Guida di Windows Server per la protezione contro le vulnerabilità di esecuzione speculativa canale laterale

Si applica a: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mostra

Riepilogo


Microsoft è a conoscenza di una nuova classe pubblicamente di vulnerabilità che vengono chiamati "attacchi di canale laterale esecuzione speculativa" e che interessano più moderni processori tra cui Intel, AMD e ARM.

Nota: Questo problema riguarda anche altri sistemi operativi, quali macOS, Chrome, iOS e Android. Pertanto, ti consigliamo ai clienti di chiedere consigli di tali fornitori.

Microsoft ha rilasciato diversi aggiornamenti per ridurre tali vulnerabilità. Abbiamo inoltre adottato l'azione per la protezione dei servizi cloud. Vedere le sezioni seguenti per ulteriori dettagli.

Microsoft non ha ancora ricevuto informazioni che indichino che queste vulnerabilità sono state utilizzate per l'attacco. Microsoft collabora strettamente con i partner del settore, tra cui i produttori di chip hardware OEM e fornitori di applicazioni per proteggere i clienti. Per ottenere tutte le protezioni disponibili, il firmware (microcodice) e software sono necessari aggiornamenti. Questo include microcodice dalla periferica OEM e, in alcuni casi, gli aggiornamenti software antivirus.

In questo articolo risolve i seguenti problemi:

Per ulteriori informazioni su questa classe di vulnerabilità, vedere ADV180002 e ADV180012.

Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non si assume alcuna responsabilità in relazione all'accuratezza delle informazioni di contatto di terze parti.

Azioni consigliate


I clienti devono effettuare le seguenti operazioni per la protezione contro le vulnerabilità:

  1. Applicare tutti Windows del sistema operativo gli aggiornamenti disponibili, inclusi gli aggiornamenti mensili di Windows. Per informazioni dettagliate sulle modalità per abilitare questi aggiornamenti, see l'articolo della Microsoft Knowledge Base 4072699.
  2. Applicare gli aggiornamenti del firmware applicabili (microcodice) dal produttore del dispositivo (OEM).
  3. Valutazione del rischio per l'ambiente sulla base delle informazioni nell'Advisory Microsoft sulla sicurezzaADV180002eADV180012e in questo articolo della Knowledge Base.
  4. Azione necessari utilizzando gli avvisi e informazioni sulla chiave del Registro di sistema fornito in questo articolo della Knowledge Base.

Impostazioni di attenuazione per Windows Server


Gli advisory sulla sicurezza ADV180002 e ADV180012 forniscono informazioni sui rischi di queste vulnerabilità e identificare lo stato predefinito del fattore attenuante per i sistemi Windows Server. La tabella seguente riepiloga il requisito del microcodice CPU e lo stato predefinito delle risoluzioni in Windows Server.

CVE Richiede CPU microcodice/firmware? Stato predefinito di attenuazione

CVE-2017-5753

No

Attivata per impostazione predefinita (nessuna opzione per disattivare)

CVE-2017-5715

Disattivato per impostazione predefinita.

CVE-2017-5754

No

Windows Server 2019: Attivata per impostazione predefinita. Windows Server 2016 e versioni precedenti: disattivato per impostazione predefinita.

CVE-2018-3639

Intel: Sì

AMD: No

Disattivato per impostazione predefinita. Per questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ulteriori informazioni, vedere ADV180012 .

Clienti che desiderano ottenere tutte le protezioni disponibili contro queste vulnerabilità è necessario apportare modifiche di chiavi del Registro di sistema per abilitare questi fattori attenuanti che sono disattivati per impostazione predefinita.

Abilitazione di questi fattori attenuanti possono influire sulle prestazioni. La scala degli effetti prestazioni dipende da vari fattori, come il chipset specifico dell'host fisico e i carichi di lavoro in esecuzione. Si consiglia di valutare gli effetti di prestazioni per il proprio ambiente clienti e apportare le modifiche necessarie.

Il server è maggiormente a rischio se si tratta di una delle seguenti categorie:

  • Hyper-V ospita – richiede la protezione per gli attacchi per VM-VM e VM-host.
  • Host di Servizi Desktop remoto (RDSH) – richiede la protezione da una sessione a un'altra sessione o da attacchi di sessione a host.
  • Gli host fisici o macchine virtuali che eseguono codice non attendibile, ad esempio contenitori o estensioni non attendibile per database, contenuto web non attendibili o carichi di lavoro che esegue il codice da origini esterne. Che richiedono una protezione dagli attacchi di processo a un altro processo o non attendibile-processo-in-kernel non attendibile.

Utilizzare le seguenti impostazioni della chiave del Registro di sistema per attivare le attenuazioni sul server e riavviare il sistema rendere effettive le modifiche.

Importante Questa sezione, metodo o attività contiene passaggi viene spiegato come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

 

322756Come eseguire il backup e ripristinare il Registro di sistema Windows

Gestire i fattori attenuanti per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)


Per attivare i fattori attenuanti per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione relative al firmware da applicare nell'host prima che le macchine virtuali vengono avviate. Di conseguenza, le macchine virtuali vengono aggiornate anche quando essi si riavvia.

Riavviare il computer rendere effettive le modifiche.

Per disattivare i fattori attenuanti per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Nota FeatureSettingsOverrideMask impostazione a 3 siano corrette per le impostazioni "attiva" e "Disattiva". (Vedere la sezione "domande frequenti" per ulteriori informazioni sulle chiavi del Registro di sistema).

Gestire l'attenuazione per CVE-2017-5715 (Spectre variante 2)


Per disattivare variante 2: (CVE -2017-5715"Inserimento destinazione diramazione")riduzione dei rischi:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Per attivare variante 2: (CVE-2017-5715"Inserimento destinazione diramazione") attenuazione:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Solo processori AMD: attivare la funzionalità completa per CVE-2017-5715 (Spectre variante 2)


Per impostazione predefinita, la protezione per utente-kernel per CVE-2017-5715 è disattivata per CPU AMD. I clienti è necessario attivare l'attenuazione per la ricezione di ulteriori protezioni per CVE-2017-5715.  Per ulteriori informazioni, vedere Domande frequenti su 15 in ADV180002.

Attiva la protezione per utente-kernel su processori AMD e altre protezioni per CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione relative al firmware da applicare nell'host prima che le macchine virtuali vengono avviate. Di conseguenza, le macchine virtuali vengono aggiornate anche quando essi si riavvia.

Riavviare il computer rendere effettive le modifiche.

Gestire i fattori attenuanti per CVE-2018-3639 (Bypass archivio Speculative), CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)



Per attivare i fattori attenuanti per CVE-2018-3639 (Bypass archivio Speculative), CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione relative al firmware da applicare nell'host prima che le macchine virtuali vengono avviate. Di conseguenza, le macchine virtuali vengono aggiornate anche quando essi si riavvia.

Riavviare il computer rendere effettive le modifiche.

Per disattivare fattore attenuante per CVE-2018-3639 (Bypass archivio Speculative) e fattori attenuanti per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

 

Solo processori AMD: attivare la funzionalità completa per CVE-2017-5715 (Spectre variante 2) e (Bypass archivio Speculative) 2018 CVE-3639


Per impostazione predefinita, la protezione per utente-kernel per CVE-2017-5715 è disattivata per processori AMD. I clienti è necessario attivare l'attenuazione per la ricezione di ulteriori protezioni per CVE-2017-5715.  Per ulteriori informazioni, vedere Domande frequenti su 15 in ADV180002.

Attivare la protezione utente al kernel per processori AMD e altre protezioni per CVE 2017-5715 e protezioni per CVE-2018-3639 (Bypass archivio Speculative):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware:Chiusura completa di tutte le macchine virtuali. In questo modo l'attenuazione relative al firmware da applicare nell'host prima che le macchine virtuali vengono avviate. Di conseguenza, le macchine virtuali vengono aggiornate anche quando essi si riavvia.

Riavviare il computer rendere effettive le modifiche.

Verifica che siano attivate le protezioni


Per consentire ai clienti di verificare che le protezioni sono attivate, Microsoft ha pubblicato uno script di PowerShell che i clienti possono eseguire nei loro sistemi. Installare ed eseguire lo script eseguendo i comandi seguenti.

Verifica di PowerShell tramite la raccolta di PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Installare il modulo di PowerShell:

PS> Install-Module SpeculationControl

Eseguire il modulo di PowerShell per verificare che le protezioni sono attivate:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verifica PowerShell utilizzando il download dalla Technet (in precedenza versioni del sistema operativo e le versioni precedenti WMF)

Installare il modulo di PowerShell da Technet ScriptCenter:

  1. Vai a https://aka.ms/SpeculationControlPS.
  2. Scaricare SpeculationControl.zip in una cartella locale.
  3. Estrarre il contenuto in una cartella locale. Ad esempio: C:\ADV180002

Eseguire il modulo di PowerShell per verificare che le protezioni sono attivate:

Avviare PowerShell e quindi utilizzare l'esempio precedente per copiare ed eseguire i seguenti comandi:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Per una spiegazione dettagliata dell'output dello script di PowerShell, vedere articolo della Knowledge Base 4074629

Domande frequenti


Mi mi veniva offerto gli aggiornamenti di Windows che sono stati rilasciati a gennaio e febbraio 2018. Cosa dovrei fare?

Per evitare effetti negativi sulle periferiche di clienti, a tutti i clienti non sono stati forniti gli aggiornamenti di Windows che sono stati rilasciati a gennaio e febbraio 2018. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 4072699.

Riferimenti