Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス

適用対象: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard 詳細

概要


Microsoft は、“投機的実行サイドチャネル攻撃” と呼ばれ、Intel、AMD、ARM をはじめとする多数の先端プロセッサーに影響を与える、最近表面化した脆弱性クラスを認識しています。 

注: この問題は、Android、Chrome、iOS、macOS など他のオペレーティング システムにも影響があります。 そのため、各ベンダーのガイダンスを参照することをお勧めします。 

マイクロソフトは、これらの脆弱性を緩和するために役立つ更新プログラムをいくつかリリースしました。また、マイクロソフトのクラウド サービスをセキュリティで保護するための措置も講じました。詳細については、以下のセクションを参照してください。

マイクロソフトは、お客様の攻撃にこれらの脆弱性が使用されたことを示す情報をまだ受け取っていません。マイクロソフトは、お客様を保護するために、チップの製造元、ハードウェア OEM、アプリ ベンダーなどの業界のパートナーと密接に協力しています。利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。これには、デバイス OEM のマイクロコードや、場合によっては、ウイルス対策ソフトウェア用の更新プログラムが含まれます。

この資料は次の脆弱性を解決します。

このクラスの脆弱性の詳細については、ADV180002ADV180012 を参照してください。 

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。

推奨される操作


これらの脆弱性から保護するために、次の操作を実行することをお勧めします。

  1. マンスリー Windows セキュリティ更新プログラムなど、利用できるすべての Windows オペレーティング システムの更新プログラムを適用します。これらの更新プログラムを有効にする方法の詳細については、マイクロソフト サポート技術情報 4072699 を参照してください。 
  2. デバイスの製造元 (OEM) からリリースされた該当するファームウェア (マイクロコード) の更新プログラムを適用します。
  3. マイクロソフト セキュリティ アドバイザリ ADV180002 および ADV180012 と、このサポート技術情報に記載されている情報に基づいて、お客様の環境に対するリスクを評価してください。
  4. このサポート技術情報に記載されているアドバイザリとレジストリ キーの情報を参照し、必要に応じて対処してください。

Windows Server で保護を有効にする


CVE-2017-5753 の緩和策は Windows Server の既定で有効です。管理者が緩和策を無効にすることができるオプションはありません。 この資料に記載されている他の 3 つの脆弱性の緩和策は、既定で無効です。これらの脆弱性に対して利用できるすべての保護機能を取得する必要がある場合は、レジストリ キーを変更してこれらの緩和策を有効にする必要があります。    

これらの緩和策を有効にすると、パフォーマンスが低下する可能性があります。パフォーマンスへの影響度は、物理ホストの特定のチップセットや実行中のワークロードなど、複数の要因によって変わります。実際の環境で発生するパフォーマンスの影響を評価し、必要に応じて調整することをお勧めします。

次のいずれかのカテゴリに該当する場合、サーバーの危険度は高くなります。

  • Hyper-V ホスト – VM 間および VM からホストへの攻撃から保護する必要があります。
  • リモート デスクトップ サービス ホスト (RDSH) – セッション間またはセッションからホストへの攻撃から保護する必要があります。
  • コンテナーなどの信頼されていないコード、データベース用の信頼されていない拡張機能、外部ソースから提供されたコードを実行する信頼されていない Web コンテンツまたはワークロードなどを実行している物理ホストまたは仮想マシン。信頼されていないプロセスから別のプロセスへの攻撃、または信頼されていないプロセスからカーネルへの攻撃からこれらを保護する必要があります。 

次のレジストリ キー設定を使用してサーバー上の緩和策を有効にして、変更を有効にするためにシステムを再起動します。 

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を有効にする


重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows でレジストリをバックアップおよび復元する方法

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を有効にするには

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。そのため、VM は再起動時にも更新されます。

サーバーを再起動して変更を有効にします。

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を無効にするには

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

サーバーを再起動して変更を有効にします。

(MinVmVersionForCpuBasedMitigations を変更する必要はありません)。


注意事項

CVE-2017-5715 (スペクター バリアント 2) の緩和策を無効にする


Intel は新しいマイクロコードをテスト、更新、および展開していますが、マイクロソフトは、影響を受けるデバイスをお使いの上級ユーザー向けに、レジストリ設定を変更して、スペクター バリアント 2 (CVE 2017-5715「ブランチ ターゲットのインジェクション」) に対する緩和策の有効/無効を個別に手動で切り替える新しい選択肢を提供しています。 –  

マイクロコードをインストール済みで、予期しない再起動やシステムの安定性の問題が発生しているため、CVE-2017-5715 の緩和策を無効にする場合は、次の手順を実行します。  

バリアント 2: (CVE-2017-5715 – ブランチ ターゲットのインジェクション」) の緩和策:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

バリアント 2: (CVE-2017-5715 – "ブランチ ターゲットのインジェクション") の緩和策:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f


注:
レジストリ設定を変更してバリアント 2 の緩和策の無効/有効を切り替えるには、管理者権限と再起動が必要です。 

AMD プロセッサ (CPU) 上のスペクター バリアント 2 の間接分岐予測バリア (IBPB) を有効にする


一部の AMD プロセッサ (CPU) には、間接分岐予測バリア (IBPB) メカニズムを介してブランチ ターゲット インジェクションを緩和するための間接分岐制御機能があります。(詳細については、ADV180002 の FAQ 番号 15、「間接分岐制御に関する AMD アーキテクチャ ガイドライン 」および「AMD Security Updates」(英語情報) を参照してください)。

ユーザー コンテキストからカーネル コンテキストに切り替えるときに IBPB を制御するには、次の手順を実行します。 

ユーザー コンテキストからカーネル コンテキストに切り替えるときに間接分岐予測バリア (IBPB) で有効にするには、次の手順を実行します。  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


注:
  レジストリ設定を変更して間接分岐予測バリア (IBPB) の使用を有効にするには、管理者権限と再起動が必要です。 

CVE-2018-3639 (投機的ストア バイパス)、CVE-2017-5715 (スペクター バリアント 2)、CVE-2017-5754 (メルトダウン) の緩和策を有効にする



CVE-2018-3639 (投機的ストア バイパス)、CVE-2017-5715 (スペクター バリアント 2)、CVE-2017-5754 (メルトダウン) の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

CVE-2018-3639 (投機的ストア バイパス) の緩和策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の緩和策の両方を無効にするには: 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


注:
これらのレジストリの変更には、管理者権限と再起動が必要です。

保護が有効であることを確認する


適切な保護機能が有効になったかどうかを確認するために、マイクロソフトは、ユーザーのシステムで実行できる PowerShell スクリプトをリリースしました。 スクリプトをインストールして実行するには、次のコマンドを実行します。

PowerShell ギャラリーを使用した PowerShell の検証 (Windows Server 2016 または WMF 5.0/5.1)

PowerShell モジュールをインストールする:

PS> Install-Module SpeculationControl

保護が有効であることを確認する PowerShell モジュールを実行します。 

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

TechNet からのダウンロードを使用した PowerShell の検証 (以前の OS バージョンと以前の WMF バージョン)

Technet ScriptCenter から PowerShell モジュールをインストールします。

  1. https://aka.ms/SpeculationControlPS にアクセスします。
  2. SpeculationControl.zip をローカル フォルダーにダウンロードします。
  3. ローカル フォルダーにコンテンツを展開します。例: C:\ADV180002

保護が有効であることを確認する PowerShell モジュールを実行します。

PowerShell を起動し、上記の例を使用して、次のコマンドをコピーして実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


PowerShell スクリプトの出力の詳細については、
サポート技術情報 4074629 を参照してください。 

よく寄せられる質問


2018 年 1 月および 2 月にリリースされた Windows セキュリティ更新プログラムが提供されていません。どうしたらよいですか。

お客様のデバイスに悪影響が及ぶことを防ぐために、すべてのお客様には 2018 年 1 月および 2 月にリリースされた Windows セキュリティ更新プログラムが提供されていません。  詳細については、マイクロソフト サポート技術情報 4072699 を参照してください。

関連情報