Suvestinė
Šis straipsnis bus atnaujintas, kaip gaunama papildoma informacija. Prašome patikrinti čia reguliariai atnaujinimus ir naujų DUK.
"Microsoft" žino apie naują viešai neatskleista klasė pažeidžiamumą, kurie vadinami "spekuliacinių vykdymo pusėje kanalo atakų" ir, kurie turi įtakos daugeliui šiuolaikinių procesorių, įskaitant "Intel", AMD, VIA ir ARM.
Pastaboje Ši problema taip pat turi įtakos kitų operacinių sistemų, pvz., Android, Chrome, iOS ir macOS. Todėl rekomenduojame klientams kreiptis patarimo iš šių pardavėjų.
Mes išleido keletą atnaujinimus padėti sušvelninti šiuos pažeidžiamumą. Taip pat ėmėme veiksmų, kad galėtume užtikrinti mūsų debesijos paslaugas. Daugiau informacijos rasite tolesniuose skyriuose.
Mes dar negavo jokios informacijos, nurodusios, kad šie pažeidžiamumai buvo naudojami atakuoti klientus. Mes glaudžiai bendradarbiaujame su pramonės partneriais, įskaitant lustų kūrėjai, aparatūros OEM, ir taikomųjų programų pardavėjai apsaugoti klientus. Norėdami gauti visus turimus apsaugos, firmware (microcode) ir programinės įrangos atnaujinimai yra privalomi. Tai apima microcode iš OĮG įrenginio ir, kai kuriais atvejais, antivirusinės programinės įrangos naujinimus.
Šiame straipsnyje aptariami šie pažeidžiamumai:
"Windows Update" taip pat pateiks "Internet Explorer" ir "Edge" priemonėmis sumažinti riziką. Mes ir toliau tobulinti šiuos priemonėmis sumažinti riziką nuo šios klasės pažeidžiamumą.
Norėdami sužinoti daugiau apie šios klasės pažeidžiamumą, žr.
-
ADV180002 | Rekomendacijos siekiant sušvelninti spekuliacinių vykdymo pusėje kanalo pažeidžiamumas
-
ADV180012 | "Microsoft" gairės spekuliacinių parduotuvės Bypass
Atnaujinta gegužės 14, 2019 Gegužės 14, 2019, "Intel" paskelbė informaciją apie naują poklasis spekuliacinių vykdymo pusėje kanalo pažeidžiamumas žinomas kaip Microarchitectural duomenų atranka. Joms buvo priskirtos šios CVEs:
-
CVE-2018-11091-"Microarchitectural duomenų atranka Uncacheable atmintis (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural saugyklos buferio duomenų atranka (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural užpildymo buferio duomenų atranka (MFBDS)"
-
CVE-2018-12130-"Microarchitectural apkrovos uosto duomenų atranka (MLPDS)"
Svarbioms Šios problemos paveiks kitas sistemas, pvz., "Android", "Chrome", "iOS" ir "MacOS". Patariame klientams kreiptis patarimo į atitinkamus tiekėjus.
Mes išleido atnaujinimus padėti sumažinti šių pažeidžiamumą. Norėdami gauti visus turimus apsaugos, firmware (microcode) ir programinės įrangos atnaujinimai yra privalomi. Tai gali būti microcode iš OĮG įrenginio. Kai kuriais atvejais diegiant šiuos naujinimus turės įtakos efektyvumas. Mes taip pat elgėme siekdami užtikrinti mūsų debesų kompiuterijos paslaugas. Primygtinai rekomenduojame diegti šiuos naujinimus.
Jei norite gauti daugiau informacijos apie šią problemą, peržiūrėkite toliau nurodytą saugos patarimą ir naudokite scenarijumi pagrįstas gaires, kad nustatytumėte veiksmus, būtinus pavojui sumažinti:
-
ADV190013 | Microsoft gairės sušvelninti Microarchitectural duomenų mėginių ėmimo pažeidžiamumas
-
Windows patarimų apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas
Pastaboje Rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegdami bet kurį microcode naujinimą.
U pdaton rugpjūčio 6, 2019 on August 6, 2019 Intel išleido išsami informacija apie Windows branduolio informacijos atskleidimo pažeidžiamumas. Šis pažeidžiamumas yra variantas, Spectre variantas 1 spekuliacinių vykdymo pusėje kanalo pažeidžiamumas ir buvo priskirtas CVE-2019-1125.
2019 liepos 9 d. išleidome "Windows" operacinės sistemos saugos naujinimus, kad padėtų sušvelninti šią problemą. Atkreipkite dėmesį, kad mes laikomi atgal dokumentavimo šis mažinimas viešai iki koordinuotai pramonės atskleidimo antradienį, rugpjūčio 6, 2019.
Klientai, kurie turi "Windows" naujinimo funkciją ir pritaikė saugos naujinimus, išleistiems liepos 9 d., 2019 yra apsaugoti automatiškai. Nėra jokios kitos konfigūracijos reikia.
Pastaba . Šis pažeidžiamumas nereikalauja microcode naujinimą iš įrenginio gamintojo (OĮG).
Daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus rasite "Microsoft" saugos naujinimo vadove:
CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumas.
Atnaujinta N ovember 12, 2019 lapkričio 12, 2019, Intel paskelbė techninis konsultavimo apie Intel® Transakcinis sinchronizavimas plėtiniai (Intel® TSX) operacijos asinchroninio nutraukti pažeidžiamumas, kuris yra priskirtas CVE-2019-11135. "Microsoft" išleido naujinimus, kad padėtų sušvelninti šį pažeidžiamumą ir OS apsaugos yra įgalintas pagal numatytuosius parametrus "Windows" kliento OS leidimai.
Rekomenduojami veiksmai
Klientai turėtų imtis šių veiksmų, kad padėtų apsisaugoti nuo pažeidžiamumą:
-
Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.
-
Taikyti taikomas programinės-aparatinės įrangos (microcode) naujinimą, kurį pateikia įrenginio gamintojas.
-
Įvertinkite riziką jūsų aplinkai, atsižvelgdami į informaciją, pateiktą "Microsoft" saugos patarimus: ADV180002, ADV180012, ADV190013 ir informaciją, pateiktą šiame žinių bazės straipsnyje.
-
Imtis veiksmų, kaip reikalaujama naudojant patarimus ir registro rakto informacija, pateikta šiame žinių bazės straipsnyje.
Pastaboje Surface Klientai gaus microcode atnaujinti per "Windows" naujinimą. Naujausią turimą Surface įrenginio programinės-aparatinės įrangos (microcode) naujinimų sąrašą rasite KB 4073065.
"Windows" klientų mažinimo parametrai
Saugos patarimai ADV180002, ADV180012ir ADV190013 teikia informaciją apie riziką, kuri kyla dėl šių pažeidžiamumą, ir jie padės jums nustatyti numatytąją priemonėmis sumažinti riziką Windows kliento sistemos. Toliau pateiktoje lentelėje apibendrinama procesoriaus microcode ir numatytoji būsena į priemonėmis sumažinti riziką Windows klientams.
CVE |
Reikia CPU microcode/firmware? |
Mažinimas numatytoji būsena |
---|---|---|
CVE-2017-5753 |
Ne |
Įjungta pagal numatytuosius nustatymus (negalima išjungti parinkties) Daugiau informacijos rasite ADV180002 . |
CVE-2017-5715 |
Taip |
Įjungta pagal numatytuosius nustatymus. Vartotojai sistemų, grindžiamų AMD procesoriais turėtų Rodyti DUK #15 ir vartotojai ARM procesoriai turėtų pamatyti DUK #20 dėl ADV180002 papildomų veiksmų ir šiame KB straipsnyje taikomų registro rakto parametrai. Pastaboje "Retpoline" yra įgalintas pagal numatytuosius parametrus įrenginiams, kuriuose veikia Windows 10 1809 arba naujesnė, jei Spectre variantas 2 (CVE-2017-5715) yra įjungtas. Norėdami gauti daugiau informacijos, aplink "retpoline", vykdykite nurodymus, lengvinančių Spectre variantas 2 su retpoline Windows blog post. |
CVE-2017-5754 |
Ne |
Įgalintas pagal numatytąją reikšmę Daugiau informacijos rasite ADV180002 . |
CVE-2018-3639 |
"Intel": taip AMD: ne ARM: taip |
"Intel" ir AMD: išjungta pagal numatytuosius nustatymus. Pamatyti ADV180012 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus. ARM: įjungta pagal nutylėjimą be parinkties išjungti. |
CVE-2018-11091 |
"Intel": taip |
Įjungta pagal numatytuosius nustatymus. Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus. |
CVE-2018-12126 |
"Intel": taip |
Įjungta pagal numatytuosius nustatymus. Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus. |
CVE-2018-12127 |
"Intel": taip |
Įjungta pagal numatytuosius nustatymus. Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus. |
CVE-2018-12130 |
"Intel": taip |
Įjungta pagal numatytuosius nustatymus. Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus. |
CVE-2019-11135 |
"Intel": taip |
Įjungta pagal numatytuosius nustatymus. Žr. CVE-2019-11135 daugiau informacijos ir šiame KB straipsnyje taikomų registro rakto parametrus. |
Pastaboje Įgalinimas priemonėmis sumažinti riziką, kad yra išjungtas pagal nutylėjimą gali turėti įtakos efektyvumas. Tikrasis našumo efektas priklauso nuo daugelio veiksnių, pvz., konkretaus Chipset įrenginyje ir veikia apkrovos.
Registro parametrai
Mes teikia šią registro informaciją, kad priemonėmis sumažinti riziką, kad nėra įgalintas pagal numatytuosius parametrus, kaip nurodyta saugos patarimus ADV180002 ir ADV180012. Be to, mes teikia registro rakto parametrus vartotojams, kurie nori išjungti priemonėmis sumažinti riziką, susijusios su CVE-2017-5715 ir CVE-2017-5754 "Windows" klientams.
Svarbioms Šiame skyriuje, metodas ar užduotyje pateikiami veiksmai, kuriais nurodoma, kaip modifikuoti registrą. Tačiau, jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Todėl įsitikinkite, kad atlikite šiuos veiksmus atsargiai. Norėdami gauti papildomos apsaugos, prieš keisdami registrą sukurkite atsarginę jo kopiją. Tada, jei kils problemų, galite atkurti registrą. Daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, rasite šioje "Microsoft" žinių bazės straipsnį:
322756 kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"
Valdyti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")
Svarbi Pastaba Retpoline yra įjungta pagal nutylėjimą Windows 10, versija 1809 įrenginių jei Spectre, 2 variantas (CVE-2017-5715) yra įjungtas. Įjungus Retpoline naujausią versiją Windows 10 gali padidinti našumą įrenginiuose, kuriuose veikia Windows 10, versija 1809 Spectre variantas 2, ypač vyresnio amžiaus procesorių.
Norėdami įgalinti numatytąjį priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown") reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 0/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. Norėdami išjungti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown") reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 3/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. |
Pastaboje Reikšmė 3 yra tiksli Featuresettingsoverridemask "įjungti" ir "išjungti" parametrus. (Žr. skiltį "DUK" daugiau informacijos apie registro raktus.)
Valdyti mažinimas CVE-2017-5715 (Spectre variantas 2)
Norėdami išjungti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) : reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 1/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. Norėdami įjungti numatytąjį priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown"): reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 0/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. |
AMD ir ARM procesoriai tik: įgalinti visišką mažinimas CVE-2017-5715 (Spectre variantas 2)
Pagal numatytuosius nustatymus "user-to-branduolys" apsauga CVE-2017-5715 išjungta AMD ir ARM procesorius. Klientai turi įgalinti mažinimas gauti papildomų apsaugos CVE-2017-5715. Daugiau informacijos rasite DUK #15 ADV180002 AMD procesoriai ir DUK #20 ADV180002 ARM procesoriams.
Įgalinti vartotojo ir branduolio apsauga AMD ir ARM procesoriai kartu su kitų apsaugos CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. |
Valdyti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")
Norėdami įgalinti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), numatytasis priemonėmis sumažinti riziką, CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 (krizės): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. Pastaba: AMD procesoriai nėra pažeidžiami CVE-2017-5754 (krizės). Šis registro raktas yra naudojamas sistemose su AMD procesoriais, kad numatytąjį priemonėmis sumažinti riziką CVE-2017-5715 AMD procesoriais ir dėl CVE mažinimas-2018-3639. Norėdami išjungti priemonėmis sumažinti riziką, CVE-2018-3639 (spekuliacinių parduotuvės Bypass) * ir * priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown") reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. |
AMD procesoriai tik: įjungti visišką mažinimas CVE-2017-5715 (Spectre variantas 2) ir CVE 2018-3639 (spekuliacinių parduotuvės Bypass)
Pagal numatytuosius nustatymus "user-to-branduolys apsauga CVE-2017-5715 yra išjungtas AMD procesoriai. Klientai turi įgalinti mažinimas gauti papildomų apsaugos CVE-2017-5715. Daugiau informacijos rasite DUK #15 ADV180002.
Įgalinti vartotojo ir branduolio apsauga AMD procesoriai kartu su kitų apsaugos cve 2017-5715 ir apsaugos CVE-2018-3639 (spekuliacinių parduotuvės Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. |
Tvarkyti Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir Microarchitectural duomenų atranka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir "Meltdown" (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvės Bypass išjungti (SSBD) (CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646)
Norėdami įgalinti priemonėmis sumažinti riziką Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir krizės (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvių Bypass išjungti (ssbd) ( CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646) neišjungus Hyper-threading: reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 72/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą: reg pridėti "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizacija"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo. Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. Norėdami įgalinti priemonėmis sumažinti riziką Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir krizės (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvių Bypass išjungti (ssbd) ( CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646) su Hyper-threading išjungta: reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą: reg pridėti "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizacija"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f
Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo. Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. Norėdami išjungti priemonėmis sumažinti riziką, Intel® transakcijų sinchronizavimo plėtiniai (Intel® TSX) operacijos asinchroninis nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir krizės (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvių Bypass išjungti (ssbd) ( CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646): reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 3/f reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų. |
Patikrinti, ar įgalintas apsaugos
Norėdami padėti klientams patikrinti, kad apsaugos yra įjungtas, mes paskelbėme PowerShell scenarijų, Klientai gali paleisti savo sistemose. Įdiekite ir paleiskite scenarijų vykdydami toliau nurodytas komandas.
"PowerShell" tikrinimo naudojant "PowerShell" galeriją (Windows Server 2016 arba WMF 5.0/5.1) |
Įdiekite "PowerShell" modulį: PS > diegimo modulis SpeculationControl Paleiskite "PowerShell" modulį, kad patikrintumėte, ar įgalinti apsaugos trūkumai. PS > # Išsaugoti dabartinę vykdymo politiką, kad ji gali būti iš naujo PS > $SaveExecutionPolicy = gauti-ExecutionPolicy PS > Set-ExecutionPolicy RemoteSigned-taikymo sritis Currentuser PS > importo modulis SpeculationControl PS > get-Spekuliacijacontrolsettings PS > # iš naujo nustatyti vykdymo politiką į pradinę būseną PS > Set-ExecutionPolicy $SaveExecutionPolicy-taikymo Currentuser |
"PowerShell" tikrinimas naudojant atsisiųsti iš "TechNet" (ankstesnės operacinės sistemos versijos ir ankstesnės WMF versijos) |
Įdiegti PowerShell modulį iš TechNet ScriptCenter: Eiti į https://aka.ms/SpeculationControlPS Atsisiųskite SpeculationControl. zip į vietinį aplanką. Išskleisti turinį į vietinį aplanką, pvz., C:\ADV180002 Paleiskite "PowerShell" modulį, kad patikrintumėte, ar įgalinti apsaugos trūkumai. Paleiskite "PowerShell", tada (naudodami ankstesnį pavyzdį) nukopijuokite ir vykdykite šias komandas: PS > # Išsaugoti dabartinę vykdymo politiką, kad ji gali būti iš naujo PS > $SaveExecutionPolicy = gauti-ExecutionPolicy PS > Set-ExecutionPolicy RemoteSigned-taikymo sritis Currentuser PS > CD C:\ADV180002\SpeculationControl PS > importo modulis .\SpeculationControl.psd1 PS > get-Spekuliacijacontrolsettings PS > # iš naujo nustatyti vykdymo politiką į pradinę būseną PS > Set-ExecutionPolicy $SaveExecutionPolicy-taikymo Currentuser |
Išsamų paaiškinimą PowerShell scenarijų išvesties, rasite žinių bazės straipsnyje 4074629.
Dažnai užduodami klausimai
Kaip aš galiu pasakyti, ar aš turiu tinkamą CPU microcode versiją?
Mikrokodas yra pristatomas per firmware atnaujinimas. Klientai turėtų patikrinti su savo CPU (chipsetu) ir įrenginių gamintojai dėl galimybės naudotis taikomomis programinės-aparatinės įrangos saugos naujinimus, jų konkretų įrenginį, įskaitant Intel microcode peržiūra patarimų.
Mano operacinė sistema nėra sąraše. Kada galiu tikėtis nustatyti, kad būtų išleistas?
Aparatūros pažeidžiamumo problemos sprendimas naudojant programinės įrangos naujinimą kelia didelių iššūkių. Be to, priemonėmis sumažinti riziką vyresnio amžiaus operacinių sistemų reikia daug architektūros pokyčių. Mes dirbame su įtakos lustų gamintojai nustatyti geriausias būdas teikti priemonėmis sumažinti riziką, kuris gali būti pristatytas ateityje atnaujinimus.
Kur galėčiau rasti Surface firmware arba aparatūros naujinimus?
Naujinimai, skirti "Microsoft" Surface įrenginiams bus pristatytas klientams per "Windows Update" kartu su "Windows" operacinės sistemos naujinimais. Galimų Surface įrenginio programinės-aparatinės įrangos (microcode) naujinimų sąrašą, peržiūrėkite KB 4073065.
Jei jūsų įrenginys yra ne iš "Microsoft", taikyti programinę-aparatinę įrangą iš įrenginio gamintojo. Norėdami gauti daugiau informacijos, kreipkitės į OĮG įrenginio gamintoją.
Turiu x86 architektūrą, tačiau nematau siūlomo naujinimo. Ar gausiu vieną?
Vasario ir kovo 2018, "Microsoft" išleido papildomą apsaugą kai x86 pagrindo sistemoms. Daugiau informacijos ieškokite KB 4073757 ir "Microsoft" saugos patarimą ADV180002.
Kur galėčiau rasti Microsoft Hololens operacinės sistemos ir programinės-aparatinės įrangos (microcode) naujinimus?
Atnaujinimai Windows 10 HoloLens yra prieinami HoloLens klientams per Windows Update.
Pritaikius vasario 2018 Windows saugos naujinimą, Hololens klientams nereikia imtis jokių papildomų veiksmų, atnaujinti savo prietaiso firmware. Šie priemonėmis sumažinti riziką taip pat bus įtraukti į visus būsimus leidimus Windows 10 HoloLens.
Aš neįdiegta bet 2018 saugumo tik atnaujinimus. Jei aš įdiegti naujausią 2018 tik saugos naujinimus, aš apsaugotas nuo pažeidžiamumą aprašyta?
ne. Tik saugos naujinimai nėra kaupiamieji. Priklausomai nuo operacinės sistemos versiją naudojate, jums teks įdiegti kas mėnesį saugos tik naujinimai turi būti apsaugotas nuo šių pažeidžiamumą. Pvz., jei naudojate "Windows 7" 32 bitų sistemoms įtakos Intel CPU turite įdiegti visi tik saugos naujinimai. Rekomenduojame įdiegti šiuos saugos tik naujinimus išleidimo tvarka.
Pastaba ANKSTESNĖSE versijose šios DUK neteisingai nurodyta, kad vasario saugos tik atnaujinti įtraukti saugos pataisos, išleistas sausio mėn. Tiesą sakant, taip nėra.
Jei aš taikyti bet kurį iš taikytinų vasaris saugos naujinimus, jie bus išjungti apsaugos CVE-2017-5715 taip pat, kad saugos naujinimas 4078130 padarė?
ne. Saugos naujinimas 4078130 buvo konkrečių nustatyti išvengti nenuspėjamas sistemos veikimą, efektyvumo problemas ir/arba netikėtas reboot įdiegus microcode. Taikant vasario saugos naujinimus "Windows" kliento operacinės sistemos leidžia visus tris priemonėmis sumažinti riziką.
Aš girdėjau, "Intel" išleido microcode atnaujinimus. Kur galėčiau juos rasti?
"Intel" neseniai paskelbė , jie baigė savo patvirtinimus ir pradėjo išleisti microcode naujesnė procesoriaus platformų. "Microsoft" yra prieinama "Intel" patvirtinti microcode naujinimus apylinkės Spectre variantas 2 (CVE-2017-5715 "filialo TARGET įdėjimas"). KB 4093836 pateikia konkrečių žinių bazės straipsnius pagal "Windows" versiją. Kiekvieno konkretaus KB yra galima Intel microcode naujinimus iš CPU.
Žinoma problema: kai kurie vartotojai gali kilti tinklo ryšio problemų arba prarasti IP adreso parametrus įdiegus kovo 13, 2018 saugos naujinimas (KB 4088875).
Ši problema buvo išspręsta KB 4093118.
Aš girdėjau AMD išleido microcode atnaujinimus. Kur galiu rasti ir įdiegti šiuos naujinimus savo sistemai?
AMD neseniai paskelbė , jie pradėjo išleisti microcode naujesnė procesoriaus platformų aplink Spectre variantas 2 (CVE-2017-5715 "filialo TARGET įdėjimas"). Daugiau informacijos rasite AMD saugos naujinimus ir AMD whitepaper: architektūros gaires apie netiesioginio filialo valdiklį. Tai galima gauti iš OĮG programinės-aparatinės įrangos kanalo.
Aš naudoju Windows 10 balandis 2018 atnaujinti (versija 1803). Ar yra Intel microcode mano įrenginiui? Kur galėčiau jį rasti?
Mes darome prieinama Intel patikrintas microcode atnaujinimus aplink Spectre variantas 2 (CVE-2017-5715 "filialo TARGET įdėjimas "). Norėdami gauti naujausią Intel microcode per Windows Update, klientai turi būti įdiegę Intel microcode įrenginiuose, kuriuose veikia Windows 10 operacinę sistemą prieš atnaujinant į Windows 10 balandis 2018 atnaujinti (versija 1803).
Microcode naujinimą taip pat galima tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš atnaujinant OS. Intel microcode yra prieinama per Windows Update, WSUS, arba "Microsoft Update" katalogo. Daugiau informacijos ir atsisiuntimo instrukcijos, ieškokite KB 4100347.
Kur galėčiau rasti informacijos apie naują spekuliacinių vykdymo pusėje kanalo pažeidžiamumas (spekuliacinių parduotuvės Bypass-CVE-2018-3639 ir Rogue sistemos registras skaityti-CVE-2018-3640)?
Daugiau informacijos rasite šiuose šaltiniuose:
Kur galėčiau rasti daugiau informacijos apie "Windows" palaikymo spekuliacinių parduotuvės Bypass išjungti (ssbd) Intel procesoriais.
Daugiau informacijos rasite skyriuose "Rekomenduojami veiksmai" ir "DUK" ADV180012 | "Microsoft" patarimų spekuliacinių parduotuvės Bypass.
Kaip patikrinti, ar ssbd yra įjungtas arba išjungtas?
Norėdami patikrinti, ar SSBD būseną, get-Spekuliacijacontrolsettings PowerShell scenarijų buvo atnaujintas, siekiant nustatyti įtakos procesorių, SSBD operacinės sistemos naujinimus ir procesoriaus microcode jei taikoma būseną. Daugiau informacijos ir gauti PowerShell scenarijų, ieškokite KB 4074629.
Girdėjau, kad tingus FP valstybės atkūrimo (CVE-2018-3665) buvo paskelbta. Ar "Microsoft" išleidžia priemonėmis sumažinti riziką?
Birželio 13, 2018, papildomas pažeidžiamumas, įtraukiant pusėje kanalo spekuliacinių vykdymo, žinomas kaip TINGUS FP būsenos atkūrimas, buvo paskelbta ir priskirtas CVE-2018-3665. Nėra konfigūracijos (registro) parametrai yra būtini tingus atkurti FP atkūrimas.
Jei norite gauti daugiau informacijos apie šį pažeidžiamumą ir Rekomenduojami veiksmai, skaitykite saugos patarimą ADV180016 | "Microsoft" rekomendacijos tingus FP būsenos atkūrimas.
Pastaboje Nėra konfigūracijos (registro) parametrai yra būtini tingus atkurti FP atkūrimas.
Aš girdėjau, kad CVE-2018-3693 (ribos patikrinti Bypass Store) yra susijęs su Spectre. Ar "Microsoft" išleidžia priemonėmis sumažinti riziką?
Ribų patikrinti Bypass Store (BBPK) buvo atskleista liepos 10, 2018 ir priskirtas CVE-2018-3693. Manome, kad BBPK priklauso tai pačiai pažeidžiamumai, kaip ribų tikrinimo Bypass (1 variantas). Mes šiuo metu nežino jokių BBPK atvejais mūsų programinė įranga, bet mes ir toliau tirti šį pažeidžiamumą klasės ir dirbs su pramonės partneriais, kad būtų galima sumažinti riziką mažinėjimų, kaip reikalaujama. Mes ir toliau skatinti mokslininkų pateikti bet kokius atitinkamus rezultatus Microsoft spekuliacinių vykdymo pusėje kanalas Bounty programa, įskaitant visus naudoti BBPK egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo nurodymus, kurie buvo atnaujinti BBPK ne https://aka.ms/sescdevguide.
Aš girdėjau, kad L1 terminalo kaltės (L1TF) buvo atskleista. Kur galėčiau rasti daugiau informacijos apie jį ir "Windows" palaikymą?
Rugpjūčio 14, 2018, L1 terminalo kaltės (L1TF) buvo paskelbta ir priskirtas kelis cves. Šių naujų spekuliacinių vykdymo pusėje kanalo pažeidžiamumas gali būti naudojamas skaityti atminties turinį per patikimą ribą ir, jei išnaudojami, gali lemti informacijos atskleidimas. Pažeidėjas gali sukelti pažeidžiamumą per kelis vektoriai, priklausomai nuo sukonfigūruotas aplinkoje. L1TF turi įtakos Intel® Core® procesorių ir Intel® Xeon® procesoriai.
Daugiau informacijos apie šį pažeidžiamumą ir išsamų rodinį, susijusio scenarijų, įskaitant "Microsoft" požiūris į sumažinti L1TF, ieškokite šių išteklių:
Kur galėčiau rasti ir įdiegti ARM64 firmware, kad sumažinti CVE-2017-5715-šaka TARGET įdėjimas (Spectre variantas 2)?
Klientai, naudojantys 64 bitų ARM procesorius turėtų patikrinti su įrenginio OĮG programinės-aparatinės įrangos palaikymas, nes ARM64 operacinės sistemos apsaugos, kad sumažinti CVE-2017-5715 -šaka paskirties įdėjimas (Spectre, variantas 2) reikia naujausią firmware atnaujinimas iš įrenginio OĮG įsigaliotų.
Kur galėčiau rasti informacijos apie "Intel" atskleidimas aplink microarchitectural duomenų atranka (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127?)
Norėdami gauti daugiau informacijos, žiūrėkite toliau nurodytus saugos patarimus
Kur galėčiau rasti informacijos apie "Intel" atskleidimas aplink microarchitectural duomenų imties pažeidžiamumo (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)
Norėdami gauti daugiau informacijos, žiūrėkite šiuos saugumo patarimus
Kur galėčiau rasti scenarijus pagrįstas gaires, siekiant nustatyti veiksmus, būtinus siekiant sušvelninti mikroarchitektūros duomenų atranka pažeidžiamumą?
Daugiau patarimų galima rasti Windows rekomendacijas, kaip apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas
Ar man reikia išjungti Hyper-threading DTS mano įrenginyje?
Prašome kreiptis į gaires Windows orientavimo apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas
Kur galėčiau rasti gaires Azure?
Azure patarimų, prašome kreiptis į šį straipsnį: rekomendacijos sumažinti spekuliacinių vykdymo pusėje kanalo pažeidžiamumas Azure.
Kur galėčiau sužinoti daugiau apie retpoline optimizavimą Windows 10, versija 1809?
Norėdami gauti daugiau informacijos apie Retpoline optimizavimą, kreiptis į mūsų tinklaraščio įrašą: lengvinant Spectre variantas 2 su Retpoline Windows.
Girdėjau, kad yra Spectre variantas 1 spekuliacinis vykdymo pusėje kanalo pažeidžiamumas variantas. Kur galiu sužinoti daugiau?
Daugiau informacijos apie šį pažeidžiamumą, ieškokite Microsoft saugos vadovas: CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumas.
CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumas įtakos Microsoft debesies paslaugų?
Mes nesuprantame jokių šios informacijos atskleidimo pažeidžiamumo, kenkiančių mūsų debesies paslaugų infrastruktūrai, egzemplioriaus.
Jei naujinimai, skirti CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumas buvo išleistas liepos 9, 2019, kodėl buvo paskelbta informacija rugpjūčio 6, 2019?
Kai tik sužinosime apie šią problemą, mes greitai dirbome, kad galėtume ją spręsti ir išleisti atnaujinimą. Mes tvirtai tikime glaudžiomis partnerystėmis su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepublikavo informacijos iki antradienio, rugpjūčio 6 d., laikydamasi koordinuoto pažeidžiamumo atskleidimo praktikos.
Kur galėčiau rasti scenarijumi pagrįstas gaires, kad nustatytumėte veiksmus, būtinus norint sumažinti "Intel"® Transakcinių sinchronizavimo plėtinių ("Intel® TSX") operaciją asinchroninį Abort pažeidžiamumą (CVE-2019-11135)?
Daugiau patarimų galima rasti Windows rekomendacijas, siekiant apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas.
Ar reikia išjungti "Hyper-threading for Intel"® transakcijų sinchronizavimo plėtinius (Intel® TSX) operacijos asinchroninis nutraukti pažeidžiamumas (CVE-2019-11135) mano įrenginyje?
Daugiau patarimų galima rasti Windows rekomendacijas, siekiant apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas.
Ar yra būdas išjungti Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) pajėgumus?
Daugiau patarimų galima rasti patarimų, kaip išjungti "Intel"® Transakcinis sinchronizavimo plėtiniai (intel® TSX) pajėgumus.