Windows Server panduan untuk melindungi spekulatif eksekusi sisi-saluran kerentanan

Berlaku untuk: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Lebih banyak

Ringkasan


Microsoft telah mengetahui kelas publik dibuka baru kerentanan yang disebut "spekulatif eksekusi sisi-saluran serangan" dan yang mempengaruhi banyak modern prosesor Intel, AMD dan ARM.

Catatan Masalah ini juga mempengaruhi sistem operasi lain, seperti Android, Chrome, iOS dan macOS. Oleh karena itu, kami menyarankan pelanggan untuk mendapatkan petunjuk dari vendor tersebut.

Microsoft telah merilis beberapa pembaruan untuk membantu mengurangi kerentanan ini. Kami juga telah mengambil tindakan untuk menjamin layanan cloud kami. Lihat bagian berikut ini untuk informasi lebih lanjut.

Microsoft belum menerima informasi apa pun untuk menunjukkan kerentanan ini digunakan untuk menyerang pelanggan. Microsoft bekerja sama dengan mitra industri termasuk pembuat chip, perangkat keras OEM vendor aplikasi untuk melindungi pelanggan. Untuk mendapatkan semua perlindungan yang tersedia, firmware (pengendali) dan perangkat lunak pembaruan diperlukan. Ini mencakup pengendali dari perangkat OEM dan, dalam beberapa kasus, pembaruan perangkat lunak antivirus.

Artikel ini membahas kerentanan berikut ini:

Untuk mempelajari selengkapnya tentang kelas kerentanan, lihat ADV180002 dan ADV180012.

Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda mendapatkan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Microsoft tidak menjamin keakuratan informasi kontak dari produsen pihak ketiga ini.

Tindakan yang disarankan


Pelanggan harus mengambil tindakan berikut ini untuk membantu melindungi terhadap kerentanan berikut ini:

  1. Menerapkan semua sistem operasi Windows tersedia pembaruan, termasuk pembaruan keamanan Windows bulanan. Untuk rincian tentang cara mengaktifkan ini update, see Basis Pengetahuan Microsoft artikel 4072699.
  2. Menerapkan pembaruan berlaku firmware (pengendali) dari pabrik perangkat (OEM).
  3. Evaluasi risiko lingkungan Anda berdasarkan informasi yang ada di penasihat keamanan MicrosoftADV180002danADV180012dan dalam artikel Pangkalan Pengetahuan ini.
  4. Mengambil tindakan yang diperlukan menggunakan penasihat dan informasi kunci registri yang disediakan di artikel Pangkalan Pengetahuan ini.

Mengaktifkan perlindungan pada Windows Server


Mitigations untuk CVE 2017 5753 diaktifkan secara default pada Windows Server, dan ada opsi administrator tidak tersedia untuk menonaktifkannya. Mitigations untuk kerentanan tiga lainnya yang dijelaskan di artikel ini dinonaktifkan secara default. Pelanggan yang ingin mendapatkan semua tersedia perlindungan terhadap kerentanan harus membuat perubahan kunci registri untuk mengaktifkan mitigations ini.

Mengaktifkan mitigations ini dapat mempengaruhi kinerja. Skala efek kinerja tergantung pada beberapa faktor, seperti chipset tertentu di host Anda fisik dan beban kerja yang berjalan. Kami menyarankan bahwa pelanggan menilai efek kinerja untuk lingkungan mereka dan membuat penyesuaian apapun yang diperlukan.

Server Anda tidak meningkatkan risiko jika di salah satu dari kategori berikut ini:

  • Hyper-V host-memerlukan perlindungan serangan VM untuk VM dan VM untuk host.
  • Host layanan Desktop jarak jauh (RDSH) – memerlukan perlindungan dari satu sesi ke sesi lain atau dari serangan sesi ke host.
  • Tuan rumah fisik atau mesin virtual yang menjalankan kode yang tidak dipercaya, seperti kontainer atau terpercaya ekstensi untuk pangkalan data, konten web terpercaya, atau beban kerja yang menjalankan kode yang berasal dari sumber eksternal. Ini membutuhkan perlindungan dari serangan proses untuk lain proses atau dipercaya-proses-untuk-kernel yang terpercaya.

Gunakan tataan kunci registri berikut untuk mengaktifkan mitigations di server, dan mulai ulang sistem untuk memberlakukan perubahan.

Mengaktifkan mitigations CVE-2017-5715 (hantu varian 2) dan 5754 CVE 2017 (Meltdown)


PentingBagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

322756Cara membuat cadangan dan memulihkan registri di Windows

Untuk mengaktifkan mitigations CVE-2017-5715 (hantu varian 2) dan 5754 CVE 2017 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jika ini adalah host Hyper-V dan update firmware telah diterapkan: Sepenuhnya menutup semua mesin Virtual. Ini memungkinkan terkait firmware mitigasi diterapkan pada host sebelum VM telah dimulai. Oleh karena itu, VM juga dimutakhirkan saat mereka restart.

Restart server perubahan diterapkan.

Untuk menonaktifkan mitigations CVE-2017-5715 (hantu varian 2) dan 5754 CVE 2017 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restart server agar perubahan diterapkan.

(Anda tidak harus mengubah MinVmVersionForCpuBasedMitigations.)

Catatan

Nonaktifkan mitigasi CVE-2017-5715 (hantu varian 2)


Sementara Intel tes, pemutakhiran, dan menyebarkan pengendali baru, kami menawarkan pilihan baru bagi pengguna tingkat lanjut pada perangkat yang terpengaruh secara manual menonaktifkan dan mengaktifkan mitigasi terhadap hantu varian 2 (CVE-2017-5715 – "Cabang Target injeksi") independen melalui perubahan tataan registri.

Jika Anda menginstal pengendali tetapi Anda ingin menonaktifkan mitigasi CVE 2017 5715 karena mulai ulang tak terduga atau masalah stabilitas sistem, gunakan perintah berikut.

Untuk menonaktifkan varian 2: (CVE -2017-5715 - "cabang Target injeksi") mitigasi:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Untuk mengaktifkan varian 2: (CVE 2017 5715 - "Cabang Target injeksi") mitigasi:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Catatan Menonaktikan dan mengaktifkan mitigasi 2 varian melalui perubahan pengaturan registri memerlukan hak administratif dan me-restart.

Mengaktifkan langsung cabang prediksi hambatan (IBPB) untuk hantu varian 2 pada prosesor AMD (CPU)


Beberapa prosesor AMD (CPU) menawarkan fitur kontrol langsung cabang untuk mengurangi injeksi target cabang langsung melalui mekanisme langsung cabang prediksi hambatan (IBPB). (Untuk informasi selengkapnya, Lihat FAQ #15 diADV180002danpanduan arsitektur AMD langsung cabang kontrol dan pembaruan keamanan AMD.)

Ikuti petunjuk berikut ke control IBPB saat beralih dari konteks pengguna untuk kernel konteks:

Untuk mengaktifkan menggunakan langsung cabang prediksi hambatan (IBPB) ketika Anda beralih dari konteks pengguna konteks kernel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Catatan mengaktifkan menggunakan langsung cabang prediksi hambatan (IBPB) melalui registri pengaturan perubahan yang memerlukan hak administratif dan me-restart.

Mengaktifkan mitigations 3639 CVE 2018 (spekulatif penyimpanan Bypass), CVE-2017-5715 (hantu varian 2) dan 5754 CVE 2017 (Meltdown)



Untuk mengaktifkan mitigations 3639 CVE 2018 (spekulatif penyimpanan Bypass), CVE-2017-5715 (hantu varian 2) dan 5754 CVE 2017 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Untuk menonaktifkan mitigations 3639 CVE 2018 (spekulatif penyimpanan Bypass) dan mitigations CVE-2017-5715 (hantu varian 2) dan 5754 CVE 2017 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Catatan perubahan registri ini memerlukan hak administratif dan me-restart.

Memverifikasi bahwa perlindungan diaktifkan


Untuk membantu pelanggan memverifikasi bahwa perlindungan yang sesuai telah diaktifkan, Microsoft telah menerbitkan skrip PowerShell yang pelanggan dapat dijalankan pada sistem mereka. Sayanstall dan menjalankan skrip dengan menjalankan perintah berikut ini.

Verifikasi PowerShell menggunakan Galeri PowerShell (Windows Server 2016 atau WMF 5.0/5.1)

Menginstal PowerShell modul:

PS> Install-Module SpeculationControl

Jalankan modul PowerShell untuk memverifikasi bahwa perlindungan diaktifkan:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verifikasi PowerShell menggunakan download dari Technet (awal OS versi lawas WMF versi)

Instal modul PowerShell dari Technet ScriptCenter:

  1. Buka https://aka.ms/SpeculationControlPS.
  2. Download SpeculationControl.zip ke map lokal.
  3. Ekstrak konten ke map lokal. Sebagai contoh: C:\ADV180002

Jalankan modul PowerShell untuk memverifikasi bahwa perlindungan diaktifkan:

Mulai PowerShell, dan kemudian gunakan contoh sebelumnya untuk menyalin dan jalankan perintah berikut:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Untuk penjelasan rinci output skrip PowerShell, lihat artikel Basis Pengetahuan 4074629

Pertanyaan umum


Saya tidak ditawarkan pembaruan keamanan Windows yang dirilis pada bulan Januari dan Februari 2018. Apa yang harus saya lakukan?

Untuk membantu menghindari dapat berdampak negatif pada perangkat pelanggan, pembaruan keamanan Windows yang dirilis pada bulan Januari dan Februari 2018 tidak ditawarkan kepada semua pelanggan. Untuk selengkapnya, lihat artikel Basis Pengetahuan Microsoft 4072699.

Referensi