Windows Server smjernica za zaštitu od ranjivosti spekulativnog izvršavanja bočnog kanala

Preporučene radnje

Kupci bi trebali poduzeti sljedeće radnje kako bi zaštitili od ranjivosti:

  1. Primijenite sva dostupna ažuriranja operacijskog sustava Windows, uključujući mjesečna sigurnosna ažuriranja za Windows.

  2. Primijenite ažuriranje primjenjivog firmvera (microcode) koje pruža proizvođač uređaja.

  3. Procijenite rizik za okruženje na temelju informacija koje se pružaju u Microsoftovim sigurnosnim Savjetovima: ADV180002, ADV180012, ADV190013i informacije navedene u ovom članku iz baze znanja.

  4. Poduzmi akciju kao što je potrebno pomoću obavijesti i informacije o ključu registra koje su navedene u ovom članku iz baze znanja.

Note Korisnici površine će dobiti ažuriranje microcode putem Windows Update. Popis najnovijih nadopuna firmvera Surface uređaja (microcode) potražite na KB 4073065.

Postavke ublažavanja za Windows Server

Sigurnosni Savjeti ADV180002, ADV180012i ADV190013 pružaju informacije o riziku koji predstavlja te ranjivosti.  Oni također vam pomoći identificirati ove ranjivosti i identificirati zadano stanje mitigations za Windows Server sustava. U nastavku tablica sažima zahtjev CPU microcode i zadani status mitigations na Windows Server.

Cve

Zahtijeva CPU microcode/firmware?

Smanjenje zadanog statusa

CVE-2017-5753

Ne

Omogućeno po zadanim postavkama (nema mogućnosti za onemogućivanje)

Molimo pogledajte ADV180002 za dodatne informacije

CVE-2017-5715

Da

Prema zadanim postavkama onemogućen.

Molimo pogledajte ADV180002 za dodatne informacije i ovaj članak KB za primjenjive postavke ključa registra.

Note "Retpoline" je omogućeno po zadanim postavkama za uređaje sa sustavom Windows 10 1809 ili noviji ako je omogućen Spectre Variant 2 ( CVE-2017-5715 ). Za više informacija, oko "retpoline", slijedemitigating Spectre varijantu 2 s retpoline na Windows blog post.

CVE-2017-5754

Ne

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Molimo pogledajte ADV180002 za dodatne informacije.

CVE-2018-3639

Intel: da

AMD: ne

Prema zadanim postavkama onemogućen. Pogledajte ADV180012 za više informacija i ovaj članak iz baze podataka za primjenjive postavke ključa registra.

CVE-2018-11091

Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.

CVE-2018-12126

Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.

CVE-2018-12127

Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.

CVE-2018-12130

Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Pogledajte ADV190013 za više informacija i ovaj članak KB za primjenjive postavke ključa registra.

CVE-2019-11135

Intel: da

Windows Server 2019: omogućeno prema zadanim postavkama. Windows Server 2016 i raniji: prema zadanim postavkama onemogućen je.

Vidi CVE-2019-11135 za više informacija i ovog članka iz baze podataka za primjenjive postavke ključa registra.

Kupci koji žele dobiti sve dostupne zaštite od tih ranjivosti moraju napraviti promjene ključa registra kako bi omogućili ove mitigations koje su onemogućene prema zadanim postavkama.

Omogućavanje tih mitigations može utjecati na performanse. Skala efekata performansi ovisi o više čimbenika, kao što su određeni chipset u vašem fizičkom domaćinu i radnim opterećenjima koji se izvode. Preporučujemo da kupci ocijene učinke performansi za njihov okoliš i učine sve potrebne prilagodbe.

Vaš poslužitelj je povećan rizik ako je u jednoj od sljedećih kategorija:

  • Značajke Hyper-V Hosts – potrebna je zaštita za VM-to-VM i VM-host napade.

  • Servisi udaljene radne površine (RDSH) – potrebna je zaštita od jedne sesije do druge sesije ili od napada na domaćin.

  • Fizičke hostove ili virtualne strojeve koji izvode nepouzdani kôd, kao što su spremnici ili nepouzdana proširenja za bazu podataka, nepouzdani web-sadržaj ili radna opterećenja koja izvode kod iz vanjskih izvora. Oni zahtijevaju zaštitu od nepouzdanog procesa-do-drugog procesa ili nepouzdanih procesa do jezgre napada.

Upotrijebite sljedeće postavke ključnog registra da biste omogućili ublažavanja na poslužitelju i ponovno pokrenite sustav kako bi promjene stupile na snagu.

Note Omogućavanje ublažavanja koje su isključeno po zadanom može utjecati na performanse. Stvarni učinak performansi ovisi o višestrukim čimbenicima, kao što su određeni chipset u uređaju i radna opterećenja koja se izvode.

Postavke registra

Pružamo sljedeće podatke o registru kako bismo omogućili ublažavanja koje nisu omogućene prema zadanim postavkama, kao što je dokumentirano u sigurnosnim savjetovanjima ADV180002, ADV180012i ADV190013.

Osim toga, pružamo postavke ključa registra za korisnike koji žele onemogućiti mitigations koje su povezane s CVE-2017-5715 i CVE-2017-5754 za Windows klijente.

Važnim Ovaj odjeljak, metoda ili zadatak sadrži korake koji vam govore kako izmijeniti registar. Međutim, može doći do ozbiljnih problema ako nepravilno izmijenite registar. Stoga pazite da pažljivo slijedite ove korake. Za dodatnu zaštitu u registru prije izmjene registra. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o tome kako obnoviti i vratiti registar kliknite sljedeći broj članka u Microsoftovoj bazi znanja:

322756 kako obnoviti i vratiti registar u sustavu Windows

Upravljanje mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

Važna bilješka Retpoline je omogućen po zadanim postavkama na Windows 10, verzija 1809 poslužiteljima ako SPECTRE, varijanta 2 ( CVE-2017-5715 ) je omogućen. Omogućavanje Retpoline na najnoviju verziju sustava Windows 10 može poboljšati performanse na poslužiteljima koji izvode Windows 10, verzija 1809 za Spectre varijantu 2, posebno na starijim procesorima.

Da biste omogućili mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Note Postavljanje Značajuresettingsoverridemask na 3 je točna za "Enable" i "Onemogući" postavke. (Pogledajte odjeljak "FAQ " za više detalja o ključevima registra.)

Upravljanje ublažavanjem za CVE-2017-5715 (Spectre varijanta 2)

Da biste onemogućili varijantu 2: (CVE-2017-5715 "Ciljna injekcija") ublažavanje:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili varijantu 2: (CVE-2017-5715 "cilj injekcije") ublažavanje:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Samo procesora AMD: omogućite potpunu ublažavanje za CVE-2017-5715 (Spectre varijanta 2)

Prema zadanim postavkama, zaštita od korisnika do jezgre za CVE-2017-5715 je onemogućena za AMD CPU-ove. Kupci moraju omogućiti ublažiti dobiti dodatne zaštite za CVE-2017-5715.  Dodatne informacije potražite u odjeljku FAQ #15 u ADV180002.

Omogući zaštitu korisnika na kernel na AMD procesorima zajedno s drugim zaštitom za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Upravljajte mitigations za CVE-2018-3639 (spekulativna zaobilaženje spremišta), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

Da biste omogućili mitigations za CVE-2018-3639 (spekulativna bypass spremišta), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za CVE-2018-3639 (spekulativna zaobilaženje spremišta) i mitigations za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite računalo da bi promjene stupile na snagu.

AMD procesori samo: omogućite potpunu ublažavanje za CVE-2017-5715 (Spectre varijanta 2) i CVE 2018-3639 (spekulativna zaobilaženje spremišta)

Prema zadanim postavkama, zaštita od korisnika do jezgre za CVE-2017-5715 je onemogućena za procesore AMD. Kupci moraju omogućiti ublažiti dobiti dodatne zaštite za CVE-2017-5715.  Dodatne informacije potražite u odjeljku FAQ #15 u ADV180002.

Omogući zaštitu korisnika na kernel na AMD procesorima uz druge zaštite za cve 2017-5715 i zaštitu za CVE-2018-3639 (špekulativna zaobilaženje spremišta):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Upravljajte podacima o Transakcijskoj sinkronizaciji sustava Intel® (Intel® TSX) asinkroni promjena (CVE-2019-11135) i uzorkovanje Mikroarhitektonskih podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zajedno s Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući špekulativni zaobilaženje spremišta Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]

Da biste omogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Isključivanje spremišta Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućivanja Hyper-Threading:

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/72 REG_DWORD v

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v.

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

Reg Dodaj "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste omogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Špekulativna trgovina zaobilaženje Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] s pomoću značajke Hyper-Threading:

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/8264 REG_DWORD v

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v.

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

Reg Dodaj "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ako je ovo glavno računalo za Hyper-V i primijenjeno je Ažuriranje firmvera: Potpuno isključite sve virtualne strojeve. To omogućuje ublažavanje firmvera vezanih uz firmware koji se primjenjuje na host prije početka VMs-a. Stoga se VMs ažuriraju i kada se ponovno pokrenu.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Da biste onemogućili mitigations za Intel® transakcijskih sinkronizacija proširenja (Intel® TSX) transakcija asinkroni smanjenje ranjivosti (CVE-2019-11135) te uzorkovanje mikroarhitektonskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i meltdown [CVE-2017-5754] varijante, uključujući Spekulativni premosnik u spremištu Onemogući (SSBD) [CVE-2018-3639] kao i L1 terminal kvara (da) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]:

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Menadžer\memory Management"/REG_DWORD v

Reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/REG_DWORD v.

Ponovno pokrenite računalo da bi promjene stupile na snagu.

Provjera je li omogućena zaštita

Kako biste pomogli korisnicima provjeriti jesu li zaštite omogućeni, Microsoft je objavio PowerShell skriptu koju kupci mogu izvoditi na svojim sustavima. Instalirajte i pokrenite skriptu pokretanjem sljedećih naredbi.

Provjera PowerShell pomoću galerije PowerShell (Windows Server 2016 ili WMF 5.0/5.1)

Instalirajte PowerShell modul:

PS> Install-Module SpeculationControl

Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućeni:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Provjera PowerShell pomoću preuzimanja iz TechNet (starije verzije operacijskog sustava i ranijih WMF verzija)

Instalirajte PowerShell modul iz TechNet ScriptCenter:

  1. Idite na https://aka.MS/SpeculationControlPS .

  2. Preuzmite Špečavacontrol. zip u lokalnu mapu.

  3. Ekstrakt sadržaja u lokalnu mapu. Na primjer: C:\ADV180002

Pokrenite modul PowerShell kako biste provjerili jesu li zaštite omogućeni:

Pokrenite PowerShell, a zatim upotrijebite prethodni primjer da biste kopirali i pokrenuli sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Za detaljno objašnjenje izlaza PowerShell skripte, pogledajte članak baze znanja 4074629 .

Najčešća pitanja

Kako bi se izbjeglo negativno utjecati na korisničke uređaje, sigurnosna ažuriranja za Windows koja su objavljena u siječnju i veljači 2018 nisu ponuđena svim kupcima. Pojedinosti potražite u članku Microsoft baze znanja 4072699 .

Mikrokôd se isporučuje putem ažuriranja firmvera. Obratite se OEM-u o verziji firmvera koja ima odgovarajuće ažuriranje za vaše računalo.

Postoji više varijabli koje utječu na performanse, u rasponu od verzije sustava do radnih opterećenja koje se izvode. Za neke sustave, učinak performansi će biti zanemariv. Za druge, to će biti znatan.

Preporučujemo da procijenite učinke performansi na svoje sustave i da prilagodite po potrebi.

Osim smjernica koje se nalaze u ovom članku u vezi s virtualnim strojevima, obratite se davatelju usluga kako biste bili sigurni da su domaćini koji rade na vašim virtualnim strojevima adekvatno zaštićeni. Za Windows Server virtualne strojeve koji se izvode u servisu Azure pogledajte smjernice za ublažavanje ranjivosti spekulativnog izvršavanja bočnog kanala u servisu Azure . Za smjernice o korištenju servisa Azure Update Management za ublažavanje tog problema na VMs gosta pogledajte članak Microsoft baze znanja 4077467 .

Ažuriranja koja su objavljena za Windows Server spremnika slike za Windows Server 2016 i Windows 10, verzija 1709 uključuju mitigations za ovaj skup ranjivosti. Nije potrebna dodatna konfiguracija. Note Još uvijek morate biti sigurni da je host na kojem su ovi spremnici pokrenut konfiguriran kako bi omogućio odgovarajuće ublažavanje.

Ne, naredba za instalaciju nije bitna.

Da, morate ponovno pokrenuti nakon firmware (microcode) ažuriranje, a zatim opet nakon ažuriranja sustava.

Ovdje su detalji za ključeve registra:

Je značajnomapa koja nadjačava zadanu postavku i kontrole koje će ublažiti. Bit 0 kontrolira ublažavanje koji odgovara CVE-2017-5715. Malo 1 kontrolira ublažavanje koji odgovara CVE-2017-5754. Bitovi su postavljeni na 0 kako bi se omogućilo ublažavanje i do 1 onemogućiti ublažiti.

Značajurepostavakakridemask predstavlja bitmapa maska koja se koristi zajedno s značajurepostavnostuvožnja.  U ovoj situaciji koristimo vrijednost 3 (predstavljen kao 11 u binarnom brojčanom ili Base-2 brojčanom sustavu) kako bi se naznačili prva dva bita koja odgovaraju dostupnim mitigations. Ovaj ključ registra postavljen je na 3 kako biste omogućili ili onemogućili ublažavanja.

Minvmversionforcpubasedmitigations je za Hyper-V Hosts. Ovaj ključ registra definira minimalnu verziju VM koja je potrebna za korištenje ažuriranih mogućnosti firmver (CVE-2017-5715). Postavite ovo na 1,0 da pokrije sve verzije VM. Primijetite da će ta vrijednost registra biti zanemarena (benigna) na hostovima koji nisu Hyper-V. Za više detalja, pogledajte Zaštita gosta virtualnih strojeva iz CVE-2017-5715 (cilj podružnice) .

Da, nema nuspojava ako se ove postavke registra primjenjuju prije instaliranja Siječanj 2018 vezane popravke.

Da, za Windows Server 2016 Hyper-V Hosts koji još uvijek nisu dostupni firmware ažuriranje, objavili smo alternativne smjernice koje mogu pomoći ublažiti VM za VM ili VM na domaćinima napada. Pogledajte alternativne zaštite za Windows Server 2016 Hyper-V Hosts protiv ranjivosti spekulativnog izvršavanja bočnog kanala .

Sigurnosna ažuriranja samo nisu kumulativna. Ovisno o verziji operacijskog sustava, možda ćete morati instalirati nekoliko sigurnosnih ažuriranja za potpunu zaštitu. Općenito, kupci će morati instalirati Siječanj, Veljača, Ožujak, i Travanj 2018 ažuriranja. Sistemi koji imaju AMD procesore trebaju dodatno ažuriranje kao što je prikazano u sljedećoj tablici:

Verzija operacijskog sustava

Sigurnosno ažuriranje

Windows 8,1, Windows Server 2012 R2

4338815-mjesečni skupne vrijednosti

4338824-samo sigurnost

Windows 7 SP1, Windows Server 2008 R2 SP1 ili Windows Server 2008 R2 SP1 (Instalacija poslužitelja Core)

4284826-mjesečni skupne vrijednosti

4284867-samo sigurnost

Windows Server 2008 SP2

4340583-Sigurnosno ažuriranje

Preporučujemo da instalirate sigurnosna ažuriranja samo po redoslijedu objavljivanja.

Napomena   stariju verziju ove FAQ pogrešno navodi da je u veljači sigurnost samo ažuriranje uključene sigurnosne popravke koji su objavljeni u siječnju. Zapravo, nije.

ne. Sigurnosno ažuriranje KB 4078130 bilo je određeno popravak kako bi se spriječilo ponašanje nepredvidljivog sustava, problemi s performansama i neočekivani ponovno pokrenuti nakon instalacije mikrokoda. Primjena sigurnosnih ažuriranja na Windows Client operativni sustavi omogućuje sve tri mitigations. Na operativnim sustavima Windows Server još uvijek morate omogućiti mitigations nakon što učinite pravilno testiranje. Dodatne informacije potražite u članku Microsoft baze znanja 4072698 .

Taj je problem riješen u KB 4093118 .

U veljači 2018, Intel je najavio da su dovršili svoje validacije i počeo objaviti microcode za novije CPU platforme. Microsoft radi na dostupnim Intelovim ažuriranjem microcode ažuriranja koja se tiču Spectre varijanti 2 Spectre varijanta 2 (CVE-2017-5715 – "ciljna oznaka podružnice"). KB 4093836 popisuje određene članke baze znanja po verziji sustava Windows. Svaki određeni članak iz baze znanja sadrži dostupna ažuriranja microcode Intel po CPU.

Siječanj 11, 2018 Intel izvijestio problema u nedavno objavljen microcode koji je namijenjen za rješavanje Spectre varijantu 2 (CVE-2017-5715 – "cilj podružnice injekcija"). Konkretno, Intel je istaknuo da ovaj mikrokôd može uzrokovati "više od očekivanog ponovnog pokretanja i drugog nepredvidljivog sustava ponašanja " i da ti scenariji mogu uzrokovati "gubitak podataka ili korupciju". Naše iskustvo je da nestabilnost sustava može uzrokovati gubitak podataka ili korupciju u nekim okolnostima. 22. siječnja, Intel je preporučio da kupci prestanu implementirati trenutnu verziju mikrokoda na zahvaćene procesore dok Intel izvodi dodatna testiranja na ažuriranom rješenju. Shvaćamo da Intel nastavlja istraživati potencijalni učinak trenutne mikrokodne verzije. Potičemo kupce da kontinuirano preispitaju svoje smjernice kako bi informira svoje odluke.

Dok Intel testira, ažurira i uvodi novi mikrokod, mi smo stvaranje dostupan van-of-bend (OOB) ažuriranje, KB 4078130 , koji posebno onemogućuje samo ublažiti protiv CVE-2017-5715. U našim testovima, ovo ažuriranje pronađeno je kako bi se spriječilo opisano ponašanje. Potpuni popis uređaja potražite u uputama za reviziju microcode Intel. Ovo ažuriranje pokriva Windows 7 Service Pack 1 (SP1), Windows 8,1 i sve verzije sustava Windows 10, i klijent i poslužitelj. Ako koristite zahvaćeni uređaj, ovo se ažuriranje može primijeniti preuzimanjem s web-mjesta Microsoft Update Catalog . Primjena ovog opterećenja posebno onemogućuje samo ublažiti protiv CVE-2017-5715.

Od ovog vremena, ne postoje poznati izvještaji koji ukazuju na to da je ova Spectre varijanta 2 (CVE-2017-5715 – "ciljni cilj ubrizgavanja") je korišten za napad kupaca. Preporučujemo da, kada je to primjereno, korisnici sustava Windows ponovno omogući ublažavanje protiv CVE-2017-5715 kada Intel izvještava da je ovo ponašanje nepredvidljivog sustava riješeno za vaš uređaj.

U veljači 2018, Intel jenajavio da su dovršili svoje validacije i počeo objaviti microcode za novije CPU platforme. Microsoft radi na dostupnim Intel-validiranim microcode ažuriranja koja su povezana s Spectre varijanti 2 Spectre varijanta 2 (CVE-2017-5715 – "ciljna oznaka podružnice"). KB 4093836 popisuje određene članke baze znanja po verziji sustava Windows. KBs popis dostupnih Intel microcode ažuriranja po CPU.

Za više informacija, pogledajte AMD sigurnosna ažuriranja i AMD Whitepaper: smjernice arhitekture oko kontrole indirektnih grana . Oni su dostupni na OEM firmware kanalu.

Koristimo Intel-validirane microcode ažuriranja koja se tiču Spectre varijanti 2 (CVE-2017-5715 – "ciljna oznaka podružnice "). Da biste dobili najnoviji Intel microcode ažuriranja putem Windows Update, kupci moraju imati instaliran Intel microcode na uređajima koji izvode operacijski sustav Windows 10 prije nadogradnje na Windows 10 Travanj 2018 ažuriranje (verzija 1803).

Ažuriranje mikrokoda također je dostupno izravno iz kataloga Microsoft Update ako nije instaliran na uređaju prije nadogradnje sustava. Mikrokôd Intel dostupan je putem servisa Windows Update, Windows Server Update Services (WSUS) ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u KB 4100347 .

Pogledajte sekcije "preporučene akcije" i "FAQ" u  ADV180012 | Microsoftov vodič za zaobilaženje špekulativnog spremišta .

Da biste provjerili status SSBD, skripta Get-da se kontrolirašPowerShell je ažurirana za otkrivanje pogođenih procesora, status ažuriranja operacijskog sustava ssbd i stanje microcode procesora, ako je primjenjivo. Za više informacija i za dobivanje PowerShell skripte, pogledajte KB 4074629 .

U lipnju 13, 2018, dodatna ranjivost koja uključuje bočno-kanal špekulativno izvršenje, poznat kao lijen FP State Restore, je objavljen i dodijeljen CVE-2018-3665 . Informacije o ovoj ranjivosti i preporučenim akcijama potražite u okviru sigurnosnog savjetodavnog ADV180016 | Microsoft smjernice za vraćanje države lijen FP .

Note Nema potrebnih konfiguracija (registra) postavke za lijen vratiti FP Restore.

Granice provjeriti zaobilaženje trgovine (BCBS) je objavljen u srpnju 10, 2018, i dodijeljen CVE-2018-3693 . Smatramo da BCBS pripadaju istoj klasi ranjivosti kao granice provjera bypass (varijanta 1). Trenutno nismo svjesni nikakvih instanci BCBS-a u našem softveru. Međutim, mi smo nastavili istraživati ovaj razred ranjivosti i da će raditi s partnerima industrije za oslobađanje mitigations po potrebi. Potičemo istraživače da podnesu sve relevantne zaključke Microsoftu na strani Kanalski kanal za špekulativno izvršavanje , uključujući sve eksplikativne INSTANCE bcbs-a. Programeri softvera trebali bi pregledati smjernice razvojnog programera koje su ažurirane za BCBS na c++ programerskim smjernicama za špekulativno izvršavanje bočnih kanala .

Na Kolovoz 14, 2018, L1 terminal kvara (da) je objavljen i dodijeljen više CVEs. Ta nova ranjivost bočnog kanala spekulativnog izvršavanja može se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskorištava, može dovesti do otkrivanja informacija. Postoji više vektora po kojima napadač može pokrenuti slabosti, ovisno o konfiguriranom okruženju. , Je li u procesorima Intel® Core® i Intel® Xeon® procesora.

Dodatne informacije o ovoj ranjivosti i detaljnom prikazu pogođenih scenarija, uključujući Microsoftov pristup ublažavanju, pogledajte sljedeće resurse:

Koraci za onemogućivanje značajke Hyper-Threading razlikuju se od OEM-a do OEM-a, ali su općenito dio BIOS-a ili alata za postavljanje i konfiguracije firmvera.

Klijenti koji koriste 64-bitne ARM procesore bi trebao kontaktirati uređaj OEM za podršku firmver jer ARM64 operativni sustav zaštite koje ublažiti CVE-2017-5715 -ciljno mjesto injekcije (SPECTRE, varijanta 2) zahtijevaju najnoviju firmware update od OEM uređaja da stupe na snagu.

Dodatne informacije o Retpoline omogućivanju, pogledajte naš blog post: mitigating Spectre varijantu 2 s retpoline na Windows .

Pojedinosti o ovoj ranjivosti potražite u Microsoftovu vodiču za sigurnost: CVE-2019-1125 | Slabe točke otkrivanja informacija jezgre sustava Windows.

Nismo svjesni bilo kakve instance ove informacije otkrivanja ranjivost utječe na naše Cloud Service infrastrukturu.

Čim smo postali svjesni tog problema, radili smo brzo kako bi ga riješili i objaviti ažuriranje. Snažno vjerujemo u bliska partnerstva s istraživačima i industrijskim partnerima kako bi kupci bili sigurniji i nisu objavili detalje do utorka, 6. kolovoza, u skladu s koordiniranim praksama otkrivanja ranjivosti.

Reference

Odricanje od odgovornosti za informacije treće strane

Proizvodi drugih proizvođača koji se spominju u ovom članku proizvedeni su u tvrtkama neovisnima o Microsoftu. Microsoft ne daje ni posredna ni druga jamstva vezana uz performanse ili pouzdanost tih proizvoda.

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×