Linee guida per i client Windows per i professionisti IT per la protezione contro le vulnerabilità del canale laterale di esecuzione speculativa

Azioni consigliate

I clienti devono intraprendere le seguenti azioni per proteggere contro le vulnerabilità:

  1. Applicare tutti gli aggiornamenti del sistema operativo Windows disponibili, inclusi gli aggiornamenti mensili della sicurezza di Windows.

  2. Applicare l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.

  3. Valutare il rischio per l'ambiente in base alle informazioni fornite negli avvisi di microsoft protezione: ADV180002, ADV180012, ADV190013 e le informazioni fornite in questo articolo della Knowledge Base.

  4. Intervenire in base alle esigenze utilizzando gli avvisi e le informazioni sulle chiavi del Registro di sistema forniti in questo articolo della Knowledge Base.

Nota: I clienti Surface riceveranno un aggiornamento del microcodice tramite l'aggiornamento di Windows. Per un elenco dei più recenti aggiornamenti disponibili nel firmware del dispositivo Surface (microcodice), vedere KB 4073065.

Impostazioni di attenuazione per i client WindowsMitigation settings for Windows clients

Gli avvisi di sicurezza ADV180002, ADV180012e ADV190013 forniscono informazioni sul rischio rappresentato da queste vulnerabilità e consentono di identificare lo stato predefinito delle attenuazioni per i sistemi client Windows. Nella tabella seguente sono riepilogati i requisiti del microcodice della CPU e lo stato predefinito delle attenuazioni nei client Windows.

Cve

Richiede microcodice/firmware della CPU?

Mitigazione Stato predefinito

CVE-2017-5753

No

Abilitato per impostazione predefinita (nessuna opzione da disabilitare)

Fare riferimento a ADV180002 per ulteriori informazioni.

CVE-2017-5715

Abilitato per impostazione predefinita. Gli utenti di sistemi basati su processori AMD dovrebbero vedere FAQ #15 e gli utenti di processori ARM dovrebbero vedere FAQ #20 su ADV180002 per ulteriori azioni e questo articolo della Knowledge Base per le impostazioni della chiave del Registro di sistema applicabile.

Nota: "Retpoline" è abilitato per impostazione predefinita per i dispositivi che eseguono Windows 10 1809 o più recente se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per ulteriori informazioni, intorno a "Retpoline", seguire le indicazioni nelMitigating Spectre variant 2 con Retpoline sul post di blog di Retpoline su Windows.

CVE-2017-5754

No

Abilitato per impostazione predefinita

Fare riferimento a ADV180002 per ulteriori informazioni.

CVE-2018-3639

Intel: Sì AMD: No ARM: Sì

Intel e AMD: disattivati per impostazione predefinita. Vedere ADV180012 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

ARM: Abilitato per impostazione predefinita senza opzione da disabilitare.

CVE-2018-11091

Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12126

Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12127

Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12130

Intel: Sì

Abilitato per impostazione predefinita.

Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2019-11135

Intel: Sì

Abilitato per impostazione predefinita.

Vedere CVE-2019-11135 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

Nota: L'abilitazione delle attenuazioni disattivate per impostazione predefinita può influire sulle prestazioni. L'effetto effettivo delle prestazioni dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.

Impostazioni del Registro di sistema

Stiamo fornendo le seguenti informazioni del Registro di sistema per abilitare le attenuazioni che non sono abilitate per impostazione predefinita, come documentato in Security Advisories ADV180002 e ADV180012. Inoltre, vengono fornite le impostazioni della chiave del Registro di sistema per gli utenti che desiderano disabilitare le attenuazioni correlate a CVE-2017-5715 e CVE-2017-5754 per i client Windows.

Importante Questa sezione, metodo o attività contiene passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire questi passaggi con attenzione. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, vedere il seguente articolo della Microsoft Knowledge Base:

322756 come eseguire il backup e ripristinare il Registro di sistema in Windows

Gestire le attenuazioni per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

Nota importante Retpoline è abilitato per impostazione predefinita nei dispositivi Windows 10, versione 1809 se Spectre, Variant2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline sull'ultima versione di Windows 10 può migliorare le prestazioni sui dispositivi che eseguono Windows 10, versione 1809 per la variante 2 di Spectre, in particolare sui processori meno recenti.

Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Meltdown)

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Per disabilitare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) e CVE-2017-5754 (Meltdown)

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask per entrambe le impostazioni "enable" e "disable". (Vedere la sezione "FAQ" per ulteriori dettagli sulle chiavi del Registro di sistema.)

Gestire la mitigazione per CVE-2017-5715 (Variante Spectre 2)

Per disattivare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) :

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Solo processori AMD e ARM: attiva la mitigazione completa per CVE-2017-5715 (Variante 2)

Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD e ARM. I clienti devono abilitare la mitigazione per ricevere protezioni aggiuntive per CVE-2017-5715. Per altre informazioni, vedere domande frequenti #15 in ADV180002 per processori AMD e domande frequenti #20 in ADV180002 per processori ARM.

Abilitare la protezione da utente a kernel sui processori AMD e ARM insieme ad altre protezioni per CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Gestire le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

Per abilitare le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), mitigazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavviare il computer per rendere effettive le modifiche.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×