Rekomenduojami veiksmai

Klientai turėtų atlikti šiuos veiksmus, kad padėtų apsisaugoti nuo pažeidžiamumo:

  1. Taikykite visus Windows sistemos naujinimus, įskaitant mėnesinius Windows naujinimus.

  2. Taikykite taikomą programinės-aparatinės įrangos (mikrokodų) naujinimą, kurį teikia įrenginio gamintojas.

  3. Įvertinkite riziką aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimuose: ADV180002, ADV180012, ADV190013ir šiame žinių bazės straipsnyje pateiktą informaciją.

  4. Imtis veiksmų, kaip reikalaujama, naudojant šiame žinių bazės straipsnyje pateiktas patariamąsias priemones ir registro rakto informaciją.

Pastaba. "Surface" klientai gaus mikrokodų naujinimą Windows naujinimą. Naujausių "Surface" įrenginio programinės-aparatinės įrangos (mikrokodų) naujinimų sąrašą žr. KB 4073065.

"Parametrai Server" Windows mažinimas

Saugos patarimai ADV180002, ADV180012ir ADV190013 teikia informacijos apie šių pažeidžiamumų kylamą riziką.  Jie taip pat padeda nustatyti šiuos pažeidžiamumus ir nustatyti numatytąją "Windows Server" sistemų mažinimo būseną. Toliau pateiktoje lentelėje apibendrinamas CPU mikrokodo reikalavimas ir numatytoji "Windows serveryje.

CVE

Reikia procesoriaus mikrokodo / programinės-aparatinės įrangos?

Numatytoji švelninimo būsena

CVE-2017-5753

Ne

Įgalinta pagal numatytuosius nustatymus (nėra parinkties išjungti)

Papildomos informacijos žr. ADV180002

CVE-2017-5715

Taip

Išjungta pagal numatytuosius nustatymus.

Daugiau informacijos žr. ADV180002 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

Pastaba Pagal numatytuosius nustatymus "Retpoline" įjungiama įrenginiuose, kuriuose veikia "Windows 10 1809" arba naujesnis, jei įjungtas 2 spektro variantas ( CVE-2017-5715).Norėdami gauti daugiau informacijos apie "Retpoline", vadovaukitės "Retpoline" 2 varianto "Retpoline" Windows tinklaraščio įraše.

CVE-2017-5754

Ne

Windows Server 2019" Windows Server 2022: įjungta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnė versija: išjungta pagal numatytuosius parametrus.

Papildomos informacijos ieškokite ADV180002.

CVE-2018-3639

"Intel": taip

AMD: Ne

Išjungta pagal numatytuosius nustatymus. Daugiau informacijos žr. ADV180012 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

CVE-2018-11091

"Intel": taip

Windows Server 2019" Windows Server 2022: įjungta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnė versija: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

CVE-2018-12126

"Intel": taip

Windows Server 2019" Windows Server 2022: įjungta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnė versija: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

CVE-2018-12127

"Intel": taip

Windows Server 2019" Windows Server 2022: įjungta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnė versija: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

CVE-2018-12130

"Intel": taip

Windows Server 2019" Windows Server 2022: įjungta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnė versija: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

CVE-2019-11135

"Intel": taip

Windows Server 2019" Windows Server 2022: įjungta pagal numatytuosius parametrus.
Windows Server 2016" ir ankstesnė versija: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. CVE-2019-11135 ir šiame KB straipsnyje, skirtame taikomiems registro rakto parametrams.

Klientai, kurie nori gauti visą apsaugą nuo šių pažeidžiamumų, turi atlikti registro rakto pakeitimus, kad įgalintumėte šiuos mažinimo veiksmus, kurie pagal numatytuosius nustatymus yra išjungti.

Šių mažinimo priemonių įgalinimas gali turėti įtakos našumui. Našumo efektų mastas priklauso nuo kelių veiksnių, pvz., konkretaus jūsų fizinio pagrindinio kompiuterio lustų rinkinio ir vykdomos darbo krūvio. Rekomenduojame klientams įvertinti savo aplinkos našumo poveikį ir atlikti reikiamus pakeitimus.

Jūsų serveriui kyla didesnė rizika, jei jis yra vienoje iš šių kategorijų:

  • "Hyper-V" pagrindinio kompiuterio – reikia VM-to-VM ir VM-to-host atakų apsaugos.

  • Nuotolinio darbalaukio tarnybų pagrindinio kompiuterio (RDSH) – reikia apsaugos nuo vieno seanso prie kito seanso arba nuo seanso prie pagrindinio kompiuterio atakų.

  • Fiziniai kompiuteriai arba virtualiosios mašinos,kuriose veikia nepatikimas kodas, pvz., konteineriai arba nepatikimi duomenų bazės plėtiniai, nepatikimas žiniatinklio turinys arba darbo krūvis, vykdantis kodą, kuris yra iš išorinių šaltinių. Tam reikia apsaugos nuo nepatikimo proceso su kitu procesu arba nepatikimų proceso su branduoliu atakų.

Naudokite šiuos registro rakto parametrus, kad įgalintumėte mažinimas serveryje, ir iš naujo paleiskite sistemą, kad pakeitimai įsigaliotų.

Pastaba. Pagal numatytuosius nustatymus išjungtas mažinimas gali turėti įtakos našumui. Faktinis našumo efektas priklauso nuo kelių veiksnių, pvz., konkretaus lustų rinkinio įrenginyje ir vykdomos darbo krūvio.

Registro parametrai

Teikiame šią registro informaciją, kad įgalintumėte mažinimo priemones, kurios nėra įgalintos pagal numatytuosius parametrus, kaip nurodyta saugos patarimuose ADV180002, ADV180012ir ADV190013.

Be to, teikiame registro rakto parametrus vartotojams, kurie nori išjungti su CVE-2017-5715 ir CVE-2017-5754 susijusius Windows klientams.

Svarbu. Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Jei registro duomenis pakeisite netinkamai, gali kilti rimtų problemų. Todėl atlikite šiuos veiksmus atidžiai. Kad būtų saugiau, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galėsite atkurti registrą, jei kils problemų. Daugiau informacijos, kaip sukurti atsarginę registro kopiją ir atkurti registrą, rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėję „Microsoft“ žinių bazės straipsnį:

322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje „Windows“

CVE-2017-5715 (2 spektro variantas) ir CVE-2017-5754 (Meltdown) mažinimas

Svarbi pastaba Pagal numatytuosius nustatymus "Retpoline" įgalinta "Windows 10" 1809 versijos serveriuose, jei įjungta "Spectre", 2 variantas ( CVE-2017-5715). Įgalinus "Retpoline" naujausią "Windows 10" versiją, serveriuose, kuriuose veikia "Windows 10", 1809 versija, skirta "Spectre" 2 variantui, ypač senesniems procesoriams.

Cve-2017-5715 (2 spektro variantas) ir CVE-2017-5754 (Meltdown) mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir taikomi programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualias mašinas. Tai leidžia taikyti su programine-aparatine įranga susijusį mažinimą pagrindinio kompiuterio kompiuteryje prieš pradedant VM. Todėl VM taip pat atnaujinami, kai jie iš naujo paleidžiami.

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

Cve-2017-5715 (2 spektro variantas) ir CVE-2017-5754 (Meltdown) mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.


Pastaba Parametras FeatureSettingsOverrideMask į 3 yra tikslus tiek parametrams "įjungti", tiek "išjungti". (Daugiau informacijos apieregistro raktus žr. skyriuje DUK.)

CVE-2017-5715 mažinimas (2 spektro variantas)

Norėdami išjungti 2 variantą: (CVE-2017-5715  "Branch Target Injection") mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti 2 variantą: (CVE-2017-5715  "Branch Target Injection") mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

TIK AMD procesoriai: įgalinkite visišką CVE-2017-5715 mažinimą (2 spektro variantas)

Pagal numatytuosius nustatymus "user-to-kernel" CVE-2017-5715 apsauga išjungta AMD CPU. Klientai turi įgalinti mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. DUK #15 adv180002.

Įgalinkite "user-to-kernel" apsaugą AMD procesorius ir kitas CVE 2017-5715 apsaugos priemones:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir taikomi programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualias mašinas. Tai leidžia taikyti su programine-aparatine įranga susijusį mažinimą pagrindinio kompiuterio kompiuteryje prieš pradedant VM. Todėl VM taip pat atnaujinami, kai jie iš naujo paleidžiami.

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

CVE-2018-3639 (spekuliacinių parduotuvių apėjimo), CVE-2017-5715 (2 spektro variantas) ir CVE-2017-5754 (Meltdown) mažinimas

Norėdami įgalinti CVE-2018-3639 (spekuliacinių parduotuvių apėjimo), CVE-2017-5715 (2 spektro variantas) ir CVE-2017-5754 (Meltdown) mažinimo priemones:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir taikomi programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualias mašinas. Tai leidžia taikyti su programine-aparatine įranga susijusį mažinimą pagrindinio kompiuterio kompiuteryje prieš pradedant VM. Todėl VM taip pat atnaujinami, kai jie iš naujo paleidžiami.

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

Cve-2018-3639 (spekuliacinių parduotuvių apėjimo) IR mažinimas CVE-2017-5715 (2 spektro variantas) ir CVE-2017-5754 (Meltdown) mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

TIK AMD procesoriai: įgalinkite visišką CVE-2017-5715 (2 spektro variantas) ir CVE 2018-3639 (spekuliacinio parduotuvės aplinkkelio) mažinimą

Pagal numatytuosius nustatymus "user-to-kernel" CVE-2017-5715 apsauga išjungta AMD procesoriams. Klientai turi įgalinti mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. DUK #15 adv180002.

Įgalinkite "user-to-kernel" apsaugą AMD procesorius kartu su kitomis CVE 2017-5715 apsaugos ir CVE-2018-3639 (spekuliacinių parduotuvių apėjimo) apsauga:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir taikomi programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualias mašinas. Tai leidžia taikyti su programine-aparatine įranga susijusį mažinimą pagrindinio kompiuterio kompiuteryje prieš pradedant VM. Todėl VM taip pat atnaujinami, kai jie iš naujo paleidžiami.

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

"Intel® Transactional Synchronization Extensions ( Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kartu su Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ir Meltdown [ CVE-2017-5754 ] variantais, įskaitant spekuliacinį parduotuvės apėjimo išjungimą (SSBD) [ CVE-2018-3639 ] ir L1 terminalo gedimą (L1TF) [ CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646 ]

Norėdami įgalinti "Intel® Transactional Synchronization Extensions ( Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) ir Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) kartu suSpectre [CVE-2017-5753 & CVE-2017-5715] ir Meltdown [CVE-2017-5754] variantais, įskaitant spekuliacinį parduotuvės apėjimo išjungimą (SSBD) [CVE-2018-3639 ] taip pat ir L1 terminalo gedimas (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646] neišjungus "Hyper-Threading":

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir taikomi programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualias mašinas. Tai leidžia taikyti su programine-aparatine įranga susijusį mažinimą pagrindinio kompiuterio kompiuteryje prieš pradedant VM. Todėl VM taip pat atnaujinami, kai jie iš naujo paleidžiami.

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti "Intel® Transactional Synchronization Extensions( Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) ir Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) kartu suSpectre [ CVE-2017-5753 & CVE-2017-5715 ] ir Meltdown [ CVE-2017-5754 ] variantais, įskaitant spekuliacinį parduotuvės apėjimo išjungimą (SSBD) [ CVE-2018-3639 ] taip pat L1 terminalo gedimas (L1TF) [ CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646 ] su "Hyper-Threading išjungta:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir taikomi programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualias mašinas. Tai leidžia taikyti su programine-aparatine įranga susijusį mažinimą pagrindinio kompiuterio kompiuteryje prieš pradedant VM. Todėl VM taip pat atnaujinami, kai jie iš naujo paleidžiami.

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti "Intel® Transactional Synchronization Extensions ( Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) ir Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) kartu suSpectre [ CVE-2017-5753 & CVE-2017-5715 ] ir Meltdown [ CVE-2017-5754 ] variantais, įskaitant spekuliacinį parduotuvės apėjimo išjungimą (SSBD) [ CVE-2018-3639 ] ir L1 terminalo klaida (L1TF) [ CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite kompiuterį iš naujo, kad įsigaliotų keitimai.

Tikrinimas, ar įgalinta apsauga

Kad klientai galėtų patikrinti, ar įgalinta apsauga, "Microsoft" išleido "PowerShell" scenarijų, kurį klientai gali vykdyti savo sistemose. Įdiekite ir paleiskite scenarijų vykdydami šias komandas.

"PowerShell" patvirtinimas naudojant "PowerShell" galeriją ("Windows Server 2016" arba WMF 5.0/5.1)

Įdiekite "PowerShell" modulį:

PS> Install-Module SpeculationControl

Paleiskite "PowerShell" modulį, kad patikrinsite, ar įgalinta apsauga:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

"PowerShell" tikrinimas naudojant atsisiuntimą iš "Technet" (ankstesnės operacinės sistemos versijos ir ankstesnės WMF versijos)

Įdiekite "PowerShell" modulį iš "Technet ScriptCenter":

  1. Eikite į https://aka.ms/SpeculationControlPS .

  2. Atsisiųskite SpeculationControl.zip į vietinį aplanką.

  3. Išskleisti turinį į vietinį aplanką. Pavyzdžiui: C:\ADV180002

Paleiskite "PowerShell" modulį, kad patikrinsite, ar įgalinta apsauga:

Paleiskite "PowerShell", tada naudokite ankstesnį pavyzdį, kad nukopijuotumėte ir paleistumėte šias komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Išsamų "PowerShell" scenarijaus išvesties paaiškinimą žr. Žinių bazės straipsnyje 4074629

Dažnai užduodami klausimai

Siekiant išvengti neigiamos įtakos klientų įrenginiams, Windows saugos naujinimai, išleisti 2018 m. sausio ir vasario mėn., nebuvo siūlomi visiems klientams. Išsamesnės informacijos ieškokite "Microsoft" žinių bazės straipsnyje 4072699.

Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Kreipkitės į OĮG apie programinės-aparatinės įrangos versiją, kuri turi tinkamą jūsų kompiuterio naujinimą.

Yra keli kintamieji, kurie turi įtakos našumui nuo sistemos versijos iki vykdomos darbo krūvio. Kai kuriose sistemose veikimo efektas bus nereikšmingas. Kitiems tai bus labai svarbu.

Rekomenduojame įvertinti veikimo poveikį jūsų sistemoms ir, jei reikia, atlikti pakeitimus.

Be šiame straipsnyje nurodytų nurodymų dėl virtualiųjų mašinų, turėtumėte kreiptis į paslaugų teikėją ir įsitikinti, kad jūsų virtualiosios mašinos tinkamai apsaugotos.

"Windows Server" virtualiosiose mašinose, kurios veikia "Azure", žr. Rekomendacijos, kaip sumažinti spekuliacinius vykdymo pusės kanalo pažeidžiamumus "Azure". Patarimų, kaip naudoti "Azure Update Management" šiai problemai svečio VM sumažinti, žr. "Microsoft" žinių bazės straipsnyje 4077467.

Naujinimai, išleisti "Windows Server" konteinerio vaizdams, skirti "Windows Server 2016" ir "Windows 10" 1709 versijai, apima šio pažeidžiamumo rinkinio mažinimo priemones. Papildomos konfigūracijos nereikia.

Pastaba Vis tiek turite įsitikinti, kad pagrindinis kompiuteris, kuriame veikia šie konteineriai, yra sukonfigūruotas, kad įgalintumėte atitinkamas mažinimo priemones.

Ne, diegimo užsakymas nesvarbus.

Taip, turite iš naujo paleisti po programinės-aparatinės įrangos (mikrokodo) naujinimo ir dar kartą po sistemos naujinimo.

Toliau pateikta išsami registro raktų informacija:

FeatureSettingsOverride – tai rastras, kuris perrašo numatytąjį parametrą ir valdiklius, kurie bus išjungti. 0 bitas valdo mažinimą, atitinkantį CVE-2017-5715. 1 bitas valdo mažinimą, atitinkantį CVE-2017-5754. Bitai nustatyti kaip 0, kad būtų galima sušvelninti ir 1, kad būtų išjungtas mažinimas.

FeatureSettingsOverrideMask nurodo rastro šabloną, kuris naudojamas kartu su FeatureSettingsOverride.  Tokiu atveju naudojame reikšmę 3 (vaizduojamą kaip 11 dvejetainėje skaitinėje arba bazinėje 2 skaitmenų sistemoje), kad nurodysime pirmuosius du bitus, kurie atitinka galimas mažinimo priemones. Šis registro raktas nustatytas kaip 3, kad įgalintumėte arba išjungtumėte mažinimo priemones.

MinVmVersionForCpuBasedMitigations skirtas "Hyper-V" pagrindinio kompiuterio. Šis registro raktas apibrėžia minimalią VM versiją, reikalingą norint naudoti atnaujintas programinės-aparatinės įrangos galimybes (CVE-2017-5715). Nustatykite 1,0, kad apimtų visas VM versijas. Atkreipkite dėmesį, kad ši registro reikšmė bus ignoruojama (gerybinė) ne "Hyper-V" pagrindinio kompiuterio. Daugiau informacijos žr. Svečių virtualiųjų mašinų apsauga nuo CVE-2017-5715 (šaka paskirties įd ė) .

Taip, nėra šalutinio poveikio, jei šie registro parametrai taikomi prieš diegiant su 2018 m. sausio mėn. susijusias pataisas.

Išsamų scenarijaus išvesties aprašą žr. "PowerShell" Get-SpeculationControlSettings išvesties supratimas.

Taip, "Windows Server 2016 Hyper-V" pagrindinio kompiuterio, kuriame dar nėra programinės-aparatinės įrangos naujinimo, išleidome alternatyvias rekomendacijas, kurios gali padėti sušvelninti VM VM arba VM, kad būtų galima vykdyti atakas. Žr. Alternatyvi "Windows Server 2016 Hyper-V Hosts" apsauga nuo spekuliacinio vykdymo pusės kanalo pažeidžiamumų.

Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į jūsų operacinės sistemos versiją, gali tekti įdiegti kelis saugos naujinimus, kad būtų galima visiškai apsaugoti. Paprastai klientams reikės įdiegti 2018 m. sausio, vasario, kovo ir balandžio naujinimus. Sistemose, kurios turi AMD procesorių, reikia papildomo naujinimo, kaip parodyta šioje lentelėje:

Operacinės sistemos versija

Saugos naujinimas

"Windows 8".1, Windows Server 2012 R2

4338815 – mėnesio naujinimų paketas

4338824 – tik sauga

Windows 7" SP1, "Windows Server 2008 R2 SP1" arba "Windows Server 2008 R2" SP1 (serverio branduolio diegimas)

4284826 – mėnesio naujinimų paketas

4284867 – tik sauga

„Windows Server 2008“ SP2

4340583 – saugos naujinimas

Rekomenduojame įdiegti tik saugos naujinimus leidimo tvarka.

Pastaba   Ankstesnėje šio DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo įtrauktos sausio mėn. išleistos saugos pataisos. Tiesą sakant, taip nėra.

Ne. Saugos naujinimo KB 4078130 buvo konkreti pataisa, siekiant išvengti nenuspėjamo sistemos veikimo, veikimo problemų ir netikėtų paleidimų iš naujo įdiegus "microcode". Kliento operacinėse sistemose taikant Windows naujinimus, įgalinamos visos trys rizikos mažinimo priemonės. "Windows Server" operacinėse sistemose vis tiek turite įgalinti mažinimo priemones, kai tinkamai išbandysite. Daugiau informacijos žr. "Microsoft" žinių bazės straipsnyje 4072698 .

Ši problema buvo išspręsta KB 4093118 .

2018 m. vasario mėn. "Intel" pranešė, kad baigė savo tikrinimą ir pradėjo išleisti mikrokodą naujesnių CPU platformų. "Microsoft" daro prieinamus "Intel" patvirtintus mikrokodų naujinimus, kurie susiję su "Spectre" 2 variantu "Spectre" 2 variantu (CVE-2017-5715 – "Branch Target Injection"). KB 4093836 konkrečius žinių bazės straipsnius pagal Windows versiją. Kiekviename konkrečiame KB straipsnyje pateikiami galimi "Intel" mikrokodų naujinimai iš CPU.

2018 m. sausio 11 d. "Intel" pranešė apie neseniai išleistų mikrokodų problemas, skirtas spręsti "Spectre" 2 variantą (CVE-2017-5715 – "Branch Target Injection"). Tiksliau tariant, "Intel" pažymėjo, kad šis mikrokodas gali sukelti " didesnį nei tikėtasi perkrovimą ir kitąnenuspėjamą sistemos veikimą " ir kad šie scenarijai gali sukelti "duomenų praradimą arba sugadinimo. " Mūsų patirtis yra ta, kad sistemos nestabilumas gali sukelti duomenų praradimą arba sugadinimo tam tikromis aplinkybėmis. Sausio 22 d. "Intel" rekomendavo klientams sustabdyti dabartinės mikrokodų versijos diegimą paveiktuose procesoriuose, kol "Intel" atlieka papildomus atnaujinto sprendimo bandymus. Suprantame, kad "Intel" toliau tiria galimą dabartinės mikrokodų versijos poveikį. Raginame klientus nuolat peržiūrėti jų rekomendacijas, kad jie galėtų informuoti savo sprendimus.

Nors "Intel" tikrina, naujina ir diegia naują mikrokodą, mes kuriame "out-of-band" (OOB) naujinimą KB 4078130 , kuris konkrečiai išjungia tik cve-2017-5715 mažinimą. Atliekant mūsų testavimą, buvo rasta, kad šis naujinimas neleidžia atlikti aprašytų veiksmų. Visą įrenginių sąrašą rasite "Intel" mikrokodų peržiūros rekomendacijose. Šis naujinimas apima Windows 7 1 pakeitimų paketą (SP1), "Windows 8".1 ir visas "Windows 10" versijas, tiek klientą, tiek serverį. Jei naudojate paveiktą įrenginį, šį naujinimą galima taikyti jį atsisiunčiant iš "Microsoft Update" katalogo svetainės. Šio naudingoji apkrova specialiai išjungia tik CVE-2017-5715 mažinimo funkciją.

Šiuo metu nėra žinomų ataskaitų, kurios nurodo, kad šis "Spectre" 2 variantas (CVE-2017-5715 – "Branch Target Injection") buvo naudojamas klientams atakuoti. Kai reikia, rekomenduojame, kad "Windows" vartotojai vėl galėtų sumažinti riziką cve-2017-5715, kai "Intel" praneša, kad šis nenuspėjamas sistemos veikimas buvo išspręstas jūsų įrenginyje.

2018 m. vasario mėn."Intel" pranešė, kad baigė savo tikrinimą ir pradėjo išleisti mikrokodą naujesnių CPU platformų. "Microsoft" priima "Intel" patvirtintus mikrokodų naujinimus, susijusius su "Spectre" 2 variantu "Spectre" 2 variantas (CVE-2017-5715 – "Branch Target Injection"). KB 4093836 konkrečius žinių bazės straipsnius pagal Windows versiją. KBs sąraše galimi "Intel" mikrokodų naujinimai iš CPU.

Daugiau informacijos žr. AMD saugos naujinimai ir"AMD Whitepaper": Architektūros gairės aplink netiesioginį šakų valdymą. Jie pasiekiami OĮG programinės-aparatinės įrangos kanale.

Mes kuriame "Intel" patvirtintus mikrokodų naujinimus, kurie susiję su "Spectre" 2 variantu (CVE-2017-5715 – "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodų naujinimus per "Windows Update", klientai turi būti įdiegę "Intel microcode" įrenginiuose, kuriuose veikia "Windows 10" operacinė sistema prieš naujinant į 2018 m. balandžio Windows 10 d. naujinimą (1803 versija).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš "Microsoft Update" katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant sistemą. "Intel" mikrokodą galima Windows naujinimą, Windows serverio naujinimo tarnybas (WSUS) arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijų žr. KB 4100347 .

Žr.   ADV180012 skyrių "Rekomenduojami veiksmai" ir "DUK" | Microsoft Guidance for Speculative Store Bypass .

Norint patikrinti SSBD būseną, get-speculationControlSettings "PowerShell" scenarijus buvo atnaujintas, kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB 4074629 .

2018 m. birželio 13 d. paskelbtas papildomas pažeidžiamumas, susijęs su pusės kanalo spekuliaciniu vykdymu, vadinamu Lazy FP state Restore, ir priskirtas CVE-2018-3665 . Informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus ieškokite saugos patarime ADV180016 | "Microsoft" rekomendacijos, kaip atkurti tingią FP būseną.

Pastaba Nėra tingiųjų atkūrimo FP atkūrimo reikalingų konfigūravimo (registro) parametrų.

Ribos Tikrinti apeiti parduotuvę (BBPK) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693 . Manome, kad BBPK priklauso tai pačiai pažeidžiamumo klasei, kaip ribos Tikrinti apeiti (1 variantas). Šiuo metu nežinome jokių BBPK egzempliorių mūsų programinėje įrangoje. Tačiau toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad būtų galima sumažinti riziką, kaip reikalaujama. Skatiname mokslininkus pateikti visus susijusius rezultatus "Microsoft" spekuliacinio vykdymo kanalo premijos programai, įskaitant bet kokius išnaudojamus BBPK egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjų rekomendacijas, kurios buvo atnaujintos "BCBS" C++ kūrėjų rekomendacijose dėl spekuliacinio vykdymo šoninių kanalų.

2018 m. rugpjūčio 14 d. paskelbtas L1 terminalo gedimas (L1TF) ir priskirtos kelios CVEs. Šie nauji spekuliaciniai vykdymo pusės kanalo pažeidžiamumai gali būti naudojami norint skaityti atminties turinį patikimoje ribose ir, jei išnaudojamas, gali būti atskleista informacija. Yra keli vektoriai, pagal kuriuos pažeidėjas gali sukelti pažeidžiamumą, atsižvelgiant į sukonfigūruotą aplinką. L1TF veikia "Intel® Core® procesorius ir "Intel® Xeon® procesorius.

Daugiau informacijos apie šį pažeidžiamumą ir išsamų paveiktų scenarijų rodinį, įskaitant "Microsoft" L1TF mažinimo metodą, žr. šiuos išteklius:

Veiksmai, skirti išjungti Hyper-Threading OĮG skiriasi nuo OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, naudojantys 64 bitų ARM procesorių, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos, kurios sumažina CVE-2017-5715 – šakos paskirties įdą (Spectre, 2 variantas), reikalauja naujausio programinės-aparatinės įrangos naujinimo iš įrenginio OĮG, kad jie galėtų veikti.

Jei reikia "Azure" rekomendacijų, žr. šį straipsnį: Rekomendacijos, kaip sumažinti spekuliacinius vykdymo pusės kanalo pažeidžiamumus "Azure".

Daugiau informacijos apie "Retpoline" įgalinimą žr. mūsų interneto dienoraščio įraše: "Spectre" 2 varianto su "Retpoline" Windows.

Daugiau informacijos apie šį pažeidžiamumą ieškokite "Microsoft" saugos vadove: CVE-2019-1125 | Windows informacijos apie branduolį atskleidimo pažeidžiamumas.

Mes nežinome apie bet kokį šios informacijos atskleidimo pažeidžiamumą, turintį įtakos mūsų debesies paslaugų infrastruktūrai.

Kai tik sužinojome apie šią problemą, greitai ėmėme ją išspręsti ir išleisti naujinimą. Primygtinai tikime, kad glaudžiai bendradarbiaujant su mokslo darbuotojais ir pramonės partneriais klientai bus saugesni, o išsami informacija nebuvo publikuota iki rugpjūčio 6 d., atsižvelgiant į koordinuotą pažeidžiamumo atskleidimo praktiką.

Trečiosios šalies informacijos atsisakymas

Trečiųjų šalių produktus, kuriuos aptaria šis straipsnis, gamina nuo "Microsoft" nepriklausomos įmonės. "Microsoft" nepateikia jokių numanomų ar kitų garantijų dėl šių produktų našumo ar patikimumo.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti vertimo kokybe?
Kas turėjo įtakos jūsų įspūdžiams?

Dėkojame už jūsų atsiliepimus!

×