Napuci Windows Server u zaštiti protiv ranjivosti spekulativno izvršavanja strani kanal

Vrijedi za: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Više

Sažetak


Microsoft je upoznat novi javno disclosed klase slabe točke koje se nazivaju "spekulativno izvršavanja strani kanal napade" i koji utječu na mnoge Moderna procesori uključujući Intel, AMD i ARM.

Napomena Taj problem utječe i na druge operacijske sustave, Android, vizualnog, iOS i macOS. Stoga smo savjeta kupce za traženje Napuci iz one dobavljače.

Microsoft je objavio nekoliko ažuriranja radi ublažavanja te ranjivosti. Ćemo imati poduzeta akcija sigurne naših usluga oblaka. Pogledajte sljedeće odjeljke za više detalja.

Microsoft je primio još sve informacije da biste naznačili da te ranjivosti korištena za napasti kupcima. Microsoft radi usko s partnerima industrijske uključujući donositelje čip, OEM-ovi hardver i app dobavljače zaštiti kupcima. Da biste dobili sve dostupne zaštitama, firmver (microcode) i softver potrebni su ažuriranja. To uključuje microcode iz uređaj OEM-ovi i, u nekim slučajevima obnavlja protuvirusni softver.

Ovaj članak adrese ranjivosti sljedeće:

Da biste saznali više o ovom klase slabe točke, pogledajte ADV180002 i ADV180012.

Microsoft nudi neovisnih proizvođača s podacima za kontakt za pomoć pri pronalaženju tehničke podrške. Kontakt informacije mogu promijeniti bez najave. Microsoft ne jamči točnost treće strane informacije o ovom kontaktu.

Preporučene akcije


Kupci treba poduzeti sljedeće akcije da biste zaštitili na slabe točke:

  1. Primijeni sve dostupne Windows operacijski sustav ažuriranja, uključujući sigurnosna ažuriranja za Windows mjesečno. Za detalje o ee kako omogućiti te ažurira, s4072699 članka iz Microsoftove baze znanja.
  2. Primjena ažuriranja firmvera primjenjive (microcode) od proizvođača uređaja (OEM).
  3. Procijeni rizik vaše okruženje na temelju informacija koje je Microsoft Advisories sigurnostADV180002iADV180012i u ovom članku baze znanja.
  4. Poduzmite akciju kao obavezan korištenjem advisories i informacije ključa registra navedeni u ovom članku baze znanja.

Postavke ublažiti za Windows Server


Sigurnosna advisories ADV180002 i ADV180012 pružaju informacije o posed te ranjivosti rizik i identifikaciju zadano stanje mitigations za sustave Windows Server. U ispod tablice sumira preduvjeta CPU microcode i zadani status mitigations na Windows Server.

CVE Zahtijeva microcode firmver CPU? Ublažiti zadani status

CVE-2017-5753

Ne

Omogućena po zadanome (nema mogućnost onemogućivanja)

CVE-2017-5715

Da

Po zadanom onemogućeno.

CVE-2017-5754

Ne

Windows Server 2019: Omogućeno po zadanom. Windows Server 2016 i ranijim: onemogućen po zadanim postavkama.

CVE-2018-3639

Intel: da

AMD: ne

Po zadanom onemogućeno. Pogledajte ADV180012 za više informacija i ovaj članak iz baze znanja za postavke ključa registra primjenjivo.

Kupcima koji želite nabaviti sve dostupne zaštiti protiv te ranjivosti morate napraviti promjene registra da biste omogućili te mitigations po zadanom su onemogućene.

Omogućivanjem ove mitigations može utjecati na performanse. Mjerila performansi efekti ovisi o više faktora, kao što je određeni chipset u fizički glavnog računala i radnih opterećenja koji se izvode. Preporučujemo da kupci procenite efekti performansi za njihove okruženje i napravite potrebne prilagodbe.

Poslužitelj je povećana rizik ako je u jednom od sljedećih kategorija:

  • Značajke Hyper-V smještena – zahtijeva zaštitu za VM VM i VM domaćin napada.
  • Udaljene radne površine Hosts Services (RDSH) – zahtijeva zaštite iz jedne sesije druge sesije ili napada domaćin sesije.
  • Fizički hosts ili virtualnih računala izvode nepouzdanog koda, kao što je spremnike ili nepouzdanim proširenja za baze podataka, nepouzdanog web-sadržaja ili radnih opterećenja pokretanje koda koji je iz vanjskih izvora. One zahtijevaju zaštitu od napada Nepouzdani proces-za-drugi-proces ili nepouzdanoj-proces-za-jezgre.

Koristite sljedeće postavke ključa registra za omogućavanje mitigations na poslužitelju i ponovno pokrenite sustav promjene stupile na snagu.

VažnoOvaj odjeljak, metoda ili zadatak sadrže upute za izmjenu registra. Međutim, ozbiljne probleme može pojaviti ako nepravilno izmijenite registar. Stoga, provjerite je li pažljivo slijedite ove korake. Za dodatnu zaštitu sigurnosnu kopiju registra prije izmjene. Zatim, možete vratiti registar ako se pojavi problem. Dodatne informacije o tome kako izraditi sigurnosnu kopiju i vraćanje registra kliknite sljedeći broj članka u Microsoftovoj bazi znanja:

 

322756Kako izraditi sigurnosnu kopiju i vratiti registar u sustavu Windows

Upravljanje mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)


Da biste omogućili mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin značajke Hyper-V a ažuriranja opreme primijenjeni: Potpuno isključiti sve virtualnih računala. To omogućuje ublažiti firmver povezane primijeniti na glavnom prije pokretanja na VMs. Stoga na VMs također se ažuriraju kada se pokrene.

Ponovo pokrenite računalo da bi promjene stupile na snagu .

Da biste onemogućili mitigations za CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenuti računalo da bi promjene stupile na snagu .

Bilješke je postavka FeatureSettingsOverrideMask u 3 točne postavke "Omogući" i "Onemogući". (Pogledajte odjeljak "Najčešća pitanja vezana uz" za dodatne pojedinosti o ključevima registra).

Upravljanje ublažiti CVE-2017-5715 (Spectre varijante 2)


Da biste onemogućili varijante 2: (CVE -2017 5715"Stvarati grananja unos cilj")ublažiti:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili varijante 2: (CVE 2017 5715"se unos cilj podružnice") ublažiti:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Procesori AMD samo: Omogućavanje puni ublažiti CVE-2017-5715 (Spectre varijante 2)


Po zadanom, korisnik jezgre zaštitu za CVE, 2017 i 5715 je onemogućeno za CPU AMD. Kupci morate omogućiti ublažiti primanje dodatne zaštitama CVE, 2017 i 5715.  Za dodatne informacije pogledajte najčešća pitanja vezana uz #15 u ADV180002.

Omogući zaštitu jezgre korisnika na procesori AMD s drugim zaštitama za CVE 2017 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin značajke Hyper-V a ažuriranja opreme primijenjeni: Potpuno isključiti sve virtualnih računala. To omogućuje ublažiti firmver povezane primijeniti na glavnom prije pokretanja na VMs. Stoga na VMs također se ažuriraju kada se pokrene.

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Upravljanje mitigations za CVE-2018-3639 (Zaobiđi spekulativno spremište), CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)



Da biste omogućili mitigations za CVE-2018-3639 (Zaobiđi spekulativno spremište), CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin značajke Hyper-V a ažuriranja opreme primijenjeni: Potpuno isključiti sve virtualnih računala. To omogućuje ublažiti firmver povezane primijeniti na glavnom prije pokretanja na VMs. Stoga na VMs također se ažuriraju kada se pokrene.

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations CVE-2018-3639 (Zaobiđi spekulativno spremišta) i mitigations CVE-2017-5715 (Spectre varijante 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promjene stupile na snagu.

 

Procesori AMD samo: Omogućavanje puni ublažiti za CVE-2017-5715 (Spectre varijante 2) i CVE 2018 3639 (Zaobiđi spekulativno spremišta)


Po zadanom, korisnik jezgre zaštitu za CVE, 2017 i 5715 je onemogućeno za procesori AMD. Kupci morate omogućiti ublažiti primanje dodatne zaštitama CVE, 2017 i 5715.  Za dodatne informacije pogledajte najčešća pitanja vezana uz #15 u ADV180002.

Omogući zaštitu jezgre korisnika na procesori AMD s drugim zaštitama za CVE 2017 5715 i zaštitama CVE-2018-3639 (Zaobiđi spekulativno spremišta):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin značajke Hyper-V a ažuriranja opreme primijenjeni:Potpuno isključiti sve virtualnih računala. To omogućuje ublažiti firmver povezane primijeniti na glavnom prije pokretanja na VMs. Stoga na VMs također se ažuriraju kada ste pokrenuti.

Ponovo pokrenite računalo da bi promjene stupile na snagu.

Ovjera zaštiti omogućeni


Radi pomoći klijentima zaštitama su omogućene provjeri, Microsoft je objavljen PowerShell skriptu koja kupce možete pokrenuti na njihove sustavima. Instalirajte i pokrenite skriptu pokretanjem sljedeće naredbe.

Provjera PowerShell pomoću galerije PowerShell (Windows Server 2016 ili WMF 5.0 5.1)

Instalirajte PowerShell modula:

PS> Install-Module SpeculationControl

Pokreni modul PowerShell da biste provjerili zaštiti omogućeni:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell provjere korištenjem preuzimanje iz Technet (ranije verzijama operacijskog sustava i WMF starije verzije)

Instalirajte modul PowerShell iz Technet ScriptCenter:

  1. Idite na https://aka.ms/SpeculationControlPS.
  2. Preuzmite SpeculationControl.zip lokalnu mapu.
  3. Izdvajanje sadržaja lokalnu mapu. Primjer: C:\ADV180002

Pokreni modul PowerShell da biste provjerili zaštiti omogućeni:

Pokretanje programa PowerShell i koristiti prethodni primjer kopirati i pokrenite sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Za detaljnije objašnjenje izlazne PowerShell skripta, pogledajte članak baze znanja 4074629

Najčešća pitanja


Reference