הדרכה Windows Server כדי להגן מפני פגיעויות ערוץ בצד ביצוע הפעל

חל על: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard יותר

סיכום


מיקרוסופט מודעת בפומבי מחלקה חדשה של פגיעויות אשר נקראים "הפעל ביצוע תקיפות ערוץ בצד" אשר משפיעים על מעבדים מודרניים רבים, כולל מעבד Intel, AMD ו- ARM.

הערה בעיה זו משפיעה גם על מערכות הפעלה אחרות, כגון Android, Chrome, iOS ו- macOS. לכן, אנו ליידע את הלקוחות כדי לחפש הדרכה מספקים אלה.

מיקרוסופט פירסמה מספר עדכונים כדי לצמצם פגיעויות אלה. אנו גם נקטת בפעולה לאבטחת שירותי ענן שלנו. עיין בסעיפים הבאים לקבלת פרטים נוספים.

לא טרם הגיע לידי מיקרוסופט כל מידע המעיד על פגיעויות אלה השתמשת לשם תקיפת לקוחות. Microsoft פועלת בשיתוף פעולה הדוק עם שותפי התעשייה כולל יצרני שבב, יצרני ציוד מקורי של חומרה, וספקים app כדי להגן על הלקוחות. כדי לקבל כל הגנות זמין, הקושחה (למיקרו-קוד) ותוכנות העדכונים נדרשים. הדבר כולל למיקרו-קוד מתוך התקן יצרני ציוד מקורי ועדכון, במקרים מסוימים, תוכנות אנטי-וירוס.

מאמר זה פותר את הפגיעויות שלהלן:

כדי ללמוד עוד אודות מחלקה זו של הפגיעויות, עיין ADV180002 ו- ADV180012.

Microsoft מספקת פרטי קשר של ספקים חיצוניים כדי לסייע לך באיתור תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. Microsoft אינה ערבה לדיוקם של פרטי הקשר של הספק האמור.

פעולות מומלצות


ללקוחות יש לבצע את הפעולות הבאות כדי לסייע בהגנה מפני הפגיעויות:

  1. החלת כל Windows מערכת ההפעלה עדכונים זמינים, כולל עדכוני האבטחה החודשיים של Windows. לקבלת פרטים אודות כיצד להפוך לזמין אלה עדכונים, sחפש 4072699 של מאמר מתוך מאגר הידע Microsoft Knowledge Base.
  2. החלת עדכוני קושחה ישים (למיקרו-קוד) מיצרן ההתקן (OEM).
  3. הערך הסיכון לסביבה שלך בהתבסס על המידע אשר נמצא עלוני יידוע בנושא אבטחה של MicrosoftADV180002וADV180012ובמאמר Knowledge Base זה.
  4. לנקוט פעולה כנדרש על-ידי שימוש את עלוני היידוע ואת פרטי מפתח הרישום הכלול במאמר Knowledge Base זה.

הגדרות להפחתת הסיכון עבור שרת Windows


עלוני היידוע בנושא אבטחה ADV180002 ו- ADV180012 מספקים מידע אודות הסיכון שהוצבו על-ידי פגיעויות אלה ולזהות את מצב ברירת המחדל של גורמים מקלים עבור מערכות Windows Server. מתחת לטבלה מסכמת את הדרישה של המיקרו-קוד של ה-CPU ואת מצב ברירת המחדל ההקלה בשרת Windows.

CVE דורש למיקרו-קוד ה-CPU/קושחה? מצב ברירת המחדל להפחתת הסיכון

CVE-2017-5753

לא

מופעל כברירת מחדל (אין אפשרות לבטל)

CVE-2017-5715

כן

לא זמינים כברירת מחדל.

CVE-2017-5754

לא

Windows Server 2019: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: זמין כברירת מחדל.

CVE-2018-3639

מעבד Intel: כן

AMD: לא

לא זמינים כברירת מחדל. עיין ADV180012 לקבלת מידע נוסף במאמר KB זה עבור הגדרות מפתח הרישום המתאים.

לקוחות המעוניינים לקבל כל הגנות זמינה מפני פגיעויות אלה עליך לבצע שינויים מפתח הרישום כדי לאפשר אלה גורמים מקלים שאינם זמינים כברירת מחדל.

הפעלת הגורמים המקלים אלה עשוי להשפיע על הביצועים. קנה המידה של האפקטים ביצועים תלויה בגורמים מרובים, כגון ערכת השבבים הספציפי שלך מארח הפיזי ואת עומסי העבודה הפועלים. אנו ממליצים ללקוחות להעריך את ההשפעות ביצועים עבור הסביבה שלהם ההתאמות הנדרשות.

השרת שלך נמצא בסיכון מוגבר אם הוא נמצא באחת הקטגוריות הבאות:

  • Hyper-V המארח – דורשת הגנה עבור VM-VM והתקפות VM למארח.
  • מארחים שירותי שולחן עבודה מרוחק (RDSH) – דורשת הגנה מהפעלה אחת להפעלה אחרת או מפני התקפות מארח ההפעלה.
  • מחשבים מארחים פיזי או מחשבים וירטואליים הפועלים קוד שאינו מהימן, כגון כלי קיבול או סיומות לא מהימנים עבור מסד הנתונים, תוכן אינטרנט בלתי מהימנים או עומסי עבודה המופעלות קוד ממקורות חיצוניים. טכנולוגיות אלה דורשות הגנה מפני תקיפות תהליך-אל--תהליך אחר או שאינם מהימנים-תהליך-אל-ליבה לא מהימנים.

השתמש את הגדרות מפתח הרישום הבאות כדי לאפשר את הגורמים המקלים על השרת, והפעל מחדש את המערכת שהשינויים ייכנסו לתוקף.

חשובבסעיף זה, השיטה או המשימה מכיל פעולות המציינות כיצד לשנות את הרישום. עם זאת, עלולות להתרחש בעיות חמורות אם תשנה את הרישום באופן שגוי. לפיכך, ודא כי אתה מבצע צעדים אלה בקפידה. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. כך תוכל לשחזר את הרישום מאוחר יותר במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

 

322756כיצד לגבות ולשחזר את הרישום ב- Windows

ניהול גורמים מקלים עבור CVE-2017-5715 (2 משתנה Spectre) ו- CVE-2017-5754 (Meltdown)


כדי לאפשר גורמים מקלים עבור CVE-2017-5715 (2 משתנה Spectre) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מחשב מארח Hyper-V ועדכוני קושחה הוחלו: כיבוי מלא כל מחשבים וירטואליים. הדבר מאפשר הקלה הקשורות הקושחה שיש להחיל על המחשב המארח לפני סוגי מופעלים. לכן, סוגי מתעדכנים גם כאשר הם מחדש.

הפעל מחדש את המחשב שהשינויים ייכנסו לתוקף .

כדי לבטל את הגורמים המקלים עבור CVE-2017-5715 (2 משתנה Spectre) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

מחדש את המחשב כדי שהשינויים ייכנסו לתוקף .

הערה FeatureSettingsOverrideMask הגדרה 3 הוא מדויק עבור הגדרות "אפשר" וגם "אל תאפשר". (עיין בסעיף "שאלות נפוצות" לקבלת פרטים נוספים אודות מפתחות הרישום).

נהל את הפתרון עבור CVE-2017-5715 (2 משתנה Spectre)


להפיכת משתנה 2: (CVE -2017 5715"ענף הזרקת היעד")להפחתת הסיכון:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר 2 משתנה: (CVE-2017-5715"הזרקת יעד הסתעפות") להפחתת הסיכון:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

מעבדי AMD בלבד: אפשר הפתרון המלא עבור CVE-2017-5715 (2 משתנה Spectre)


כברירת מחדל, משתמש ליבה הגנה עבור CVE-2017-5715 אינה זמינה עבור המעבדים AMD. לקוחות עליך לאפשר להפחתת הסיכון לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב- ADV180002.

להפעיל הגנה המשתמש ליבה על מעבדי AMD יחד עם והגנות אחרות עבור CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מחשב מארח Hyper-V ועדכוני קושחה הוחלו: כיבוי מלא כל מחשבים וירטואליים. הדבר מאפשר הקלה הקשורות הקושחה שיש להחיל על המחשב המארח לפני סוגי מופעלים. לכן, סוגי מתעדכנים גם כאשר הם מחדש.

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

ניהול גורמים מקלים עבור CVE-2018-3639 (הפעל עקיפת החנות), CVE-2017-5715 (2 משתנה Spectre) ו- CVE-2017-5754 (Meltdown)



כדי לאפשר גורמים מקלים עבור CVE-2018-3639 (הפעל עקיפת החנות), CVE-2017-5715 (2 משתנה Spectre) ו- CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מחשב מארח Hyper-V ועדכוני קושחה הוחלו: כיבוי מלא כל מחשבים וירטואליים. הדבר מאפשר הקלה הקשורות הקושחה שיש להחיל על המחשב המארח לפני סוגי מופעלים. לכן, סוגי מתעדכנים גם כאשר הם מחדש.

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

כדי להשבית גורמים מקלים עבור CVE-2018-3639 (הפעל עקיפת חנות) וגם גורמים מקלים עבור CVE-2017-5715 (2 משתנה Spectre) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

 

מעבדי AMD בלבד: אפשר הפתרון המלא עבור CVE-2017-5715 (2 משתנה Spectre) ו- CVE 2018-3639 (הפעל עקיפת חנות)


כברירת מחדל, משתמש ליבה הגנה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. לקוחות עליך לאפשר להפחתת הסיכון לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב- ADV180002.

לאפשר למשתמש ליבה הגנה על מעבדי AMD יחד עם והגנות אחרות עבור CVE 2017-5715 הגנות עבור CVE-2018-3639 (הפעל עקיפת חנות):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מחשב מארח Hyper-V ועדכוני קושחה הוחלו:כיבוי מלא כל מחשבים וירטואליים. הדבר מאפשר הקלה הקשורות הקושחה שיש להחיל על המחשב המארח לפני סוגי מופעלים. לכן, סוגי מעודכנים גם הם כאשר הם מחדש.

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

מאמת הגנות זמינות


כדי לסייע ללקוחות לוודא הגנות זמינות, Microsoft פרסם קובץ script PowerShell לקוחות שיכולות לפעול במערכות שלהם. להתקין ולהפעיל את קובץ ה-script על-ידי הפעלת הפקודות הבאות.

אימות PowerShell באמצעות גלריית PowerShell (2016 שרת Windows או WMF 5.0/5.1)

להתקין את המודול PowerShell:

PS> Install-Module SpeculationControl

הפעל את המודול PowerShell כדי לוודא הגנות זמינות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

אימות PowerShell באמצעות הורדה מ- Technet (מוקדם יותר גירסאות מערכת ההפעלה ואת גירסאות קודמות WMF)

להתקין את המודול PowerShell מתוך Technet ScriptCenter:

  1. מעבר אל https://aka.ms/SpeculationControlPS.
  2. הורד SpeculationControl.zip לתיקייה מקומית.
  3. לחלץ את התוכן לתיקייה מקומית. לדוגמה: C:\ADV180002

הפעל את המודול PowerShell כדי לוודא הגנות זמינות:

התחל PowerShell, ולאחר מכן השתמש בדוגמה הקודמת להעתיק ולהפעיל את הפקודות הבאות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

לקבלת הסבר מפורט של הפלט של קובץ ה-script של PowerShell, עיין במאמר Knowledge Base 4074629

שאלות נפוצות


אני לא הציע את עדכוני האבטחה של Windows אשר פורסמו בינואר פברואר 2018. מה עלי לעשות?

כדי לסייע במניעת להשפיע לרעה של התקני לקוח, עדכוני האבטחה של Windows אשר פורסמו בינואר פברואר 2018 שהוצעו לא לכל הלקוחות. לקבלת פרטים, עיין במאמר מתוך מאגר הידע Microsoft Knowledge Base 4072699.

הפניות