Windows Server patarimų apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas

Rekomenduojami veiksmai

Klientai turėtų imtis šių veiksmų, kad padėtų apsisaugoti nuo pažeidžiamumą:

  1. Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.

  2. Taikyti taikomas programinės-aparatinės įrangos (microcode) naujinimą, kurį pateikia įrenginio gamintojas.

  3. Įvertinkite riziką jūsų aplinkai, atsižvelgdami į informaciją, pateiktą "Microsoft" saugos patarimus: ADV180002, ADV180012, ADV190013ir informaciją, pateiktą šiame žinių bazės straipsnyje.

  4. Imtis veiksmų, kaip reikalaujama naudojant patarimus ir registro rakto informacija, pateikta šiame žinių bazės straipsnyje.

Pastaboje Surface Klientai gaus microcode atnaujinti per "Windows" naujinimą. Naujausią Surface įrenginio programinės-aparatinės įrangos (microcode) naujinimų sąrašą rasite KB 4073065.

Mažinimas parametrus Windows Server

Saugumo patarimai ADV180002, ADV180012ir ADV190013 teikia informaciją apie riziką, kad kyla dėl šių pažeidžiamumą.  Jie taip pat padės jums nustatyti šiuos pažeidžiamumas ir nustatyti numatytąją priemonėmis sumažinti riziką Windows Server sistemoms. Toliau pateiktoje lentelėje apibendrinama procesoriaus microcode ir numatytoji būsena "Windows Server" priemonėmis sumažinti riziką.

CVE

Reikia CPU microcode/firmware?

Mažinimas numatytoji būsena

CVE-2017-5753

Ne

Įjungta pagal numatytuosius nustatymus (negalima išjungti parinkties)

Daugiau informacijos rasite ADV180002 .

CVE-2017-5715

Taip

Išjungtas pagal numatytuosius nustatymus.

Prašome kreiptis į ADV180002 papildomos informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

Pastaboje "Retpoline" yra įgalintas pagal numatytuosius parametrus įrenginiams, kuriuose veikia Windows 10 1809 arba naujesnė, jei Spectre variantas 2 ( CVE-2017-5715 ) yra įjungtas. Norėdami gauti daugiau informacijos, aplink "retpoline", atlikitešvelninančios Spectre variantas 2 su Retpoline Windows dienoraštyje.

CVE-2017-5754

Ne

Windows Server 2019: įjungta pagal numatytuosius parametrus. Windows Server 2016 ir anksčiau: išjungta pagal numatytuosius parametrus.

Daugiau informacijos rasite ADV180002 .

CVE-2018-3639

"Intel": taip

AMD: ne

Išjungtas pagal numatytuosius nustatymus. Pamatyti ADV180012 daugiau informacijos ir šiame KB straipsnis taikomų registro rakto parametrus.

CVE-2018-11091

"Intel": taip

Windows Server 2019: įjungta pagal numatytuosius parametrus. Windows Server 2016 ir anksčiau: išjungta pagal numatytuosius parametrus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2018-12126

"Intel": taip

Windows Server 2019: įjungta pagal numatytuosius parametrus. Windows Server 2016 ir anksčiau: išjungta pagal numatytuosius parametrus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2018-12127

"Intel": taip

Windows Server 2019: įjungta pagal numatytuosius parametrus. Windows Server 2016 ir anksčiau: išjungta pagal numatytuosius parametrus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2018-12130

"Intel": taip

Windows Server 2019: įjungta pagal numatytuosius parametrus. Windows Server 2016 ir anksčiau: išjungta pagal numatytuosius parametrus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2019-11135

"Intel": taip

Windows Server 2019: įjungta pagal numatytuosius parametrus. Windows Server 2016 ir anksčiau: išjungta pagal numatytuosius parametrus.

Žr . CVE-2019-11135 daugiau informacijos ir šiame KB straipsnyje taikomų registro rakto parametrus.

Klientai, kurie nori gauti visus turimus apsaugos nuo šių pažeidžiamumą turi padaryti registro rakto pakeitimus, kad šiuos priemonėmis sumažinti riziką, kurie yra išjungtas pagal numatytuosius parametrus.

Įjungus šiuos priemonėmis sumažinti riziką gali turėti įtakos efektyvumas. Našumo efektų skalė priklauso nuo daugelio veiksnių, pvz., jūsų fizinio kompiuterio ir veikiančių darbo krūvių konkrečių lustų. Rekomenduojame klientams įvertinti našumo efektus savo aplinkai ir atlikti reikiamus koregavimus.

Jūsų serveris yra padidėjusi rizika, jei ji yra viena iš šių kategorijų:

  • Hyper-V šeimininkai – reikia apsaugos VM-to-VM ir VM-to-host atakų.

  • Nuotolinio darbalaukio tarnybų kompiuteriai (RDSH) – reikia apsaugos nuo vieno seanso prie kito seanso arba nuo seanso iki pagrindinio kompiuterio atakų.

  • Fizinės pagrindinio kompiuterio arba virtualiosios mašinos, kuriuose veikia nepatikimas kodas, pvz., talpyklos arba nepatikimi plėtiniai duomenų bazei, nepatikimas žiniatinklio turinys arba darbo krūvis, paleidžiančio kodą iš išorinių šaltinių. Jiems reikia apsaugos nuo nepatikimų procesas-į-kitą procesą arba nepatikimas-procesas-į-branduolio atakų.

Naudokite šiuos registro rakto parametrus, Norėdami įgalinti priemonėmis sumažinti riziką serveryje, ir iš naujo paleisti sistemą, kad pakeitimai įsigaliotų.

Pastaboje Įgalinimas priemonėmis sumažinti riziką, kad yra išjungtas pagal nutylėjimą gali turėti įtakos efektyvumas. Tikrasis našumo efektas priklauso nuo daugelio veiksnių, pvz., konkretaus Chipset įrenginyje ir veikia apkrovos.

Registro parametrai

Mes teikia šią registro informaciją, kad priemonėmis sumažinti riziką, kad nėra įgalintas pagal numatytuosius parametrus, kaip nurodyta saugos patarimus ADV180002, ADV180012ir ADV190013.

Be to, mes teikia registro rakto parametrus vartotojams, kurie nori išjungti priemonėmis sumažinti riziką, susijusios su CVE-2017-5715 ir CVE-2017-5754 "Windows" klientams.

Svarbioms Šiame skyriuje, metodas ar užduotyje pateikiami veiksmai, kuriais nurodoma, kaip modifikuoti registrą. Tačiau, jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Todėl įsitikinkite, kad atlikite šiuos veiksmus atsargiai. Norėdami gauti papildomos apsaugos, prieš keisdami registrą sukurkite atsarginę jo kopiją. Tada, jei kils problemų, galite atkurti registrą. Jei norite gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

322756 kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"

Valdyti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

Svarbi Pastaba Retpoline įgalintas pagal numatytuosius nustatymus Windows 10, versija 1809 serverių jei Spectre, 2 variantas ( CVE-2017-5715 ) yra įjungtas. Įjungus Retpoline naujausią versiją Windows 10 gali padidinti našumą serveriuose, kuriuose veikia Windows 10, versija 1809 Spectre variantas 2, ypač vyresnio amžiaus procesorių.

Norėdami įgalinti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami išjungti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Pastaboje FeatureSettingsOverrideMask 3 yra tikslūs "įjungti" ir "išjungti" parametrus. (Žr. skiltį "DUK ", jei daugiau informacijos apie registro raktus.)

Valdyti ir mažinimas CVE-2017-5715 (Spectre variantas 2)

Norėdami išjungti 2 variantą: (CVE-2017-5715 "filialo TARGET įdėjimas") mažinimas:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami įjungti 2 variantą: (CVE-2017-5715 "filialo TARGET įdėjimas") mažinimas:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

AMD procesoriai tik: įgalinti visišką mažinimas CVE-2017-5715 (Spectre variantas 2)

Pagal numatytąją reikšmę "user-to-Kernel" apsauga, skirta CVE-2017-5715, yra išjungta "AMD CPU". Klientai turi įgalinti mažinimas gauti papildomų apsaugos CVE-2017-5715.  Daugiau informacijos rasite DUK #15 ADV180002.

Įgalinti vartotojo ir branduolio apsauga AMD procesoriai kartu su kitų apsaugos CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Valdyti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

Norėdami įgalinti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 (krizės):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami išjungti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass) ir priemonėmis sumažinti riziką, CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

AMD procesoriai tik: įgalinti visišką mažinimas CVE-2017-5715 (Spectre variantas 2) ir CVE 2018-3639 (spekuliacinių parduotuvės Bypass)

Pagal numatytuosius nustatymus "user-to-branduolys apsauga CVE-2017-5715 yra išjungtas AMD procesoriai. Klientai turi įgalinti mažinimas gauti papildomų apsaugos CVE-2017-5715.  Daugiau informacijos rasite DUK #15 ADV180002.

Įgalinti vartotojo ir branduolio apsauga AMD procesoriai kartu su kitų apsaugos cve 2017-5715 ir apsaugos CVE-2018-3639 (spekuliacinių parduotuvės Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Tvarkyti Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir Microarchitectural duomenų atranka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir Meltdown [CVE-2017-5754] variantai, įskaitant spekuliacinių parduotuvės Bypass išjungti (SSBD) [CVE-2018-3639], taip pat L1 terminalo gedimas (L1TF) [CVE-2018-3615, CVE-2018-3620, CVE-2018-3646]

Norėdami įgalinti priemonėmis sumažinti riziką Intel® transakcijų sinchronizavimo plėtiniai (Intel® TSX) operacijos asinchroninis nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir krizės [CVE-2017-5754] variantai, įskaitant spekuliacinių Parduotuvės Bypass išjungti (SSBD) [CVE-2018-3639] taip pat L1 terminalo gedimas (L1TF) [CVE-2018-3615, CVE-2018-3620, ir CVE-2018-3646] be išjungti Hyper-threading:

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg pridėti "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizacija"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami įgalinti priemonėmis sumažinti riziką Intel® transakcijų sinchronizavimo plėtiniai (Intel® TSX) operacijos asinchroninis nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir krizės [CVE-2017-5754] variantai, įskaitant Spekuliacinių parduotuvės Bypass išjungti (SSBD) [CVE-2018-3639] taip pat L1 terminalo gedimas (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646] su Hyper-threading išjungta:

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg pridėti "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizacija"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami išjungti priemonėmis sumažinti riziką Intel® transakcijų sinchronizavimo plėtiniai (Intel® TSX) operacijos asinchroninis nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir krizės [CVE-2017-5754] variantai, įskaitant Spekuliacinių parduotuvės Bypass išjungti (SSBD) [CVE-2018-3639] taip pat L1 terminalo gedimas (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646]:

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Patikrinti, ar įgalintas apsaugos

Norėdami padėti klientams patikrinti, ar įgalintas apsaugos, "Microsoft" išleido "PowerShell" scenarijų, Klientai gali paleisti savo sistemos. Įdiekite ir paleiskite scenarijų vykdydami toliau nurodytas komandas.

"PowerShell" tikrinimo naudojant "PowerShell" galeriją (Windows Server 2016 arba WMF 5.0/5.1)

Įdiekite "PowerShell" modulį:

PS> Install-Module SpeculationControl

Paleiskite "PowerShell" modulį, kad patikrintumėte, ar įgalinti apsaugos trūkumai.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

"PowerShell" tikrinimas naudojant atsisiųsti iš "TechNet" (ankstesnės operacinės sistemos versijos ir ankstesnės WMF versijos)

Įdiegti PowerShell modulį iš TechNet ScriptCenter:

  1. Eikite į https://aka.ms/SpeculationControlPS .

  2. Atsisiųskite SpeculationControl. zip į vietinį aplanką.

  3. Išskleisti turinį į vietinį aplanką. Pavyzdžiui: C:\ADV180002

Paleiskite "PowerShell" modulį, kad patikrintumėte, ar įgalinti apsaugos trūkumai.

Paleiskite "PowerShell", ir tada naudoti ankstesnį pavyzdį kopijuoti ir vykdyti šias komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Išsamų paaiškinimą PowerShell scenarijų išvesties, peržiūrėkite žinių bazės straipsnyje 4074629 .

Dažnai užduodami klausimai

Kad išvengtumėte neigiamo poveikio klientų įrenginiams, "Windows" saugos naujinimai, išleisti sausio ir vasario 2018, nebuvo pasiūlyti visiems klientams. Išsamesnės informacijos ieškokite "Microsoft" žinių bazės straipsnyje 4072699 .

Mikrokodas yra pristatomas per firmware atnaujinimas. Pasitarkite su OĮG apie programinės-aparatinės įrangos versiją, kuri turi atitinkamą naujinimą, jūsų kompiuteryje.

Yra keli kintamieji, turintys įtakos veikimui, nuo sistemos versijos iki veikiančių darbo krūvių. Kai kuriose sistemose veikimo efektas bus nereikšmingas. Kitiems, tai bus didelis.

Rekomenduojame įvertinti našumo efektus savo sistemose ir prireikus atlikti koregavimus.

Be to, gaires, kurios šiame straipsnyje dėl virtualių mašinų, turėtumėte susisiekti su savo paslaugų teikėju, įsitikinkite, kad šeimininkai, kuriuose veikia jūsų virtualiosios mašinos yra tinkamai apsaugotas. Windows Server virtualiosios mašinos, kuriuose veikia Azure, ieškokite patarimų, kaip sumažinti spekuliacinių vykdymo pusėje kanalo pažeidžiamumas Azure . Patarimų, kaip naudoti Azure naujinimo valdymo sušvelninti šią problemą, svečio VM, ieškokite "Microsoft" žinių bazės straipsnyje 4077467 .

Naujinimai, išleisti Windows Server konteinerio vaizdus Windows Server 2016 ir Windows 10, versija 1709 įtraukti į priemonėmis sumažinti riziką šio rinkinio pažeidžiamumą. Papildomos konfigūracijos nereikia. Pastaboje Jūs vis dar turite įsitikinti, kad pagrindinio kompiuterio, kuriame veikia šie konteineriai yra sukonfigūruotas taip, kad atitinkamas priemonėmis sumažinti riziką.

Ne, nesvarbu, koks yra diegimo užsakymas.

Taip, turite iš naujo paleisti po firmware (microcode) naujinimo ir tada vėl po sistemos naujinimo.

Toliau pateikiami duomenys apie registro raktus:

Featuresettingsoverride yra rastrą, kuris panaikina numatytąjį parametrą ir valdikliai, kurie priemonėmis sumažinti riziką bus išjungta. Bit 0 valdikliai mažinimas, kuris atitinka CVE-2017-5715. Bit 1 valdikliai mažinimas, kuris atitinka CVE-2017-5754. Bitai yra nustatyta 0 , kad sumažinti ir 1 išjungti mažinimas.

Featuresettingsoverridemask nurodo rastrinį šabloną, naudojamą kartu su Featuresettingsoverride.  Tokiu atveju mes naudojame reikšmę 3 (atstovaujama kaip 11 dvejetainis skaitinis arba Base-2 skaitmenų sistema) nurodyti pirmuosius du bitai, kurie atitinka galimas priemonėmis sumažinti riziką. Šiame registro rakte yra nustatyta į 3 ir įjungti arba išjungti priemonėmis sumažinti riziką.

Minvmversionforcpubasedmitigations yra Hyper-V šeimininkai. Šis registro raktas apibrėžia minimalią VM versiją, kurios reikia norint naudoti atnaujintas programinės-aparatinės įrangos galimybes (CVE-2017-5715). Nustatykite šią 1,0 , kad APIMTŲ visas VM versijas. Atkreipkite dėmesį, kad šios registro reikšmės bus nepaisoma (gerybinis) ne Hyper-V šeimininkai. Daugiau informacijos rasite svečio virtualiųjų mašinų apsauga nuo CVE-2017-5715 (filialo paskirties įdėjimas) .

Taip, nėra jokio šalutinio poveikio, jei šie registro parametrai taikomi prieš diegiant sausio 2018 susijusių pataisų.

Žr išsamus aprašymas scenarijaus išvesties suprasti get-Spekuliacijacontrolsettings PowerShell scenarijų išvestį .

Taip, Windows Server 2016 Hyper-V šeimininkai, kurie dar nėra programinės įrangos naujinimo, mes paskelbtų alternatyvių rekomendacijų, kurios gali padėti sumažinti VM VM arba VM surengti atakų. Ieškokite alternatyvių apsaugos Windows Server 2016 Hyper-V šeimininkai nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas .

Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į naudojamą operacinės sistemos versiją, gali reikėti įdiegti kelis saugos naujinimus, kad būtų galima visiškai apsaugoti. Apskritai, klientams reikės įdiegti sausio, vasario, kovo ir balandžio 2018 atnaujinimus. Sistemos, kurios AMD procesoriai reikia papildomo naujinimo, kaip parodyta šioje lentelėje:

Operacinės sistemos versija

Saugos naujinimas

Windows 8,1, Windows Server 2012 R2

4338815-mėnesio naujinimų paketas

4338824 – tik sauga

Windows 7 SP1, Windows Server 2008 R2 SP1 arba Windows Server 2008 R2 SP1 (serverio branduolio įdiegtį)

4284826-mėnesio naujinimų paketas

4284867 – tik sauga

„Windows Server 2008“ SP2

4340583 – saugos naujinimas

Rekomenduojame įdiegti tik saugos naujinimų išleidimo tvarka.

Pastaba   ankstesnės versijos Šis DUK neteisingai pareiškė, kad vasario saugos tik naujinimas įtrauktas saugos pataisas, kurios buvo išleistos sausio mėn. Tiesą sakant, taip nėra.

ne. Saugos naujinimą KB 4078130 buvo konkrečių nustatyti išvengti nenuspėjamas sistemos veikimą, efektyvumo problemos ir netikėtai paleidžiamas iš naujo įdiegus microcode. Taikant saugos naujinimus "Windows" kliento operacinėse sistemose įgalina visus tris priemonėmis sumažinti riziką. Windows Server operacinėse sistemose, jūs vis dar turite įgalinti priemonėmis sumažinti riziką po to, kai tinkamai bandymai. Daugiau informacijos rasite "Microsoft" žinių bazės straipsnyje 4072698 .

Ši problema buvo išspręsta KB 4093118 .

Vasario 2018, "Intel" paskelbė , kad jie baigė savo patvirtinimus ir pradėjo išleisti microcode naujesnė procesoriaus platformoms. Microsoft daro prieinama Intel patikrintas microcode atnaujinimus, kurie susiję su Spectre variantas 2 Spectre variantas 2 (CVE-2017-5715-"šaka TARGET įdėjimas"). KB 4093836 sąrašai konkrečių žinių bazės straipsnių Windows versija. Kiekvieno konkretaus KB straipsnis yra prieinama Intel microcode naujinimus iš CPU.

Sausis 11, 2018 "Intel" pranešė apie problemas , neseniai išleido microcode, kuris buvo skirtas spręsti Spectre variantas 2 (CVE-2017-5715 – "šaka TARGET įdėjimas"). Tiksliau, "Intel" pažymėjo, kad šis microcode gali sukelti "didesnis nei tikėtasi reboot ir kitų nenuspėjamas sistemos elgesys " ir kad šie scenarijai gali sukelti "duomenų praradimo ar korupcijos. " Mūsų patirtis rodo, kad sistemos nestabilumas gali sukelti duomenų praradimą ar korupciją tam tikromis aplinkybėmis. Sausio 22 d. "Intel" rekomendavo klientams nustoti diegti dabartinį microcode versiją pažeistiems procesoriams, o "Intel" atlieka papildomus su atnaujinto sprendimo bandymais. Mes suprantame, kad "Intel" toliau tiria galimą dabartinės "Microcode" versijos poveikį. Raginame klientus nuolat peržiūrėti savo rekomendacijas, kad būtų informuoti jų sprendimai.

Nors "Intel" testai, atnaujinimai ir įdiegia naują microcode, mes darome yra out-of-Band (OOB) naujinimas, KB 4078130 , kad konkrečiai išjungia tik prieš CVE-2017-5715 mažinimas. Mūsų bandymai, Šis naujinimas buvo nustatyta, kad išvengti aprašyta elgesį. Išsamų įrenginių sąrašą rasite "Intel" microcode peržiūros rekomendacijose . Šis naujinimas apima "Windows 7" 1 pakeitimų paketą (SP1), "Windows 8,1" ir visas "Windows 10" versijas, tiek kliento, tiek serverio. Jei naudojate pažeistą įrenginį, šį naujinimą galima pritaikyti atsisiunčiant jį iš "Microsoft Update" katalogo svetainės . Taikant šią naudingosios apkrovos specialiai išjungia tik mažinimas nuo CVE-2017-5715.

Šiuo metu nėra žinomų pranešimų, kurie rodo, kad šis Spectre variantas 2 (CVE-2017-5715 – "šaka TARGET įdėjimas") buvo naudojamas atakuoti klientams. Rekomenduojame, kad, kai reikia, "Windows" vartotojai vėl įjungti mažinimas nuo CVE-2017-5715, kai "Intel" praneša, kad tai nenuspėjamas sistemos veikimas buvo išspręsta jūsų įrenginiui.

Vasario 2018, "Intel"paskelbė , kad jie baigė savo patvirtinimus ir pradėjo išleisti microcode naujesnė procesoriaus platformoms. "Microsoft" yra prieinami "Intel" patvirtinti microcode naujinimai, susiję su Spectre variantas 2 Spectre variantas 2 (CVE-2017-5715 – "šaka TARGET įdėjimas"). KB 4093836 sąrašai konkrečių žinių bazės straipsnių Windows versija. KBs sąrašą galima Intel microcode naujinimus iš CPU.

Daugiau informacijos rasite AMD saugos naujinimai ir AMD whitepaper: architektūros gairės apie netiesioginio skyriaus valdiklį . Tai galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Mes darome prieinama Intel patikrintas microcode atnaujinimus, kurie susiję su Spectre variantas 2 (CVE-2017-5715-"šaka TARGET įdėjimas "). Norėdami gauti naujausią Intel microcode per Windows Update, klientai turi būti įdiegę Intel microcode įrenginiuose, kuriuose veikia Windows 10 operacinę sistemą prieš atnaujinant į Windows 10 balandis 2018 atnaujinti (versija 1803).

Microcode naujinimą taip pat galima tiesiogiai iš "Microsoft Update" katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujindami sistemą. Intel microcode yra prieinama per Windows Update, Windows serverio naujinimo tarnybas (WSUS) arba "Microsoft Update" katalogo. Daugiau informacijos ir atsisiuntimo instrukcijos, ieškokite KB 4100347 .

Žr "Rekomenduojami veiksmai" ir "DUK" skyriai  ADV180012 | "Microsoft" patarimų spekuliacinių parduotuvės Bypass .

Norėdami patikrinti, ar SSBD būseną, get-SpekuliacijascontrolsettingsPowerShell scenarijų buvo atnaujintas, siekiant nustatyti įtakos procesorių, ssbd operacinės sistemos naujinimus ir procesoriaus mikrokodo būseną, jei taikoma. Daugiau informacijos ir gauti PowerShell scenarijų, ieškokite KB 4074629 .

Birželio 13, 2018, papildomas pažeidžiamumas, kuris apima pusėje kanalo spekuliacinių vykdymo, žinomas kaip TINGUS FP būsenos atkūrimas, buvo paskelbta ir priskirtas CVE-2018-3665 . Informacijos apie šį pažeidžiamumą ir Rekomenduojami veiksmai, ieškokite saugos patarimą ADV180016 | "Microsoft" rekomendacijos tingus FP būsenos atkūrimas .

Pastaboje Nereikia konfigūracijos (registro) parametrus tingus atkurti FP atkūrimas.

Ribų patikrinti Bypass Store (BBPK) buvo atskleista liepos 10, 2018, ir priskirtas CVE-2018-3693 . Manome, kad BBPK priklauso tai pačiai pažeidžiamumai, kaip ribų tikrinimo Bypass (1 variantas). Šiuo metu mes nesame susipažinę su jokiais BBPK atvejais mūsų programinėje įrangoje. Tačiau mes toliau tirti šį pažeidžiamumą klasės ir dirbs su pramonės partneriais paleisti priemonėmis sumažinti riziką, kaip reikalaujama. Skatiname tyrinėtojus pateikti atitinkamas išvadas "Microsoft" spekuliacinių vykdymo pusėje kanalo Bounty programai , įskaitant bet kokius tinkamus BBPK egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo nurodymus, kurie buvo atnaujinti BCBS ne c + + Developer gairės spekuliacinių vykdymo pusėje kanalai .

Rugpjūčio 14, 2018, L1 terminalo kaltės (L1TF) buvo paskelbta ir priskirtas kelis cves. Šių naujų spekuliacinių vykdymo pusėje kanalo pažeidžiamumas gali būti naudojamas skaityti atminties turinį per patikimą ribą ir, jei išnaudojami, gali lemti informacijos atskleidimas. Yra keli vektoriai, pagal kurį pažeidėjas gali sukelti pažeidžiamumą, priklausomai nuo sukonfigūruotas aplinkoje. L1TF turi įtakos Intel® Core® procesorių ir Intel® Xeon® procesoriai.

Daugiau informacijos apie šį pažeidžiamumą ir išsamų rodinį, susijusio scenarijų, įskaitant "Microsoft" požiūris į sumažinti L1TF, ieškokite šių išteklių:

Veiksmai, kaip išjungti "Hyper-threading", skiriasi nuo OĮG OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, kurie naudoja 64 bitų ARM procesorius turėtų kreiptis į įrenginio OĮG programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugą, kad sumažinti CVE-2017-5715 -šaka paskirties įdėjimas (Spectre, variantas 2) reikia naujausią firmware atnaujinimas iš įrenginio OĮG įsigaliotų.

Azure patarimų, prašome kreiptis į šį straipsnį: rekomendacijos sumažinti spekuliacinių vykdymo pusėje kanalo pažeidžiamumas Azure .

Norėdami gauti daugiau informacijos apie Retpoline optimizavimą, kreiptis į mūsų tinklaraščio įrašą: lengvinant Spectre variantas 2 su Retpoline Windows .

Daugiau informacijos apie šį pažeidžiamumą, ieškokite Microsoft saugos vadovas: CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumas.

Mes nesuprantame jokių šios informacijos atskleidimo pažeidžiamumo, kenkiančių mūsų debesies paslaugų infrastruktūrai, egzemplioriaus.

Kai tik sužinosime apie šią problemą, mes greitai dirbome, kad galėtume ją spręsti ir išleisti atnaujinimą. Mes tvirtai tikime glaudžiomis partnerystėmis su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepublikavo informacijos iki antradienio, rugpjūčio 6 d., laikydamasi koordinuoto pažeidžiamumo atskleidimo praktikos.

Nuorodos

Trečiosios šalies informacijos atsisakymas

Trečiųjų šalių produktus, aprašytus šiame straipsnyje, gamina bendrovei „Microsoft“ nepriklausančios įmonės. „Microsoft“ neteikia jokių numanomų ar kitokių garantijų dėl šių produktų veikimo ar patikimumo.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×