Ajánlott műveletek

Az ügyfeleknek az alábbi lépéseket kell követniük a biztonsági rések elleni védelem érdekében:

  1. Az összes elérhető Windows, beleértve a havi Windows biztonsági frissítéseket is.

  2. Alkalmazza az eszköz gyártójától a megfelelő belső vezérlőprogram -frissítést (microcode).

  3. Mérje fel a környezetét a Microsoft biztonsági tanácsadóira vonatkozó információk alapján: ADV180002,ADV180012, ADV190013, és az ebben a Tudásbáziscikkben megadott információk alapján.

  4. A tudásbáziscikkben található tanácsadók és beállításkulcs-információk használatával a szükséges lépéseket kell megadnia.

Megjegyzés:A Surface-ügyfelek a frissítéseken keresztül megkapják a Windows frissítést. A Surface-eszköz belső vezérlőprogramjának (microcode) legújabb frissítéseit a KB4073065.

A Gépház kezelési Windows megoldása

Az ADV180002,az ADV180012és az ADV190013 biztonsági figyelmeztetések információt nyújtanak az ilyen biztonsági rések által jelentett kockázatról.  Emellett segítséget jelentenek a biztonsági rések azonosításában és az alapértelmezett kezelési megoldások Windows megoldásában. Az alábbi táblázat összefoglalja a processzor-mikrokód követelményét és a kiszolgáló által Windows megoldások Windows állapotát.

CVE

Processzor-mikrokódot/belső vezérlőprogramot igényel?

Megoldás: Alapértelmezett állapot

CVE-2017-5753

Nem

Alapértelmezés szerint engedélyezve (letiltható beállítás nélkül)

További információért lásd: ADV180002

CVE-2017-5715

Igen

Alapértelmezés szerint le van tiltva.

További információt az ADV180002-ben és ebben a tudásbáziscikkben talál a vonatkozó beállításkulcs-beállításokról.

Megjegyzés Ha a Spectre Variant 2 ( CVE-2017-5715 ) engedélyezve van, akkor Windows 10 1809-es vagy újabb verzióban a "Retpoline" alapértelmezés szerint engedélyezve van. További információért a "Retpoline" körül kövesse a Mitigating Spectre 2-es variánsát a Retpoline Windows blogbejegyzésben.

CVE-2017-5754

Nem

Windows Server 2019 esetén Windows Server 2022: Alapértelmezés szerint engedélyezve van.
Windows Server 2016 korábbi verziók: Alapértelmezés szerint le van tiltva.

További információért lásd: ADV180002.

CVE-2018-3639

Intel: Igen

AMD: Nem

Alapértelmezés szerint le van tiltva. További információt az ADV180012 című cikkben és ebben a tudásbáziscikkben talál a vonatkozó beállításkulcs-beállításokról.

CVE-2018-11091

Intel: Igen

Windows Server 2019 esetén Windows Server 2022: Alapértelmezés szerint engedélyezve van.
Windows Server 2016 korábbi verziók: Alapértelmezés szerint le van tiltva.

További információt az ADV190013 című cikkben és ebben a tudásbáziscikkben talál a vonatkozó beállításkulcs-beállításokról.

CVE-2018-12126

Intel: Igen

Windows Server 2019 esetén Windows Server 2022: Alapértelmezés szerint engedélyezve van.
Windows Server 2016 korábbi verziók: Alapértelmezés szerint le van tiltva.

További információt az ADV190013 című cikkben és ebben a tudásbáziscikkben talál a vonatkozó beállításkulcs-beállításokról.

CVE-2018-12127

Intel: Igen

Windows Server 2019 esetén Windows Server 2022: Alapértelmezés szerint engedélyezve van.
Windows Server 2016 korábbi verziók: Alapértelmezés szerint le van tiltva.

További információt az ADV190013 című cikkben és ebben a tudásbáziscikkben talál a vonatkozó beállításkulcs-beállításokról.

CVE-2018-12130

Intel: Igen

Windows Server 2019 esetén Windows Server 2022: Alapértelmezés szerint engedélyezve van.
Windows Server 2016 korábbi verziók: Alapértelmezés szerint le van tiltva.

További információt az ADV190013 című cikkben és ebben a tudásbáziscikkben talál a vonatkozó beállításkulcs-beállításokról.

CVE-2019-11135

Intel: Igen

Windows Server 2019 esetén Windows Server 2022: Alapértelmezés szerint engedélyezve van.
Windows Server 2016 korábbi verziók: Alapértelmezés szerint le van tiltva.

További információt a CVE-2019-11135 című cikkben és ebben a Tudásbázis-cikkben talál a vonatkozó beállításkulcs-beállításokról.

Azok az ügyfelek, akik a biztonsági rések ellen minden rendelkezésre álló védelmet meg szeretnék szerezni, a beállításkulcs módosításával engedélyezniük kell az alapértelmezés szerint letiltott megoldások megoldását.

A kezelési megoldások engedélyezése befolyásolhatja a teljesítményt. A teljesítményeffektusok skálája több tényezőtől függ, például a fizikai állomás adott eszközétől és a futó munkaterheléstől. Azt javasoljuk, hogy az ügyfelek mérjék fel a környezetük teljesítményhatását, és végezjék el a szükséges módosításokat.

Ha a kiszolgáló az alábbi kategóriák valamelyikében található, nagyobb kockázatnak van kitéve:

  • Hyper-V hosts – Védelmet igényel a VM-ről VM-re és a VM-to-host gépekre való támadásokhoz.

  • Távoli asztali szolgáltatások állomásai (RDSH) – Védelmet igényel az egyik munkamenettől a másik munkamenethez vagy a munkamenetek–gazdakiszolgálói támadásoktól.

  • Nem megbízható kódot futtató fizikai állomások vagy virtuális gépek,például tárolók vagy nem megbízható bővítmények adatbázishoz, nem megbízható webes tartalomhoz vagy külső forrásokból származó kódot futtató munkaterheléshez. Ezek védelmet igényelnek a nem megbízható folyamat–egy másik folyamat vagy a nem megbízható folyamat–kernel támadásokkal szemben.

Az alábbi beállításkulcs-beállításokkal engedélyezze a megoldásokat a kiszolgálón, és indítsa újra a rendszert a módosítások érvénybe léptéhez.

Megjegyzés:Az alapértelmezés szerint kikapcsolt megoldások engedélyezése befolyásolhatja a teljesítményt. A tényleges teljesítményeffektus több tényezőtől függ, például az eszköz adott lapja és a futó munkaterhelések.

Beállításjegyzék-beállítások

Az alábbi beállításjegyzék-információkat az alapértelmezés szerint nem engedélyezett megoldások engedélyezéséhez nyújtjuk, az ADV180002,az ADV180012és az ADV190013biztonsági tanácsadókban dokumentálva.

Ezenkívül beállításkulcs-beállításokat biztosítunk az olyan felhasználóknak, akik le szeretnék tiltani a CVE-2017-5715 és a CVE-2017-5754 megoldásokat a Windows esetén.

                Fontos Ez a szakasz, módszer vagy feladat a beállításjegyzék módosításának lépéseit tartalmazza. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért ügyeljen arra, hogy pontosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonságimentőt kell a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésével és visszaállításával kapcsolatos további információkért kattintson a következő cikkszámra a Microsoft Tudásbázisban található cikk megtekintéséhez:

322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben

A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Elolvadás) kezelési megoldásának kezelése

Fontos megjegyzés A Retpoline alapértelmezés szerint engedélyezett Windows 10, 1809-es verzió, ha a Spectre, Variant 2 ( CVE-2017-5715 ) engedélyezve van. A Retpoline engedélyezése az Windows 10 legújabb verziójában megnövelheti a 2-es verziójú Spectre Windows 10, 1809-es verzió-kiszolgálók teljesítményét, különösen a régebbi processzorok esetén.

A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Elolvadás) megoldásának engedélyezése

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V funkció telepítve van, adja meg a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V állomás, és a belső vezérlőprogram-frissítéseket alkalmazta: Teljesen állítsa le az összes virtuális gépet. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kezelési mód alkalmazását a gazdaszámítógépen a virtuális gépek elkezdése előtt. Ezért a VM-ek az újraindításkor is frissülnek.

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Elolvadás) kezelési megoldásának letiltása

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.


Megjegyzés A FeatureSettingsOverrideMask 3-ra állítása mind az "engedélyezés", mind a "letiltás" beállításnak megfelelő. (Abeállításkulcsokkal kapcsolatos további információkért lásd a " GYIK " című szakaszt.)

A CVE-2017-5715 kezelési megoldásának kezelése (Spectre Variant 2)

A 2. változó letiltásához: (CVE-2017-5715  "Branch Target Injection") megoldás:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

A 2. változó engedélyezéséhez: (CVE-2017-5715  "Branch Target Injection") megoldás:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

Csak AMD-processzorok: A CVE-2017-5715 teljes kezelési lehetőségének engedélyezése (Spectre Variant 2)

Alapértelmezés szerint a CVE-2017-5715 felhasználói szintű védelme le van tiltva az AMD processzorok esetén. A CVE-2017-5715 további védelméhez az ügyfeleknek engedélyezniük kell a megoldási lehetőségeket.  További információ: Gyakori kérdések #15 az ADV180002-ben.

Felhasználói–kernel-védelem engedélyezése AMD-processzorok számára a CVE 2017-5715 egyéb védelmével együtt:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V funkció telepítve van, adja meg a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V állomás, és a belső vezérlőprogram-frissítéseket alkalmazta: Teljesen állítsa le az összes virtuális gépet. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kezelési mód alkalmazását a gazdaszámítógépen a virtuális gépek elkezdése előtt. Ezért a VM-ek az újraindításkor is frissülnek.

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

Kezelheti a CVE-2018-3639 (speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Elolvadás)

A CVE-2018-3639 (speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Elolvadás) megoldás engedélyezéséhez:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V funkció telepítve van, adja meg a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V állomás, és a belső vezérlőprogram-frissítéseket alkalmazta: Teljesen állítsa le az összes virtuális gépet. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kezelési mód alkalmazását a gazdaszámítógépen a virtuális gépek elkezdése előtt. Ezért a VM-ek az újraindításkor is frissülnek.

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

A CVE-2018-3639 (Spekulatív tárolás megkerülése) és a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Eltolás) kezelési megoldások letiltása

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

AMD-processzorok esetén: A CVE-2017-5715 (Spectre Variant 2) és a CVE 2018-3639 (Speculative Store Bypass) teljes kezelési lehetőségének engedélyezése

Az AMD-processzorok alapértelmezés szerint le vannak tiltva a CVE-2017-5715 felhasználói-kernel elleni védelemben. A CVE-2017-5715 további védelméhez az ügyfeleknek engedélyezniük kell a megoldási lehetőségeket.  További információ: Gyakori kérdések #15 az ADV180002-ben.

Felhasználói–kerneles védelem engedélyezése AMD-processzorok esetén, valamint egyéb, CVE 2017-5715-ös és CVE-2018-3639-es védelem (spekulatív tárolás megkerülése):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V funkció telepítve van, adja meg a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V állomás, és a belső vezérlőprogram-frissítéseket alkalmazta: Teljesen állítsa le az összes virtuális gépet. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kezelési mód alkalmazását a gazdaszámítógépen a virtuális gépek elkezdése előtt. Ezért a VM-ek az újraindításkor is frissülnek.

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) és Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126) kezelése CVE-2018-12127, CVE-2018-12130) a Spectre [ CVE-2017-5753 & CVE-2017-5715 ] és az Elolvadás [ CVE-2017-5754 ] variációk, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] and L1 Terminálhiba (L1TF) [ CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646 ]

Az Intel® a transactional Synchronization Extensions (Intel® TSX) tranzakciós Aszinkron Abort biztonsági rés(CVE-2019-11135)és a microarchitecturaldata Sampling(CVE-2018-11091, CVE-2018-12126 , CVE-20126) megoldás engedélyezéséhezVE-2018-12127, CVE-2018-12130) aSpectre [CVE-2017-5753 & CVE-2017-5715] és az Elolvadás [CVE-2017-5754] változatokkal, including Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] valamint az L1 terminálhibát (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] a hipertéma letiltása nélkül:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V funkció telepítve van, adja meg a következő beállításjegyzék-beállítást:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V állomás, és a belső vezérlőprogram-frissítéseket alkalmazta: Teljesen állítsa le az összes virtuális gépet. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kezelési mód alkalmazását a gazdaszámítógépen a virtuális gépek elkezdése előtt. Ezért a VM-ek az újraindításkor is frissülnek.

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

Az Intel® a tranzakciós szinkronizálás bővítményei (Intel® TSX) aszinkron Abort biztonsági rése (CVE-2019-11135)és Microarchitectural Data Sampling (CVE-2018-11091 , CVE-2018-12126 , CVE-2126 ) kezelési módszerek engedélyezéseVE-2018-12127, CVE-2018-12130) aSpectre [ CVE-2017-5753 & CVE-2017-5715 ] és az Elolvadás [ CVE-2017-5754 ] variációk, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] valamint az L1 terminálhiba (L1TF) [ CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646 ] úgy, hogy Hyper-Threading letiltott:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V funkció telepítve van, adja meg a következő beállításjegyzék-beállítást:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V állomás, és a belső vezérlőprogram-frissítéseket alkalmazta: Teljesen állítsa le az összes virtuális gépet. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kezelési mód alkalmazását a gazdaszámítógépen a virtuális gépek elkezdése előtt. Ezért a VM-ek az újraindításkor is frissülnek.

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

Az Intel® a tranzakciós szinkronizálás bővítményei (Intel® TSX) tranzakciós aszinkron abort biztonsági rése(CVE-2019-11135)és a microarchitecturaldata sampling (CVE-2018-11091 , CVE-2018-12126 , CVE-20126) és Microarchitectural Data Sampling (CVE-2018-11091 , CVE-20126 , CVE-20126) és Microarchitectural Data Sampling(CVE-2018-11091, CVE-2018-12126 , CVE-20126)szoftveres megoldások letiltásaVE-2018-12127, CVE-2018-12130) aSpectre [ CVE-2017-5753 & CVE-2017-5715 ] és az Elolvadás [ CVE-2017-5754 ] variációk, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] valamint az L1 terminálhiba (L1TF) [ CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Indítsa újra a számítógépet a módosítások érvénybe léptéhez.

A védelem engedélyezett voltának ellenőrzése

Az ügyfelek számára a védelem engedélyezett voltának ellenőrzése érdekében a Microsoft közzétett egy PowerShell-parancsprogramot, amely az ügyfelek számára futtatható a rendszerükről. Telepítse és futtassa a parancsfájlt az alábbi parancsok futtatásával.

PowerShell-ellenőrzés a PowerShell-gyűjtemény használatával (Windows Server 2016 WMF 5.0/5.1)

Telepítse a PowerShell modult:

PS> Install-Module SpeculationControl

A PowerShell modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmi eszközök:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-ellenőrzés a Technetről (az operációs rendszer korábbi verzióiból és a KORÁBBI WMF-verziókból) származó letöltéssel

Telepítse a PowerShell modult a Technet ScriptCenterból:

  1. Ugrás a https://aka.ms/SpeculationControlPS .

  2. Töltse SpeculationControl.zip egy helyi mappába.

  3. Bontsa ki a tartalmat egy helyi mappába. Például: C:\ADV180002

A PowerShell modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmi eszközök:

Indítsa el a PowerShellt, majd az előző példát használva másolja és futtassa az alábbi parancsokat:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


A PowerShell-parancsprogram kimenetének részletes magyarázatát a Tudásbázis következő 4074629. 

Gyakori kérdések

A 2018. januárban és februárban kiadott Windows az ügyfeleket érintő negatív hatás elkerülése érdekében a rendszer nem minden ügyfélnek biztosította a biztonsági frissítéseket. További információt a Microsoft Tudásbázis következő cikkében 4072699.

A mikrokód belső vezérlőprogram-frissítésen keresztül lesz kézbesítve. Olvassa el az OEM-t arról a belső vezérlőprogram-verzióról, amely rendelkezik a számítógép megfelelő frissítésével.

Több változó is befolyásolja a teljesítményt, a rendszer verziójától kezdve a futó munkaterhelésekig. Egyes rendszerekben a teljesítményeffektusok egy-egy 0-s lesz. Mások számára ez jelentős lesz.

Azt javasoljuk, hogy mérje fel a rendszerek teljesítményhatását, és szükség szerint módosításokat végez.

A cikkben a virtuális gépekkel kapcsolatos útmutatáson kívül lépjen kapcsolatba a szolgáltatójával, és győződjön meg arról, hogy a virtuális gépeket futtató állomások megfelelő védelemben vannak.

Az Windows Azure-ban futó kiszolgálói virtuális gépekről az Útmutató az Azure-ban a csatornaoldali biztonsági rések kivezetéséhez Ha segítségre van szüksége arról, hogy az Azure Update Management segítségével hogyan csökkentheti a problémát a vendég virtuális gépeken, tekintse meg a Microsoft Tudásbázis következő 4077467.

A Windows Server tárolóképeihez az Windows Server 2016 és a Windows 1709-es verzióban megjelent frissítések tartalmazzák az ilyen biztonsági rések halmazának megoldását. Nincs szükség további konfigurációra.

Megjegyzés Ennek továbbra is meg kell győződnie arról, hogy a tárolókat futtató állomás konfigurálva van a megfelelő kezelési megoldások engedélyezésére.

Nem, a telepítési sorrend nem számít.

Igen, a belső vezérlőprogram (microcode) frissítése, majd a rendszerfrissítés után újra kell indítania a frissítést.

A beállításkulcsok részletes adatai:

A FeatureSettingsOverride olyan bitképet jelent, amely felülbírálja az alapértelmezett beállítást, és szabályozza, hogy milyen kezelési beállítások lesznek letiltva. A bit 0 szabályozza a CVE-2017-5715-nek megfelelő kezelési megoldásokat. Az 1. bit szabályozza a CVE-2017-5754-nek megfelelő kezelési megoldásokat. A bitek a 0-ra vannak állítva a megoldás engedélyezéséhez, 1-re a megoldás letiltásához.

FeatureSettingsOverrideMask – A FeatureSettingsOverridebeállítással együtt használt bitképmaszk.  Ebben az esetben a 3 értéket (amelyet 11-ként képviselünk a bináris számrendszerben vagy a 2-es számrendszerben) a rendelkezésre álló kezelési megoldásoknak megfelelő első két bit jelzésére használjuk. A beállításkulcs 3-ra van állítva a kezelési megoldások engedélyezéséhez vagy letiltásához.

A MinVmVersionForCpuBasedMitigations a Hyper-V-állomásokhoz tartozik. Ez a beállításkulcs határozza meg a frissített belső vezérlőprogram-funkciók (CVE-2017-5715) használatához szükséges minimális VM-verziót. Állítsa ezt 1.0-ra, hogy lefedje az összes VM-verziót. Figyelje meg, hogy ezt a beállításjegyzékbeli értéket a nem Hyper-V-t tartalmazó állomásokon a rendszer figyelmen kívül hagyja (a rendszer). További részletekért lásd: Vendég virtuális gépek védelme a CVE-2017-5715-től (fiók cél beadásának) .

Igen, nincsenek side effects, ha a 2018. januári javítások telepítése előtt alkalmazza ezeket a beállításjegyzék-beállításokat.

A parancsfájl kimenetének részletes leírását A PowerShell Get-SpeculationControlSettings parancsprogram kimenetének ismertetése Get-SpeculationControlSettings.

Igen, Windows Server 2016 Hyper-V-t tartalmazó állomásokhoz, amelyeken még nem érhető el a belső vezérlőprogram frissítése, közzétettünk egy alternatív útmutatót, amely segíthet a VM-ről VM-re vagy VM-re csökkenthető a támadások irányítása érdekében. Lásd: Az Windows Server 2016 Hyper-V Hosts alternatív védelmei a végrehajtási oldalcsatornákban található, spekulatív biztonsági résekkel szemben.

A csak biztonsági frissítések nem kumulatívak. Az operációs rendszer verziójától függően előfordulhat, hogy több biztonsági frissítést is telepítenie kell a teljes védelem érdekében. Általánosságban elmondható, hogy az ügyfeleknek telepíteni kell a 2018. januári, februári, márciusi és áprilisi frissítéseket. Az AMD-processzorokkal rendelkezik rendszerekhez további frissítés szükséges, az alábbi táblázatban látható módon:

Operációs rendszer verziója

Biztonsági frissítés

Windows 8.1, Windows Server 2012 R2

4338815 – Havi összegző

4338824 – Csak biztonság

Windows 7 SP1, Windows Server 2008 R2 SP1 vagy Windows Server 2008 R2 SP1 (Server Core telepítés)

4284826 – Havi összegző

4284867 – Csak biztonság

Windows Server 2008 SP2

4340583 – biztonsági frissítés

Azt javasoljuk, hogy a megjelenés sorrendjében telepítse a Csak biztonsági frissítéseket.

Megjegyzés   A gyakori kérdések egyik korábbi verziója helytelenül jelenti be, hogy a februári csak biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Nem. A KB 4078130 frissítés egy konkrét javítás volt, amely kiszámíthatatlan rendszerviselkedéseket, teljesítménybeli problémákat és váratlan újraindításokat akadályozott meg a mikrokód telepítése után. Ha a biztonsági frissítéseket ügyféloldali Windows alkalmazza, mindhárom módszer elérhetővé válik. A Windows Server operációs rendszereken a megfelelő tesztelés után is engedélyeznie kell a megoldásokat. További információt a Microsoft Tudásbázis következő cikkében 4072698.

Ezt a problémát megoldottuk a kb. 4093118.

2018 februárjában az Intel bejelentette, hogy befejezték az ellenőrzésüket, és elindította a mikrokód kiadását az újabb CPU-platformokra. A Microsoft elérhetővé teszi a Spectre Variant 2 Spectre Variant 2-re (CVE-2017-5715 – "Branch Target Injection") vonatkozó ellenőrzött mikrokód-frissítéseket. A TUDÁSBÁZIS 4093836 tudásbáziscikkeket sorol fel az Windows alapján. Minden egyes tudásbáziscikk tartalmazza az Intel-mikrokódok processzorenként elérhető frissítéseit.

2018. január 11.Az Intel a 2-es variáns (CVE-2017-5715 – "Branch Target Injection") címmel kapcsolatos problémákat jelentett a nemrégiben kiadott mikrokódban. Az Intel konkrétan azt vette fel, hogy ez a mikrokóda vártnál magasabb szintű újraindításokat és más kiszámíthatatlan rendszerviselkedést okozhat, és hogy ezek az esetek adatvesztést vagy sérüléstokozhatnak. " Tapasztalataink szerint a rendszer instabillá válhat bizonyos körülmények között adatvesztéssel vagy sérüléssel. Az Intel január 22-én azt ajánlotta, hogy az ügyfelek leállítsák a jelenlegi microcode-verzió telepítését az érintett processzorok esetében, az Intel pedig további vizsgálatot végez a frissített megoldáson. Tudjuk, hogy az Intel továbbra is vizsgálja a jelenlegi mikrokódverzió lehetséges hatását. Azt javasoljuk az ügyfeleinknek, hogy folyamatosan tekintsenek át útmutatást a döntések meghozatalához.

Miközben az Intel teszteli, frissíti és telepíti az új microcode-okat, elérhetővé válik egy automatikus OOB-frissítés, a KB 4078130, amely kifejezetten csak a CVE-2017-5715-re vonatkozó kezelési lehetőségeket tiltja le. A tesztelés során azt találtuk, hogy ez a frissítés meggátolja a leírt viselkedést. Az eszközök teljes listáját az Intel microcode-re vonatkozó útmutatója tartalmazza. Ez a frissítés a Windows 7 Service Pack 1 (SP1), az Windows 8.1 és a Windows 10 összes verziójára vonatkozik, ügyfélre és kiszolgálóra egyaránt. Ha érintett eszközt használ, ezt a frissítést a Microsoft Update Catalog webhelyről való letöltéssel lehet alkalmazni. A terhelés alkalmazása kifejezetten csak a CVE-2017-5715-ös CVE-re vonatkozó kezelési beállításokat tiltja le.

Jelenleg nincs olyan ismert jelentés, amely szerint ezt a Spectre 2-es variánst (CVE-2017-5715 – "Branch Target Injection") használták volna támadásra. Azt javasoljuk, hogy szükség esetén a Windows újra a CVE-2017-5715 megoldását, amikor az Intel azt jelenti, hogy az eszköz kiszámíthatatlan rendszerviselkedési probléma megoldódott.

2018 februárjában azIntel bejelentette, hogy befejezték az ellenőrzésüket, és elindította a mikrokód kiadását az újabb CPU-platformokra. A Microsoft elérhetővé teszi a Spectre Variant 2 Spectre Variant 2 -re (CVE-2017-5715 – "Branch Target Injection") vonatkozó, Intel által ellenőrzött mikrokód-frissítéseket. A TUDÁSBÁZIS 4093836 tudásbáziscikkeket sorol fel az Windows alapján. A KBs lista az Intel-mikrokódok processzorok szerint elérhető frissítéseit tartalmazza.

További információ: Az AMD biztonsági frissítései és az AMD Whitepaper: Architektúra útmutatója a közvetett ágak szabályozása körül. Ezek az OEM belső vezérlőprogram csatornából érhetők el.

A Spectre 2-es variánsát (CVE-2017-5715 – "Branch Target Injection ") érintő, Intel által ellenőrzött mikrokód-frissítéseket jelentetünk meg. Ahhoz, hogy az Windows Update szolgáltatáson keresztül is telepítve legyen az Intel-mikrokód legújabb frissítése, az ügyfeleknek telepíteniük kell az Intel-mikrokódot az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10(1803-as verzió) frissítés előtt.

A mikrokód-frissítés közvetlenül a Microsoft Update katalógusából is elérhető, ha a rendszer frissítése előtt nem volt telepítve az eszközön. Az Intel microcode a Windows, a Windows Server Update Services (WSUS) vagy a Microsoft Update Katalóguson keresztül érhető el. További információt és a letöltési utasításokat a KB-4100347.

Lásd az   ADV180012-es alkalmazások Ajánlott műveletek és gyakori kérdések című | A Microsoft útmutatója a "Speculative Store Bypass" alkalmazáshoz.

Az SSBD állapotának ellenőrzéséhez frissítettük a Get-ScriptSettings PowerShell parancsprogramot az érintett processzorok, az SSBD operációs rendszer frissítésének állapota és a processzor mikrokódjának állapota (ha van ilyen). További információért és a PowerShell-parancsprogram beszerzéséhez lásd a KB-4074629.

2018. június 13-án bejelentettük és hozzárendelték a CVE-2018-3665-ös CVE-2018- A biztonsági résről és az ajánlott műveletekről az ADV180016 biztonsági tanácsadó által | Microsoft Guidance for Lazy FP State Restore .

Megjegyzés: A Lassú visszaállítás FP visszaállításhoz nincsenek kötelező konfigurációs beállítások (beállításjegyzék).

A kötött ellenőrző bypass store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanannak a biztonsági réseknek az osztálya, mint a Kötött ellenőrző megkerülés (1. változó). Jelenleg nem tudunk a BCBS szoftverben lévő példányairól. Továbbra is dolgozunk azonban ennek a biztonsági osztálynak a kutatásán, és az iparági partnerekkel együtt dolgozunk a megoldások szükség szerint való kibocsátásán. Arra biztatjuk a tanulókat, hogy küldjenek el minden vonatkozó információt a Microsoft Speculative Execution Side Channel programnak , beleértve a BCBS bármely kihasználható példányát. A szoftverfejlesztőknek át kell vizsgálniuk a BCBS-hez frissített fejlesztői útmutatót a C++ fejlesztői útmutató a tervezett végrehajtási csatornákhoz.

2018. augusztus 14-én az L1 terminálhibát (L1TF) több CV-t jelentettünk be és rendeltünk hozzá. Ezek az új, spekulatív végrehajtási oldalsó rések felhasználhatók a memóriatartalom megbízható határértéken keresztüli olvasására, és ha kihasználják, az információk nyilvánosságra hozását is lehetővé tévőek. A támadóknak többféle vektorjuk is lehet, amelyek a konfigurált környezettől függően kiválthatja a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett esetek részletes megtekintéséről, többek között a Microsoft L1TF-kockázat-megoldási módszerének részletes megtekintéséről az alábbi forrásokban információkat is megtekinthet:

A hardverek letiltásához szükséges lépések Hyper-Threading oemtől az OEM-től, de általában a TOK vagy a belső vezérlőprogram telepítő- és konfigurációs eszközeinek részét képezi.

A 64 bites ARM-processzorokat felhasználók az eszköz számítógépgyártótól kérnek belső vezérlőprogram-támogatást, mert a CVE-2017-5715 - Branch target (Spectre, Variant 2) vezérlőprogram-frissítést kell életbe vinnie az eszköz gépén az operációs rendszer belső vezérlőprogramjának legújabb frissítéséhez.

További útmutatást az útmutatóban Windows talál, amely védelmet nyújt a csatornaoldali biztonsági rések végrehajtási oldalán

Kérjük, olvassa el az útmutatót Windows útmutatóban, amely védelmet nyújt a csatornaoldali résekkel kapcsolatos, találó végrehajtással szemben.

Az Azure-ra vonatkozó útmutatásért tanulmányozza a következő cikket: Útmutató az Azure-ban a csatornaoldali biztonsági rések távoli végrehajtással kapcsolatos biztonsági réseinek a mérvadó kockázatának elkerüléséhez.

A Retpoline engedélyezéséről további információt a következő blogbejegyzésben talál: A Spectre 2., a Retpoline és a Windows.

A biztonsági résről a Microsoft biztonsági útmutatójában olvashat: CVE-2019-1125 | Windows Kernel information Disclosure Vulnerability .

Nem tudunk a jelen információ nyilvánosságra hozatala biztonsági résének bármilyen olyan példányáról, amely a felhőbeli szolgáltatási infrastruktúrát érinti.

Amint értesültünk a problémáról, gyorsan dolgozunk a megoldásán, és kiadunk egy frissítést. Meggyőződésünk, hogy a kutatópartnerekkel és az iparági partnerekkel való szoros együttműködés érdekében az ügyfelek nagyobb biztonságban vannak, és augusztus 6-áig nem tett közzé adatokat az összehangolt biztonsági rés nyilvánosságra hozását lehetővé t t vevők számára.

További útmutatást az útmutatóban Windows talál a végrehajtási oldalcsatornák biztonsági rései elleni védelemhez.

További útmutatást az útmutatóban Windows talál a végrehajtási oldalcsatornák biztonsági rései elleni védelemhez.

További útmutatást az Útmutató az Intel® transactional Synchronization Extensions (Intel® TSX)funkció letiltására vonatkozó útmutatóban talál.

Harmadik felektől származó információkra vonatkozó jognyilatkozat

A cikkben említett, külső féltől származó termékeket a Microsofttól független cégek gyártották. A Microsoft semmilyen (hallgatólagos vagy más) jótállást nem vállal e termékek teljesítményére vagy megbízhatóságára.

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük visszajelzését!

×