KB4072698: Windows Server és Azure Stack HCI-útmutató a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez

Hatókör
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Módosítási napló
Dátum módosítása A változás leírása
Április 20, 2023
  • A MMIO beállításjegyzék-információinak hozzáadása
8. augusztus 2023.
  • Eltávolítottuk a CVE-2022-23816-tal kapcsolatos tartalmat, mivel a CVE-szám nincs használatban
  • Hozzáadtuk az "Ágtípus-zavart" szakaszt a "Biztonsági rések" szakaszhoz.
  • További információ hozzáadva a "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" beállításjegyzéki szakasz
Augusztus 9, 2023
  • Frissítve a "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" beállításjegyzéki szakasz
  • Hozzáadva: "CVE-2023-20569 | AMD CPU Return Address Predictor" az "Összegzés" szakaszban
  • Hozzáadva a "CVE-2023-20569 | AMD CPU Return Address Predictor" beállításjegyzék-szakasz
2024. április 9.
  • CVE-2022-0001 hozzáadva | Intel-ág előzményeinek beszúrása
2024. április 16.
  • Hozzáadtuk a "Több kockázatcsökkentés engedélyezése" szakaszt

Összegzés

Ez a cikk a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések egy új osztályához nyújt útmutatást, amely számos modern processzort és operációs rendszert érint. Ezek közé tartozik az Intel, az AMD és az ARM. A szilíciumalapú biztonsági résekre vonatkozó konkrét részletek a következő biztonsági tanácsadókban (ADV-k) és CVE-kben (gyakori biztonsági rések és kitett helyek) találhatók:

Fontos

Ezek a problémák más operációs rendszereket is érintenek, például Android, Chrome, iOS és MacOS. Javasoljuk ügyfeleinknek, hogy kérjenek útmutatást ezektől a beszállítóktól.

Számos frissítést adtunk ki a biztonsági rések csökkentése érdekében. Felhőszolgáltatásaink védelmére is tettünk lépéseket. További információért olvassa el az alábbi szakaszokat.

Még nem kaptunk olyan információt, amely arra utalna, hogy ezeket a biztonsági réseket az ügyfelek megtámadására használták volna. Ügyfeleink védelme érdekében szorosan együttműködünk az iparági partnerekkel, többek között processzorlapka-gyártókkal, hardvergyártókkal és alkalmazásszállítókkal. Az összes elérhető védelem megszerzéséhez a belső vezérlőprogram (mikrokód) és a szoftver frissítése szükséges. Ez magában foglalja az eszközök eredeti gyártóitól származó mikrokódot, illetve bizonyos esetekben a víruskereső szoftverek frissítéseit is.

Biztonsági rések

Spekulatív végrehajtás

Ez a cikk az alábbi spekulatív végrehajtási biztonsági résekkel foglalkozik:

A Windows Update az Internet Explorer és az Edge használatával kapcsolatos kockázatcsökkentő megoldásokat is biztosít. Továbbra is fejleszteni fogjuk a biztonsági rések ezen osztályát leküzdő megoldásokat.

A biztonsági rések ezen osztályával kapcsolatos további információkért lásd:

Mikroarchitekturális adatmintavételi biztonsági rés

2019. május 14-én az Intel információkat tett közzé a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések egy új alosztályáról, amelyet mikroarchitekturális adatmintavételezés néven ismernek el, és amelyet a ADV190013 | Mikroarchitekturális adatok mintavétele. A következő CVE-ket kapták:

Fontos

Ezek a problémák más rendszereket, például Android, Chrome, iOS és MacOS rendszereket is érintenek. Javasoljuk ügyfeleinknek, hogy kérjenek útmutatást ezektől a beszállítóktól.

A Microsoft frissítéseket adott ki a biztonsági rések enyhítésére. Az összes elérhető védelem megszerzéséhez a belső vezérlőprogram (mikrokód) és a szoftver frissítése szükséges. Ezek közé tartozhatnak az eszközök eredeti gyártóitól származó mikrokódok is. Bizonyos esetekben ezeknek a frissítéseknek a telepítése hatással van a teljesítményre. Emellett tettünk lépéseket felhőszolgáltatásaink biztonságának biztosításáért is. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadót, és forgatókönyv-alapú útmutató használatával határozza meg a fenyegetés csökkentéséhez szükséges műveleteket:

Megjegyzés

Javasoljuk, hogy a mikrokódfrissítések telepítése előtt telepítse a legújabb frissítéseket a Windows Update webhelyről.

Spectre, Variant 1 sebezhetőség

2019. augusztus 6-án az Intel közzétette a Windows-rendszermag információfelfedési biztonsági résének részleteit. Ez a biztonsági rés a Spectre, Variant 1 spekulatív végrehajtási, oldalcsatornát érintő biztonsági rés egyik változata, CVE-2019-1125 besorolással rendelkezik.

2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma enyhítése érdekében. Felhívjuk a figyelmét arra, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-i, keddi koordinált iparági közzétételig elhalasztottuk.

Azok az ügyfelek, akiknél engedélyezve van a Windows Update, és telepítették a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védelmet élveznek. Nincs szükség további konfigurálásra.

Megjegyzés

A biztonsági rés megszüntetéséhez nincs szükség mikrokódfrissítésre az eszköz gyártójától (OEM).

A biztonsági résről és az alkalmazható frissítésekről a Microsoft biztonsági frissítések útmutatójában talál további információt:

Aszinkron tranzakciómegszakítási biztonsági rés

2019. november 12-én az Intel technikai közleményt tett közzé az Intel® tranzakciószinkronizálási bővítmények (Intel TSX) szinkron tranzakciómegszakítási sérülékenységére vonatkozóan, CVE-2019-11135 besorolással. A Microsoft frissítéseket adott ki a biztonsági rés enyhítésére, és az operációs rendszer védelme alapértelmezés szerint engedélyezve van a Windows Server 2019-ben, de alapértelmezés szerint le van tiltva a Windows Server 2016-ban és a Windows Server operációs rendszer korábbi kiadásaiban.

A MMIO elavult adatmintavételt lehetővé tevő biztonsági rése

2022. június 14-én közzétettük a ADV220002 | Microsoft-útmutatás az Intel processzorok MMIO-val kapcsolatos elavult adatbiztonsági résekhez és hozzárendelt CVE-khez:

Javasolt műveletek

A biztonsági rések elleni védekezéshez hajtsa végre az alábbi lépéseket:

  1. Alkalmazza a Windows operációs rendszer összes elérhető frissítését, beleértve a havonta megjelenő Windows biztonsági frissítéseket.
  2. Alkalmazza az eszköz gyártója által biztosított megfelelő belső vezérlőprogram (mikrokód) frissítést.
  3. Mérje fel a környezetét fenyegető kockázatot a Microsoft biztonsági tanácsadóiban szereplő információk alapján: ADV180002, ADV180012, ADV190013 és ADV220002, a jelen tudásbázis cikkben szereplő információk mellett.
  4. Végezze el a szükséges műveleteket a jelen tudásbázis-cikkben található tanácsok és beállításkulcs-információk segítségével.

Megjegyzés

A Surface-ügyfelek mikrokódfrissítést kapnak a Windows Update-en keresztül. A Surface eszközök belső vezérlőprogramjának (mikrokódjának) legújabb frissítéseinek listáját lásd: KB4073065.

Megtévesztés az ágtípusok között

2022. július 12-én közzétettük a következőt: CVE-2022-23825 | AMD CPU-ágtípus zavar, amely leírja, hogy az ág előrejelzőjében lévő aliasok miatt bizonyos AMD processzorok nem a megfelelő ágtípust jelezhetik előre. Ez a probléma potenciálisan adatközzétételhez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően létrehozott Windows-frissítéseket, majd tegye meg a CVE-2022-23825 és a jelen tudásbázis-cikkben található beállításkulcs-információk által előírt lépéseket.

További információk az AMD-SB-1037 biztonsági közleményében olvashatók.

Visszaküldési cím prediktor

2023. augusztus 8-án közzétettük a következőt: CVE-2023-20569 | Visszaküldési cím előrejelzője (más néven Inception), amely egy új, spekulatív oldalcsatornás támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által irányított címen. Ez a probléma egyes AMD-processzorokat érint, és potenciálisan információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően létrehozott Windows-frissítéseket, majd tegye meg a CVE-2023-20569 által megkövetelt műveleteket, valamint az ebben a tudásbázis-cikkben található beállításkulcs-információkat.

További információk az AMD-SB-7005 biztonsági közleményben olvashatók.

Elágazási előzmények beszúrása

2024. április 9-én közzétettük a következőt: CVE-2022-0001 | Intel Branch History Injection , amely leírja az elágazástörténet-injektálást (BHI), amely az intramódusú BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, amikor a támadó módosítja az ágelőzményeket, mielőtt felhasználói módról felügyelő módra (vagy a nem VMX nem root/vendég módról a gyökérmódra) váltott volna. Ez a manipuláció azt eredményezheti, hogy egy közvetett elágazás előrejelző egy adott prediktív bejegyzést választ ki egy közvetett ághoz, és az előre jelzett célnál egy közzétételi minialkalmazás átmenetileg végrehajtódik. Ez azért lehetséges, mert a vonatkozó ágelőzmények korábbi biztonsági kontextusban, és különösen más prediktív üzemmódokban létrehozott ágakat is tartalmazhatnak.

A Windows Server és az Azure Stack HCI kockázatcsökkentési beállításai

A biztonsági tanácsadók (ADV-k) és a CVE-k információt nyújtanak, információt nyújtanak a biztonsági rések által jelentett kockázatokról. Emellett segítenek azonosítani a biztonsági réseket, valamint meghatározni a Windows Server rendszerek kockázatcsökkentésének alapértelmezett állapotát. Az alábbi táblázat összefoglalja a processzor mikrokódjára vonatkozó követelményeket és a kockázatcsökkentés alapértelmezett állapotát a Windows Server rendszeren.

CVE Processzor-mikrokód/belső vezérlőprogram szükséges? Kockázatcsökkentés alapértelmezett állapota
CVE-2017-5753 Nem Alapértelmezés szerint engedélyezve van (nincs letiltható lehetőség)
További információért tekintse meg ADV180002
CVE-2017-5715 Igen Alapértelmezés szerint le van tiltva.
További információt a ADV180002 , a vonatkozó beállításkulcs-beállításokat pedig ebben a tudásbáziscikkben talál.
Megjegyzés A "Retpoline" alapértelmezés szerint engedélyezve van a Windows 10, 1809-es verzió és újabb rendszert futtató eszközökön, ha a Spectre 2. variánsa (CVE-2017-5715) engedélyezve van. A "Retpoline" termékkel kapcsolatos további információkért kövesse a Mitigating Spectre variant 2 with Retpoline on Windows blogbejegyzést .
CVE-2017-5754 Nem Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.
További információért tekintse meg ADV180002 .
CVE-2018-3639 Intel: Igen
AMD: Nem
Alapértelmezés szerint le van tiltva. További információt a ADV180012 című témakörben talál, ez a cikk pedig a beállításkulcs vonatkozó beállításait ismerteti.
CVE-2018-11091 Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.
További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti.
CVE-2018-12126 Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.
További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti.
CVE-2018-12127 Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.
További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti.
CVE-2018-12130 Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.
További információt a ADV190013 témakörben talál, a beállításkulcsok vonatkozó beállításait pedig ez a cikk ismerteti.
CVE-2019-11135 Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.
További információért tekintse meg a CVE-2019-11135 című témakört, a vonatkozó beállításkulcs-beállításokat pedig ebben a cikkben.
CVE-2022-21123 (az MMIO ADV220002 része) Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.*
További információért tekintse meg a CVE-2022-21123 című témakört, valamint ezt a cikket az alkalmazandó beállításkulcs-beállításokkal kapcsolatban.
CVE-2022-21125 (az MMIO ADV220002 része) Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.*
További információért tekintse meg a CVE-2022-21125 című témakört, valamint ezt a cikket az alkalmazandó beállításkulcs-beállításokkal kapcsolatban.
CVE-2022-21127 (az MMIO ADV220002 része) Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.*
További információért tekintse meg a CVE-2022-21127 című cikket, valamint a vonatkozó beállításkulcs-beállításokkal kapcsolatos cikket.
CVE-2022-21166 (a MMIO ADV220002 része) Intel: Igen Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.
Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.*
További információért tekintse meg a CVE-2022-21166 című témakört, valamint ezt a cikket a vonatkozó beállításkulcs-beállításokkal kapcsolatban.
CVE-2022-23825 (AMD CPU-ágtípus zavar) AMD: Nem További információért tekintse meg a CVE-2022-23825 című témakört, valamint az alkalmazandó beállításkulcs-beállításokkal kapcsolatos cikket.
CVE-2023-20569
(AMD CPU visszatérési cím előrejelző)
AMD: Igen További információért tekintse meg a CVE-2023-20569 című témakört, valamint az alkalmazandó beállításkulcs-beállításokkal kapcsolatos cikket.
CVE-2022-0001 Intel: Nem Alapértelmezés szerint letiltva
További információért tekintse meg a CVE-2022-0001 című témakört, valamint ezt a cikket az alkalmazandó beállításkulcs-beállításokkal kapcsolatban.

Megjegyzés

* Kövesse a Meltdownra vonatkozó alábbi kockázatcsökkentési útmutatást.

Ha az összes elérhető védelmet meg szeretné szerezni a biztonsági rések ellen, az alapértelmezés szerint letiltott megoldások engedélyezéséhez a beállításkulcs módosításával engedélyeznie kell ezeket a kockázatcsökkentéseket.

A kockázatcsökkentés engedélyezése hatással lehet a teljesítményre. A teljesítménybeli hatások mértéke több tényezőtől is függ, például a fizikai gazdagép lapkakészletétől és a futó számítási feladatoktól. Javasoljuk, hogy mérje fel a környezetére gyakorolt teljesítménybeli hatásokat, és végezze el a szükséges módosításokat.

A kiszolgáló fokozott kockázatnak van kitéve, ha az a következő kategóriák valamelyikébe tartozik:

  • Hyper-V-gazdagépek: Védelmet igényel a virtuális gépek közötti, valamint a virtuális gépek közötti támadások esetén.
  • Távoli asztali szolgáltatások gazdagépei (RDSH): Védelmet igényel egyik munkamenetről egy másikra vagy a munkamenetek közötti támadások ellen.
  • Nem megbízható kódot futtató fizikai gazdagépek vagy virtuális gépek, például tárolók vagy nem megbízható adatbázis-kiterjesztések, nem megbízható webes tartalmak, illetve külső forrásból származó kódot futtató számítási feladatok. Ezek védelmet igényelnek a nem megbízható folyamatok között, illetve a nem megbízható folyamatok és a rendszermagok közötti nem megbízható támadások ellen.

A módosítások érvénybe léptetéséhez használja az alábbi beállításkulcs-beállításokat a kockázatcsökkentés engedélyezéséhez a kiszolgálón, majd indítsa újra az eszközt.

Megjegyzés

Alapértelmezés szerint a kikapcsolt kockázatcsökkentés engedélyezése befolyásolhatja a teljesítményt. A teljesítmény tényleges hatása több tényezőtől függ, például az eszköz lapkakészletétől és a futó munkaterhelésektől.

Beállításjegyzék beállításai

Az alábbi beállításjegyzék-információkat adjuk meg az alapértelmezés szerint nem engedélyezett kockázatcsökkentések engedélyezéséhez a Biztonsági tanácsadókban (ADV-k) és a CVE-kben dokumentáltaknak megfelelően. Emellett beállításkulcs-beállításokat biztosítunk azoknak a felhasználóknak, akik le szeretnék tiltani a kockázatcsökkentéseket, ha az alkalmazható a Windows-ügyfelekre.

Megjegyzés

  • FONTOS Az alábbi szakasz, módszer vagy tevékenység a beállításjegyzék módosításának lépéseit ismerteti. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért a lehető legnagyobb körültekintéssel végezze el a következő lépéseket. A nagyobb biztonság érdekében a módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről. így probléma esetén visszaállíthatja azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis következő cikkében talál további információt:
  • KB322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben

A CVE-2017-5715 (Spectre 2. variáns), a CVE-2017-5754 (Meltdown) és a CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) kockázatcsökkentő intézkedéseinek kezelése

Megjegyzés

  • FONTOS Alapértelmezés szerint a Retpoline konfigurálása a következő, ha engedélyezve van a Spectre, a 2. variánssal kapcsolatos kockázatcsökkentés (CVE-2017-5715) engedélyezése:
    • A Retpoline kockázatcsökkentés a Windows 10, 1809-es verzió és újabb Windows-verziókban engedélyezett.
    • A Retpoline kockázatcsökkentés le van tiltva a Windows Server 2019-es és újabb Windows Server-verziókban.
  • A Retpoline konfigurációjával kapcsolatos további információkért lásd: A Spectre 2. variánsának enyhítése a Retpoline-nal Windows rendszeren.
  • A CVE-2017-5715 (Spectre 2. variáns), a CVE-2017-5754 (Meltdown) és a CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) kockázatcsökkentésének engedélyezése
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek.
    A módosítások életbe léptetéséhez indítsa újra az eszközt.
  • A CVE-2017-5715 (Spectre 2. variáns), a CVE-2017-5754 (Meltdown) és a CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) kockázatcsökkentésének letiltása
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    A módosítások életbe léptetéséhez indítsa újra az eszközt.

Megjegyzés

A FeatureSettingsOverrideMask 3-ra állítása pontos mind az "engedélyezés", mind a "letiltás" beállításnál. (A beállításkulcsokkal kapcsolatos további információkért lásd a "GYIK " című részt.)

A CVE-2017-5715 (Spectre 2. variáns) biztonsági megoldásának kezelése
A 2. variáns letiltása: (CVE-2017-5715 | Elágazáscél-beszúrás) kockázatcsökkentés:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A módosítások életbe léptetéséhez indítsa újra az eszközt.
A 2. változat engedélyezése: (CVE-2017-5715 | Elágazáscél-beszúrás) kockázatcsökkentés:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A módosítások életbe léptetéséhez indítsa újra az eszközt.
Csak AMD gyártmányú processzorok: A CVE-2017-5715 (Spectre 2. variáns) teljes kockázatcsökkentő intézkedésének engedélyezése

Alapértelmezés szerint a felhasználó és a kernel közötti védelem a CVE-2017-5715 ellen van tiltva az AMD CPU-k esetében. Az ügyfeleknek engedélyezniük kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715 ellen.  További információt a ADV180002 #15 GYIK lapján talál.

A felhasználó és a kernel közötti védelem engedélyezése az AMD gyártmányú processzorokon a CVE 2017-5715 egyéb védelmi intézkedései mellett:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek.
A módosítások életbe léptetéséhez indítsa újra az eszközt.
A CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentő intézkedéseinek kezelése
A CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentő intézkedéseinek engedélyezéséhez:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek.
A módosítások életbe léptetéséhez indítsa újra az eszközt.
A CVE-2018-3639 (Speculative Store Bypass) ÉS a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentő intézkedéseinek letiltása
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A módosítások életbe léptetéséhez indítsa újra az eszközt.
Csak AMD gyártmányú processzorok: A CVE-2017-5715 (Spectre 2. variáns) és a CVE 2018-3639 (Speculative Store Bypass) megoldások teljes megoldásának engedélyezése

Alapértelmezés szerint a felhasználók és a kernelek közötti védelem a CVE-2017-5715 esetében le van tiltva az AMD gyártmányú processzorok esetében. Az ügyfeleknek engedélyezniük kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715 ellen.  További információt a ADV180002 #15 GYIK lapján talál.

A felhasználó és a kernel közötti védelem engedélyezése az AMD gyártmányú processzorokon a CVE 2017-5715 és a CVE-2018-3639 (Speculative Store Bypass) egyéb védelmei mellett:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek.
A módosítások életbe léptetéséhez indítsa újra az eszközt.
Tranzakció aszinkron megszakítási biztonsági résének kezelése, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) és L1 Terminal Fault (L1TF)
Az Intel Transactional Synchronization Extensions (Intel TSX) aszinkron tranzakciómegszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adat-mintavételezés ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) megoldásának engedélyezése, valamint a Spectre [CVE-2017-5753 & CVE-2017-5715] variánsai, Meltdown [CVE-2017-5754] variánsok, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, és CVE-2022-21166), beleértve a Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ], valamint az L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] hibát a Hyper-Threading letiltása nélkül:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek.
A módosítások életbe léptetéséhez indítsa újra az eszközt.
Az Intel tranzakciós szinkronizálási bővítmények (Intel TSX) aszinkron tranzakciómegszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adatok mintavételezésének ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) valamint a Spectre [CVE-2017-5753 & CVE-2017-5715] és a Meltdown [CVE-2017-5754] variánsok megoldásának engedélyezése, beleértve a Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] valamint az L1 terminálhiba (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] probléma letiltott Hyper-Threading:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Ha ez egy Hyper-V gazdagép, és telepítette a belső vezérlőprogram frissítéseit: Állítsa le teljesen az összes Virtual Machines-t. Ez lehetővé teszi, hogy a belső vezérlőprogramokkal kapcsolatos kockázatcsökkentést a rendszer a gazdagépen alkalmazza a virtuális gépek elindítása előtt. Ezért a virtuális gépek újraindításakor is frissülnek.
A módosítások életbe léptetéséhez indítsa újra az eszközt.
Az Intel tranzakciós szinkronizálási bővítmények (Intel TSX) aszinkron tranzakciómegszakítási biztonsági rés (CVE-2019-11135) és a mikroarchitekturális adatmintavételezés ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) valamint a Spectre [CVE-2017-5753 & CVE-2017-5715] és a Meltdown [CVE-2017-5754] variánsok megoldásának letiltása, beleértve a Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] valamint az L1 terminálhiba (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646]:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
A módosítások életbe léptetéséhez indítsa újra az eszközt.
CVE-2022-23825 \| AMD CPU-ágtípustévesztés (BTC)

A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A teljes körű védelem érdekében az ügyfeleknek le kell tiltaniuk a Hyper-Threading (más néven Simultaneous Multi Threading (SMT)). A windowsos eszközök védelmével kapcsolatos útmutatásért tekintse meg a KB4073757 .

CVE-2023-20569 \| AMD CPU visszatérési cím előrejelző

A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Intel-ág előzményeinek beszúrása

A CVE-2022-0001 biztonsági kockázatcsökkentésének engedélyezése Intel processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Több kockázatcsökkentés engedélyezése

Több kockázatcsökkentés engedélyezéséhez össze kell adnia az egyes kockázatcsökkentések REG_DWORD értékét.

Például:


A tranzakció aszinkron megszakítást lehetővé tevő biztonsági rése, a mikroarchitekturális adatmintavételezés, a Spectre, a Meltdown, az MMIO, a spekulatív tároló megkerülését megakadályozó (SSBD) és az L1 terminálhiba (L1TF) letiltott Hyper-Threading esetén reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
NOTE 8264 (decimálisan) = 0x2048 (hexadecimálisan)
Ha a BHI-t a többi meglévő beállítással együtt szeretné engedélyezni, akkor az aktuális érték bitenkénti VAGY művelettel (VAGY) függvényt kell használnia (8 388 608 (0x800000).
0x800000 VAGY 0x2048(tizedes számrendszerben 8264), és 8 396 872(0x802048) lesz. Ugyanez a helyzet a FeatureSettingsOverrideMask operátorral is.
A CVE-2022-0001 megoldása Intel processzorokon reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Kombinált kockázatcsökkentés reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

A védelem engedélyezésének ellenőrzése

A védelem engedélyezett állapotának ellenőrzéséhez közzétettünk egy PowerShell-parancsprogramot, amelyet futtathat az eszközein. Telepítse és futtassa a parancsfájlt az alábbi módszerek egyikével.

1. módszer: PowerShell-ellenőrzés a PowerShell-galéria használatával (Windows Server 2016 vagy WMF 5.0/5.1)
Telepítse a PowerShell-modult:
PS> Install-Module SpeculationControl
A PowerShell-modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmek:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
2. módszer: PowerShell-ellenőrzés a Technetről letölthető eszközzel (az operációs rendszer korábbi verziói és a WMF korábbi verziói)
Telepítse a PowerShell-modult a Technet ScriptCenter alkalmazásból:

  1. Nyissa meg a https://aka.ms/SpeculationControlPS lehetőséget.
  2. Töltse le SpeculationControl.zip egy helyi mappába.
  3. Bontsa ki a tartalmat egy helyi mappába. Például: C:\ADV180002
A PowerShell-modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmek:

Indítsa el a PowerShellt, majd az előző példa alapján másolja és futtassa az alábbi parancsokat:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

A PowerShell-parancsfájl kimenetének részletes magyarázatáért lásd: KB4074629 .

Gyakori kérdések

Nem ajánlották fel a 2018. januárban és februárban kiadott Windows biztonsági frissítéseket. Mit tegyek?

Az ügyfelek eszközeit érintő kedvezőtlen hatások elkerülése érdekében a 2018 januárjában és februárjában kiadott Windows biztonsági frissítéseket a rendszer nem minden ügyfél számára ajánlotta fel. Részletekért lásd: KB407269 .

Hogyan állapíthatom meg, hogy a CPU mikrokódjának megfelelő verziójával rendelkezem?

A mikrokód a belső vezérlőprogram frissítésén keresztül érkezik. Érdeklődjön az eredeti hardvergyártónál annak a belső vezérlőprogram-verziónak a beállításához, amelyhez a megfelelő frissítés tartozik.

Milyen hatása van a teljesítménycsökkentésnek?

A teljesítményt több változó is befolyásolja, a rendszerverziótól kezdve a futó számítási feladatokig. Egyes rendszerek esetében a teljesítményre gyakorolt hatás elhanyagolható lesz. Mások számára ez jelentős lesz.

Javasoljuk, hogy mérje fel a rendszerekre gyakorolt teljesítménybeli hatásokat, és végezzen szükséges módosításokat.

Külső fél által üzemeltetett környezetben vagy felhőben futtatom a Windows Server rendszert. Mit tegyek?

Az ebben a cikkben található, a virtuális gépekre vonatkozó útmutatáson kívül forduljon a szolgáltatójához, hogy meggyőződhessen arról, hogy a virtuális gépeket futtató gazdagépek megfelelően védettek.

Az Azure-ban futó Windows Server virtuális gépek esetében lásd: Útmutató a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések csökkentéséhez az Azure-ban. A Azure Update Management használatával a vendég virtuális gépeken jelentkező probléma megoldásához lásd: KB4077467.

Vannak Windows Server tárolóspecifikus irányelvek?

A Windows Server 2016 és a Windows 10 1709-es verziójához a Windows Server tárolólemezképekhez kiadott frissítések tartalmazzák a biztonsági rések ezen készletének enyhítését. Nincs szükség további konfigurálásra.

Megjegyzés Továbbra is meg kell győződnie arról, hogy az állomás, amelyen ezek a tárolók futnak, konfigurálva van a megfelelő kockázatcsökkentés engedélyezésére.

A szoftver- és hardverfrissítéseket meghatározott sorrendben kell telepíteni?

Nem, a telepítés sorrendje nem számít.

Több újraindítás is lesz?

Igen, újra kell indítania a rendszert a belső vezérlőprogram (mikrokód) frissítése után, majd a rendszerfrissítés után.

Tudna további információkkal szolgálni a beállításkulcsokról?

A beállításkulcsok adatai:

A FeatureSettingsOverride olyan bitkép, amely felülbírálja az alapértelmezett beállítást, és szabályozza, hogy mely kockázatcsökkentések legyenek letiltva. A 0. bit szabályozza a CVE-2017-5715 biztonsági kockázatcsökkentést. Az 1. bit szabályozza a CVE-2017-5754-nek megfelelő kockázatcsökkentést. A bitek értéke 0 érték van a kockázatcsökkentés engedélyezéséhez, és 1 értékre a kockázatcsökkentés letiltásához.

A FeatureSettingsOverrideMask a FeatureSettingsOverride művelettel együtt használt bitképmaszkot jelöli. Ebben az esetben a 3 értéket használjuk (a bináris számrendszerben vagy a 2-es számrendszerben 11-nek felel meg) az első két bit jelölésére, amelyek megfelelnek a rendelkezésre álló kockázatcsökkentésnek. Ez a beállításkulcs a 3 értékre van állítva a kockázatcsökkentés engedélyezéséhez vagy letiltásához.

A MinVmVersionForCpuBasedMitigations Hyper-V-gazdagépekre vonatkozik. Ez a beállításkulcs határozza meg a frissített belső vezérlőprogram képességeinek használatához szükséges minimális VM-verziót (CVE-2017-5715). Állítsa ezt 1.0-ra , hogy az összes virtuálisgép-verziót lefedje. Figyelje meg, hogy ezt a beállításazonosítót a rendszer figyelmen kívül hagyja (jóindulatú) a nem Hyper-V gazdagépeken. További részletekért lásd: Vendég virtuális gépek védelme a CVE-2017-5715 ellen (elágazáscél-beszúrás).

Beállíthatom a beállításkulcsokat, mielőtt telepítem a frissítést, majd újraindíthatom a frissítést a módosítások érvénybe léptetéséhez?

Igen, nincs mellékhatása, ha ezeket a beállításjegyzék-beállításokat a 2018. januárhoz kapcsolódó javítások telepítése előtt alkalmazza.

Tudna további részletekkel szolgálni a PowerShell ellenőrzési parancsfájl kimenetéről?

A szkript kimenetének részletes leírását lásd: KB4074629: A SpeculationControl PowerShell-szkript kimenetének ismertetése .

Ha a belső vezérlőprogram (mikrokód) frissítése még nem érhető el az OEM-től, akkor is van mód a Hyper-V-gazdagép védelmére?

Igen, a Windows Server 2016 Hyper-V gazdagépek esetében, amelyeken még nem érhető el a belső vezérlőprogram frissítése, alternatív útmutatót tettünk közzé, amely segíthet a virtuális gépek közötti vagy a virtuális gépek közötti támadások mérséklésében. Lásd: Alternatív védelem a Windows Server 2016 Hyper-V-gazdagépek számára a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések ellen.

A Csak biztonsági ágra vonatkozó fióktelep esetén milyen csak biztonsági frissítéseket kell telepítenem a biztonsági rések elleni védelemhez?

A csak biztonsági frissítések nem kumulatívak. Az operációs rendszer verziójától függően előfordulhat, hogy a teljes védelem érdekében több biztonsági frissítést kell telepíteni. Az ügyfeleknek általában a 2018. januári, februári, márciusi és áprilisi frissítéseket kell telepíteniük. Az AMD processzorokkal felszerelt rendszereket további frissítésre van szükség az alábbi táblázatban látható módon:

Operációs rendszer verziója Biztonsági frissítés
Windows 8.1, Windows Server 2012 R2 KB4338815 – Havi kumulatív frissítés
KB4338824 – csak biztonság
Windows 7 SP1, Windows Server 2008 R2 SP1 vagy Windows Server 2008 R2 SP1 (Server Core-telepítés) KB4284826 – Havi kumulatív frissítés
KB4284867 – Csak biztonság
Windows Server 2008 SP2 KB4340583 – Biztonsági frissítés

Javasoljuk, hogy a csak biztonsági frissítéseket a megjelenésük sorrendjében telepítse.

Megjegyzés

A GYIK egy korábbi verziója tévesen azt állította, hogy a februári csak biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Ha telepítem bármelyik vonatkozó biztonsági frissítést, az ugyanúgy letiltja a CVE-2017-5715 védelmét, mint a KB4078130 biztonsági frissítés?

Nem. A KB4078130 biztonsági frissítés egy konkrét javítás, amely megakadályozta a kiszámíthatatlan rendszerviselkedést, a teljesítménnyel kapcsolatos problémákat és a váratlan újraindításokat a mikrokód telepítése után. A biztonsági frissítéseknek a Windows-ügyfél típusú operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows Server operációs rendszereken a megfelelő tesztelés elvégzése után is engedélyeznie kell a kockázatcsökkentő megoldásokat. További információért lásd : KB4072698.

Ismert probléma: Egyes felhasználók hálózati csatlakozási problémákat tapasztalhatnak, vagy elveszíthetik az IP-cím beállításait a 2018. március 13-i biztonsági frissítés (KB 4088875) telepítése után

Ezt a problémát KB4093118-ben megoldottuk.

Az Intel olyan újraindítási problémákat azonosított, amelyek egyes régebbi processzorok mikrokódját érintik. Mit tegyek?

2018 februárjában az Intel bejelentette , hogy befejezték az ellenőrzéseket, és elkezdték kiadni a mikrokódot az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött, a Spectre 2. variánsára, a Spectre 2. variánsára (CVE-2017-5715 | Elágazáscél-beszúrás).  KB4093836 Windows verzió szerinti tudásbázis cikkeket sorol fel. Az egyes tudásbáziscikkek tartalmazzák az Intel elérhető mikrokódfrissítéseit CPU szerint.

2018. január 11-én az Intel problémákat jelentett a nemrégiben kibocsátott mikrokódban, amelynek célja a Spectre 2. variánsa (CVE-2017-5715 | Elágazáscél-beszúrás). Az Intel konkrétan megjegyezte, hogy ez a mikrokód "a vártnál nagyobb számú újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és hogy ezek a forgatókönyvek "adatvesztést vagy -sérülést" okozhatnak. Tapasztalataink szerint a rendszer instabilitása bizonyos körülmények között adatvesztést vagy -sérülést okozhat. Január 22-én az Intel azt javasolta, hogy az ügyfelek ne telepítsék az aktuális mikrokódverziót az érintett processzorokon, amíg az Intel további teszteket végez a frissített megoldáson. Értesüléseink szerint az Intel folyamatosan vizsgálja az aktuális mikrokódverzió lehetséges hatásait. Javasoljuk ügyfeleinknek, hogy rendszeresen ellenőrizzék az útmutatóikat, hogy értesülhessenek a döntésükről.

Mialatt az Intel teszteli, frissíti és üzembe helyezi az új mikrokódot, elérhetővé tesz egy sávon kívüli (OOB) frissítést ( KB4078130), amely kifejezetten csak a CVE-2017-5715 megszüntetését célzó megoldást tiltja le. A tesztelésünk során megállapítottuk, hogy ez a frissítés megakadályozza a leírt működést. Az eszközök teljes listáját az Intel mikrokód-felülvizsgálati útmutatójában találja. Ez a frissítés a Windows 7 Service Pack 1 (SP1), a Windows 8.1 rendszerre és a Windows 10 minden verziójára vonatkozik, ügyfélre és kiszolgálóra egyaránt. Ha érintett eszközt használ, a frissítés alkalmazásához töltse le azt a Microsoft Update katalógus webhelyéről. Ennek a hasznos adatnak az alkalmazása kifejezetten csak a CVE-2017-5715 biztonsági résre vonatkozó megoldást tiltja le.

Jelenleg nincs ismert jelentés arra vonatkozóan, hogy ez a Spectre 2. variáns (CVE-2017-5715 | elágazáscél-beszúrással) történt az ügyfelek megtámadására. Azt javasoljuk, hogy szükség esetén a Windows-felhasználók engedélyezzék újra a CVE-2017-5715 biztonsági rés megszüntetését célzó megoldást, ha az Intel azt jelenti, hogy az adott eszközzel kapcsolatban megoldódott a kiszámíthatatlan rendszerműködés.

Hallottam, hogy az Intel kiadott mikrokódfrissítéseket. Hol találom őket?

2018 februárjában az Intel bejelentette , hogy befejezték az ellenőrzéseket, és elkezdték kiadni a mikrokódot az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött, a Spectre 2. variánsával és a Spectre 2. variánsával (CVE-2017-5715 | Elágazáscél-beszúrás). KB4093836 Windows verzió szerinti tudásbázis cikkeket sorol fel. A KB-k CPU szerint az Intel által elérhető mikrokódfrissítéseket sorolják fel.

További információ: AMD biztonsági Frissítések és AMD tanulmány: Architektúra-irányelvek a közvetett elágazásvezérléshez. Ezek az OEM belső vezérlőprogram-csatornán érhetők el.

A Windows 10 2018. áprilisi frissítését (1803-as verzió) futtatom. Elérhető Intel mikrokód az eszközömhöz? Hol találom meg?

A Spectre 2. variánsával (CVE-2017-5715 | Elágazáscél-beszúrás). Az Intel legújabb mikrokódfrissítéseinek a Windows Update szolgáltatáson keresztül történő letöltéséhez az ügyfeleknek Intel mikrokódot kell telepíteniük egy Windows 10 operációs rendszert futtató eszközre a Windows 10 2018. áprilisi frissítésére (1803-as verzió) való frissítés előtt.

A mikrokódfrissítés közvetlenül a Microsoft Update katalógusból is elérhető, ha a rendszer frissítése előtt nem telepítette azt az eszközre. Az Intel mikrokód a Windows Update, a Windows Server Update Services (WSUS) vagy a Microsoft Update katalógus szolgáltatáson keresztül érhető el. További információt és letöltési utasításokat a KB4100347 című témakörben talál.

Hol találhatok információt az új, spekulatív végrehajtási, oldalcsatornát érintő biztonsági résekről (Speculative Store Bypass - CVE-2018-3639 és Rogue System Register Read - CVE-2018-3640)?

További információért lásd a következő forrásokat:

Hol találok további információt a Windows által támogatott SSBD szolgáltatásról Intel processzorokban?

Lásd a ADV180012 | A Microsoft útmutatása a spekulatív Store megkerüléséhez.

Hogyan állapíthatom meg, hogy az SSBD engedélyezve vagy letiltva van-e?

Az SSBD állapotának ellenőrzése érdekében frissítettük a Get-SpeculationControlSettings PowerShell-parancsfájlt, hogy észlelje az érintett processzorokat, az SSBD operációsrendszer-frissítések állapotát és a processzor mikrokódjának állapotát (ha van). További információkért és a PowerShell-parancsfájl beszerzéséhez lásd: KB4074629.

Hallottam a "Lazy FP State Restore"-ról (CVE-2018-3665). Ad ki a Microsoft enyhítő intézkedéseket?

2018. június 13-án bejelentettek egy további biztonsági rést, amely a Lazy FP State Restore elnevezésű, spekulatív végrehajtást foglal magában, és CVE-2018-3665 lett. A biztonsági résről és a javasolt műveletekről a ADV180016 | Microsoft-útmutatás lusta FP állapot-visszaállításhoz .

Megjegyzés A Lazy Restore FP Restore használatához nincsenek szükséges konfigurációs (beállításjegyzék-) beállítások.

Hallottam, hogy a CVE-2018-3693 (Bounds Check Bypass Store) a Spectre-hez kapcsolódik. Ad ki a Microsoft enyhítő intézkedéseket?

A Bounds Check Bypass Store-t (BCBS) 2018. július 10-én hozták nyilvánosságra, és CVE-2018-3693 dedikált. Úgy véljük, hogy a BCBS ugyanabba a biztonsági résosztályba tartozik, mint a Bounds Check Bypass (1. variáns). Jelenleg nem tudunk arról, hogy a BCBS szerepelne a szoftverünkben. Azonban továbbra is vizsgáljuk ezt a sebezhetőségi osztályt, és iparági partnereinkkel együttműködve vezetjük be a kockázatcsökkentéseket. Arra biztatjuk a kutatókat, hogy minden releváns eredményt küldjenek be a Microsoft Speculative Execution Side Channel jutalomprogramba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a C++ webhelyen: Fejlesztői útmutató a spekulatív végrehajtás oldalsó csatornáihoz

Hallottam, hogy az L1 terminálhibát (L1TF) nyilvánosságra hozták. Hol találok további információt erről és a Windows-támogatásról?

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), amelyhez több CVE-t rendeltek. Ezek az új, spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések felhasználhatók a memória tartalmának megbízható határon keresztüli olvasására, és ha kihasználják őket, információfelfedéshez vezethetnek. A támadó a beállított környezettől függően több vektorral aktiválhatja a biztonsági réseket. Az L1TF az Intel® Core® és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft megközelítését az L1TF enyhítésére, a következő forrásokban talál:

Hogyan letiltani az L1TF Hyper-Threading az eszközömön?

A Hyper-Threading letiltásának lépései OEM-enként eltérnek, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részét képezik.

Hol szerezhetem be a CVE-2017-5715 problémát enyhítő ARM64 belső vezérlőprogramot \| Elágazó célpont befecskendezés (Spectre 2. variáns)?

A 64 bites ARM processzorokat használó ügyfeleknek az eszköz eredeti hardvergyártójától kell érdeklődniük a belső vezérlőprogram támogatásáért, mivel az ARM64 operációs rendszer védelme csökkenti a CVE-2017-5715 problémát | Az elágazáscél-beszúrás (Spectre, 2. variáns) érvénybe léptetéséhez a legújabb belső vezérlőprogram-frissítés szükséges az eszköz eredeti gyártóitól.

Hol találok információkat az Intel által a mikroarchitekturális adatok mintavételezésével kapcsolatos információval kapcsolatban (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

További információért tekintse meg az alábbi biztonsági tanácsokat

Hol találom az adatmintavételezés mikroarchitekturális biztonsági réseinek mérsékléséhez szükséges műveletek meghatározására vonatkozó forgatókönyv-alapú útmutatást?

További útmutatás a Windows spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemre vonatkozó útmutatójában található.

Hogyan letiltani az MDS-hez kapcsolódó Hyper-Threading az eszközömön?

A spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemre vonatkozó Windows-útmutatóban talál útmutatást

Hol találok útmutatást az Azure-hoz?

Az Azure-ral kapcsolatos útmutatásért tekintse meg ezt a cikket: Útmutató a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések csökkentéséhez az Azure-ban.

Hol tudhatok meg többet a Retpoline engedélyezéséről a Windows 10, 1809-es verzió esetén?

A Retpoline engedélyezésével kapcsolatos további információkért tekintse meg blogbejegyzésünket: A Spectre 2. variánsának enyhítése a Retpoline-nal Windows rendszeren .

Hallottam, hogy van egy változata a Spectre Variant 1 spekulatív végrehajtási oldalcsatornás sebezhetőségének. További információk

A biztonsági réssel kapcsolatos részletekért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows-kernel információfelfedését lehetővé tevő biztonsági rés.

A CVE-2019-1125 \| A Windows-kernel információfelfedési biztonsági rése érinti a Microsoft felhőszolgáltatásait?

Nem tudunk arról, hogy ez az adatfelfedési biztonsági rés hatással lenne a felhőszolgáltatási infrastruktúránkra.

Ha a CVE-2019-1125 \| A Windows-kernel információfelfedésével kapcsolatos biztonsági rés 2019. július 9-én jelent meg, miért tették közzé a részleteket 2019. augusztus 6-án?

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán és egy frissítés kiadásán. Szilárdan hiszünk a kutatókkal és az iparági partnerekkel való szoros együttműködésben az ügyfelek biztonságának növelése érdekében, és csak augusztus 6-án, kedden tettük közzé a részleteket, összhangban az összehangolt sebezhetőség-közzétételi gyakorlattal.

Hol találom az Intel tranzakciószinkronizálási bővítmények (Intel TSX) aszinkron tranzakciómegszakítási sérülékenységének (CVE-2019-11135) mérsékléséhez szükséges műveleteket meghatározó forgatókönyv-alapú útmutatást?

További útmutatás a Windows útmutatójában található, amely védelmet nyújt a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések ellen.

Le Hyper-Threading kell tiltanom az Intel Transactional Synchronization Extensions (Intel TSX) aszinkron tranzakciómegszakítási sérülékenységét (CVE-2019-11135) az eszközömön?

További útmutatás a Windows útmutatójában található, amely védelmet nyújt a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések ellen.

Le lehet tiltani az Intel tranzakciószinkronizálási bővítmények (Intel TSX) képességét?

További útmutatást az Útmutató az Intel tranzakciószinkronizálási bővítmények (Intel TSX) képesség letiltásához című részben talál.

Hivatkozások

Harmadik felektől származó információkra vonatkozó jogi nyilatkozat

A jelen cikkben tárgyalt, külső féltől származó termékeket a Microsofttól független cégek készítik. Nem vállalunk sem kifejezett, sem más jellegű jótállást e termékek megbízhatóságára és működésére vonatkozóan.

Azért biztosítjuk harmadik felek elérhetőségi adatait, hogy a felhasználók könnyebben találhassanak technikai támogatást. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk az ezen harmadik félre vonatkozó elérhetőségi adatok pontosságát.