Linee guida per il client Windows per i professionisti IT per la protezione contro le vulnerabilità di esecuzione speculativa canale laterale

Si applica a: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Riepilogo


Microsoft è a conoscenza di una nuova classe pubblicamente di vulnerabilità che vengono chiamati "attacchi di canale laterale esecuzione speculativa" e che interessano più moderni processori tra cui Intel, AMD, VIA, e ARM.

Nota: Questo problema riguarda anche altri sistemi operativi, quali macOS, Chrome, iOS e Android. Pertanto, ti consigliamo ai clienti di chiedere consigli di tali fornitori.

Microsoft ha rilasciato diversi aggiornamenti per ridurre tali vulnerabilità. Abbiamo inoltre adottato l'azione per la protezione dei servizi cloud. Vedere le sezioni seguenti per ulteriori dettagli.

Microsoft non ha ancora ricevuto informazioni che indichino che queste vulnerabilità sono state utilizzate per attaccare i clienti. Microsoft collabora strettamente con i partner del settore, tra cui i produttori di chip hardware OEM e fornitori di applicazioni per proteggere i clienti. Per ottenere tutte le protezioni disponibili, il firmware (microcodice) e software sono necessari aggiornamenti. Questo include microcodice dalla periferica OEM e, in alcuni casi, gli aggiornamenti software antivirus.

In questo articolo risolve i seguenti problemi:

Windows Update fornisce inoltre attenuazioni di Internet Explorer e bordo. Continueremo a migliorare questi fattori attenuanti per questa classe di vulnerabilità.

Per ulteriori informazioni su questa classe di vulnerabilità, vedere

Aggiornati su 14 maggio 2019: Il 14 maggio, 2019, Intel pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa canale laterale denominato Campionamento di dati della microarchitettura. Essi sono stati assegnati i seguenti CVEs:

Importante: questi problemi avrà effetto su altri sistemi quali MacOS, Chrome, iOS e Android. Ti consigliamo di clienti chiedere consigli dai rispettivi fornitori.

Microsoft ha rilasciato aggiornamenti per ridurre tali vulnerabilità. Per ottenere tutte le protezioni disponibili, il firmware (microcodice) e software sono necessari aggiornamenti. Ciò potrebbe includere microcodice dalla periferica OEM. In alcuni casi, l'installazione di questi aggiornamenti avranno un impatto sulle prestazioni. Abbiamo inoltre abbiamo agito per proteggere i nostri servizi cloud. Si consiglia di distribuire questi aggiornamenti.

Per ulteriori informazioni su questo problema, vedere il seguente elemento Advisory sulla sicurezza e utilizzare le istruzioni basate su uno scenario per determinare le azioni necessarie per ridurre il rischio:

 

Nota: Si consiglia di installare tutti gli aggiornamenti più recenti da Windows Update prima di installare gli aggiornamenti microcodice.

Azioni consigliate


I clienti devono effettuare le seguenti operazioni per la protezione contro le vulnerabilità:

  1. Applicare tutti Windows del sistema operativo gli aggiornamenti disponibili, inclusi gli aggiornamenti mensili di Windows.
  2. Applicare l'aggiornamento del firmware applicabili (microcodice) fornito dal produttore del dispositivo.
  3. Valutare i rischi per l'ambiente sulla base delle informazioni fornite nella Advisory Microsoft sulla sicurezza: ADV180002, ADV180012, ADV190013 e le informazioni fornite in questo articolo della Knowledge Base.
  4. Azione necessari utilizzando gli avvisi e informazioni sulla chiave del Registro di sistema che vengono forniti in questo articolo della Knowledge Base.

Nota: Superficie clienti riceveranno un aggiornamento di microcodice tramite Windows update. Per un elenco degli ultimi aggiornamenti del firmware (microcodice) periferica superficie disponibile, vedere KB 4073065.

Impostazioni di attenuazione per client Windows


Gli advisory sulla sicurezza ADV180002, ADV180012e ADV190013 forniscono informazioni sul rischio rappresentate da queste vulnerabilità, che consentono di identificare lo stato predefinito del fattore attenuante per i sistemi client Windows. Nella tabella seguente vengono riepilogati il requisito del microcodice CPU e lo stato predefinito delle risoluzioni sui client Windows.

CVE

Richiede CPU microcodice/firmware?

Stato predefinito di attenuazione

CVE-2017-5753

No

Attivata per impostazione predefinita (nessuna opzione per disattivare)

Per ulteriori informazioni, vedere ADV180002 .

CVE-2017-5715

Attivata per impostazione predefinita. Gli utenti di sistemi basati su processori AMD devono vedere FAQ n. 15 e gli utenti di processori ARM devono 20 domande frequenti su questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ADV180002 per un'ulteriore azione.

Nota: "Retpoline" è attivata per impostazione predefinita per i dispositivi che eseguono Windows 1809 10 o più recente se Spectre variante 2 (CVE-2017-5715) è attivata. Per ulteriori informazioni, intorno a "Retpoline", seguire le indicazioni per lapost di blog di Spectre fattori della variante 2 con Retpoline in Windows .

CVE-2017-5754

No

Attivata per impostazione predefinita

Per ulteriori informazioni, vedere ADV180002 .

CVE-2018-3639

Intel: Sì AMD: No ARM: Sì

Intel e AMD: disattivato per impostazione predefinita. Per questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ulteriori informazioni, vedere ADV180012 .

ARM: Attivata per impostazione predefinita senza opzione di disattivazione.

CVE-2018-11091 Intel: Sì

Attivata per impostazione predefinita.

Per questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ulteriori informazioni, vedere ADV190013 .
CVE-2018-12126 Intel: Sì

Attivata per impostazione predefinita.

Per questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ulteriori informazioni, vedere ADV190013 .
CVE-2018-12127 Intel: Sì

Attivata per impostazione predefinita.

Per questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ulteriori informazioni, vedere ADV190013 .
CVE-2018-12130 Intel: Sì

Attivata per impostazione predefinita.

Per questo articolo della Knowledge base per le impostazioni di chiave del Registro di sistema applicabili e di ulteriori informazioni, vedere ADV190013 .

Nota: Fattori attenuanti che sono disattivati per impostazione predefinita l'attivazione può influire sulle prestazioni. L'impatto sulle prestazioni effettive dipende da vari fattori, come il chipset specifico del dispositivo e i carichi di lavoro in esecuzione.

Impostazioni del Registro di sistema


Microsoft fornisce le seguenti informazioni del Registro di sistema per attivare l'attenuazione che non sono attivati per impostazione predefinita, come documentato nell'advisory sulla sicurezza ADV180002 e ADV180012. Inoltre, Microsoft fornisce le impostazioni di chiave del Registro di sistema per gli utenti che si desidera disattivare le attenuazioni sono correlate al 2017-CVE-5715 e CVE-2017-5754 per i client Windows.

Importante: Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, vedere il seguente articolo della Microsoft Knowledge Base:

Fare riferimento a KB 322756 "Come eseguire il backup e ripristinare il Registro di sistema in Windows"

Gestire i fattori attenuanti per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)


Nota importante: Retpoline è attivata per impostazione predefinita in Windows 10, versione 1809devices se Spectre, variante 2 (CVE-2017-5715) è attivata. Retpoline l'attivazione della versione più recente di Windows 10 può migliorare le prestazioni su dispositivi che eseguono Windows 10, versione 1809 per variante Spectre 2, in particolare sui processori meno recenti.

Per attivare i fattori attenuanti predefinito per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Per disattivare i fattori attenuanti per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask per sia le impostazioni "Disattiva" e "enable". (Vedere la sezione "Domande frequenti" per ulteriori informazioni sulle chiavi del Registro di sistema).

Gestire attacchi per CVE-2017-5715 (Spectre variante 2)


Per disattivarefattori attenuanti per2017-CVE-5715 (Spectre variante 2):

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Per attivare l'impostazione predefinitafattori attenuanti perCVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown):

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Solo processori AMD e ARM: abilitare attenuazione completo per CVE-2017-5715 (Spectre variante 2)


Per impostazione predefinita, la protezione per utente-kernel per CVE-2017-5715 è disabilitata per AMD e CPU ARM. I clienti è necessario attivare l'attenuazione per la ricezione di ulteriori protezioni per CVE-2017-5715. Per ulteriori informazioni, vedere Domande frequenti su 15 in ADV180002 per processori AMD e 20 domande frequenti su # ADV180002 per processori ARM.

Attiva la protezione per utente-kernel su processori AMD e ARM e altre protezioni per CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Gestire i fattori attenuanti per CVE-2018-3639 (Bypass archivio Speculative), CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)


Per attivare un fattore attenuante per CVE-2018-3639 (Bypass archivio Speculative), fattore attenuante predefinito per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Nota: Processori AMD non sono vulnerabili a CVE-2017-5754 (Meltdown). Questa chiave del Registro di sistema viene utilizzata nei sistemi con processori AMD per abilitare le attenuazioni di default per CVE-2017-5715 su processori AMD e di attenuazione per CVE-2018-3639.

Per disattivare fattore attenuante per CVE-2018-3639 (Bypass archivio Speculative) * e * fattore attenuante per CVE-2017-5715 (Spectre variante 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Solo processori AMD: abilitare attenuazione completo per CVE-2017-5715 (Spectre variante 2) e (Bypass archivio Speculative) 2018 CVE-3639


Per impostazione predefinita, la protezione per utente-kernel per CVE-2017-5715 è disattivata per processori AMD. I clienti è necessario attivare l'attenuazione per la ricezione di ulteriori protezioni per CVE-2017-5715.  Per ulteriori informazioni, vedere Domande frequenti su 15 in ADV180002.

Attivare la protezione utente al kernel per processori AMD e altre protezioni per CVE 2017-5715 e protezioni per CVE-2018-3639 (Bypass archivio Speculative):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Gestione della microarchitettura dati campionamento (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) Spectre (CVE-2017-5753 & 2017-CVE-5715) e le varianti di Meltdown (CVE-2017-5754), compresi Speculative archivio Bypass disabilitare (SSBD) (CVE-2018-3639) e a guasto Terminal L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646)


Per attivare i fattori attenuanti per il campionamento dei dati della microarchitettura (2018-CVE-11091, 2018-CVE-12126, 2018-CVE-12127, 2018-CVE-12130) e Spectre (CVE-2017-5753 & 2017-CVE-5715) e le varianti di Meltdown (CVE-2017-5754), compresi Speculative archivio Bypass disabilitare (SSBD) (CVE-2018-3639) nonché L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) senza disattivare la tecnologia Hyper-Threading:

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se è installata la funzionalità di Hyper-V, aggiungere la seguente impostazione del Registro di sistema:

REG aggiungere "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione relative al firmware da applicare nell'host prima che le macchine virtuali vengono avviate. Di conseguenza, le macchine virtuali vengono aggiornate anche quando essi si riavvia.

Riavviare il computer rendere effettive le modifiche.

Per attivare i fattori attenuanti per il campionamento dei dati della microarchitettura (2018-CVE-11091, 2018-CVE-12126, 2018-CVE-12127, 2018-CVE-12130) e Spectre (CVE-2017-5753 & 2017-CVE-5715) e le varianti di Meltdown (CVE-2017-5754), compresi Speculative archivio Bypass disabilitare (SSBD) (CVE-2018-3639) nonché L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) con tecnologia Hyper-Threading disabled:

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se è installata la funzionalità di Hyper-V, aggiungere la seguente impostazione del Registro di sistema:

REG aggiungere "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione relative al firmware da applicare nell'host prima che le macchine virtuali vengono avviate. Di conseguenza, le macchine virtuali vengono aggiornate anche quando essi si riavvia.

Riavviare il computer rendere effettive le modifiche.

Per disattivare i fattori attenuanti per il campionamento dei dati della microarchitettura (2018-CVE-11091, 2018-CVE-12126, 2018-CVE-12127, 2018-CVE-12130) e Spectre (CVE-2017-5753 & 2017-CVE-5715) e le varianti di Meltdown (CVE-2017-5754), compresi Speculative archivio Bypass disabilitare (SSBD) (CVE-2018-3639) nonché L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646):

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

REG aggiungere "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer rendere effettive le modifiche.

Verifica che siano attivate le protezioni


Per consentire ai clienti di verificare che le protezioni sono attivate, Microsoft ha pubblicato uno script di PowerShell che i clienti possono eseguire nei loro sistemi. Installare ed eseguire lo script eseguendo i comandi seguenti.

Verifica di PowerShell tramite la raccolta di PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Installare il modulo di PowerShell:

PS > modulo di installazione SpeculationControl

Eseguire il modulo di PowerShell per verificare che le protezioni sono attivate:

PS > # salvare i criteri di esecuzione in modo che sia possibile reimpostarla

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-ambito Currentuser

PS > Import-Module SpeculationControl

PS > Get-SpeculationControlSettings

PS > # reimpostare i criteri di esecuzione allo stato originale

PS > Set-ExecutionPolicy $SaveExecutionPolicy-ambito Currentuser

Verifica di PowerShell utilizzando il download dalla Technet (versioni precedenti del sistema operativo e le versioni precedenti di WMF)

Installare il modulo di PowerShell dal ScriptCenter di Technet:

Vai a https://aka.ms/SpeculationControlPS

Scaricare SpeculationControl.zip in una cartella locale.

Estrarre il contenuto in una cartella locale, ad esempio C:\ADV180002

Eseguire il modulo di PowerShell per verificare che le protezioni sono attivate:

Avviare PowerShell, quindi, utilizzando l'esempio precedente, copiare ed eseguire i seguenti comandi:

PS > # salvare i criteri di esecuzione in modo che sia possibile reimpostarla

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-ambito Currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > Import-Module.\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # reimpostare i criteri di esecuzione allo stato originale

PS > Set-ExecutionPolicy $SaveExecutionPolicy-ambito Currentuser

Per una spiegazione dettagliata dell'output dello script di PowerShell, vedere l'articolo della Knowledge Base 4074629.

Domande frequenti