Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス

CVE-2017-5753

いいえ

既定で有効 (無効にするオプションはありません)

詳細については、ADV180002 を参照してください。

CVE-2017-5715

はい

既定で無効。

詳細については ADV180002 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

注: スペクター バリアント 2 (CVE-2017-5715) の緩和策が有効な場合、Windows 10 Version 1809 またはそれ以降を実行しているデバイス上で “Retpoline” が既定で有効になります。 “Retpoline” の詳細については、ブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows」(英語情報) を参照してください。

CVE-2017-5754

いいえ

Windows Server 2019: 既定で有効。
Windows Server 2016 以前: 既定で無効。

詳細については、ADV180002 を参照してください。。

CVE-2018-3639

Intel: はい

AMD: いいえ

既定で無効。 詳細については、ADV180012 を参照してください。また、適用可能なレジストリー キー設定については、このサポート技術情報の記事を参照してください。

CVE-2018-11091

Intel: はい

Windows Server 2019: 既定で有効。
Windows Server 2016 以前: 既定で無効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2018-12126

Intel: はい

Windows Server 2019: 既定で有効。
Windows Server 2016 以前: 既定で無効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2018-12127

Intel: はい

Windows Server 2019: 既定で有効。
Windows Server 2016 以前: 既定で無効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2018-12130

Intel: はい

Windows Server 2019: 既定で有効。
Windows Server 2016 以前: 既定で無効。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2019-11135

Intel: はい

Windows Server 2019: 既定で有効。
Windows Server 2016 以前: 既定で無効。

詳細については、CVE-2019-11135 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を有効にするには

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。 

CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を無効にするには

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。 

バリアント 2: (CVE-2017-5715 "ブランチ ターゲット インジェクション") の緩和策:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

バリアント 2: (CVE-2017-5715 "ブランチ ターゲット インジェクション") の緩和策:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

AMD プロセッサ上で CVE 2017-5715 の他の保護機能と共にユーザーとカーネル間の保護機能を有効にする:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

CVE-2018-3639 (投機的ストア バイパス)、CVE-2017-5715 (スペクター バリアント 2)、CVE-2017-5754 (メルトダウン) の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

CVE-2018-3639 (投機的ストア バイパス) の緩和策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の緩和策の両方を無効にするには: 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

AMD プロセッサ上で CVE 2017-5715 に対する他の保護機能と CVE-2018-3639 (投機的ストア バイパス) に対する保護機能と共にユーザーとカーネル間の保護機能を有効にする:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

ハイパースレッディングを無効にせずに、投機的ストア バイパスの無効化 (SSBD) [CVE-2018-3639] と L1 Terminal Fault (L1TF) [CVE-2018-3615、CVE-2018-3620、CVE-2018-3646] を含むスペクター [CVE-2017-5753、CVE-2017-5715] および メルトダウン [CVE-2017-5754] のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) の Transaction Asynchronous Abort の脆弱性 (CVE-2019-11135) および Microarchitectural Data Sampling ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

ハイパースレッディングを無効にして、投機的ストア バイパスの無効化 (SSBD) [CVE-2018-3639] と L1 Terminal Fault (L1TF) [CVE-2018-3615、CVE-2018-3620、CVE-2018-3646] を含むスペクター [CVE-2017-5753、CVE-2017-5715] および メルトダウン [CVE-2017-5754] のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) の Transaction Asynchronous Abort の脆弱性 (CVE-2019-11135) および Microarchitectural Data Sampling ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の緩和策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、コンピューターを再起動します。

投機的ストア バイパスの無効化 (SSBD) [CVE-2018-3639] と L1 Terminal Fault (L1TF) [CVE-2018-3615、CVE-2018-3620、CVE-2018-3646] を含むスペクター [CVE-2017-5753、CVE-2017-5715] および メルトダウン [CVE-2017-5754] のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) の Transaction Asynchronous Abort の脆弱性 (CVE-2019-11135) および Microarchitectural Data Sampling ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の緩和策を無効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、コンピューターを再起動します。

PowerShell ギャラリーを使用した PowerShell の検証 (Windows Server 2016 または WMF 5.0/5.1)

PowerShell モジュールをインストールする:

PS> Install-Module SpeculationControl

保護が有効であることを確認する PowerShell モジュールを実行します。 

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

TechNet からのダウンロードを使用した PowerShell の検証 (以前のオペレーティング システム バージョンと以前の WMF バージョン) 

Technet ScriptCenter から PowerShell モジュールをインストールします。

1. https://aka.ms/SpeculationControlPS にアクセスします。

2. SpeculationControl.zip をローカル フォルダーにダウンロードします。

3. ローカル フォルダーにコンテンツを展開します。 例: C:\ADV180002

保護が有効であることを確認する PowerShell モジュールを実行します。

PowerShell を起動し、上記の例を使用して、次のコマンドをコピーして実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser