Windows Server norādes aizsardzībai pret spekulatīviem izpildes blakus kanālu ievainojamība

Attiecas uz: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Vēl

Kopsavilkums


Korporācija Microsoft ir informēta par publiski atklāta jauna veida ievainojamību, kas tiek dēvēti par "spekulatīvu izpildes blakus kanālu uzbrukumiem" un, kas ietekmē daudzas mūsdienu procesori, ieskaitot Intel un AMD ARM.

Piezīme. Šī problēma ietekmē arī citas operētājsistēmas, piemēram, Android, Chrome, ISP un macOS. Tādēļ mēs iesakām klientiem meklēt padomu no šiem ražotājiem.

Korporācija Microsoft ir izlaidusi vairāki atjauninājumi, kas palīdzēs šo ievainojamību. Mēs arī ir veikusi darbības, lai nodrošinātu mūsu mākoņpakalpojumi. Skatiet sīkāku informāciju nākamajās sadaļās.

Microsoft vēl nav saņemta jebkādu informāciju, kas norāda, ka šīs ievainojamības izmantojusi uzbrukumu klientiem. Microsoft cieši ar nozares partneriem, tostarp mikroshēmu veidotājiem aparatūras ražotājiem un programmas ražotāju, lai pasargātu. Saņemt visu pieejamo aizsardzību, (mikrokoda) programmaparatūras un programmatūras atjauninājumi nav nepieciešami. Tas ietver mikrokoda no ierīču ražotājiem un dažos gadījumos atjaunināta pretvīrusu programmatūru.

Šajā rakstā aplūkoti šo ievainojamību.

Lai iegūtu papildinformāciju par šīs klases ievainojamību, skatiet ADV180002 un ADV180012.

Korporācija Microsoft sniedz trešo pušu kontaktinformāciju, lai palīdzētu atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez brīdinājuma. Korporācija Microsoft negarantē trešo pušu kontaktinformācijas pareizību.

Ieteicamās darbības


Klientiem, jāveic šādas darbības, lai aizsargātu vājās vietas:

  1. Lietot visus pieejamos Windows operētājsistēmas atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus. Lai iegūtu detalizētu informāciju par to, kā iespējot šo atjauninājumu see Microsoft zināšanu bāzes rakstā 4072699.
  2. Lietot (mikrokoda) piemērots programmaparatūras atjauninājumi no ierīces ražotāja (OEM).
  3. Novērtēt risku vide, pamatojoties uz informāciju, kas atrodas Microsoft drošības konsultācijasADV180002unADV180012un šajā zināšanu bāzes rakstā.
  4. Rīkoties pēc nepieciešamības, izmantojot konsultācijas un reģistra atslēgas sniegtā informācija šajā zināšanu bāzes rakstā.

Samazināšanas iestatījumus, Windows Server


ADV180002 un ADV180012 drošības konsultācijas sniedz informāciju par šīs ievainojamības apdraudējumu un identificējiet noklusēto stāvokli mitigations sistēmas Windows Server. Zemāk tabulā apkopotas CPU mikrokoda prasības un noklusējuma statusu mitigations operētājsistēmā Windows Server.

CVE CPU mikrokoda/programmaparatūras nepieciešama? Samazināšanas noklusējuma statuss

CVE-2017-5753

Iespējota pēc noklusējuma (opciju Atspējot)

CVE-2017-5715

Atspējota pēc noklusējuma.

CVE-2017-5754

Windows Server 2019: Pēc noklusējuma iespējoti. Windows Server 2016 un vecākām versijām: atspējota pēc noklusējuma.

CVE-2018-3639

Intel: Yes

AMD: Nē

Atspējota pēc noklusējuma. Skatiet plašāku informāciju un jūsu reģistra atslēgas iestatījumu šajā zināšanu bāzes rakstā ADV180012 .

Klientiem, kuri vēlas iegūt visu pieejamo aizsardzību pret šīs ievainojamības ir jāveic reģistra atslēgu izmaiņas iespējot šo mitigations, kas pēc noklusējuma ir atspējota.

Iespējojot šo mitigations var ietekmēt veiktspēju. Veiktspējas rezultāti apjoms ir atkarīgs no vairākiem faktoriem, piemēram, konkrēto mikroshēmu jūsu fiziskā resursdatora un darba slodzes, kas darbojas. Mēs iesakām klientiem novērtētu veiktspējas viņu videi un veikt visas nepieciešamās izmaiņas.

Serveris ir palielināts, ja tas ir viens no tālāk minētajām kategorijām:

  • Hyper-V vieso-nepieciešama aizsardzība un VM VM un VM uzņemt uzbrukumiem.
  • Attālās darbvirsmas pakalpojumu Hosts (RDSH) — nepieciešama aizsardzība no vienas sesijas citu sesiju vai sesijas resursdatora uzbrukumiem.
  • Resursdatoru fiziskās vai virtuālās mašīnas, kurās darbojas neuzticamu kodu, piemēram, konteineri vai neuzticamu datu bāzi, uzticams web satura vai darba slodzes, kas palaiž kodu, kas ir no ārējiem avotiem paplašinājumus. Šie nepieciešama aizsardzība no uzticama procesu un citu procesu vai neuzticams-procesu-to-kodola uzbrukumiem.

Izmantot šādas reģistra atslēgas iestatījumi, lai iespējotu mitigations serverī un restartējiet sistēmu, lai izmaiņas stātos spēkā.

Svarīgi!Šajā sadaļā, metodē vai uzdevums ir darbības, kuras izpildot var modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības uzmanīgi. Papildu drošībai dublējiet reģistru pirms tā mainīšanas. Pēc tam varat atjaunot reģistru, ja rodas problēmas. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

 

322756Kā dublēt un atjaunot reģistru sistēmā Windows

Pārvaldīt mitigations CVE 2017 5715 (spektrs variants 2) un CVE 2017 5754 (sabrukumu)


Lai iespējotu mitigations CVE 2017 5715 (spektrs variants 2) un CVE 2017 5754 (sabrukumu)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi tiek lietoti: Pilnībā izslēgt visas virtuālās mašīnas. Tas ļauj programmaparatūru saistīta samazināšanas jālieto resursdatorā, pirms tiek sākta VMs. Tādēļ VMs atjauninot arī tie ir restartēts.

Restartējiet datoru lai izmaiņas stātos spēkā .

Lai atspējotu mitigations CVE 2017 5715 (spektrs variants 2) un CVE 2017 5754 (sabrukumu)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartēt datoru, lai izmaiņas stātos spēkā .

Piezīme iestatījums FeatureSettingsOverrideMask 3 precīzi gan "Iespējot" un "atspējot" iestatījumu. (Skatiet sadaļu "FAQ" lai iegūtu plašāku informāciju par reģistra atslēgas.)

Pārvaldīt samazināšanas CVE 2017 5715 (spektrs variants 2)


Atspējot variants 2: (CVE -2017 5715"Zaru mērķa injekcija")samazināšanas:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Iespējot variants 2: (CVE-2017 5715"Zara mērķa injekcija") samazināšanas:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

AMD procesori tikai: iespējot pilnu samazināšanas par CVE 2017 5715 (spektrs variants 2)


Pēc noklusējuma ir atspējota lietotāja kodola aizsardzība CVE-2017 5715 AMD procesori. Samazināšanas saņemt papildu aizsardzību CVE-2017 5715 jāiespējo klientiem.  Lai iegūtu papildinformāciju, skatiet bieži uzdotos jautājumus par #15 ADV180002.

Iespējot lietotāja kodola aizsardzība AMD procesori kopā ar citiem aizsardzības CVE 2017 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi tiek lietoti: Pilnībā izslēgt visas virtuālās mašīnas. Tas ļauj programmaparatūru saistīta samazināšanas jālieto resursdatorā, pirms tiek sākta VMs. Tādēļ VMs atjauninot arī tie ir restartēts.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Pārvaldīt mitigations CVE 2018 3639 (spekulatīvu krātuves apiet), CVE 2017 5715 (spektrs variants 2) un CVE 2017 5754 (sabrukumu)



Lai iespējotu mitigations CVE 2018 3639 (spekulatīvu krātuves apiet), CVE 2017 5715 (spektrs variants 2) un CVE 2017 5754 (sabrukumu):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi tiek lietoti: Pilnībā izslēgt visas virtuālās mašīnas. Tas ļauj programmaparatūru saistīta samazināšanas jālieto resursdatorā, pirms tiek sākta VMs. Tādēļ VMs atjauninot arī tie ir restartēts.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Atspējot mitigations CVE 2018 3639 (spekulatīvu krātuves apiet) un mitigations CVE 2017 5715 (spektrs variants 2) un CVE 2017 5754 (sabrukumu)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

 

AMD procesori tikai: iespējot pilnu samazināšanas CVE 2017 5715 (spektrs variants 2) un CVE 2018 3639 (spekulatīvu krātuves apiet)


Pēc noklusējuma ir atspējota lietotāja kodola aizsardzība CVE-2017 5715 AMD procesori. Samazināšanas saņemt papildu aizsardzību CVE-2017 5715 jāiespējo klientiem.  Lai iegūtu papildinformāciju, skatiet bieži uzdotos jautājumus par #15 ADV180002.

AMD procesori kopā ar citiem aizsardzības CVE 2017 5715 lietotāja kodola aizsardzību un aizsardzības CVE 2018 3639 (spekulatīvu krātuves apiet):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi tiek lietoti:Pilnībā beidzēts visas virtuālās mašīnas. Tas ļauj programmaparatūru saistīta samazināšanas jālieto resursdatorā, pirms tiek sākta VMs. Tādēļ VMs atjauninot arī tie ir restartēta.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai pārbaudītu aizsardzības līdzekļi ir iespējoti


Lai palīdzētu klientiem, pārliecinieties, vai ir iespējota aizsardzība, Microsoft publicēja PowerShell skriptu, klienti var darboties ar savu sistēmu. Instalējiet un palaidiet skriptu, izpildot tālāk norādītās komandas.

PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1)

Instalējiet PowerShell modulis:

PS> Install-Module SpeculationControl

Palaidiet PowerShell modulis, lai pārbaudītu, vai ir iespējota aizsardzība:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell pārbaude, izmantojot TechNet lejupielādes (vecākās operētājsistēmas versijas un WMF iepriekšējās versijas)

Instalēt no Technet ScriptCenter PowerShell modulis:

  1. Dodieties uz https://aka.ms/SpeculationControlPS.
  2. Lejupielādēt SpeculationControl.zip failu lokālajā mapē.
  3. Izvērsiet lokālo mapju saturu. Piemēram: C:\ADV180002

Palaidiet PowerShell modulis, lai pārbaudītu, vai ir iespējota aizsardzība:

Sākt PowerShell un pēc tam izmantojiet piemēru kopēt un palaidiet šādu komandu:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detalizēts izklāsts PowerShell skriptu komandas, skatiet zināšanu bāzes rakstā 4074629

bieži uzdotie jautājumi


Atsauces