Windows Server patarimų apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas

Taikoma: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Daugiau

Suvestinė


"Microsoft" žino viešai naujuose pažeidžiamumą, vadinami "spekuliacinio vykdymo pusėje kanalo atakų" ir tai įtakos šiuolaikinių procesorių Intel, AMD ir ARM.

Pastaba Ši problema taip pat turi įtakos kitoms operacinėms sistemoms, pvz., "Android", "Chrome", "iOS", ir macOS. Todėl rekomenduojame klientams galimybę konsultuotis šių pardavėjų.

"Microsoft" išleido kelis naujinimus, kad padėtų sumažinti šių pažeidžiamumą. Mes taip pat ėmėsi priemonių apsaugoti mūsų debesų kompiuterijos paslaugos. Tolesniuose skyriuose, jei norite gauti daugiau informacijos žr.

"Microsoft" dar negavo jokios informacijos ir nurodo, kad atakos klientams vartoja šiuos pažeidžiamumas. "Microsoft" glaudžiai bendradarbiauja su pramonės partneriais, įskaitant lustų kūrėjai, aparatūros OEM ir programėlių tiekėjų apsaugoti klientus. Gauti visas prieinamas apsaugą, programinės-aparatinės įrangos (microcode) ir programinės įrangos naujinimai nebūtini. Tai apima microcode iš OĮG įrenginio ir, kai kuriais atvejais, naujinimus ir antivirusinę programinę įrangą.

Šis straipsnis adresai šių pažeidžiamumą:

Norėdami sužinoti daugiau informacijos apie šios rūšies pažeidžiamumą, žr. ADV180002 ir ADV180012.

Microsoft teikia trečiųjų šalių kontaktinę informaciją, kuri gali padėti susirasti techninę pagalbą. Ši kontaktinė informacija gali būti pakeista neperspėjus. Microsoft negarantuoja šios trečiosios šalies kontaktinės informacijos tikslumo.

Rekomenduojami veiksmai


Klientai turi imtis šių veiksmų, padedantį apsisaugoti nuo šių pažeidžiamumas:

  1. Taikyti visus "Windows" operacinės sistemos naujinimus, įskaitant mėnesio "Windows" saugos naujinimus. Jei reikia daugiau informacijos apie tai, kaip įjungti šiuos naujinius, see, "Microsoft" žinių bazės straipsnyje 4072699.
  2. Taikote taikoma programinės-aparatinės įrangos (microcode) iš įrenginio gamintojo (OEM).
  3. Vertinti riziką jūsų aplinkoje, pagal informaciją, kuri yra "Microsoft" saugos patarimaiADV180002irADV180012ir šiame žinių bazės straipsnyje.
  4. Imtis veiksmų, kurių reikia naudojant patarimai ir registro rakto informacija, kuri yra pateikiama šiame žinių bazės straipsnyje.

Įjungti apsaugos Windows serveryje


Priemonėmis sumažinti riziką, CVE-2017-5753 yra įjungta pagal numatytuosius nustatymus "Windows" serverio, ir nėra parinkties administratorius gali uždrausti juos. Priemonėmis sumažinti riziką kitus tris pažeidžiamumą, aprašytus šiame straipsnyje yra išjungtas pagal numatytuosius nustatymus. Klientams, kurie nori gauti visus prieinamus apsaugą nuo šių pažeidžiamumą turi atlikti registro rakto pakeitimus ir įjunkite šiuos priemonėmis sumažinti riziką.

Pagal šiuos priemonėmis sumažinti riziką gali sumažinti našumą. Skalės efektyvumo poveikis priklauso nuo daugelio veiksnių, pvz., konkrečių lustų fizinės kompiuterio ir apkrovos, kuriuose veikia. Rekomenduojame klientams įvertinti pagalbos efektyvumo savo aplinkoje ir atlikite reikiamus pakeitimus.

Jūsų serveris yra gali padidėti, jei jis turi būti viena iš šių kategorijų:

  • Hyper-V kompiuteriai – reikia apsaugos VM VM ir VM į pagrindinio kompiuterio atakų.
  • Nuotolinio darbalaukio tarnybos pagrindinio kompiuterio (RDSH) – reikia iš vieno seanso į kitą seansą arba iš seanso pagrindinio kompiuterio atakų.
  • Fizinės kompiuterių arba virtualiosios mašinos, kuriose veikia nepatikimo kodo, pvz., konteinerių arba nepatikimas plėtinius, nepatikimose žiniatinklio turinį, arba darbo krūvis, kuris vykdyti kodą, kuris yra išoriniai šaltiniai. Tai reikia apsaugos nuo nepatikimos procesas kitas procesas arba nepatikimų procesas-į-branduolio atakų.

Naudoti šį registro rakto parametrai, kad priemonėmis sumažinti riziką serveryje, ir iš naujo paleisti sistemą, kad pakeitimai įsigaliotų.

Įgalinti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre 2 variantas) ir CVE-2017-5754 (krizės)


Svarbu. Šiame skyriuje, metodas ar užduotį pateikiami veiksmai, kuriais nurodoma, kaip keisti registro duomenis. Vis dėlto, jei neteisingai modifikuosite registrą, gali kilti rimtų problemų. Todėl atidžiai atlikite nurodytus veiksmus. Siekiant papildomai apsisaugoti, prieš modifikuodami registrą, sukurkite atsarginę kopiją. Tuomet iškilus problemai galėsite atkurti registrą. Jei norite gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

322756Kaip kurti atsargines kopijas ir atkurti registrą sistemoje "Windows"

Norėdami įgalinti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre 2 variantas) ir CVE-2017-5754 (krizės)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra Hyper-V kompiuteris ir bus pritaikytos programinės-aparatinės įrangos naujinimus: Visiškai išjungti visus virtualiosios mašinos. Tai leidžia pritaikyti pagrindinio kompiuterio prieš paleidžiant VM yra programinės-aparatinės įrangos susijusių mažinimas. Todėl VM yra atnaujintos, kai jie yra iš naujo.

Iš naujo paleiskite serverio pakeitimai įsigaliotų.

Norėdami išjungti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre 2 variantas) ir CVE-2017-5754 (krizės)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite serverį, kad pakeitimai įsigaliotų.

(Jums nereikia keisti MinVmVersionForCpuBasedMitigations.)

Pastabos

Išjunkite mažinimo CVE-2017-5715 (Spectre 2 variantas)


Nors "Intel" testai, naujinimai ir įdiegia naują microcode, siūlome nauja galimybe patyrusiems vartotojams ir rankiniu būdu išjunkite ir įjunkite mažinimas nuo Spectre variantas 2 (CVE-2017-5715 – "Šaka Target įdėjimas") savarankiškai per programinės įrangos naujinimams apibūdinti registro parametras pakeitimus.

Jei įdiegėte į microcode, bet norite išjungti CVE-2017-5715 mažinimas netikėtai paleidžiamas iš naujo ir sistemos stabilumo problemų, naudoti pateiktas instrukcijas.

Išjungti variantas 2: (CVE -2017-5715"srities Target įdėjimas") mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Įgalinti variantas 2: (CVE-2017-5715"Filialo Target įdėjimas") :mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pastaba išjungus ir įgalinimas variantas 2 mažinimas keičiant registro parametrą reikia administratoriaus teisių ir iš naujo.

Įjunkite netiesioginės šaka numatymas barjerą (IBPB) Spectre variantas 2 AMD procesoriai (CPU)


Kai kurie AMD procesoriai (CPU) siūlome sumažinti netiesioginės šaka paskirties injekcijos per yra netiesioginė šaka numatymas barjerą (IBPB) mechanizmas netiesioginės srities valdymo funkciją. (Jei norite gauti daugiau informacijos, žr. DUK apie #15ADV180002irAMD architektūros gaires apylinkės netiesioginės srities valdymo ir AMD saugos naujiniai.)

, Vykdykite šias instrukcijas, Norėdami valdymo IBPB, kai vartotojo kontekstą branduolio kontekste:

Jei norite įgalinti naudojant netiesioginę šaka numatymas barjerą (IBPB), kai pereinate iš vartotojo aplinka ir branduolio aplinka:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pastaba įgalinimas naudojant netiesioginės šaka numatymas barjerą (IBPB) per registro parametrą keitimus reikia administratoriaus teisėmis ir iš naujo.

Įgalinti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), CVE-2017-5715 (Spectre 2 variantas) ir CVE-2017-5754 (krizės)



Jei norite įgalinti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), CVE-2017-5715 (Spectre 2 variantas) ir CVE-2017-5754 (krizės):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Norėdami išjungti priemonėmis sumažinti riziką, CVE-2018-3639 (spekuliacinių parduotuvės Bypass) ir priemonėmis sumažinti riziką CVE-2017-5715 (Spectre 2 variantas) ir CVE-2017-5754 (krizės)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pastaba šiuos registro keitimus reikia administratoriaus teisėmis ir iš naujo.

Patikrinti, ar įjungtos apsaugos


Norėdami padėti vartotojams, patikrinkite, ar įgalintas atitinkamą apsaugos, "Microsoft" išleido PowerShell scenarijų, Klientai gali paleisti savo sistemos. Ašdiegti ir vykdyti scenarijaus vykdydami toliau nurodytas komandas.

"PowerShell" tikrinimas naudojant "PowerShell" galeriją (Windows Server 2016 arba WMF 5.0/5.1)

Įdiegti "PowerShell" modulis:

PS> Install-Module SpeculationControl

Vykdykite sąrankos įsitikinti, kad apsaugos yra įjungtas.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

"PowerShell" tikrinimas naudojant atsisiųsti iš "TechNet" (anksčiau OS versijos/ankstesnėse WMF versijos)

Įdiegti "PowerShell" modulis iš "TechNet" ScriptCenter:

  1. Eikite į https://aka.ms/SpeculationControlPS.
  2. Atsisiųskite SpeculationControl.zip į vietinį aplanką.
  3. Išskleisti turinį į vietinį aplanką. Pvz.: C:\ADV180002

Vykdykite sąrankos įsitikinti, kad apsaugos yra įjungtas.

Paleiskite "PowerShell", ir naudoti ankstesniame pavyzdyje nukopijuokite ir vykdykite toliau nurodytas komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell scenarijų produkcijos išsamesnio paaiškinimo, žr. žinių bazės straipsnyje 4074629

Dažnai užduodami klausimai


Nuorodos