Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Haavoittuvuuksia

Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling. Nämä haavoittuvuudet on korjattu seuraavissa ansioluetteloissa:

Nämä ongelmat vaikuttavat muihin käyttöjärjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Suosittelemme, että pyydät ohjeita näiltä toimittajilta.

Olemme julkaisseet päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi. On erittäin suositeltavaa ottaa nämä päivitykset käyttöön.

Lisätietoja tästä ongelmasta on seuraavissa suojausneuvonnassa ja skenaariopohjaisissa ohjeissa, joiden avulla määritetään uhan lieventämiseksi tarvittavat toimet:

Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastumisen haavoittuvuudesta. Tämä haavoittuvuus on spectre-variantin 1 spekulatiivisen suorituspuolen kanavahaavoittuvuuden muunnelma, ja sille on määritetty CVE-2019-1125.

Julkaisimme 9. heinäkuuta 2019 Windows-käyttöjärjestelmän suojauspäivitykset ongelman lieventämiseksi. Huomaa, että olemme pidättäneet tämän lievennyksen dokumentoinnin julkisesti, kunnes koordinoitu toimialatiedote on tiistaina 6. elokuuta 2019.

Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Lisämäärityksiä ei tarvita.

Tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.

Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on Microsoft security update -oppaassa:

Intel julkaisi 12. marraskuuta 2019 teknisen tiedotteen Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuudesta, jolle on määritetty CVE-2019-11135. Olemme julkaisseet päivityksiä tämän haavoittuvuuden lieventämiseksi. Käyttöjärjestelmäsuojaukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa.

Julkaisimme 14.6.2022 ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista. Haavoittuvuudet määritetään seuraavissa ansioluetteloissa:

Suositellut toimet

Voit suojautua näiltä haavoittuvuuksilta toimilla seuraavasti:

  1. Ota käyttöön kaikki saatavilla olevat Windows-käyttöjärjestelmäpäivitykset, mukaan lukien kuukausittaiset Windowsin suojauspäivitykset.

  2. Ota käyttöön laitteen valmistajan toimittama soveltuva laiteohjelmistopäivitys (mikrokoodi).

  3. Arvioi ympäristöllesi aiheutuva riski microsoftin suojaustiedotteisiin ADV180002, ADV180012, ADV190013 ja ADV220002annettujen tietojen perusteella tämän artikkelin tietojen lisäksi.

  4. Toimi tarvittaessa käyttämällä tässä artikkelissa annettuja tietoja ja rekisteriavaintietoja.

Surface-asiakkaat saavat mikrokoodipäivityksen Windows Updaten kautta. Luettelo uusimmista saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB4073065.

12. heinäkuuta 2022 julkaistiin CVE-2022-23825 | AMD-suoritinhaaran tyypin sekavuus, joka kuvaa, että haaran ennustajan aliakset voivat saada tietyt AMD-suorittimet ennustamaan väärän haaratyypin. Tämä ongelma saattaa johtaa tietojen paljastamiseen.

Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty heinäkuussa 2022 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2022-23825-23825- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.

Lisätietoja on AMD-SB-1037 -tietoturvatiedotteessa.

8. elokuuta 2023 julkaistiin CVE-2023-20569 | AMD CPU Return Address Predictor (tunnetaan myös nimellä Inception), joka kuvaa uutta spekulatiivista sivukanavahyökkäystä, joka voi johtaa spekulatiivisiin suorituksiin hyökkääjän hallitsemassa osoitteessa. Tämä ongelma koskee tiettyjä AMD-suorittimia ja saattaa johtaa tietojen paljastamiseen.

Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty elokuussa 2023 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2023-20569- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.

Lisätietoja on AMD-SB-7005 -tietoturvatiedotteessa.

9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection , joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.

Windows-asiakkaiden lievennysasetukset

Suojaustiedotteet (ADVs) ja CVE:t antavat tietoja näiden haavoittuvuuksien aiheuttamista riskeistä ja siitä, miten ne auttavat tunnistamaan Windows-asiakasjärjestelmien lievennysten oletustilan. Seuraavassa taulukossa on yhteenveto suorittimen mikrokoodin vaatimuksesta ja Windows-asiakkaiden lievennysten oletustilasta.

CVE

Edellyttääkö suorittimen mikrokoodia/laiteohjelmistoa?

Lievennyksen oletustila

CVE-2017-5753

Ei

Käytössä oletusarvoisesti (ei pois käytöstä poistamista)

Lisätietoja on artikkelissa ADV180002 .

CVE-2017-5715

Kyllä

Käytössä oletusarvoisesti. AMD-suorittimeen perustuvien järjestelmien käyttäjien pitäisi nähdä usein kysytyt kysymykset #15, ja ARM-suorittimien käyttäjien pitäisi nähdä usein kysytyt kysymykset #20 ADV180002 lisätoimia varten ja tässä KB-artikkelissa sovellettavista rekisteriavainasetuksista.

Huomautus Oletusarvoisesti Retpoline on käytössä laitteissa, joissa on Windows 10, versio 1809 tai uudempi, jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Lisätietoja Retpolinen ympärillä on Artikkelissa Spectre-variantin 2 ja Retpolinen lieventäminen Windowsin blogikirjoituksessa annettuja ohjeita.

CVE-2017-5754

Ei

Oletusarvoisesti käytössä

Lisätietoja on artikkelissa ADV180002 .

CVE-2018-3639

Intel: Kyllä AMD: Ei ARM: Kyllä

Intel ja AMD: Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV180012 ja tässä KB-artikkelissa soveltuvista rekisteriavainasetuksista.

ARM: Käytössä oletusarvoisesti ilman käytöstä poistamista.

CVE-2019-11091

Intel: Kyllä

Käytössä oletusarvoisesti.

Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.

CVE-2018-12126

Intel: Kyllä

Käytössä oletusarvoisesti.

Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.

CVE-2018-12127

Intel: Kyllä

Käytössä oletusarvoisesti.

Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.

CVE-2018-12130

Intel: Kyllä

Käytössä oletusarvoisesti.

Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.

CVE-2019-11135

Intel: Kyllä

Käytössä oletusarvoisesti.

Lisätietoja on artikkelissa CVE-2019-11135 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.

CVE-2022-21123 (osa MMIO-ADV220002)

Intel: Kyllä

Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä.  Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä. 

Lisätietoja on artikkelissa CVE-2022-21123 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.

CVE-2022-21125 (osa MMIO-ADV220002)

Intel: Kyllä

Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä.  Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä. 

Lisätietoja on artikkelissa CVE-2022-21125 .

CVE-2022-21127 (osa MMIO-ADV220002)

Intel: Kyllä

Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä.  Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä. 

Lisätietoja on artikkelissa CVE-2022-21127 .

CVE-2022-21166 (osa MMIO-ADV220002)

Intel: Kyllä

Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä.  Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä. 

Lisätietoja on artikkelissa CVE-2022-21166 .

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: Ei

Lisätietoja on artikkelissa CVE-2022-23825 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: Kyllä

Lisätietoja on artikkelissa CVE-2023-20569 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.

CVE-2022-0001

Intel: Ei

Oletusarvoisesti poissa käytöstä.

Lisätietoja on artikkelissa CVE-2022-0001 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.

Oletusarvoisesti käytöstä poistettujen lievennysten ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Todellinen suorituskykytehoste riippuu useista tekijöistä, kuten laitteen tietystä piirisarjasta ja käynnissä olevien työkuormien.

Rekisteriasetukset

Tarjoamme seuraavat rekisteritiedot, jotta voimme ottaa käyttöön lievennykset, joita ei ole oletusarvoisesti otettu käyttöön suojaustiedotteissa (ADV) ja CVE:issä kuvatulla tavalla. Lisäksi tarjoamme rekisteriavainasetukset käyttäjille, jotka haluavat poistaa lievennykset käytöstä, kun niitä sovelletaan Windows-asiakasohjelmiin.

Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muokata rekisteriä. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta on seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa

Retpoline on oletusarvoisesti käytössä Windows 10, versio 1809 laitteissa, jos Spectre, Variant 2 (CVE-2017-5715) on käytössä. Retpolinen ottaminen käyttöön Windows 10 uusimmassa versiossa voi parantaa suorituskykyä Spectre-variantin 2 Windows 10, versio 1809 laitteissa, erityisesti vanhemmissa suorittimissa.

CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) oletusarvoisten lievennysten ottaminen käyttöön

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) lievennysten poistaminen käytöstä

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Arvo 3 on tarkka FeatureSettingsOverrideMask-ominaisuuksille sekä ota käyttöön- että Poista käytöstä -asetuksissa. (Lisätietoja rekisteriavaimista on usein kysytyissä kysymyksissä.)

Voit poistaa CVE-2017-5715 : n lievennykset käytöstä (Spectre-variantti 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) oletusarvoisten lievennysten ottaminen käyttöön:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715 :lle on poistettu käytöstä AMD- ja ARM-suorittimien osalta. Sinun on otettava lievennys käyttöön, jotta saat lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on artikkelissa USEIN KYSYTYT KYSYMYKSET #15 ADV180002 AMD-suorittimista ja usein kysytyt kysymykset #20 arm-suorittimien ADV180002 .

Ota käyttöön käyttäjästä ytimeen -suojaus AMD- ja ARM-suorittimilla yhdessä muiden CVE 2017-5715 -suojausten kanssa:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

CVE-2018-3639 :n (spekulatiivisen Storen ohitus) lieventämisen mahdollistamiseksi CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) oletusarvoiset lievennykset:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Huomautus: AMD-suorittimet eivät ole alttiita CVE-2017-5754 (Meltdown) -prosessorille. Tätä rekisteriavainta käytetään järjestelmissä, joissa on AMD-suorittimet, jotta voidaan ottaa käyttöön oletusarvoiset lievennykset CVE-2017-5715:lle AMD-suorittimilla ja CVE-2018-3639:n lievennys.

CVE-2018-3639 :n (spekulatiivisen Storen ohitus) *ja* lievennysten poistaminen käytöstä CVE-2017-5715:lle (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715 :lle on poistettu käytöstä AMD-suorittimilla. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle.  Lisätietoja on ADV180002 usein kysytyissä kysymyksissä #15.

Ota käyttöön KÄYTTÄJIEN ytimeen -suojaus AMD-suorittimilla yhdessä muiden CVE 2017-5715 -suojausten ja CVE-2018-3639 -suojausten (spekulatiivisen Storen ohitus) kanssa:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural datan näytteenoton (CVE-20) lieventämisen mahdollistaminen19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spectren (CVE-2017-5753 & CVE-2017-5715) ja Meltdown (CVE-2017-5754) muunnelmien kanssa, mukaan lukien spekulatiivisen kaupan ohitus käytöstä (SSBD) (CVE-2018-3639) sekä L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) poistamatta Hyper-Threadingia käytöstä:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen.

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) kun Hyper-Threading on poistettu käytöstä:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen.

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Voit ottaa CVE-2022-23825:n lievennyksen käyttöön AMD-suorittimilla seuraavasti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Jotta asiakkaat olisivat täysin suojattuja, heidän on ehkä myös poistettava käytöstä Hyper-Threading (kutsutaan myös nimellä Simultaneous Multi Threading (SMT)). Katso KB4073757ohjeita Windows-laitteiden suojaamiseen. 

Voit ottaa CVE-2023-20569:n lievennyksen käyttöön AMD-suorittimilla seuraavasti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Voit ottaa CVE-2022-0001:n lievennyksen käyttöön Intel-suorittimilla seuraavasti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Useiden lievennysten ottaminen käyttöön

Jos haluat ottaa käyttöön useita lievennyksiä, sinun on lisättävä kunkin lievennyksen REG_DWORD arvo yhteen. 

Esimerkki:

Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

HUOMAUTUS 8264 (desimaalilukuna) = 0x2048 (heksa)

Jos haluat ottaa käyttöön BHI:n muiden aiemmin luotujen asetusten kanssa, sinun on käytettävä bittitasoa TAI nykyistä arvoa 8 388 608 (0x800000). 

0x800000 TAI 0x2048(8264 desimaalilukuna) ja siitä tulee 8 396 872 (0x802048). Sama koskee FeatureSettingsOverrideMask-ominaisuutta.

CVE-2022-0001:n lievennys Intel-suorittimilla

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Yhdistetty lievennys

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001:n lievennys Intel-suorittimilla

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Yhdistetty lievennys

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Varmista, että suojaukset ovat käytössä

Olemme julkaisseet PowerShell-komentosarjan, jonka voit suorittaa laitteissasi, jotta suojaukset ovat käytössä. Asenna ja suorita komentosarja jollakin seuraavista tavoista.

Asenna PowerShell-moduuli:

PS> Install-Module SpeculationControl

Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä:

PS> # Tallenna nykyinen suorituskäytäntö, jotta se voidaan palauttaa

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS-> Get-SpeculationControlSettings

PS> # Palauta suorituskäytäntö alkuperäiseen tilaan

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Asenna PowerShell-moduuli Technet ScriptCenteristä:

Siirry https://aka.ms/SpeculationControlPS

Lataa SpeculationControl.zip paikalliseen kansioon.

Pura sisältö paikalliseen kansioon, esimerkiksi C:\ADV180002

Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä:

Käynnistä PowerShell, kopioi ja suorita seuraavat komennot (käyttämällä edellistä esimerkkiä):

PS> # Tallenna nykyinen suorituskäytäntö, jotta se voidaan palauttaa

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS-> Get-SpeculationControlSettings

PS> # Palauta suorituskäytäntö alkuperäiseen tilaan

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Lisätietoja PowerShell-komentosarjan tulosta on artikkelissa KB4074629.

Usein kysytyt kysymykset

Mikrokoodi toimitetaan laiteohjelmistopäivityksen kautta. Tarkista suorittimen (piirisarjan) ja laitevalmistajien kanssa, onko heidän laitteelleen saatavilla soveltuvia laiteohjelmistosuojauspäivityksiä, mukaan lukien Intels Microcode Revision -ohjeet.

Laitteiston haavoittuvuuden korjaaminen ohjelmistopäivityksen avulla aiheuttaa merkittäviä haasteita. Myös vanhojen käyttöjärjestelmien lievennykset edellyttävät laajoja arkkitehtonisia muutoksia. Pyrimme yhdessä siruvalmistajien kanssa määrittämään parhaan tavan tarjota lievennyksiä, jotka voidaan toimittaa tulevissa päivityksissä.

microsoft Surface -laitteiden Päivitykset toimitetaan asiakkaille Windows Update windows-käyttöjärjestelmän päivitysten kanssa. Luettelo saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on KB4073065.

Jos laitteesi ei ole Microsoftilta, ota käyttöön oman laitevalmistajasi tarjoama laiteohjelmistopäivitystä. Saat lisätietoja OEM-laitteen valmistajalta.

Helmikuussa ja maaliskuussa 2018 Microsoft julkaisi lisäsuojauksen joillekin x86-pohjaisille järjestelmille. Lisätietoja on KB4073757 ja Microsoft security advisory -ADV180002.

holoLensin Päivitykset Windows 10 hololens -asiakkaille Windows Update kautta.

Helmikuun 2018 Windowsin suojaus päivityksen käyttöönoton jälkeen HoloLensin asiakkaiden ei tarvitse tehdä lisätoimia laitteen laiteohjelmiston päivittämiseksi. Nämä lievennykset sisällytetään myös kaikkiin holoLensin tuleviin Windows 10 julkaisuihin.

Et. Vain suojauspäivitykset eivät ole kumulatiivisia. Käytössä olevan käyttöjärjestelmäversion mukaan sinun on asennettava kaikki kuukausittaiset vain suojauspäivitykset, jotta voit suojautua näheiltä haavoittuvuuksilta. Jos käytössäsi on esimerkiksi Windows 7 32-bittisille järjestelmille intel-suorittimen kanssa, johon ongelma vaikuttaa, sinun on asennettava kaikki vain suojauspäivitykset. Suosittelemme, että asennat nämä vain suojauspäivitykset julkaisujärjestyksessä.

Huomautus Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojaukseen liittyvä päivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.

Et. Suojauspäivityksen 4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja/tai odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Helmikuun suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä.

Intel ilmoitti äskettäin suorittaneensa validointinsa ja alkaneensa julkaista mikrokoodia uudempaa suoritinympäristöä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Kukin tietty kt sisältää käytettävissä olevat Intelin mikrokoodipäivitykset suorittimen mukaan.

Tämä ongelma on korjattu KB4093118.

AMD ilmoitti äskettäin, että he ovat alkaneet julkaista mikrokoodia uudempaan suoritinalustaan Spectre-variantin 2 ympärillä (CVE-2017-5715 "Branch Target Injection"). Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Nämä ovat saatavilla OEM-laiteohjelmistokanavalta.

Julkaisemme Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection "). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on myös saatavilla suoraan luettelosta, jos se ei ole asennettuna laitteeseen ennen käyttöjärjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on ohjeaiheessa KB4100347.

SSBD:n tilan tarkistamista varten Get-SpeculationControlSettings PowerShell -komentosarja päivitettiin havaitsemaan kyseiset suorittimet, SSBD-käyttöjärjestelmäpäivitysten tila ja suorittimen mikrokoodin tila tarvittaessa. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.

13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautus ei edellytä määritysasetuksia (rekisteriasetuksia).

Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojaustiedotteen ADV180016 | Microsoftin ohjeet Laiskan FP-tilan palauttamiseen.

Lazy Restore FP Restore -palautus ei edellytä määritysasetuksia (rekisteriasetuksia).

Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme, mutta jatkamme tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa vapauttaaksemme lievennyksiä tarpeen mukaan. Kannustamme edelleen tutkijoita toimittamaan kaikki asiaankuuluvat havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tutustua kehittäjän ohjeisiin, jotka on päivitetty BCBS:lle https://aka.ms/sescdevguide.

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. Hyökkääjä voi laukaista haavoittuvuudet useiden vektorien kautta määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulisi tarkistaa laiteohjelmiston tuki laitteen OEM-laitteelta, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 | Haaran kohdelisäys (Spectre, variantti 2) edellyttää laitteen alkuperäisten laitevalmistajien uusimman laiteohjelmistopäivityksen asentamista voimaan.

Lisätietoja Retpoline-käyttöönotosta on blogikirjoituksessamme Spectre-variantin 2 lieventäminen Retpolinella Windowsissa

Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.

Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.

Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.

Lisätietoja

Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.