumulatiivsed. Olenevalt teie operatsioonisüsteemi versioonist peate täielikuks kaitseks võib-olla installima mitu turbevärskendust. Üldiselt peavad kliendid installima 2018. aasta jaanuari, veebruari, märtsi ja aprilli värskendused. AMD protsessoritega süsteemid vajavad lisavärskendust, nagu on näidatud järgmises tabelis:

Operatsioonisüsteemi versioon

Turbevärskendus

Windows 8.1, Windows Server 2012 R2

KB4338815 – igakuine värskenduskomplekt

KB4338824 – ainult turvalisus

Windows 7 SP1, Windows Server 2008 R2 SP1 või Windows Server 2008 R2 SP1 (Serveri tuuma install)

KB4284826 – igakuine värskenduskomplekt

KB4284867 – ainult turvalisus

Windows Server 2008 SP2

KB4340583 – turbevärskendus

Soovitame installida ainult turbevärskendused väljalaske järjekorras.

Märkus.: Selle KKK varasem versioon teatas valesti, et veebruari turbevärskendus sisaldas jaanuaris välja antud turbeparandusi. Tegelikult ei ole.

Ei. Turbevärskendus KB4078130 oli konkreetne lahendus, et vältida ettearvamatuid süsteemikäitumisi, jõudlusprobleeme ja ootamatuid taaskäivitamisi pärast mikrokoodi installimist. Turbevärskenduste rakendamine Windowsi kliendi operatsioonisüsteemides võimaldab kõiki kolme leevendusmeetmete funktsiooni. Windows Serveri operatsioonisüsteemides peate leevendused pärast õiget testimist siiski lubama. Lisateavet leiate teemast KB4072698.

Selle probleemi lahendas värskendus KB4093118.

2018. aasta veebruaris teatas Intel, et on oma valideerimise lõpetanud ja alustanud mikrokoodi väljaandmist uuemate protsessoriplatvormide jaoks. Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused, mis puudutavad Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 loetleb konkreetsed teabebaas artiklid Windowsi versiooni järgi. Iga konkreetne teabebaasiartikkel sisaldab saadaolevaid Inteli mikrokoodi värskendusi protsessori järgi.

11. jaanuaril 2018  teatas Intel hiljuti välja antud mikrokoodi probleemidest , mis olid mõeldud Spectre'i variandi 2 lahendamiseks (CVE-2017-5715 | Branch Target Injection). Täpsemalt märkis Intel, et see mikrokood võib põhjustada "oodatust kõrgemaid taaskäivitamisi ja muud ettearvamatut süsteemikäitumist" ja et need stsenaariumid võivad põhjustada andmete kaotsiminekut või riket." Meie kogemus on see, et süsteemi ebastabiilsus võib mõnel juhul põhjustada andmete kaotsiminekut või rikkumist. 22. jaanuaril soovitas Intel klientidel peatada praeguse mikrokoodi versiooni juurutamine mõjutatud protsessorites ja Intel teeb värskendatud lahendusega täiendavaid katseid. Mõistame, et Intel jätkab praeguse mikrokoodiversiooni võimaliku mõju uurimist. Soovitame klientidel otsustest teavitamiseks pidevalt juhiseid läbi vaadata.

Kuigi Intel testib, värskendab ja juurutab uut mikrokoodi, teeme kättesaadavaks läbilaskevõime (OOB) värskenduse KB4078130, mis keelab konkreetselt ainult CVE-2017-5715 leevenduse. Meie testimise käigus leiti, et see värskendus takistab kirjeldatud käitumist. Seadmete täieliku loendi leiate Inteli mikrokoodi parandusjuhistest . See värskendus hõlmab Windows 7 hoolduspaketti Service Pack 1 (SP1), Windows 8.1 ja kõiki Windows 10 versioone nii klientrakenduses kui ka serveris. Kui kasutate mõnda mõjutatud seadet, saab selle värskenduse rakendada, laadides selle alla Microsoft Update'i kataloogi veebisaidilt. Selle lasti rakendamine keelab konkreetselt ainult CVE-2017-5715 leevenduse.

Alates sellest ajast pole teadaolevaid aruandeid, mis näitaksid, et seda Spectre Variant 2 -d (CVE-2017-5715 – "Branch Target Injection") on kasutatud klientide ründamiseks. Kui see on asjakohane, soovitame Windowsi kasutajatel CVE-2017-5715 leevendus uuesti aktiveerida, kui Intel teatab, et see ettearvamatu süsteemikäitumine on teie seadme jaoks lahendatud.

2018. aasta veebruaristeatas Intel, et on oma valideerimise lõpetanud ja alustanud mikrokoodi väljaandmist uuemate protsessoriplatvormide jaoks. Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused, mis on seotud Spectre Variant 2 Spectre Variant 2-ga (CVE-2017-5715 | Branch Target Injection). KB4093836 loetleb konkreetsed teabebaas artiklid Windowsi versiooni järgi. KB-de loend on CPU jaoks saadaval Inteli mikrokoodi värskendused.

Lisateavet leiate teemadest AMD Security Teabevärskendused ja AMD Whitepaper: arhitektuurisuunised kaudse haru juhtimise kohta. Need on saadaval OEM-i püsivarakanali kaudu.

Teeme kättesaadavaks Inteli valideeritud mikrokoodi värskendused, mis puudutavad Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.

Mikrokoodi värskendus on saadaval ka otse Microsoft Update'i kataloogist, kui seda polnud enne süsteemi täiendamist seadmesse installitud. Inteli mikrokood on saadaval Windows Update, Windows Server Update Servicesi (WSUS) või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB4100347.

Vt ADV180012 jaotisi   "Soovitatavad toimingud" ja "KKK". Microsofti juhised Speculative Store Bypassi jaoks.

SSBD oleku kontrollimiseks on PowerShelli skripte Get-SpeculationControlSettings värskendatud, et tuvastada mõjutatud protsessoreid, SSBD operatsioonisüsteemi värskenduste olekut ja protsessori mikrokoodi olekut (kui see on asjakohane). Lisateavet ja PowerShelli skripti hankimise kohta leiate teavet artiklist KB4074629.

13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendav nõrkus, mis hõlmab külgmise kanali spekulatiivset käivitamist, mida nimetatakse Lazy FP oleku taastamiseks. Selle nõrkuse ja soovitatud toimingute kohta leiate teavet turbenõuandla ADV180016 | Microsofti juhised lazy FP oleku taastamise jaoks .

Märkus Lazy Restore FP Restore'i jaoks pole nõutavaid konfiguratsiooni (registri) sätteid.

Bounds Check Bypass Store (BCBS) avaldati 10. juulil 2018 ja talle määrati CVE-2018-3693. Arvame, et BCBS kuulub samasse nõrkuste klassi nagu Bounds Check Bypass (Variant 1). Me pole praegu teadlikud BCBS-i eksemplaridest meie tarkvaras. Jätkame siiski selle haavatavuse klassi uurimist ja teeme koostööd tööstuspartneritega, et vajaduse korral leevendusi välja anda. Julgustame teadlasi esitama Microsoft Speculative Execution Side Channeli programmile asjakohaseid leide, sh BCBS-i ekspluateeritavaid eksemplare. Tarkvaraarendajad peaksid BCBS-i jaoks värskendatud arendusjuhised üle vaatama C++ arendajate juhiste lehel Speculative Execution Side Channels 

14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võivad kasutamisel põhjustada teabe avaldamise. On mitu vektorit, mille abil ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.

Selle nõrkuse kohta lisateabe saamiseks ja mõjutatud stsenaariumide üksikasjaliku ülevaate (sh Microsofti lähenemisviis L1TF-i leevendamiseks) leiate järgmistest ressurssidest.

Hyper-Threading keelamise toimingud erinevad OEM-ist OEM-ile, kuid on üldiselt OSA BIOS-i või püsivara häälestamise ja konfigureerimise tööriistadest.

Kliendid, kes kasutavad 64-bitist ARM-protsessorit, peaksid püsivaratoe saamiseks pöörduma seadme OEM-i poole, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 | Haru sihtkoha sisestamine (Spectre, Variant 2) nõuab seadme OEM-ide uusima püsivara värskenduse jõustumist.

Lisateavet Retpoline'i lubamise kohta leiate meie ajaveebipostitusest: Spectre variant 2 leevendamine Retpoline'iga Windowsis .

Lisateavet selle nõrkuse kohta leiate Microsofti turbejuhendist: CVE-2019-1125 | Windowsi tuumateabe avaldamise nõrkus.

Me pole teadlikud selle teabe avaldamise nõrkusest, mis mõjutab meie pilvteenuste taristut.

Kohe, kui sellest probleemist teada saime, töötasime selle probleemi lahendamiseks ja värskenduse väljaandmiseks kiiresti. Usume tugevalt tihedatesse partnerlustesse nii teadlaste kui ka tööstuspartneritega, et muuta kliendid turvalisemaks, ega avaldanud üksikasju enne teisipäeva, 6. augustit kooskõlas nõrkuste avalikustamise kooskõlastatud tavadega.

Viited

Artiklis käsitletava kolmanda osapoole toote lõi Microsoftist sõltumatu ettevõte. Me ei anna nende toodete jõudluse ega töökindluse osas mitte mingigi kaudset ega muud garantiid.

Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×