Instructions Windows Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

S’applique à : Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Résumé


Microsoft a connaissance d’une nouvelle classe de vulnérabilités appelées « attaques par canal auxiliaire d’exécution spéculative » et qui touchent de nombreux processeurs modernes, dont Intel, AMD, VIA et ARM.

Remarque Ce problème concerne également d’autres systèmes d’exploitation tels qu’Android, Chrome, iOS et Mac OS. Nous conseillons dès lors à nos clients de rechercher des instructions auprès du fournisseur correspondant.

Nous avons publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Pour plus d’informations, consultez les sections suivantes.

Microsoft n’a encore reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Nous collaborons étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’applications, afin de protéger nos clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.

Cet article concerne les vulnérabilités suivantes :

Windows Update propose également des atténuations pour Internet Explorer et Edge. Nous continuerons à améliorer ces atténuations contre cette classe de vulnérabilités.

Pour en savoir plus sur cette classe de vulnérabilités, consultez les avis suivants :

MIS À JOUR LE 14 mai 2019 Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling ». Ces vulnérabilités ont été attribuées aux CVE suivantes :

Important : ces problèmes concernent d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Microsoft conseille à ses clients de rechercher des instructions auprès de leur fournisseur correspondant.

Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud. Microsoft recommande vivement de déployer ces mises à jour.

Pour plus d’informations sur ce problème, consultez l’avis de sécurité suivant et utilisez les instructions propres à chaque scénario pour déterminer les actions nécessaires pour atténuer la menace :

Remarque Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer les mises à jour du microcode.

MIS À JOUR LE 6 août 2019 Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité de canal auxiliaire d’exécution spéculative nommée « Variante 1 de Spectre » ; elle a été attribuée à la CVE-2019-1125.

Le 9 juillet 2019, Microsoft a publié des mises à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Microsoft n’a publié les informations sur cette atténuation que le mardi 6 août 2019, lors de la divulgation coordonnée à l’échelle du secteur.

Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Aucune configuration supplémentaire n’est nécessaire.

Remarque Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).

Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez le guide des mises à jour de sécurité Microsoft :

CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows

Actions recommandées


Les clients doivent prendre les mesures suivantes pour bénéficier d’une protection contre les vulnérabilités :

  1. Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.
  2. Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.
  3. Évaluer le risque pour l’environnement en fonction des informations contenues dans les avis de sécurité Microsoft ADV180002, ADV180012 et ADV190013, ainsi que des informations contenues dans cet article de la Base de connaissances.
  4. Prendre les mesures nécessaires mentionnées dans les avis et dans les informations sur les clés de Registre contenues dans cet article de la Base de connaissances.

Remarque Les clients Surface recevront une mise à jour du microcode par le biais de Windows Update. Pour obtenir la liste des dernières mises à jour du microprogramme (microcode) pour les appareils Surface, consultez l’article KB 4073065.

Paramètres d’atténuation pour Windows Server


Les avis de sécurité ADV180002, ADV180012 et ADV190013 fournissent des informations sur les risques que présentent ces vulnérabilités.  Ils permettent également de déterminer ces vulnérabilités et l’état par défaut des atténuations pour les systèmes Windows Server. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations sous Windows Server.

CVE Microcode/microprogramme du processeur nécessaire ? État par défaut des atténuations

CVE-2017-5753

Non

Activées par défaut (pas d’option de désactivation)

Pour plus d’informations, consultez l’avis ADV180002.

CVE-2017-5715

Oui

Désactivées par défaut.

Consultez l’avis ADV180002 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

Remarque : « Retpoline » est activé par défaut sur les appareils exécutant Windows 10 version 1809 ou version ultérieure si la variante 2 de Spectre (CVE-2017-5715) est activée. Pour plus d’informations sur « Retpoline », consultez le billet de blog Mitigating Spectre variant 2 with Retpoline on Windows (en anglais uniquement).

CVE-2017-5754

Non

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Pour plus d’informations, consultez l’avis ADV180002.

CVE-2018-3639

Intel : Oui

AMD : Non

Désactivées par défaut. Consultez l’avis ADV180012 pour plus d’informations et cet article de la base de connaissances pour les paramètres de clé de Registre applicables.

CVE-2018-11091 Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.
CVE-2018-12126 Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.
CVE-2018-12127 Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.
CVE-2018-12130 Intel : Oui

Windows Server 2019 : Activées par défaut.
Windows Server 2016 et versions antérieures : Désactivées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

Vous devez modifier des clés de Registre pour activer les atténuations qui sont désactivées par défaut si vous souhaitez bénéficier de toutes les protections disponibles contre ces vulnérabilités.

L’activation de ces atténuations peut réduire les performances. L’ampleur de l’impact sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’hôte physique et les charges de travail exécutées. Nous vous recommandons d’évaluer l’impact sur les performances de votre environnement et d’apporter les modifications nécessaires.

Votre serveur est exposé à un risque accru s’il relève de l’une des catégories suivantes :

  • Hôtes Hyper-V : nécessitent une protection contre les attaques d’une machine virtuelle vers une autre machine virtuelle et d’une machine virtuelle vers un hôte.
  • Hôtes de services Bureau à distance (RDSH) : nécessitent une protection contre les attaques d’une session vers une autre session ou d’une session vers un hôte.
  • Machines virtuelles ou hôtes physiques qui exécutent du code non approuvé, tels des conteneurs ou des extensions non approuvées d’une base de données, du contenu web non approuvé ou des charges de travail exécutant du code provenant de sources externes : nécessitent une protection contre les attaques d’un processus non approuvé vers un autre processus ou d’un processus non approuvé vers le noyau.

Utilisez les paramètres de clé de Registre suivants pour activer les atténuations sur le serveur et veillez à redémarrer le système pour que les modifications soient prises en compte.

Remarque L’activation d’atténuations qui sont désactivées par défaut risque de réduire les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.

Paramètres du Registre


Microsoft fournit les informations suivantes sur le Registre pour activer les atténuations qui ne le sont pas par défaut, comme indiqué dans les avis de sécurité ADV180002, ADV180012 et ADV190013.

De plus, Microsoft fournit les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Gérer les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)


Remarque importante : Retpoline est activé par défaut sur les serveurs Windows 10 version 1809 si la variante 2 de Spectre (CVE-2017-5715) est activée. L’activation de Retpoline sur la dernière version de Windows 10 peut améliorer les performances sur les serveurs Windows 10 version 1809 pour la variante 2 de Spectre, en particulier sur les anciens processeurs.

Pour activer les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.


Remarque : la valeur 3 pour le paramètre FeatureSettingsOverrideMask convient pour les paramètres d’activation et de désactivation. (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)

Gérer l’atténuation pour CVE-2017-5715 (variante 2 de Spectre)


Pour désactiver l’atténuation de la variante 2 (CVE-2017-5715 - « Branch Target Injection ») :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer l’atténuation de la variante 2 (CVE-2017-5715 - « Branch Target Injection ») :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre)


Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les atténuations pour CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)



Pour activer les atténuations pour CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour CVE-2018-3639 (Speculative Store Bypass) Atténuation CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2018-3639 (Speculative Store Bypass)


Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 et les protections pour CVE-2018-3639 (Speculative Store Bypass) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les vulnérabilités Microarchitectural Data Sampling (CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646)


Pour activer les atténuations pour les vulnérabilités Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639), et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) sans désactiver l’hyperthreading :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer les atténuations pour les vulnérabilités Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639), et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) quand l’hyperthreading est désactivé :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour les vulnérabilités Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639), et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Vérification de l’activation des protections


Pour vous aider à vérifier que les protections sont activées, Microsoft a publié un script PowerShell à exécuter sur votre système. Installez et exécutez le script à l’aide des commandes suivantes.

Vérification PowerShell à l’aide de PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1)

Installation du module PowerShell :

PS> Install-Module SpeculationControl

Exécution du module PowerShell pour vérifier que les protections sont activées :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Vérification PowerShell à l’aide d’un téléchargement à partir de TechNet (versions antérieures du système d’exploitation et de WMF)

Installation du module PowerShell à partir de TechNet ScriptCenter :

  1. Accédez à https://aka.ms/SpeculationControlPS.
  2. Téléchargez le fichier SpeculationControl.zip dans un dossier local.
  3. Extrayez le contenu dans un dossier local. Par exemple : C:\ADV180002.

Exécution du module PowerShell pour vérifier que les protections sont activées :

Démarrez PowerShell, puis utilisez l’exemple précédent pour copier et exécuter les commandes suivantes :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Pour obtenir des explications détaillées sur les résultats du script PowerShell, consultez l’article 4074629 de la Base de connaissances

Forum aux questions


Références