הדרכה של Windows כדי להגן מפני פגיעויות ביצוע ספקולטיביות בצד הערוץ

סיכום

מיקרוסופט מודעת לווריאנטים חדשים של מחלקת ההתקפה הידועה כפגיעויות של ערוץ צד ביצוע ספקולטיבי. הווריאנטים נקראים L1 תקלת מסוף (L1TF)ודגימת נתונים מיקרואדריכלית (MDS). תוקף שיכול לנצל בהצלחה L1TF או MDS עשוי להיות מסוגל לקרוא נתונים מועדפים בין גבולות אמון.

מעודכן ב-14/05/2019: ב -14 במאי, 2019, אינטל פרסמה מידע אודות מחלקת משנה חדשה של נקודות תורפה בביצוע ביצוע ספקולטיבי המכונה מיקרו-ארכיטקטורת נתונים. הם הוקצו ל-CVEs הבאים:

עדכון ב-12/11/2019: ב-12 בנובמבר 2019, אינטל פרסמה עלון יידוע טכני סביב הפגיעות ' ביטול סינכרון טרנזקציות ' של Intel® (Intel® TSX) המוקצית לביטול טרנזקציות שהוקצו CVE-2019-11135. Microsoft פרסמה עדכונים כדי לסייע בהפחתת הפגיעות. שים לב לפרטים הבאים:

  • כברירת מחדל, הגנות של מערכות הפעלה זמינות עבור מהדורות מסוימות של Windows Server OS. לקבלת מידע נוסף, ראה מאמר 4072698 של Microsoft Knowledge base.

  • כברירת מחדל, הגנות של מערכות הפעלה זמינות עבור כל מהדורות מערכת ההפעלה של Windows Client. לקבלת מידע נוסף, ראה מאמר 4073119 של Microsoft Knowledge base.

מבט כולל על פגיעות

בסביבות שבהן משאבים משותפים, כגון מארחי וירטואליזציה, תוקף שיכול להפעיל קוד שרירותי במחשב וירטואלי אחד עשוי להיות מסוגל לגשת למידע ממחשב וירטואלי אחר או ממארח הווירטואליזציה עצמו.

עומסי עבודה של שרתים, כגון שירותי המחשב השולחני המרוחק של Windows Server (RDS) ותפקידים ייעודיים יותר, כגון בקרי תחום של Active Directory, נמצאים גם הם בסיכון. תוקפים שיכולים להפעיל קוד שרירותי (ללא קשר לרמת ההרשאה שלו) יכולים לגשת למערכת הפעלה או לסודות של עומס עבודה, כגון מפתחות הצפנה, סיסמאות ונתונים רגישים אחרים.

מערכות ההפעלה של לקוחות Windows נמצאות גם בסיכון, במיוחד אם הם מפעילים קוד לא מהימן, מינוף תכונות אבטחה מבוססות וירטואליזציה כגון Windows Defender מאבטח, או השתמש ב-Hyper-V כדי להפעיל מחשבים וירטואליים.

הערה: פגיעויות אלה משפיעות על מעבדי Intel Core ומעבדי Intel Xeon בלבד.

סקירה כללית של הפחתת הסיכון

כדי לפתור בעיות אלה, Microsoft פועלת יחד עם Intel לפיתוח הגורמים המקלים והדרכה בתוכנה. עדכוני תוכנה המסייעים לצמצם את הפגיעויות שפורסמו. כדי להשיג את כל ההגנות הזמינות, ייתכן שיידרשו עדכונים העשויים לכלול גם מיקרו-קוד מיצרני ציוד מקורי של התקנים.

מאמר זה מתאר כיצד להמתיק את הפגיעויות הבאות:

  • CVE-2018-3620 – "L1 מסוף תקלה – OS, SMM"

  • CVE-2018-3646 – "תקלת מסוף L1 – VMM"

  • CVE-2018-11091-"זיכרון מיקרואדריכלי לדגימת נתונים (MDSUM)"

  • CVE-2018-12126 – "דגימת נתונים של מאגר המאגר המיקרו-אדריכלי" (MSBDS) "

  • CVE-2018-12127 – "מיקרוארכיטקטורה עומס נתונים בדגימה (MLPDS)"

  • CVE-2018-12130 – "דגימת נתונים של מאגר מילוי מיקרואדריכלי" (MFBDS) "

  • CVE-2019-11135 – פגיעות של גילוי מידע ליבה של Windows '

כדי ללמוד עוד אודות הפגיעויות, עיין בעלוני היידוע הבאים בנושא אבטחה:

L1TF: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018

MDS: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013

פגיעות של גילוי מידע ליבה של Windows: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-11135

קביעת הפעולות הדרושות להפחתת האיום

הסעיפים הבאים יכולים לסייע לך לזהות מערכות המושפעות על-ידי פגיעויות L1TF ו/או MDS וכן מסייעות לך להבין ולהקטין את הסיכונים.

השפעת ביצועים פוטנציאליים

בבדיקות, מיקרוסופט ראתה השפעות ביצועים מגורמים מקלים אלה, בהתאם לתצורת המערכת והגורמים המקלים הדרושים.

לקוחות מסוימים עשויים להשבית את hyper-threading (הידוע גם כ-multithreading או SMT בו) כדי לטפל באופן מלא בסיכון מ-L1TF ו-MDS. שים לב כי השבתת hyper-threading עלולה לגרום לירידה בביצועים. מצב זה חל על לקוחות המשתמשים בפעולות הבאות:

  • גירסאות של Hyper-V שקודמות ל-Windows Server 2016 או Windows 10 גירסה 1607 (עדכון יום נישואין)

  • תכונות אבטחה מבוססות וירטואליזציה (VBS) כגון משמר האישורים ומשמר ההתקנים

  • תוכנה המאפשרת ביצוע של קוד לא מהימן (לדוגמה, שרת אוטומציה של build או סביבת אירוח משותפת של IIS)

ההשפעה יכולה להשתנות באמצעות חומרה ועומסי העבודה הפועלים במערכת. תצורת המערכת הנפוצה ביותר היא להפעיל hyper-threading. לפיכך, השפעת הביצועים מגודרת על המשתמש או על מנהל המערכת אשר נוקט בפעולה כדי להשבית את hyper-threading של מערכת.

הערה: כדי לקבוע אם המערכת שלך משתמשת בתכונות אבטחה המוגנות באמצעות VBS, בצע את השלבים הבאים:

  1. בתפריט התחלה , הקלד MSINFO32. הערה: החלון ' מידע מערכת ' נפתח.

  2. בתיבה חפש את , הקלד אבטחה.

  3. בחלונית השמאלית, אתר את שתי השורות שנבחרו בצילום המסך ובדוק את עמודת הערכים כדי לראות אם מופעלת אבטחה מבוססת-וירטואליזציה ושירותי אבטחה מבוססי-וירטואליזציה פועלים.

    חלון מידע מערכת

ה-Hyper-V מתזמן הליבה מפחית את L1TF ו MDS התקפה וקטורים נגד מכונות וירטואליות Hyper-V תוך שהוא עדיין מאפשר hyper-threading להישאר זמין. מתזמן הליבה זמין החל מ-Windows Server 2016 ו-Windows 10 גירסה 1607. הדבר מספק השפעה מינימלית על הביצועים של המחשבים הווירטואליים.

מתזמן הליבה אינו מפחית את הL1TF או את וקטורי ההתקפה של MDS מפני תכונות אבטחה מוגנות VBS. לקבלת מידע נוסף, עיין בסעיף הפחתת הסיכון של C ובמאמר בלוג הווירטואליזציה הבא:

https://aka.ms/hyperclear

לקבלת מידע מפורט מ-Intel אודות השפעת הביצועים, עבור אל אתר האינטרנט הבא של Intel:

www.intel.com/securityfirst

זיהוי מערכות מושפעות והגורמים המקלים הדרושים

תרשים הזרימה באיור 1 יכול לסייע לך לזהות מערכות מושפעות ולקבוע את ערכת הפעולות הנכונה.

חשוב: אם אתה משתמש במחשבים וירטואליים, עליך לשקול ולהחיל את תרשים הזרימה על מארחי Hyper-V ועל כל אורח מושפע של VM בנפרד, משום שניתן להחיל גורמים מקלים על שניהם. באופן ספציפי, עבור מארח Hyper-V, שלבי תרשים הזרימה מספקים הגנות בין-VM והגנות פנים-מארחים. עם זאת, החלת הגורמים המקלים רק על המחשב המארח Hyper-V אינו מספיק כדי לספק הגנה באמצעות אינטרה-VM. כדי לספק הגנה מתוך-VM, עליך להחיל את תרשים הזרימה על כל Windows VM. ברוב המקרים, משמעות הדבר היא לוודא שמפתחות הרישום מוגדרים ב-VM.

במהלך הניווט בתרשים הזרימה, תיתקל בעיגולים כחולים שאינם ממופים לפעולה או לסידרת פעולות הנדרשות להפחתת L1TF וקטורי התקפה הספציפיים לתצורות המערכת שלך. יש להחיל כל פעולה שתיתקל בה. כאשר אתה נתקל בקו ירוק, הוא מציין נתיב ישיר לסוף, ואין שלבי הפחתת הסיכון נוספים.

הסבר בצורה קצרה על כל הקלה מלאה כלול במקרא שבצד ימין. הסברים מפורטים לכל הקלה הכוללת התקנה צעד-אחר-צעד והוראות הגדרה מסופקות בסעיף "הגורמים המקלים".

תרשים זרימה

 

קלים

חשוב: הסעיף הבא מתאר גורמים מקלים שיש להחיל רק תחת התנאים הספציפיים הנקבעים על-ידי תרשים הזרימה באיור 1 בסעיף הקודם. אל תחיל את הגורמים המקלים הללו אלא אם כן תרשים הזרימה מציין כי יש צורך בהפחתת הסיכון הספציפי.

בנוסף לעדכוני תוכנה ומיקרו-קוד, ייתכן שיהיה צורך גם בשינויי תצורה ידניים כדי לאפשר הגנות מסוימות. אנו ממליצים עוד על כך שלקוחות ארגוניים ירשמו עבור מיילר הודעות האבטחה כדי לקבל התראה על שינויי תוכן. (עיין בהודעות האבטחה הטכניות של Microsoft).

הקלה A

השג ויישם את עדכוני Windows העדכניים ביותר

החל את כל העדכונים הזמינים של מערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows. באפשרותך לראות את רשימת המוצרים המושפעים בעלון היידוע בנושא אבטחה של מיקרוסופט | עו ד 180018 לL1TF, עלון יידוע בנושא אבטחה | עו ד 190013 עבור MDS ו-CVE-2019-11135 עבור הפגיעות של גילוי מידע ליבה של Windows.

הפחתת סיכון ב'

השג ויישם את עדכוני המיקרו-קוד או הקושחה העדכניים ביותר

בנוסף להתקנת עדכוני האבטחה העדכניים ביותר של Windows, נדרש גם עדכון מיקרו-קוד של מעבד. התקנת עדכונים אלה מסופקת על-ידי ה-OEM של ההתקן.

הערה: אם אתה משתמש בווירטואליזציה מקוננת (כולל הפעלת מכולות Hyper-V ב-VM guest), עליך לחשוף את enlightenments המיקרו-קוד החדש ל-VM של האורח. ייתכן שתידרש לשדרג את תצורת VM לגירסה 8. גירסה 8 כוללת את המיקרו-קוד enlightenments כברירת מחדל. לקבלת מידע נוסף והשלבים הדרושים, עיין במאמר הבא של מאמר Microsoft Docs:

הפעלת Hyper-V במחשב וירטואלי עם וירטואליזציה מקוננת

הפחתת סיכון C

האם עליי להשבית את היפר-שרשור (HT)?

הפגיעויות L1TF ו-MDS מציגות סיכון שסודיות של מחשבים וירטואליים Hyper-V והסודות המתוחזקים על-ידי אבטחה מבוססת וירטואליזציה של Microsoft (VBS) עלולים להיות חשופים באמצעות התקפה של ערוץ צדדי. כאשר Hyper-Threading (HT) מופעל, גבולות האבטחה המסופקים על-ידי Hyper-V ו-VBS נחלשים.

מתזמן הליבה Hyper-V (זמין החל ב-Windows Server 2016 ו-Windows 10 גירסה 1607) מפחית את הL1TF ו-MDS התקפה וקטורים נגד מחשבים וירטואליים Hyper-V ועדיין מאפשר Hyper-Threading להישאר זמין. הדבר מספק השפעה מינימלית על הביצועים.

מתזמן הליבה Hyper-V אינו מפחית את הווקטורים של L1TF או MDS נגד תכונות אבטחה מוגנות VBS. הפגיעויות L1TF ו-MDS להציג סיכון כי הסודיות של סודות VBS ניתן להתפשר באמצעות התקפה ערוץ צדדי כאשר Hyper-Threading (HT) מופעל, היחלשות גבול האבטחה שסופקו על-ידי VBS. גם עם סיכון מוגבר זה, VBS עדיין מספק יתרונות אבטחה יקרי ערך ומפחית את מגוון ההתקפות עם HT מופעלת. מכאן, אנו ממליצים להמשיך להשתמש ב-VBS במערכות המותאמות לשימוש ב-HT. לקוחות המעוניינים לשלול את הסיכון הפוטנציאלי של הפגיעויות L1TF ו-MDS על הסודיות של VBS צריכים לשקול השבתת HT כדי לצמצם את הסיכון הנוסף.

לקוחות המעוניינים לשלול את הסיכון שL1TF והפגיעויות של MDS מציבים, בין אם לסודיות של גירסאות Hyper-V הקודמות ל-Windows Server 2016 או ליכולות אבטחה של VBS, יש לשקול את ההחלטה ולשקול השבתת HT על מפחית את הסיכון. באופן כללי, החלטה זו יכולה להתבסס על ההנחיות הבאות:

  • עבור Windows 10 גירסה 1607, Windows Server 2016 ומערכות עדכניות יותר שאינן פועלות ב-Hyper-V ואינן משתמשים בתכונות אבטחה המוגנות באמצעות VBS, לקוחות לא אמורים להפוך את HT ללא זמין.

  • עבור Windows 10 גירסה 1607, Windows Server 2016 ומערכות עדכניות יותר הפועלות באמצעות Hyper-V עם מתזמן הליבה, אך אינם משתמשים בתכונות אבטחה מוגנות VBS, לקוחות לא צריכים להשבית את HT.

  • עבור Windows 10 גירסה 1511, Windows Server 2012 R2 ומערכות קודמות הפועלות Hyper-V, הלקוחות חייבים לשקול להשבית את HT כדי להמתיק את הסיכון.

הפעולות הנדרשות כדי להשבית את HT שונות מ-OEM ל-OEM. עם זאת, הם בדרך כלל חלק מכלי ה-BIOS או הגדרת הקושחה והתצורה.

Microsoft גם הציגה את היכולת להשבית את טכנולוגיית Hyper-Threading באמצעות הגדרת תוכנה אם קשה או בלתי אפשרית להשבית את HT ב-BIOS או בכלי ההגדרה של הקושחה. הגדרת התוכנה להשבתת HT היא משנית להגדרת ה-BIOS או הקושחה שלך והיא אינה זמינה כברירת מחדל (כלומר HT יעקוב אחר הגדרת ה-BIOS או הקושחה). כדי ללמוד עוד אודות הגדרה זו וכיצד להשבית את HT באמצעות ההגדרה, עיין במאמר הבא:

4072698 Windows Server הדרכה להגנה מפני פגיעויות ביצוע ספקולטיביות בצד הערוץ

כאשר הדבר אפשרי, מומלץ להשבית את HT ב-BIOS או בקושחה עבור ההבטחה החזקה ביותר ש-HT אינו זמין.

הערה: השבתת hyperthreading תגרום להפחתת ליבות ה-CPU. זה יכול להיות השפעה על תכונות אשר דורשות ליבות CPU מינימלי לתפקד. לדוגמה, משמר היישומים של Windows Defender (WDAG).

הפחתת סיכון D

הפעל את מתזמן הליבה Hyper-V והגדר את ספירת הליכי המשנה של החומרה של VM לכל ליבה ל-2

הערה: שלבי הפחתת הסיכון הללו חלים רק על Windows Server 2016 ו-Windows 10 גירסאות לפני גירסה 1809. מתזמן הליבה מופעל כברירת מחדל ב-Windows Server 2019 ו-Windows 10 גירסה 1809.

באמצעות מתזמן הליבה הוא תהליך דו-שלבי המחייב אותך תחילה להפעיל את מתזמן המחשב המארח Hyper-V ולאחר מכן להגדיר כל VM לנצל אותו על ידי הגדרת החומרה שלהם הספירה ליבה שניים (2).

מתזמן הליבה Hyper-V שהוצג ב-Windows Server 2016 ו-Windows 10 גירסה 1607 היא חלופה חדשה ללוגיקת המתזמן הקלאסי. מתזמן הליבה מציע השתנות ביצועים מצומצמת עבור עומסי עבודה בתוך VMs הפועלים במחשב מארח Hyper-V התומך ב-HT.

לקבלת הסבר מפורט של מתזמן הליבה של Hyper-V ואת השלבים כדי לאפשר את זה, לראות את המאמר הבא של Windows IT Pro מרכז:

הבנה ושימוש בסוגי מתזמן Hyper-V

כדי להפעיל את מתזמן הליבה Hyper-V ב-Windows Server 2016 או ב-Windows 10, הזן את הפקודה הבאה:

bcdedit /set HypervisorSchedulerType core

לאחר מכן, החלט אם לקבוע את התצורה של ספירת רצפי החומרה הנתונה של VM לכל ליבה לשתיים (2). אם תחשוף את העובדה שמעבדים וירטואליים הם הליכי משנה היפר-מעבדים למחשב וירטואלי של אורח, תוכל להפעיל את מתזמן המשימות במערכת ההפעלה VM וכן את עומסי העבודה של VM, כדי להשתמש ב-HT בתזמון עבודתם. לשם כך, הזן את הפקודה הבאה PowerShell, שבה <VMName> הוא שם המחשב הווירטואלי:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

הקלה E

הפעלת גורמים מקלים עבור עלוני יידוע CVE-2017-5715, CVE-2017-5754 וCVE-2019-11135

הערה: הגורמים המקלים הללו מופעלים כברירת מחדל ב-Windows Server 2019 ובמערכות הפעלה של לקוחות Windows.

כדי לאפשר גורמים מקלים לעלוני יידוע CVE-2017-5715, CVE-2017-5754 וCVE-2019-11135, השתמש בהנחיות שלהלן:

4072698 הדרכה של Windows Server להגנה מפני פגיעויות ביצוע ספקולטיביות בערוץ צד

4073119 הדרכה של לקוח Windows עבור מומחי טכנולוגיות מחשב (IT) כדי להגן מפני פגיעויות ביצוע ספקולטיביות בצד הערוץ

הערה: הגורמים המקלים הללו כוללים ומאפשרים באופן אוטומטי את הפחתת הסיכון של מסגרת העמוד הבטוח לליבת Windows וגם לגבי ההקלות המתוארות בCVE-2018-3620. לקבלת הסבר מפורט של מסגרת עמוד בטוח להפחתת סיביות, עיין במאמר האבטחה הבאים מחקר & הביטחון הבלוג:

ניתוח והקלה של תקלת מסוף L1 (L1TF)

כתב ויתור על מידע של ספקים חיצוניים

מוצרי צד-שלישי הנזכרים במאמר זה מיוצרים על-ידי חברות שאינן תלויות ב-Microsoft.‏ Microsoft אינה מעניקה אחריות, בין במפורש ובין במשתמע, לביצועיהם או למהימנותם של מוצרים אלה.

כתב ויתור על קשר של צד שלישי

Microsoft מספקת פרטי איש קשר של ספק חיצוני כדי לסייע לך למצוא מידע נוסף אודות נושא זה. מידע איש קשר זה עשוי להשתנות ללא הודעה מוקדמת. Microsoft אינה מבטיחה את הדיוק של פרטי הקשר של צד שלישי.

הפניות

הדרכה למקלים על ביצוע ספקולטיבי של ערוץ המידע בתכלת

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×