Speculative निष्पादन पार्श्व चैनल सुरक्षाछिद्र के विरुद्ध सुरक्षा के लिए Windows सर्वर मार्गदर्शन

लागू: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard अधिक

सारांश


Microsoft सुरक्षाछिद्र जो "speculative निष्पादन पार्श्व चैनल हमलों" कहते हैं और जो Intel, AMD और ARM सहित कई आधुनिक प्रोसेसरों को प्रभावित की नई disclosed सार्वजनिक रूप से क्लास की जानकारी है।

नोट यह समस्या अन्य ऑपरेटिंग सिस्टम, जैसे कि Android, क्रोम, iOS और macOS भी प्रभावित करती है। इसलिए, हम उन विक्रेताओं से मार्गदर्शन खोज करने के लिए ग्राहकों की सलाह।

Microsoft इन सुरक्षाछिद्र को कम करने में मदद करने के लिए कई अद्यतन जारी किया है। हम भी हमारे बादल सेवा सुरक्षित करने के लिए क्रिया है। अधिक जानकारी के लिए निम्न अनुभाग देखें।

Microsoft इन सुरक्षाछिद्र ग्राहकों पर हमले करने के लिए उपयोग किया जा रहा है कि यह इंगित करने के लिए कोई जानकारी अभी तक प्राप्त नहीं है। Microsoft सहित चिप makers, Oem हार्डवेयर और अनुप्रयोग विक्रेता ग्राहकों को सुरक्षित करने के लिए उद्योग भागीदारों के साथ निकटता से कार्य कर रहा है। सभी उपलब्ध सुरक्षा, (microcode) फर्मवेयर और सॉफ़्टवेयर प्राप्त करने के लिए अद्यतन आवश्यक है। यह डिवाइस Oem से microcode शामिल है, और कुछ मामलों में, एंटीवायरस सॉफ़्टवेयर के लिए अद्यतन करता है।

यह आलेख निम्न सुरक्षाछिद्र हल करता है:

इस वर्ग के सुरक्षाछिद्र के बारे में अधिक जानने के लिए, ADV180002 और ADV180012देखें।

Microsoft तकनीकी समर्थन पाने में आपकी मदद के लिए तृतीय-पक्ष संपर्क जानकारी उपलब्ध कराता है। यह संपर्क जानकारी बिना किसी सूचना के बदल सकती है। Microsoft इस तृतीय-पक्ष संपर्क जानकारी की परिशुद्धता गारंटी नहीं देता है।

अनुशंसित क्रियाएँ


ग्राहक सुरक्षाछिद्र के विरुद्ध सुरक्षा में मदद करने के लिए निम्न क्रियाएँ लेने चाहिए:

  1. मासिक Windows सुरक्षा अद्यतनों सहित सभी उपलब्ध Windows ऑपरेटिंग सिस्टम अद्यतन लागू होते हैं। कैसे इन को सक्षम करने के लिए अद्यतन, see Microsoft नॉलेज बेस आलेख 4072699के बारे में विवरण के लिए।
  2. डिवाइस निर्माता (OEM) से (microcode) लागू फ़र्मवेयर अद्यतन लागू होते हैं।
  3. Microsoft सुरक्षा Advisories में है जो जानकारी के आधार पर अपने वातावरण के लिए जोखिम का मूल्यांकन करेंADV180002औरADV180012और इस नॉलेज बेस आलेख.
  4. आवश्यक के रूप में क्रिया advisories और इस नॉलेज बेस आलेख में दिए गए रजिस्ट्री कुंजी जानकारी का उपयोग कर लें।

Mitigation सेटिंग Windows सर्वर के लिए


सुरक्षा advisories ADV180002 और ADV180012 इन सुरक्षाछिद्र द्वारा उत्पन्न किए गए जोखिम पर जानकारी प्रदान करने और Windows सर्वर सिस्टम के लिए mitigations की डिफ़ॉल्ट स्थिति की पहचान है। तालिका के नीचे CPU microcode की आवश्यकता और mitigations Windows सर्वर की डिफ़ॉल्ट स्थिति को संक्षिप्त कर देता है।

CVE CPU microcode/फर्मवेयर की आवश्यकता है? Mitigation डिफ़ॉल्ट स्थिति

CVE-2017-5753

नहीं

(अक्षम करने के लिए कोई विकल्प नहीं होता) डिफ़ॉल्ट रूप से सक्षम किया गया

CVE-2017-5715

हाँ

डिफ़ॉल्ट रूप से अक्षम किया गया है।

CVE-2017-5754

नहीं

Windows सर्वर 2019: डिफ़ॉल्ट रूप से सक्षम किया गया है। 2016 और पूर्व Windows सर्वर: डिफ़ॉल्ट रूप से अक्षम किया गया है।

CVE-2018-3639

Intel: हाँ

AMD: नहीं

डिफ़ॉल्ट रूप से अक्षम किया गया है। अधिक जानकारी और लागू करने योग्य रजिस्ट्री कुंजी सेटिंग के लिए इस KB आलेख के लिए ADV180012 देखें।

इन सुरक्षाछिद्र के विरुद्ध सभी उपलब्ध सुरक्षा प्राप्त करने के लिए चाहते हैं, जो ग्राहक डिफ़ॉल्ट रूप से अक्षम इन mitigations सक्षम करने के लिए रजिस्ट्री कुंजी परिवर्तन करने होंगे।

इन mitigations सक्षम प्रदर्शन को प्रभावित हो सकता है। प्रदर्शन प्रभाव की स्केल बहु कारक, जैसे विशिष्ट चिपसेट में अपनी भौतिक होस्ट और चलाने वाले कार्यभार पर निर्भर करता है। हम अनुशंसा करते हैं ग्राहकों उनके परिवेश के लिए प्रदर्शन प्रभावों का आकलन, और किसी भी आवश्यक समायोजन करें।

यह निम्नलिखित श्रेणियों में से एक में है, तो अपने सर्वर पर खतरा बढ़ गया है:

  • हाइपर-V होस्ट – VM करने के लिए VM और होस्ट करने के लिए VM आक्रमणों के लिए सुरक्षा की आवश्यकता होती है।
  • दूरस्थ डेस्कटॉप सेवाएँ होस्ट (RDSH) – एक सत्र से दूसरे सत्र या होस्ट करने के लिए सत्र आक्रमणों से सुरक्षा की आवश्यकता होती है।
  • या भौतिक होस्ट वर्चुअल मशीन जो अविश्वसनीय कोड, जैसे कि डिब्बों या डेटाबेस, अविश्वसनीय वेब सामग्री या वर्कलोड है बाहरी स्रोतों से कोड को चलाने के लिए अविश्वसनीय एक्सटेंशन चल रहे हैं। इन अविश्वसनीय प्रक्रिया-में-अन्य-प्रक्रिया या अविश्वसनीय-प्रक्रिया-के लिए-कर्नेल आक्रमणों से सुरक्षा की आवश्यकता होती है।

Mitigations को सर्वर पर सक्षम करने के लिए निम्न रजिस्ट्री कुंजी सेटिंग का उपयोग करें, और परिवर्तनों को प्रभावी करने के लिए सिस्टम पुनरारंभ करें।

महत्वपूर्णइस अनुभाग, पद्धति, या कार्य जो आप रजिस्ट्री को संशोधित करने के लिए कैसे बता चरण होते हैं। हालांकि, अगर आप रजिस्ट्री को गलत तरीके से संशोधित करेंगें तो गंभीर समस्याएँ हो सकती हैं। इसलिए, सुनिश्चित करें कि आप इन चरणों का ध्यानपूर्वक पालन करते हैं। इससे पहले कि आप इसे संशोधित जोड़े गए सुरक्षा के लिए, रजिस्ट्री बैकअप लें। कोई समस्या आती है, तो उसके बाद, आप रजिस्ट्री को पुनर्स्थापित कर सकते हैं। बैक अप लेने और रजिस्ट्री को पुनर्स्थापित करने के तरीके के बारे में अधिक जानकारी के लिए Microsoft नॉलेज़ बेस में आलेख देखने के लिए निम्न आलेख संख्या पर क्लिक करें:

 

322756का बैक अप लेने और Windows में रजिस्ट्री को पुनर्स्थापित करने के लिए कैसे

Mitigations और CVE-2017-5754 (Meltdown) CVE-2017-5715 (Spectre भिन् न 2) के लिए प्रबंधित करें


CVE-2017-5715 (Spectre भिन् न 2) और CVE-2017-5754 (Meltdown) के लिए mitigations सक्षम करने के लिए

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

तो यह एक हाइपर-V होस्ट है और फर्मवेयर अद्यतनों को लागू किए गए हैं: सभी वर्चुअल मशीन को पूरी तरह बंद करें। इससे पहले VMs प्रारंभ किया गया है होस्ट पर लागू किया जा करने के लिए फर्मवेयर-संबंधित mitigation सक्षम करता है। पुन: आरंभ कर रहे हैं, तो इसलिए, VMs भी अद्यतन किया गया है।

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

CVE-2017-5715 (Spectre भिन् न 2) और CVE-2017-5754 (Meltdown) के लिए mitigations को अक्षम करने के लिए

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें.

नोट 3 करने के लिए FeatureSettingsOverrideMask सेटिंग दोनों "सक्षम करें" और "अक्षम करें" सेटिंग के लिए सही है। (रजिस्ट्री कुंजी के बारे में अधिक जानकारी के लिए "सामान्य प्रश्न" अनुभाग देखें.)

Mitigation CVE-2017-5715 (Spectre भिन् न 2) के लिए प्रबंधित करें


भिन् न 2 को अक्षम करने के लिए: (CVE -2017-5715"शाखा लक्ष्य इंजेक्शन")mitigation:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

भिन् न 2 को सक्षम करने के लिए: (CVE-2017-5715"शाखा लक्ष्य इंजेक्शन") mitigation:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

केवल AMD प्रोसेसर: पूर्ण mitigation CVE-2017-5715 (Spectre भिन् न 2) के लिए सक्षम करें


डिफ़ॉल्ट रूप से, के लिए AMD Cpu CVE-2017-5715 के लिए कर्नेल के लिए उपयोगकर्ता सुरक्षा अक्षम किया गया है। Mitigation CVE-2017-5715 के लिए अतिरिक्त सुरक्षा प्राप्त करने के लिए ग्राहकों को सक्षम करना होगा।  अधिक जानकारी के लिए, ADV180002में #15 FAQ देखें।

कर्नेल के लिए उपयोगकर्ता सुरक्षा सहित अन्य सुरक्षा के लिए CVE 2017-5715 AMD प्रोसेसर पर सक्षम करें:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

तो यह एक हाइपर-V होस्ट है और फर्मवेयर अद्यतनों को लागू किए गए हैं: सभी वर्चुअल मशीन को पूरी तरह बंद करें। इससे पहले VMs प्रारंभ किया गया है होस्ट पर लागू किया जा करने के लिए फर्मवेयर-संबंधित mitigation सक्षम करता है। पुन: आरंभ कर रहे हैं, तो इसलिए, VMs भी अद्यतन किया गया है।

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

Mitigations CVE-2018-3639 (Speculative संग्रह ए), CVE-2017-5715 (Spectre भिन् न 2) और CVE-2017-5754 (Meltdown) के लिए प्रबंधित करें



CVE-2018-3639 (Speculative संग्रह ए), CVE-2017-5715 (Spectre भिन् न 2) और CVE-2017-5754 (Meltdown) के लिए mitigations सक्षम करने के लिए:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

तो यह एक हाइपर-V होस्ट है और फर्मवेयर अद्यतनों को लागू किए गए हैं: सभी वर्चुअल मशीन को पूरी तरह बंद करें। इससे पहले VMs प्रारंभ किया गया है होस्ट पर लागू किया जा करने के लिए फर्मवेयर-संबंधित mitigation सक्षम करता है। पुन: आरंभ कर रहे हैं, तो इसलिए, VMs भी अद्यतन किया गया है।

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

CVE-2018-3639 (Speculative संग्रह ए) के लिए mitigations को अक्षम करने के लिए और mitigations CVE-2017-5715 (Spectre भिन् न 2) और CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

 

केवल AMD प्रोसेसर: पूर्ण mitigation CVE-2017-5715 (Spectre भिन् न 2) और CVE 2018-3639 (Speculative संग्रह ए) के लिए सक्षम करें


डिफ़ॉल्ट रूप से, AMD प्रोसेसर के लिए कर्नेल के लिए उपयोगकर्ता सुरक्षा CVE-2017-5715 के लिए अक्षम किया गया है। Mitigation CVE-2017-5715 के लिए अतिरिक्त सुरक्षा प्राप्त करने के लिए ग्राहकों को सक्षम करना होगा।  अधिक जानकारी के लिए, ADV180002में #15 FAQ देखें।

और CVE-2018-3639 (Speculative संग्रह ए) के लिए सुरक्षा करनेल के लिए उपयोगकर्ता सुरक्षा सहित अन्य सुरक्षा के लिए CVE 2017-5715 AMD प्रोसेसर पर सक्षम करें:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

तो यह एक हाइपर-V होस्ट है और फर्मवेयर अद्यतनों को लागू किए गए हैं:सभी वर्चुअल मशीन को पूरी तरह बंद करें। इससे पहले VMs प्रारंभ किया गया है होस्ट पर लागू किया जा करने के लिए फर्मवेयर-संबंधित mitigation सक्षम करता है। पुन: आरंभ कर रहे हैं, तो इसलिए, VMs भी अद्यतन किया गया है.

परिवर्तनों को प्रभावी करने के लिए कंप्यूटर को पुनरारंभ करें।

सुरक्षा सक्षम है की जाँच


ग्राहक सुरक्षा सक्षम हैं, यह सत्यापित करने में मदद करने के लिए, Microsoft ग्राहकों को उनके सिस्टमों पर चला सकते हैं एक PowerShell स्क्रिप्ट प्रकाशित है। स्थापित करें और निम्न आदेश चलाकर स्क्रिप्ट चलाएँ।

PowerShell (Windows सर्वर 2016 या WMF 5.0/5.1) PowerShell गैलरी का उपयोग करके सत्यापन

PowerShell मॉड्यूल स्थापित करें:

PS> Install-Module SpeculationControl

PowerShell मॉड्यूल सुरक्षा सक्षम हैं, यह सत्यापित करने के लिए चलाएँ:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet से डाउनलोड का उपयोग कर PowerShell सत्यापन (Earlier ऑपरेटिंग सिस्टम संस्करण और पूर्व WMF संस्करण)

Technet के ScriptCenter से PowerShell मॉड्यूल स्थापित करें:

  1. करने के लिए https://aka.ms/SpeculationControlPSपर जाएँ।
  2. SpeculationControl.zip किसी स्थानीय फ़ोल्डर के लिए डाउनलोड करें।
  3. किसी स्थानीय फ़ोल्डर के लिए सामग्री को निकालें। उदाहरण के लिए: C:\ADV180002

PowerShell मॉड्यूल सुरक्षा सक्षम हैं, यह सत्यापित करने के लिए चलाएँ:

PowerShell प्रारंभ करें, और उसके बाद की प्रतिलिपि बनाएँ, और निम्न आदेश चलाएँ करने के लिए पिछले उदाहरण का उपयोग करें:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

किसी का विस्तृत विवरण PowerShell स्क्रिप्ट के आउटपुट के लिए, देखें नॉलेज बेस आलेख 4074629

अक्सर पूछे जाने वाले प्रश्न


संदर्भ