Windows klijent smjernica za IT profesionalce zaštiti protiv ranjivosti spekulativno izvršavanja strani kanal

Vrijedi za: Windows 10, version 1903, all editionsWindows 10, version 1809, all editionsWindows 10, version 1803, all editions

Sažetak


Microsoft je upoznat novi javno disclosed klase slabe točke koje se nazivaju "spekulativno izvršavanja strani kanal napade" i koji utječu na mnoge Moderna procesore Intel, AMD, VIA, uključujući i ARM.

Napomena Taj problem utječe i na druge operacijske sustave, Android, vizualnog, iOS i macOS. Stoga smo savjeta kupce za traženje Napuci iz one dobavljače.

Možemo lansirate nekoliko ažuriranja radi ublažavanja te ranjivosti. Ćemo imati poduzeta akcija sigurne naših usluga oblaka. Pogledajte sljedeće odjeljke za više detalja.

Možemo je još nisu zaprimili sve informacije da biste naznačili te ranjivosti korišteni na napade kupcima. Radimo usko s partnerima industrijske uključujući donositelje čip, OEM-ovi hardver i dobavljače aplikacije zaštiti Kupci. Da biste dobili sve dostupne zaštitama, firmver (microcode) i softver potrebni su ažuriranja. To uključuje microcode iz uređaj OEM-ovi i, u nekim slučajevima obnavlja protuvirusni softver.

Ovaj članak adrese ranjivosti sljedeće:

Windows Update također pružaju mitigations Internet Explorer i ruba. Možemo nastavit će poboljšati ove mitigations protiv ovu klasu slabe točke.

Da biste saznali više o ovom klase slabe točke, pogledajte

AŽURIRA možda 14, 2019 Na možda 14, 2019, Intel objavljene informacije o novi podrazred spekulativno izvršavanja strani kanal ranjivosti poznato kao Microarchitectural podataka uzorkovanja. Oni su dodijeljeni sljedeći CVEs:

Važno Ti problemi će utjecati na drugim sustavima, poput Android, vizualnog, iOS i MacOS. Možemo savjeta kupci traženje Napuci iz njihove odgovarajuće dobavljače.

Možemo lansirate ažuriranja radi ublažavanja te ranjivosti. Da biste dobili sve dostupne zaštitama, firmver (microcode) i softver potrebni su ažuriranja. To može obuhvaćati microcode s uređaja OEM-ovi. U nekim slučajevima instaliranje tih ažuriranja će imati utjecaj na performanse. Ćemo imati također su se ponašali za sigurne naših usluga oblaka. Preporučujemo da implementaciji tih ažuriranja.

Dodatne informacije o ovom problemu potražite na sljedećim sigurnost Advisory i koristiti scenarij temelji smjernica za određivanje akcije potrebno umanjiti na prijetnja:

Napomena Preporučujemo da instalirate sva najnovija ažuriranja iz Windows Update prije instaliranja ažuriranja bilo microcode.

UPDATED Dalje KOLOVOZ 6, 2019 na kolovoz 6, 2019 Intel lansirani pojedinosti o otkrivanja slabe informacije jezgre sustava Windows. Ovaj slabe je varijanta slabe kanal strani spekulativno izvršavanja Spectre varijante 1 i dodijeljeno CVE 2019 1125.

Na srpanj 9, 2019 smo objavio sigurnosna ažuriranja za operacijski sustav Windows radi ublažavanja taj problem. Molimo bilješku možemo sadrži natrag dokumentiranje ublažiti javno dok otkrivanja usklađenih djelatnosti na utorak, kolovoz 6, 2019.

Kupci koji imaju Windows Update omogućen i ste primijenili sigurnosnih ažuriranja lansirani srpanj 9, 2019 zaštićeni su automatski. Potrebno je nema daljnju konfiguraciju.

Bilješke ovaj slabe zahtijevaju ažuriranje microcode od proizvođača uređaja (OEM).

Dodatne informacije o ovom slabe i primjenjiva ažuriranja potražite u vodiču za Microsoft sigurnosna ažuriranja:

CVE-2019-1125 | Slabe točke otkrivanja informacija za jezgreni Windows.

AŽURIRA Dalje NOVEMBER 122019 na 12 studenom, 2019, Intel objavljene tehničke savjet oko Intel® proširenja transakcijskih sinkronizacije (Intel® TSX) transakcije asinkroni prekinuti slabe točke koja je dodijeljena CVE 2019 11135. Microsoft je objavio ažuriranja radi ublažavanja ovaj slabe i zaštiti OS omogućena po zadanome za Windows klijent OS izdanja.

Preporučene akcije


Kupci treba poduzeti sljedeće akcije da biste zaštitili na slabe točke:

  1. Primijeni sve dostupne Windows operacijski sustav ažuriranja, uključujući sigurnosna ažuriranja za Windows mjesečno.
  2. Primijenite ažuriranje firmvera primjenjive (microcode) koji je isporučio proizvođač uređaja.
  3. Procijeniti rizik vaše okruženje na temelju informacija koji dobiva Advisories sigurnost Microsoft: ADV180002, ADV180012, ADV190013 i informacije u ovom članku baze znanja.
  4. Poduzmite akciju kao obavezan korištenjem advisories i informacijama o registarskim ključevima koje su pružene u ovom članku iz baze znanja.

Napomena Plošni kupci će primiti microcode ažuriranja putem servisa Windows update. Popis najnovija ažuriranja za firmver (microcode) plošni dostupni uređaj, potražite KB 4073065.

Postavke ublažiti za Windows klijenti


Sigurnosna advisories ADV180002, ADV180012i ADV190013 pružaju informacije o rizik posed po te ranjivosti i mogu vam pomoći u prepoznavanju zadano stanje mitigations za sustave Windows klijent. U sljedećoj tablici prikazan preduvjeta CPU microcode i zadani status mitigations na Windows klijenti.

CVE

Zahtijeva microcode firmver CPU?

Ublažiti zadani status

CVE-2017-5753

Ne

Omogućena po zadanome (nema mogućnost onemogućivanja)

Pogledajte ADV180002 dodatne informacije.

CVE-2017-5715

Da

Omogućeno po zadanom. Korisnici sustavi koji se temelje na procesori AMD trebali biste vidjeti najčešća pitanja vezana uz #15 i korisnici ARM procesori trebali biste vidjeti najčešća pitanja vezana uz #20 na ADV180002 za dodatne akcije i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.

Napomena "Retpoline" je omogućen po zadanome za uređaje sa sustavom Windows 10 1809 ili novija ako je omogućen Spectre varijante 2 (CVE, 2017 i 5715). Za više informacija, oko "Retpoline", slijedite upute u uMitigating Spectre varijante 2 s Retpoline na Windows bloga.

CVE-2017-5754

Ne

Prema zadanim postavkama omogućen

Pogledajte ADV180002 dodatne informacije.

CVE-2018-3639

Intel: da AMD: ne ARM: da

Intel i AMD: onemogućen po zadanim postavkama. Pogledajte ADV180012 za više informacija i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.

ARM: Omogućeno po zadanom bez mogućnost onemogućivanja.

CVE-2018-11091 Intel: da

Omogućeno po zadanom.

Pogledajte ADV190013 za više informacija i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.
CVE-2018-12126 Intel: da

Omogućeno po zadanom.

Pogledajte ADV190013 za više informacija i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.
CVE-2018-12127 Intel: da

Omogućeno po zadanom.

Pogledajte ADV190013 za više informacija i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.
CVE-2018-12130 Intel: da

Omogućeno po zadanom.

Pogledajte ADV190013 za više informacija i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.
CVE-2019-11135 Intel: da

Omogućeno po zadanom.

Pogledajte CVE 2019 11135 Dodatne informacije i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.

Napomena Omogućivanje mitigations su isključeni po zadanom može utjecati na performanse. Efekt stvarni performansi ovisi o više faktora, kao što je određeni chipset u uređaj i radnih opterećenja koji se izvode.

Postavke registra


Možemo pruža sljedeće podatke registra da biste omogućili mitigations nije omogućen po zadanom kao dokumentirani sigurnosne Advisories ADV180002 i ADV180012. Uz to, možemo su davanja postavke registra za korisnike koji želite onemogućiti mitigations koji su povezani s CVE, 2017 i 5715 i CVE, 2017 i 5754 za klijente sustava Windows.

Važno Ovaj odjeljak, metoda ili zadatak sadrže upute za izmjenu registra. Međutim, ozbiljne probleme može pojaviti ako nepravilno izmijenite registar. Stoga, provjerite je li pažljivo slijedite ove korake. Za dodatnu zaštitu sigurnosnu kopiju registra prije izmjene. Zatim, možete vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosne kopije i vraćanju registra potražite u sljedećem članku u Microsoftovoj bazi znanja:

322756 kako izraditi sigurnosnu kopiju i vratiti registar u sustavu Windows

Upravljanje mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)


Važna napomena Retpoline je omogućena po zadanom na 10 za Windows, verzija 1809 uređaja ako je omogućen Spectre varijante 2 (CVE, 2017 i 5715). Omogućivanje Retpoline na najnoviju verziju programa Windows 10 možda poboljšati performanse na uređajima izvodi Windows 10, verzija 1809 za varijantu Spectre 2, osobito na stariji procesora.

Da biste omogućili zadane mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Napomena Vrijednost 3 je točne za FeatureSettingsOverrideMask za "Omogući" i "Onemogući" postavke. (Pogledajte odjeljak "Najčešća pitanja vezana uz" za dodatne pojedinosti o ključevima registra).

Upravljanje ublažiti CVE-2017-5715 (Spectre varijante 2)


Da biste onemogućili mitigations za CVE 2017 5715 (Spectre varijante 2):

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili zadane mitigations za i CVE-2017-5754 (Meltdown) CVE-2017-5715 (Spectre varijante 2):

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Samo procesori AMD i ARM: Omogućavanje puni ublažiti CVE-2017-5715 (Spectre varijante 2)


Po zadanom, korisnik jezgre zaštitu za CVE, 2017 i 5715 je onemogućen za AMD i CPU ARM. Kupci morate omogućiti ublažiti primanje dodatne zaštitama CVE, 2017 i 5715. Dodatne informacije potražite u članku najčešća pitanja vezana uz #15 u ADV180002 za procesori AMD i 20 # najčešća pitanja vezana uz u ADV180002 za ARM procesora.

Omogući zaštitu jezgre korisnika na procesori AMD i ARM s drugim zaštitama za CVE 2017 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Upravljanje mitigations za CVE-2018-3639 (Zaobiđi spekulativno spremište), CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)


Da biste omogućili mitigations CVE-2018-3639 (Zaobiđi spekulativno spremište), zadana mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Napomena: Procesori AMD nisu ranjivo CVE-2017-5754 (Meltdown). Registarski ključ se koristi u sustavima s procesorima AMD da biste omogućili zadane mitigations za CVE, 2017 i 5715 na procesori AMD i ublažiti CVE, 2018 i 3639.

Da biste onemogućili mitigations CVE-2018-3639 (Zaobiđi spekulativno spremišta) * a * mitigations CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Procesori AMD samo: Omogućavanje puni ublažiti za CVE-2017-5715 (Spectre varijante 2) i CVE 2018 3639 (Zaobiđi spekulativno spremišta)


Po zadanom, korisnik jezgre zaštitu za CVE, 2017 i 5715 je onemogućeno za procesori AMD. Kupci morate omogućiti ublažiti primanje dodatne zaštitama CVE, 2017 i 5715.  Za dodatne informacije pogledajte najčešća pitanja vezana uz #15 u ADV180002.

Omogući zaštitu jezgre korisnika na procesori AMD s drugim zaštitama za CVE 2017 5715 i zaštitama CVE-2018-3639 (Zaobiđi spekulativno spremišta):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Slabe transakcije asinkroni prekinuti upravljanje Intel® proširenja transakcijskih sinkronizacije (Intel® TSX) (CVE-2019-11135) i Microarchitectural podataka uzorkovanja (CVE, 2018 i 11091, CVE, 2018 i 12126, CVE, 2018 i 12127, CVE, 2018 i 12130) duž s Spectre (CVE, 2017 i 5753 & CVE, 2017 i 5715) i Meltdown (CVE-2017-5754) varijante, uključujući spekulativno spremište Bypass Onemogući (SSBD) (CVE-2018-3639), kao i L1 Terminal kvara (L1TF) (CVE, 2018 i 3615, CVE, 2018 i 3620 i CVE, 2018 i 3646)


Da biste omogućili mitigations za Intel® proširenja transakcijskih sinkronizacije (Intel® TSX) transakcije asinkroni prekinuti slabe (CVE 2019 11135) i Microarchitectural podataka uzorkovanja (CVE 2018 11091, CVE, 2018 i 12126, CVE, 2018 i 12127, CVE 2018 12130) s Spectre (CVE, 2017 i 5753 & CVE, 2017 i 5715) i Meltdown (CVE-2017-5754) varijante, uključujući (spekulativno spremište Bypass Onemogući (SSBD) CVE-2018-3639) i L1 Terminal kvara (L1TF) (CVE, 2018 i 3615, CVE, 2018 i 3620 i CVE, 2018 i 3646) bez onemogućavanja značajke Hyper niti:

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ako je instalirana značajka značajke Hyper-V, dodajte sljedeće postavka registra:

Dodaj "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f reg

Ako je domaćin značajke Hyper-V a ažuriranja opreme primijenjeni: Potpuno isključiti sve virtualnih računala. To omogućuje ublažiti firmver povezane primijeniti na glavnom prije pokretanja na VMs. Stoga na VMs također se ažuriraju kada se pokrene.

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili mitigations za Intel® proširenja transakcijskih sinkronizacije (Intel® TSX) transakcije asinkroni prekinuti slabe (CVE 2019 11135) i Microarchitectural podataka uzorkovanja (CVE 2018 11091, CVE, 2018 i 12126, CVE, 2018 i 12127, CVE 2018 12130) s Spectre (CVE, 2017 i 5753 & CVE, 2017 i 5715) i Meltdown (CVE-2017-5754) varijante, uključujući (spekulativno spremište Bypass Onemogući (SSBD) CVE-2018-3639) i L1 Terminal kvara (L1TF) (CVE, 2018 i 3615, CVE, 2018 i 3620 i CVE, 2018 i 3646) pomoću značajke Hyper niti onemogućen:

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ako je instalirana značajka značajke Hyper-V, dodajte sljedeće postavka registra:

Dodaj "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f reg

 

Ako je domaćin značajke Hyper-V a ažuriranja opreme primijenjeni: Potpuno isključiti sve virtualnih računala. To omogućuje ublažiti firmver povezane primijeniti na glavnom prije pokretanja na VMs. Stoga na VMs također se ažuriraju kada se pokrene.

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za Intel® proširenja transakcijskih sinkronizacije (Intel® TSX) transakcije asinkroni prekinuti slabe (CVE 2019 11135) i Microarchitectural podataka uzorkovanja (CVE 2018 11091, CVE, 2018 i 12126, CVE, 2018 i 12127, CVE 2018 12130) s Spectre (CVE, 2017 i 5753 & CVE, 2017 i 5715) i Meltdown (CVE-2017-5754) varijante, uključujući (spekulativno spremište Bypass Onemogući (SSBD) CVE-2018-3639) i L1 Terminal kvara (L1TF) (CVE, 2018 i 3615, CVE, 2018 i 3620 i CVE, 2018 i 3646):

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg

Dodavanje "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f reg

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Ovjera zaštiti omogućeni


Radi pomoći klijentima zaštitama su omogućene provjeri, možemo objavljeno PowerShell skriptu koja kupce možete pokrenuti na njihove sustavima. Instalirajte i pokrenite skriptu pokretanjem sljedeće naredbe.

Provjera PowerShell pomoću galerije PowerShell (Windows Server 2016 ili WMF 5.0 5.1)

Instalirajte PowerShell modula:

PS > instalacija modul SpeculationControl

Pokreni modul PowerShell da biste provjerili zaštiti omogućeni:

PS > # Spremi trenutni izvršavanja pravila tako da ga možete vratiti

PS > $SaveExecutionPolicy = Dohvati pravilnik izvođenja

PS > Postavi pravilnik izvođenja RemoteSigned-opsega Currentuser

PS > Uvoz modul SpeculationControl

PS > Get-SpeculationControlSettings

PS > # pravila izvršavanja vratiti u izvorno stanje

PS > skup-pravilnik izvođenja $SaveExecutionPolicy-opsega Currentuser

 

Provjera PowerShell korištenjem preuzimanje iz Technet (starije verzije operacijskog sustava i ranijim verzijama WMF)

Instalirajte modul PowerShell iz Technet ScriptCenter:

Idi https://aka.ms/SpeculationControlPS

Preuzmite SpeculationControl.zip lokalnu mapu.

Izdvajanje sadržaja u lokalnu mapu, na primjer C:\ADV180002

Pokreni modul PowerShell da biste provjerili zaštiti omogućeni:

Pokretanje programa PowerShell, zatim (korištenjem prethodni primjer) kopirajte i pokrenite sljedeće naredbe:

PS > # Spremi trenutni izvršavanja pravila tako da ga možete vratiti

PS > $SaveExecutionPolicy = Dohvati pravilnik izvođenja

PS > Postavi pravilnik izvođenja RemoteSigned-opsega Currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > Uvoz modul.\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # pravila izvršavanja vratiti u izvorno stanje

PS > skup-pravilnik izvođenja $SaveExecutionPolicy-opsega Currentuser

Detaljnije objašnjenje izlazne PowerShell skripta, pogledajte članak baze znanja 4074629.

Najčešća pitanja