投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス

CVE-2017-5753

いいえ

既定で有効 (無効にするオプションはありません)

詳細については、ADV180002 を参照してください。。

CVE-2017-5715

はい

既定で有効。 その他の操作については、ADV180002 の FAQ 15 (AMD プロセッサ搭載システムの場合) または FAQ 20 (ARM プロセッサ搭載システムの場合) を参照してください。また、適用できるレジストリ キー設定については、このサポート技術情報を参照してください。 

注: スペクター バリアント 2 (CVE-2017-5715) の緩和策が有効な場合、Windows 10 Version 1809 またはそれ以降を実行しているデバイスで "Retpoline" が既定で有効になります。 “Retpoline” の詳細については、ブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows (英語情報)」のガイダンスを参照してください。

CVE-2017-5754

いいえ

既定で有効

詳細については、ADV180002 を参照してください。。

CVE-2018-3639

Intel: はい
AMD: いいえ
ARM: はい

Intel と AMD: 既定で無効。 詳細については ADV180012 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

ARM: 既定で有効 (無効にするオプションはありません)。

CVE-2018-11091

Intel: はい

既定で有効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2018-12126

Intel: はい

既定で有効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2018-12127

Intel: はい

既定で有効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2018-12130

Intel: はい

既定で有効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2019-11135

Intel: はい

既定で有効。

詳細については、CVE-2019-11135 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の既定の緩和策を有効にするには

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を無効にするには

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

CVE-2017-5715 (スペクター バリアント 2) の緩和策を 無効にするには :  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の既定の緩和策を 有効にするには: 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

AMD および ARM プロセッサ上で CVE 2017-5715 の他の保護機能と共にユーザーとカーネル間の保護機能を有効にする:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

CVE-2018-3639 (投機的ストア バイパス) の緩和策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の既定の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

注: AMD プロセッサは CVE-2017-5754 (メルトダウン) に対して脆弱ではありません。 AMD プロセッサを搭載したシステムでは、AMD プロセッサ用の既定の CVE-2017-5715 の緩和策と CVE-2018-3639 の緩和策を有効にするためにこのレジストリ キーが使用されています。

CVE-2018-3639 (投機的ストア バイパス) の緩和策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の緩和策の両方を無効にするには: 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

AMD プロセッサ上で CVE 2017-5715 に対する他の保護機能と CVE-2018-3639 (投機的ストア バイパス) に対する保護機能と共にユーザーとカーネル間の保護機能を有効にする: 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

ハイパースレッディングを無効にせずに、投機的ストア バイパスの無効化 (SSBD) (CVE-2018-3639) と L1 Terminal Fault (L1TF) (CVE-2018-3615、CVE-2018-3620、CVE-2018-3646) を含むスペクター (CVE-2017-5753、CVE-2017-5715) および メルトダウン (CVE-2017-5754) のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) の Transaction Asynchronous Abort の脆弱性 (CVE-2019-11135) および Microarchitectural Data Sampling ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

ハイパースレッディングを無効にして、投機的ストア バイパスの無効化 (SSBD) (CVE-2018-3639) と L1 Terminal Fault (L1TF) (CVE-2018-3615、CVE-2018-3620、CVE-2018-3646) を含むスペクター (CVE-2017-5753、CVE-2017-5715) および メルトダウン (CVE-2017-5754) のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) の Transaction Asynchronous Abort の脆弱性 (CVE-2019-11135) および Microarchitectural Data Sampling ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

投機的ストア バイパスの無効化 (SSBD) (CVE-2018-3639) と L1 Terminal Fault (L1TF) (CVE-2018-3615、CVE-2018-3620、CVE-2018-3646) を含むスペクター (CVE-2017-5753、CVE-2017-5715) および メルトダウン (CVE-2017-5754) のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) の Transaction Asynchronous Abort の脆弱性 (CVE-2019-11135) および Microarchitectural Data Sampling ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の緩和策を無効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

PowerShell ギャラリーを使用した PowerShell の検証 (Windows Server 2016 または WMF 5.0/5.1)

PowerShell モジュールをインストールする:

PS> Install-Module SpeculationControl

保護が有効であることを確認する PowerShell モジュールを実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

TechNet からのダウンロードを使用した PowerShell の検証 (以前のオペレーティング システム バージョンと以前の WMF バージョン)

Technet ScriptCenter から PowerShell モジュールをインストールします。

https://aka.ms/SpeculationControlPS にアクセスします

SpeculationControl.zip をローカル フォルダーにダウンロードします。

内容をローカル フォルダー (C:\ADV180002 など) に抽出します

保護が有効であることを確認する PowerShell モジュールを実行します。

PowerShell を起動し、(上記の例を使用して) 次のコマンドをコピーして実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser