Windows Server smjernica za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala

Vrijedi za: Windows Server 2019Windows Server 2016Windows Server 2012 R2

Sažetak


Microsoft je svjestan nove javno objavljene klase ranjivosti koje se nazivaju "spekulativno izvršenje strane kanala napada" i koji utječu na mnoge moderne procesore uključujući Intel, AMD, VIA, i ARM.

Note Taj problem također utječe na druge operativne sustave, kao što su Android, Chrome, iOS i macOS. Stoga savjetujemo kupcima da potraže vodstvo od tih dobavljača.

Objavili smo nekoliko ažuriranja kako bi se ublažili ove ranjivosti. Također smo poduzeli mjere za osiguravanje naših usluga u oblaku. Dodatne pojedinosti potražite u sljedećim odjeljcima.

Još nismo primili nikakve informacije koje ukazuju na to da su te ranjivosti korištene za napad na kupce. Blisko surađujemo s industrijskim partnerima, uključujući tvorce čipsa, hardverske OEM-ove i dobavljače aplikacija za zaštitu kupaca. Da biste dobili sve dostupne zaštite, firmware (microcode) i softverska ažuriranja su potrebne. To uključuje mikrokôd iz OEM-ova uređaja i, u nekim slučajevima, ažuriranja antivirusnog softvera.

Ovaj članak rješava sljedeće ranjivosti:

Windows Update također će pružiti Internet Explorer i Edge mitigations. Nastavit ćemo unaprijediti ove mitigations protiv ove klase ranjivosti.

Da biste saznali više o ovoj klasi ranjivosti, pogledajte

Ažurirano Svibanj 14, 2019 14. svibnja 2019, Intel je objavio informacije o novoj podklasi ranjivosti spekulativnog izvršavanja bočnih kanala poznatih kao uzorkovanje Mikroarhitektonskog podataka. Dodijeljeni su sljedećim CVEs-ima:

Važnim Ti problemi utjecat će na druge sustave kao što su Android, Chrome, iOS i MacOS. Savjetujemo klijentima da potraže vodstvo od svojih dobavljača.

Microsoft je objavio ažuriranja kako bi ublažio te ranjivosti. Da biste dobili sve dostupne zaštite, firmware (microcode) i softverska ažuriranja su potrebne. To može uključivati mikrokôd iz OEM-ova uređaja. U nekim slučajevima, instaliranje tih ažuriranja će imati učinak performansi. Također smo djelovali kako bismo osigurali naše usluge u oblaku. Preporučujemo implementaciju tih ažuriranja.

Dodatne informacije o tom problemu potražite u sljedećem smjernicama za sigurnost i koristite upute temeljene na scenariju kako biste odredili radnje potrebne za ublažavanje prijetnje:

Note Preporučujemo da instalirate sva najnovija ažuriranja iz sustava Windows Update prije nego instalirate bilo koje ažuriranje microcode.

Updated kolovoz 6, 2019 na Kolovoz 6, 2019 Intel objavio pojedinosti o sustavu Windows kernel informacija o ranjivosti. Ova ranjivost je varijanta Spectre varijanta 1 spekulativno izvršenje strani kanal ranjivosti i dodijeljen CVE-2019-1125.

Srpanj 9, 2019 smo objavili sigurnosna ažuriranja za operacijski sustav Windows kako bi se ublažio taj problem. Imajte na umu da smo zadržali dokumentiranje ovog ublažavanja javno sve do koordiniranog objavljivanja industrije u utorak, 6. kolovoza 2019.

Klijenti koji imaju omogućen Windows Update i primijenili sigurnosna ažuriranja objavljena na Srpanj 9, 2019 su zaštićeni automatski. Nema daljnje konfiguracije potrebno.

Napomena Ova ranjivost ne zahtijeva ažuriranje microcode od proizvođača uređaja (OEM).

Dodatne informacije o ovoj ranjivosti i primjenjivim ažuriranjima potražite u vodiču za Microsoft Security Update:

CVE-2019-1125 | Slabe točke otkrivanja informacija jezgre sustava Windows

Ažurirano na November 12, 2019 na studenom 12, 2019, Intel objavio tehničko savjetovanje oko Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni prekid slabosti koja je dodijeljena CVE-2019-11135. Microsoft je objavio ažuriranja kako bi ublažio ovu ranjivost i OS zaštite su omogućene po zadanim postavkama za Windows Server 2019, ali onemogućen po zadanim postavkama za Windows Server 2016 i starijih Windows Server OS izdanja.

Preporučene radnje


Kupci bi trebali poduzeti sljedeće radnje kako bi zaštitili od ranjivosti:

  1. Primijenite sva dostupna ažuriranja operacijskog sustava Windows, uključujući mjesečna sigurnosna ažuriranja za Windows.
  2. Primijenite ažuriranje primjenjivog firmvera (microcode) koje pruža proizvođač uređaja.
  3. Procijenite rizik za okruženje na temelju informacija koje se pružaju u Microsoftovim sigurnosnim Savjetovima: ADV180002, ADV180012, ADV190013i informacije navedene u ovom članku iz baze znanja.
  4. Poduzmi akciju kao što je potrebno pomoću obavijesti i informacije o ključu registra koje su navedene u ovom članku iz baze znanja.

Note Korisnici površine će dobiti ažuriranje microcode putem Windows Update. Popis najnovijih nadopuna firmvera Surface uređaja (microcode) potražite na KB 4073065.

Postavke ublažavanja za Windows Server


Sigurnosni Savjeti ADV180002, ADV180012i ADV190013 pružaju informacije o riziku koji predstavlja te ranjivosti.  Oni također vam pomoći identificirati ove ranjivosti i identificirati zadano stanje mitigations za Windows Server sustava. U nastavku tablica sažima zahtjev CPU microcode i zadani status mitigations na Windows Server.

Cve Zahtijeva CPU microcode/firmware? Smanjenje zadanog statusa

CVE-2017-5753

Ne

Omogućeno po zadanim postavkama (nema mogućnosti za onemogućivanje)

Molimo pogledajte ADV180002 za dodatne informacije

CVE-2017-5715

Da

Prema zadanim postavkama onemogućen.

Molimo pogledajte ADV180002 za dodatne informacije i ovaj članak KB za primjenjive postavke ključa registra.

Note "Retpoline" je omogućeno po zadanim postavkama za uređaje sa sustavom Windows 10 1809 ili noviji ako je omogućen Spectre Variant 2 ( CVE-2017-5715 ). Za više informacija, oko "retpoline", slijedemitigating Spectre varijantu 2 s retpoline na Windows blog post.

CVE-2017-5754

Ne

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Molimo pogledajte ADV180002 za dodatne informacije.

CVE-2018-3639

Intel: da

AMD: ne

Prema zadanim postavkama onemogućen. Pogledajte ADV180012 za više informacija i ovaj članak iz baze podataka za primjenjive postavke ključa registra.

CVE-2018-11091 Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.
CVE-2018-12126 Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.
CVE-2018-12127 Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.
CVE-2018-12130 Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.
CVE-2019-11135 Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Vidi CVE-2019-11135 za više informacija i ovog članka iz baze podataka za primjenjive postavke ključa registra.

Kupci koji žele dobiti sve dostupne zaštite od tih ranjivosti moraju napraviti promjene ključa registra kako bi omogućili ove mitigations koje su onemogućene prema zadanim postavkama.

Omogućavanje tih mitigations može utjecati na performanse. Skala efekata performansi ovisi o više čimbenika, kao što su određeni chipset u vašem fizičkom domaćinu i radnim opterećenjima koji se izvode. Preporučujemo da kupci ocijene učinke performansi za njihov okoliš i učine sve potrebne prilagodbe.

Vaš poslužitelj je povećan rizik ako je u jednoj od sljedećih kategorija:

  • Značajke Hyper-V Hosts – potrebna je zaštita za VM-to-VM i VM-host napade.
  • Servisi udaljene radne površine (RDSH) – potrebna je zaštita od jedne sesije do druge sesije ili od napada na domaćin.
  • Fizičke hostove ili virtualne strojeve koji izvode nepouzdani kôd, kao što su spremnici ili nepouzdana proširenja za bazu podataka, nepouzdani web-sadržaj ili radna opterećenja koja izvode kod iz vanjskih izvora. Oni zahtijevaju zaštitu od nepouzdanog procesa-do-drugog procesa ili nepouzdanih procesa do jezgre napada.

Upotrijebite sljedeće postavke ključnog registra da biste omogućili ublažavanja na poslužitelju i ponovno pokrenite sustav kako bi promjene stupile na snagu.

Note Omogućavanje ublažavanja koje su isključeno po zadanom može utjecati na performanse. Stvarni učinak performansi ovisi o višestrukim čimbenicima, kao što su određeni chipset u uređaju i radna opterećenja koja se izvode.

Postavke registra


Pružamo sljedeće podatke o registru kako bismo omogućili ublažavanja koje nisu omogućene prema zadanim postavkama, kao što je dokumentirano u sigurnosnim savjetovanjima ADV180002, ADV180012i ADV190013.

Osim toga, pružamo postavke ključa registra za korisnike koji žele onemogućiti mitigations koje su povezane s CVE-2017-5715 i CVE-2017-5754 za Windows klijente.

Važnim Ovaj odjeljak, metoda ili zadatak sadrži korake koji vam govore kako izmijeniti registar. Međutim, može doći do ozbiljnih problema ako nepravilno izmijenite registar. Stoga pazite da pažljivo slijedite ove korake. Za dodatnu zaštitu u registru prije izmjene registra. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o tome kako obnoviti i vratiti registar kliknite sljedeći broj članka u Microsoftovoj bazi znanja:

322756 kako obnoviti i vratiti registar u sustavu Windows

Upravljanje mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)


Važna bilješka Retpoline je omogućen po zadanim postavkama na Windows 10, verzija 1809 poslužiteljima ako SPECTRE, varijanta 2 ( CVE-2017-5715 ) je omogućen. Omogućavanje Retpoline na najnoviju verziju sustava Windows 10 može poboljšati performanse na poslužiteljima koji izvode Windows 10, verzija 1809 za Spectre varijantu 2, posebno na starijim procesorima.

Da biste omogućili mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Note Postavljanje Značajuresettingsoverridemask na 3 je točna za "Enable" i "Onemogući" postavke. (Pogledajte odjeljak "FAQ " za više detalja o ključevima registra.)

Upravljanje ublažavanjem za CVE-2017-5715 (Spectre varijanta 2)


Da biste onemogućili varijantu 2: (CVE-2017-5715"Ciljna injekcija") ublažavanje:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili varijantu 2: (CVE-2017-5715"cilj injekcije") ublažavanje:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Samo procesora AMD: omogućite potpunu ublažavanje za CVE-2017-5715 (Spectre varijanta 2)


Prema zadanim postavkama, zaštita od korisnika do jezgre za CVE-2017-5715 je onemogućena za AMD CPU-ove. Kupci moraju omogućiti ublažiti dobiti dodatne zaštite za CVE-2017-5715.  Dodatne informacije potražite u odjeljku FAQ #15 u ADV180002.

Omogući zaštitu korisnika na kernel na AMD procesorima zajedno s drugim zaštitom za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Upravljajte mitigations za CVE-2018-3639 (spekulativna zaobilaženje spremišta), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)



Da biste omogućili mitigations za CVE-2018-3639 (spekulativna bypass spremišta), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za CVE-2018-3639 (spekulativna zaobilaženje spremišta) i mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

AMD procesori samo: omogućite potpunu ublažavanje za CVE-2017-5715 (Spectre varijanta 2) i CVE 2018-3639 (spekulativna zaobilaženje spremišta)


Prema zadanim postavkama, zaštita od korisnika do jezgre za CVE-2017-5715 je onemogućena za procesore AMD. Kupci moraju omogućiti ublažiti dobiti dodatne zaštite za CVE-2017-5715.  Dodatne informacije potražite u odjeljku FAQ #15 u ADV180002.

Omogući zaštitu korisnika na kernel na AMD procesorima uz druge zaštite za cve 2017-5715 i zaštitu za CVE-2018-3639 (špekulativna zaobilaženje spremišta):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Upravljajte podacima o Transakcijskoj sinkronizaciji sustava Intel® (Intel® TSX) asinkroni promjena (CVE-2019-11135) i uzorkovanje Mikroarhitektonskih podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zajedno s Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući špekulativni zaobilaženje spremišta Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]


Da biste omogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Isključivanje spremišta Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućivanja Hyper-Threading:

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/72 REG_DWORD v

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v.

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

Reg Dodaj "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Špekulativna trgovina zaobilaženje Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] s pomoću značajke Hyper-Threading:

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/8264 REG_DWORD v

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v.

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

Reg Dodaj "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Spekulativni premosnik u spremištu Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]:

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/REG_DWORD v

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Provjera je li omogućena zaštita


Kako biste pomogli korisnicima provjeriti jesu li zaštite omogućeni, Microsoft je objavio PowerShell skriptu koju kupci mogu izvoditi na svojim sustavima. Instalirajte i pokrenite skriptu pokretanjem sljedećih naredbi.

Provjera PowerShell pomoću galerije PowerShell (Windows Server 2016 ili WMF 5.0/5.1)

Instalirajte PowerShell modul:

PS> Install-Module SpeculationControl

Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućeni:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Provjera PowerShell pomoću preuzimanja iz TechNet (starije verzije operacijskog sustava i ranijih WMF verzija)

Instalirajte PowerShell modul iz TechNet ScriptCenter:

  1. Idite na https://aka.MS/SpeculationControlPS .
  2. Preuzmite Špečavacontrol. zip u lokalnu mapu.
  3. Ekstrakt sadržaja u lokalnu mapu. Na primjer: C:\ADV180002

Pokrenite modul PowerShell kako biste provjerili jesu li zaštite omogućeni:

Pokrenite PowerShell, a zatim upotrijebite prethodni primjer da biste kopirali i pokrenuli sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Za detaljno objašnjenje izlaza PowerShell skripte, pogledajte članak baze znanja 4074629 .

Najčešća pitanja