Pastaba: Šis straipsnis bus atnaujintas, kai bus pasiekiama papildoma informacija. Reguliariai tikrinkite, ar yra naujinimų ir naujų DUK.

Pažeidžiamumą

Šiame straipsnyje aptariami šie su spėjamu vykdymu susijusios spragos:

"Windows Update" taip pat pateiks "Internet Explorer" ir "Edge" mažinimų. Mes ir toliau tobulinsime šias pažeidžiamumą mažinančias priemones, atsižvelgdami į šią pažeidžiamumo klasę.

Norėdami sužinoti daugiau apie šią pažeidžiamumų klasę, žr.

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują spekuliacinių vykdymo šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį ir dokumentuotą ADV190013 | Mikroarchitektūros duomenų atranka. Jiems buvo priskirti šie CVEs:

Svarbu: Šios problemos paveiks kitas sistemas, pvz., "Android", "Chrome", "iOS" ir "MacOS". Rekomenduojame klientams ieškoti patarimų iš šių pardavėjų.

"Microsoft" išleido naujinimus, kad padėtų sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas. Primygtinai rekomenduojame įdiegti šiuos naujinimus.

Daugiau informacijos apie šią problemą žr. toliau pateiktu saugos patarimu ir naudokite scenarijumi pagrįstas rekomendacijas, kad nustatytumėte veiksmus, kurių reikia grėsmei sumažinti:

Pastaba: Rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie Windows branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.

2019 m. liepos 9 d. išleidome Windows operacinės sistemos saugos naujinimus, kad padėtumėte išspręsti šią problemą. Atkreipkite dėmesį, kad iki 2019 m. rugpjūčio 6 d., antradienį, rugpjūčio 6 d., koordinuotai pramonei neatskleidėme šio poveikio mažinimo dokumentų viešai.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Nereikia papildomai konfigūruoti.

Pastaba: Šis pažeidžiamumas nereikalauja mikrokodo naujinimo iš įrenginio gamintojo (OĮG).

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus, žr. "Microsoft" saugos naujinimo vadovą:

2019 m. lapkričio 12 d. "Intel" paskelbė techninį patarimą dėl "Intel"® operacijų sinchronizavimo plėtinių ("Intel TSX") operacijos asinchroninio nutraukimo pažeidžiamumo, kuriam priskirtas CVE-2019-11135. "Microsoft" išleido naujinimus, skirtus sušvelninti šį pažeidžiamumą, o OS apsaugos yra įgalintos pagal numatytuosius parametrus Windows Server 2019", bet išjungtos pagal numatytuosius parametrus Windows Server 2016" ir ankstesnėse Windows serverio OS leidimuose.

2022 m. birželio 14 d. paskelbėme ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų ir priskirti šie CVEs: 

Rekomenduojami veiksmai

Turėtumėte imtis šių veiksmų, kad apsisaugotumėte nuo pažeidžiamumų:

  1. Taikykite visus galimus Windows operacinės sistemos naujinimus, įskaitant mėnesinius Windows saugos naujinimus.

  2. Taikykite galiojantį programinės-aparatinės įrangos (mikrokodo) naujinimą, kurį teikia įrenginio gamintojas.

  3. Įvertinkite riziką savo aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimuose: ADV180002, ADV180012, ADV190013 ir ADV220002, kartu su informacija, pateikta šiame žinių bazė straipsnyje.

  4. Atlikite reikiamus veiksmus naudodami patarimus ir registro rakto informaciją, pateiktą šiame žinių bazė straipsnyje.

Pastaba: "Surface" klientai gaus mikrokodo naujinimą per "Windows Update". Naujausių "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065.

Rizikos mažinimo parametrai, skirti "Windows Server" ir "Azure Stack HCI"

Saugos patarimai ADV180002, ADV180012, ADV190013 ir ADV220002 pateikia informacijos apie riziką, kurią kelia šie pažeidžiamumai. Jie taip pat padeda nustatyti pažeidžiamumą ir nustatyti numatytąją rizikos mažinimo būseną Windows serverių sistemų. Toliau pateiktoje lentelėje apibendrinami CPU mikrokodo reikalavimai ir numatytoji rizikos mažinimo būsena "Windows Server".

GYVENIMO APRAŠYMAS

Reikia CPU mikrokodo / programinės-aparatinės įrangos?

Rizikos mažinimo numatytoji būsena

CVE-2017-5753

Ne

Įgalinta pagal numatytuosius parametrus (nėra parinkties išjungti)

Papildomos informacijos ieškokite ADV180002

CVE-2017-5715

Taip

Išjungta pagal numatytuosius parametrus.

Papildomos informacijos ieškokite ADV180002 ir šiame KB straipsnyje apie taikomus registro rakto parametrus.

Pastaba "Retpoline" įjungta pagal numatytuosius parametrus įrenginiuose, kuriuose veikia Windows 10 1809" arba naujesnė versija, jei įjungtas "Spectre Variant 2" (CVE-2017-5715). Norėdami gauti daugiau informacijos apie "Retpoline", atlikite Švelninimas Spectre variantas 2 su Retpoline Windows interneto dienoraščio įrašą.

CVE-2017-5754

Ne

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.

Papildomos informacijos ieškokite ADV180002 .

CVE-2018-3639

"Intel": taip

AMD: Ne

Išjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV180012 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-11091

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12126

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12127

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12130

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2019-11135

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. CVE-2019-11135 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21123 (MMIO ADV220002 dalis)

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. 
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21123 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21125 (MMIO ADV220002 dalis)

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. 
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21125 .

CVE-2022-21127 (MMIO ADV220002 dalis)

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. 
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21127 .

CVE-2022-21166 (MMIO ADV220002 dalis)

"Intel": taip

Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. 
Windows Server 2016" ir ankstesnėms versijoms: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21166 .

*Vadovaukitės toliau pateiktoms "Meltdown" rizikos mažinimo rekomendacijomis.

Jei norite gauti visas galimas apsaugos nuo šių pažeidžiamumų, turite atlikti registro rakto pakeitimus, kad įgalintumėte šias pažeidžiamumą mažinančias priemones, kurios yra išjungtos pagal numatytuosius parametrus.

Šių mažinimų įgalinimas gali turėti įtakos našumui. Našumo efektų mastas priklauso nuo kelių veiksnių, pvz., konkretaus jūsų fizinio pagrindinio kompiuterio lustų rinkinio ir veikiančių darbo krūvių. Rekomenduojame įvertinti veikimo poveikį jūsų aplinkai ir atlikti reikiamus pakeitimus.

Jūsų serveriui kyla pavojus, jei jis yra vienoje iš šių kategorijų:

  • "Hyper-V" pagrindiniai kompiuteriai: būtina apsauga nuo VM ir VM iki pagrindinio kompiuterio atakų.

  • Nuotolinio darbalaukio tarnybų pagrindiniai kompiuteriai (RDSH): reikia apsaugos nuo vieno seanso iki kito seanso arba iš seanso į pagrindinį kompiuterį atakų.

  • Fiziniai pagrindiniai kompiuteriai arba virtualiosios mašinos, kuriose veikia nepatikimas kodas, pvz., konteineriai arba nepatikimi plėtiniai, skirti duomenų bazei, nepatikimas žiniatinklio turinys arba darbo krūviai, vykdantys kodą iš išorinių šaltinių. Tam reikia apsaugos nuo nepatikimų proceso į kitą arba nepatikimų proceso ir branduolio atakų.

Naudokite šiuos registro rakto parametrus, kad įgalintumėte mažinimą serveryje, ir iš naujo paleiskite įrenginį, kad pakeitimai įsigaliotų.

Pastaba: Pagal numatytuosius parametrus išjungtų rizikos mažinimo priemonių įjungimas gali turėti įtakos našumui. Faktinis veikimo poveikis priklauso nuo kelių veiksnių, pvz., konkretaus įrenginio lustų rinkinio ir veikiančių darbo krūvių.

Registro parametrai

Svarbu: Pateikiame šią registro informaciją, kad įgalintume rizikos mažinimus, kurie nėra įjungti pagal numatytuosius parametrus, kaip nurodyta saugos patarimuose ADV180002, ADV180012, ADV190013 ir ADV220002.

Be to, teikiame registro rakto parametrus, jei norite išjungti rizikos mažinimo priemones, susijusias su CVE-2017-5715 ir CVE-2017-5754 Windows klientams.

Svarbu: Šiame skyriuje, metode ar užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Jei registro duomenis pakeisite netinkamai, gali kilti rimtų problemų. Todėl atlikite šiuos veiksmus atidžiai. Kad būtų saugiau, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galėsite atkurti registrą, jei kils problemų. Norėdami gauti daugiau informacijos apie tai, kaip sukurti atsarginę registro kopiją ir atkurti registrą, spustelėkite toliau pateiktą straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazė:

322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą naudojant Windows

Svarbu: Pagal numatytuosius parametrus Retpoline yra įjungtas Windows 10, 1809 versijos serveriuose, jei įjungtas "Spectre", 2 variantas (CVE-2017-5715). Įjungus "Retpoline" naujausioje Windows 10 versijoje, gali pagerėti veikimas serveriuose, kuriuose veikia "Windows 10", 1809 versija, skirta "Spectre" 2 variantui, ypač senesniuose procesoriuose.

Norėdami įgalinti rizikos mažinimą CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti rizikos mažinimą CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pastaba: FeatureSettingsOverrideMask nustatymas į 3 yra tikslus tiek "įgalinti", tiek "išjungti" parametrus. (Daugiau informacijos apie registro raktus žr. skyriuje "DUK ".)

Norėdami išjungti 2 variantą: (CVE-2017-5715  "Branch Target Injection") mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įjungti 2 variantą: (CVE-2017-5715  "Branch Target Injection") mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pagal numatytuosius parametrus CVE-2017-5715 vartotojo ir branduolio apsauga išjungta AMD CPU. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. DUK #15 adv180002.

Įgalinkite vartotojo ir branduolio apsaugą AMD procesoriuose kartu su kitomis CVE 2017-5715 apsaugos.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti poveikio mažinimą CVE-2018-3639 ("Speculative Store Bypass"), CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti CVE-2018-3639 ("Speculative Store Bypass") IR rizikos mažinimo priemones, skirtas CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pagal numatytuosius parametrus VARTOTOJŲ apsauga nuo branduolio CVE-2017-5715 išjungta AMD procesoriams. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. DUK #15 adv180002.

Vartotojų apsaugos nuo branduolio įgalinimas AMD procesoriuose kartu su kitomis CVE 2017-5715 apsaugos ir CVE-2018-3639 ("Speculative Store Bypass") apsauga:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijų asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir "Meltdown" [CVE-2017-5754] variantai, įskaitant "Speculative Store Bypass Disable" (SSBD) [CVE-2018-3639] kaip taip pat L1 terminalo klaida (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646] neišjungiant "Hyper-Threading":

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijų asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ir Meltdown [ CVE-2017-5754 ] variantai, įskaitant Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as taip pat L1 terminalo triktis (L1TF) [ CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646 ] su Hyper-Threading išjungta:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijai asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ir Meltdown [ CVE-2017-5754 ] variantai, įskaitant Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as taip pat L1 terminalo triktis (L1TF) [ CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Patikrinimas, ar įgalintos apsaugos

Siekdami patikrinti, ar įjungta apsauga, paskelbėme "PowerShell" scenarijų, kurį galite paleisti savo įrenginiuose. Įdiekite ir vykdykite scenarijų vienu iš toliau nurodytų būdų.

Įdiekite "PowerShell" modulį:

PS> Install-Module SpeculationControl

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Įdiekite "PowerShell" modulį iš "Technet ScriptCenter":

  1. Eikite į https://aka.ms/SpeculationControlPS .

  2. Atsisiųskite SpeculationControl.zip į vietinį aplanką.

  3. Išskleiskite turinį į vietinį aplanką. Pavyzdžiui: C:\ADV180002

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga:

Paleiskite "PowerShell", tada naudodami ankstesnį pavyzdį nukopijuokite ir paleiskite šias komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Išsamų "PowerShell" scenarijaus išvesties paaiškinimą rasite KB4074629

Dažnai užduodami klausimai

Siekiant išvengti neigiamos įtakos klientų įrenginiams, Windows saugos naujinimai, kurie buvo išleisti 2018 m. sausio ir vasario mėn., nebuvo siūlomi visiems klientams. Daugiau informacijos žr . KB407269 .

Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Pasitarkite su OĮG apie programinės-aparatinės įrangos versiją, kurioje yra tinkamas jūsų kompiuterio naujinimas.

Yra keli kintamieji, kurie turi įtakos našumui, pradedant nuo sistemos versijos iki veikiančių darbo krūvių. Kai kuriose sistemose veikimo poveikis bus nereikšmingas. Kitiems tai bus labai svarbu.

Rekomenduojame įvertinti sistemos veikimo poveikį ir, jei reikia, pakoreguoti.

Be šiame straipsnyje pateikiamų nurodymų dėl virtualiųjų mašinų, kreipkitės į paslaugų teikėją ir įsitikinkite, kad jūsų virtualiąsias mašinas naudojantys kompiuteriai yra tinkamai apsaugoti.

Jei naudojate Windows serverio virtualiąsias mašinas, veikiančias "Azure", žr. Patarimai, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą "Azure". Jei reikia patarimų, kaip naudoti "Azure Update Management" siekiant sušvelninti šią problemą svečių VM, žr. KB4077467.

Naujinimai, kurie buvo išleisti Windows serverio konteinerio vaizdus Windows Server 2016 ir Windows 10 1709 versija apima pažeidžiamumą mažinančias priemones, skirtas šio rinkinio pažeidžiamumą. Nereikia papildomos konfigūracijos.

Pastaba Vis tiek turite įsitikinti, kad pagrindinis kompiuteris, kuriame veikia šie konteineriai, yra sukonfigūruotas įgalinti atitinkamus mažinimus.

Ne, diegimo užsakymas nesvarbus.

Taip, turite paleisti iš naujo po programinės-aparatinės įrangos (mikrokodo) naujinimo ir dar kartą po sistemos naujinimo.

Toliau pateikta išsami informacija apie registro raktus:

FeatureSettingsOverride – tai rastras, kuris perrašo numatytąjį parametrą ir valdiklius, kurie bus išjungti. Bit 0 valdo rizikos mažinimą, kuris atitinka CVE-2017-5715. Bitas 1 valdo rizikos mažinimą, kuris atitinka CVE-2017-5754. Bitai nustatyti į 0 , kad būtų įgalintas rizikos mažinimas, ir į 1 išjungti rizikos mažinimą.

FeatureSettingsOverrideMask – tai rastro šablonas, naudojamas kartu su FeatureSettingsOverride.  Tokiu atveju naudojame reikšmę 3 (išreikštą 11 dvejetainių skaičių arba 2 bazinių skaičių sistemoje), kad nurodytume pirmuosius du bitus, atitinkančius galimus mažinimus. Šis registro raktas nustatytas į 3 ir įjungti arba išjungti mažinimą.

MinVmVersionForCpuBasedMitigations skirta "Hyper-V" pagrindiniams kompiuteriams. Šis registro raktas apibrėžia minimalią VM versiją, reikalingą norint naudoti atnaujintas programinės-aparatinės įrangos galimybes (CVE-2017-5715). Nustatykite 1,0 , kad apimtų visas VM versijas. Atkreipkite dėmesį, kad šios registro reikšmės bus nepaisoma (gerybinė) ne "Hyper-V" pagrindiniuose kompiuteriuose. Daugiau informacijos žr . Svečio virtualiųjų mašinų apsauga nuo CVE-2017-5715 (šakos tikslinis įdėjimas).

Taip, jei šie registro parametrai taikomi prieš diegiant su 2018 m. sausio mėn. susijusias pataisas, nėra jokio šalutinio poveikio.

Peržiūrėkite išsamų scenarijaus išvesties aprašą KB4074629: Supratimas Spekuliavimo valdymo "PowerShell" scenarijaus išvestis .

Taip, "Windows Server 2016" "Hyper-V" pagrindiniams kompiuteriams, kurie dar neturi programinės-aparatinės įrangos naujinimo, paskelbėme alternatyvias rekomendacijas, kurios gali padėti sumažinti VM iki VM arba VM, kad būtų galima laikyti atakas. Žr. Alternatyvi "Windows Server 2016" "Hyper-V" pagrindinių kompiuterių apsauga nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų.

Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į jūsų operacinės sistemos versiją, gali tekti įdiegti kelis saugos naujinimus, kad būtų galima užtikrinti visišką apsaugą. Paprastai klientai turės įdiegti 2018 m. sausio, vasario, kovo ir balandžio mėn. naujinimus. Sistemoms, kuriose yra AMD procesorių, reikia papildomo naujinimo, kaip parodyta toliau pateiktoje lentelėje:

Operacinės sistemos versija

Saugos naujinimas

"Windows 8".1, Windows Server 2012 R2

KB4338815 – mėnesio naujinimų paketas

KB4338824 – tik saugos

Windows 7 SP1", "Windows Server 2008 R2" SP1 arba "Windows Server 2008 R2" SP1 ("Server Core" diegimas)

KB4284826 – mėnesio naujinimų paketas

KB4284867 – tik saugos

„Windows Server 2008“ SP2

KB4340583 – saugos naujinimas

Rekomenduojame įdiegti tik saugos naujinimus išleidimo tvarka.

Pastaba: Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, kurios buvo išleistos sausio mėn. Tiesą sakant, tai nėra.

Ne. Saugos naujinimas KB4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir netikėto paleidimo iš naujo įdiegus mikrokodą. Saugos naujinimų taikymas Windows kliento operacinėse sistemose įgalina visus tris mažinimus. "Windows Server" operacinėse sistemose vis tiek turite įgalinti mažinimą atlikus tinkamus testus. Daugiau informacijos žr. KB4072698.

Ši problema buvo išspręsta KB4093118.

2018 m. vasario mėn. "Intel" paskelbė , kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2 Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). KB4093836 išvardija konkrečius žinių bazė straipsnius pagal Windows versiją. Kiekviename konkrečiame KB straipsnyje pateikiami galimi "Intel" mikrokodo naujinimai pagal CPU.

2018  m. sausio 11 d. "Intel" pranešė apie problemas neseniai išleistame mikrokodo kode, kuris buvo skirtas adresuoti "Spectre" 2 variantą (CVE-2017-5715 | Šakų tikslinis įdėjimas). Konkrečiai "Intel" pažymėjo, kad šis mikrokodas gali sukelti "didesnį nei tikėtasi perkrovimą ir kitą nenuspėjamą sistemos veikimą" ir kad šie scenarijai gali sukelti "duomenų praradimą arba sugadinimą."Mūsų patirtis yra ta, kad sistemos nestabilumas gali sukelti duomenų praradimą ar sugadinimą tam tikromis aplinkybėmis. Sausio 22 d. "Intel" rekomendavo klientams sustabdyti dabartinės mikrokodo versijos diegimą paveiktuose procesoriuose, kol "Intel" atlieka papildomus atnaujinto sprendimo testus. Suprantame, kad "Intel" toliau tiria dabartinės mikrokodo versijos galimą poveikį. Raginame klientus nuolat peržiūrėti rekomendacijas, kad būtų galima informuoti apie savo sprendimus.

Kol "Intel" tikrina, naujina ir diegia naują mikrokodą, pateikiame ne juostos (OOB) naujinimą KB4078130, kuris išjungia tik poveikio sumažinimą dėl CVE-2017-5715. Tikrinant aptiktas šis naujinimas, kad būtų išvengta aprašyto veikimo. Visą įrenginių sąrašą rasite mikrokodo peržiūros rekomendacijose iš "Intel". Šis naujinimas apima Windows 7 pakeitimų paketą (SP1), "Windows 8".1" ir visas Windows 10 versijas, tiek klientą, tiek serverį. Jei naudojate paveiktą įrenginį, šį naujinimą galima taikyti atsisiunčiant jį iš "Microsoft Update" katalogo svetainės. Šio paketo turinio taikymas išjungia tik rizikos mažinimą dėl CVE-2017-5715.

Nuo šio laiko nėra žinomų ataskaitų, nurodančių, kad šis "Spectre Variant 2" (CVE-2017-5715 – "Branch Target Injection") buvo naudojamas atakoms klientams. Rekomenduojame, kai reikia, Windows vartotojams pakartotinai įjungti rizikos mažinimą dėl CVE-2017-5715, kai "Intel" praneša, kad jūsų įrenginyje buvo išspręstas šis neprognozuojamas sistemos veikimas.

2018 m. vasario mėn. "Intel"paskelbė , kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2 Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). KB4093836 išvardija konkrečius žinių bazė straipsnius pagal Windows versiją. KB sąraše pateikiami "Intel" mikrokodo naujinimai pagal CPU.

Daugiau informacijos žr. AMD saugos naujinimai ir AMD techninė dokumentacija: architektūros gairės dėl netiesioginio šakų valdymo . Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Pateikiame galimus "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2" (CVE-2017-5715 – "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš "Microsoft Update" katalogo, jei jis nebuvo įdiegtas įrenginyje prieš atnaujinant sistemą. "Intel" mikrokodas pasiekiamas per "Windows Update", Windows serverio naujinimo tarnybas (WSUS) arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas rasite KB4100347.

Žr. ADV180012 skyrius   "Rekomenduojami veiksmai" ir "DUK" | "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, buvo atnaujintas " PowerShell" scenarijus Get-SpeculationControlSettings , kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. buvo paskelbta apie papildomą pažeidžiamumą, kuris apima šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665 . Informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus, ieškokite saugos patarimą ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore" .

Pastaba Nėra būtinų konfigūracijos (registro) parametrų, skirtų "Lazy Restore FP Restore".

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nežinome apie jokius BCBS egzempliorius savo programinėje įrangoje. Tačiau mes ir toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad galėtume išleisti pažeidžiamumą mažinančias priemones, kaip reikalaujama. Raginame tyrėjus pateikti atitinkamas išvadas į "Microsoft Speculative Execution Side Channel bounty" programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo rekomendacijas, kurios buvo atnaujintos BCBS C++ kūrėjų rekomendacijose dėl su spėjamu vykdymu susijusių šalutinių kanalų 

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šios naujos su spėjamu vykdymu susijusios šalutinių kanalų spragos gali būti naudojamos atminties turiniui skaityti per patikimas ribas ir, jei išnaudojamos, gali lemti informacijos atskleidimą. Yra keli vektoriai, pagal kuriuos programišius gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų peržiūrėti paveiktus scenarijus, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

Veiksmai, kaip išjungti Hyper-Threading skiriasi nuo OĮG iki OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos, sumažinančios CVE-2017-5715 | Branch target injection (Spectre, Variant 2) require the latest firmware update from device OĮG to effect.

Norėdami gauti daugiau informacijos apie "Retpoline" įgalinimą, žr. mūsų tinklaraščio įrašą: "Spectre" 2 variantas su "Retpoline" Windows" .

Daugiau informacijos apie šį pažeidžiamumą rasite "Microsoft" saugos vadove: CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumą.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.

Nuorodos

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be įspėjimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?

Dėkojame už jūsų atsiliepimus!

×