Windows Server norādes, lai aizsargātu pret spekulatīvu izpildes blakus kanālu ievainojamība

Ieteicamās darbības

Klientiem jāveic šādas darbības, lai palīdzētu aizsargāt pret ievainojamību:

  1. Lietot visus pieejamos Windows operētājsistēmas atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus.

  2. Lietojiet attiecīgo aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

  3. Novērtēt risku jūsu vidē, pamatojoties uz informāciju, kas sniegta Microsoft Security konsultācijas: ADV180002, ADV180012, ADV190013un informāciju, kas sniegta šajā zināšanu bāzes rakstā.

  4. Veikt darbības, kā nepieciešams, izmantojot padomus un reģistra atslēgas informāciju, kas sniegti šajā zināšanu bāzes rakstā.

Ņemiet vērā Surface klienti saņems mikrokoda atjauninājumu, izmantojot Windows Update. Jaunāko Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB 4073065.

Samazināšanas iestatījumus Windows Server

Drošības konsultācijas ADV180002, ADV180012, un ADV190013 sniegt informāciju par risku, kas rada šo ievainojamību.  Tie arī palīdz noteikt šīs ievainojamības un noteikt noklusējuma stāvokli Mitigations Windows Server sistēmām. Tālāk redzamajā tabulā ir apkopoti nepieciešamība CPU mikrokoda un Mitigations noklusējuma statusu sistēmā Windows Server.

CVE

Nepieciešama CPU mikrokoda/firmware?

Samazināšanas noklusējuma statuss

CVE-2017-5753

Iespējota pēc noklusējuma (nav iespēju atslēgt)

Lai iegūtu papildinformāciju, lūdzu, skatiet ADV180002

CVE-2017-5715

Atspējots pēc noklusējuma.

Lūdzu, skatiet ADV180002 papildu informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

Ņemiet vērā "Retpoline" ir iespējota pēc noklusējuma ierīcēm, kurās darbojas Windows 10 1809 vai jaunāka, ja ir iespējots Spectre Variant 2 ( CVE-2017-5715 ). Lai iegūtu vairāk informācijas, ap "retpoline", izpildietmazināt Spectre variants 2 ar retpoline uz Windows blog post.

CVE-2017-5754

Windows Server 2019: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējota pēc noklusējuma.

Lai iegūtu papildu informāciju, lūdzu, skatiet ADV180002 .

CVE-2018-3639

Intel: Jā

AMD: nav

Atspējots pēc noklusējuma. Skatiet ADV180012 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-11091

Intel: Jā

Windows Server 2019: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējota pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-12126

Intel: Jā

Windows Server 2019: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējota pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-12127

Intel: Jā

Windows Server 2019: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējota pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-12130

Intel: Jā

Windows Server 2019: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējota pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2019-11135

Intel: Jā

Windows Server 2019: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējota pēc noklusējuma.

Skatiet CVE 2019-11135 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

Klientiem, kuri vēlas iegūt visu pieejamo aizsardzību pret šīs ievainojamības jāveic reģistra atslēgas izmaiņas iespējot šo mitigations, kas ir atspējota pēc noklusējuma.

Šo Mitigations iespējošana var ietekmēt veiktspēju. Veiktspējas efektu mērogs ir atkarīgs no vairākiem faktoriem, piemēram, konkrēto mikroshēmu jūsu fiziskā resursdatora un darba slodzes, kas darbojas. Mēs iesakām klientiem novērtēt veiktspējas ietekmi uz vidi un veikt nepieciešamos pielāgojumus.

Jūsu serveris ir palielināts risks, ja tas ir kādā no šīm kategorijām:

  • Hyper-V hosts-nepieciešama aizsardzība VM-to-VM un VM-to-resursdatora uzbrukumiem.

  • Attālās darbvirsmas pakalpojumu hosts (RDSH) — nepieciešama aizsardzība no vienas sesijas uz citu sesiju vai sesijas resursdatora uzbrukumiem.

  • Fiziskā hosts vai virtuālās mašīnas, kas darbojas neuzticamu kodu, piemēram, konteineri vai neuzticami paplašinājumi datu bāzei, uzticams tīmekļa saturu vai darba slodzes, kas palaist kodu, kas ir no ārējiem avotiem. Tie ir nepieciešama aizsardzība no uzticama procesu-uz citu procesu vai neuzticams-procesu-to-kodola uzbrukumiem.

Lai iespējotu Mitigations serverī, izmantojiet šādus reģistra atslēgas iestatījumus un restartējiet sistēmu, lai izmaiņas stātos spēkā.

Ņemiet vērā Mitigations, kas ir izslēgta pēc noklusējuma iespējošana var ietekmēt veiktspēju. Faktiskais veiktspējas ietekme ir atkarīga no vairākiem faktoriem, piemēram, konkrētu mikroshēmu ierīces un darba slodzes, kas darbojas.

Reģistra iestatījumus

Mēs sniedzam šādu reģistra informāciju, lai iespējotu mitigations, kas nav iespējoti pēc noklusējuma, kā dokumentēta drošības konsultācijas ADV180002, ADV180012un ADV190013.

Turklāt mēs sniedzam reģistra atslēgas iestatījumus lietotājiem, kuri vēlas atspējot mitigations, kas saistīti ar CVE-2017-5715 un CVE-2017-5754 Windows klientiem.

Svarīgam Šajā sadaļā, metodē vai uzdevumā ir norādītas darbības, kas norāda, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tādēļ pārliecinieties, vai veiciet šīs darbības uzmanīgi. Lai iegūtu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas kāda problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un skatiet Microsoft zināšanu bāzes rakstu:

322756 kā dublēt un atjaunot reģistru sistēmā Windows

Pārvaldīt Mitigations CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown)

Svarīga piezīme Retpoline ir iespējota pēc noklusējuma Windows 10 versiju 1809 serveros, ja Spectre, variants 2 ( CVE-2017-5715 ) ir iespējots. Iespējojot Retpoline jaunāko versiju Windows 10 var uzlabot veiktspēju serveros, kuros darbojas Windows 10, versija 1809 Spectre Variant 2, īpaši vecākiem procesoriem.

Lai iespējotu Mitigations CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai atspējotu CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown) Mitigations

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Ņemiet vērā Iestatījums FeatureSettingsOverrideMask 3 ir precīza iestatījumus "Iespējot" un "atspējot". (Skatiet sadaļu "BUJ ", lai iegūtu plašāku informāciju par reģistra atslēgām.)

Pārvaldiet CVE 2017-5715 (Spectre Variant 2) mazināšanu

Lai atspējotu Variant 2: (CVE-2017-5715 "zara mērķa injekcija") samazināšanas:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai iespējotu 2. variants: (CVE-2017-5715 "zara mērķa injekcija") samazināšanas:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Tikai AMD procesori: iespējot pilnu samazināšanas CVE-2017-5715 (Spectre variants 2)

Pēc noklusējuma ir atspējota CVE-2017-5715 lietotāja-kodola aizsardzība AMD CPU. Klientiem ir jāiespējo samazināšanas saņemt papildu aizsardzības CVE-2017-5715.  Lai iegūtu papildinformāciju, skatiet bieži uzdotie jautājumi #15 ADV180002.

Iespējojiet lietotāju-kodola aizsardzību AMD procesori kopā ar citiem aizsardzības CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Pārvaldīt Mitigations CVE-2018-3639 (spekulatīvu krātuves apiet), CVE-2017-5715 (Spectre Variant 2) un CVE 2017-5754 (meltdown)

Lai iespējotu Mitigations CVE-2018-3639 (spekulatīvu krātuves apiet), CVE-2017-5715 (Spectre Variant 2) un CVE 2017-5754 (meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Kā atspējot Mitigations CVE-2018-3639 (spekulatīvu krātuves apiet) un Mitigations CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Tikai AMD procesori: iespējot pilnu samazināšanas CVE-2017-5715 (Spectre variants 2) un CVE 2018-3639 (spekulatīvu krātuves apiet)

Pēc noklusējuma ir atspējota CVE-2017-5715 lietotāja-kodola aizsardzība AMD procesoriem. Klientiem ir jāiespējo samazināšanas saņemt papildu aizsardzības CVE-2017-5715.  Lai iegūtu papildinformāciju, skatiet bieži uzdotie jautājumi #15 ADV180002.

Iespējojiet lietotāju-kodola aizsardzību AMD procesori kopā ar citiem aizsardzības cve 2017-5715 un cve 2018-3639 (spekulatīvu krātuves apiet) aizsardzība:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Pārvaldīt Intel® transakciju sinhronizācijas paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukt ievainojamību (CVE-2019-11135) un Mikroarhitektūras datu paraugu ņemšana (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kopā ar Spectre [CVE-2017-5753 & CVE-2017-5715] un meltdown [CVE 2017-5754] variantus, tostarp spekulatīvu krātuves apiet atspējot (SSBD) [CVE-2018-3639] kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646]

Lai iespējotu Mitigations Intel® transakciju sinhronizēšana paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukt ievainojamību (CVE-2019-11135) un mikroarhitektūras datu paraugu ņemšana ( CVE-2018-11091 , CVE 2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Spectre [CVE-2017-5753 & CVE-2017-5715] un meltdown [CVE-2017-5754] varianti, tostarp spekulatīvi Krātuves apiet atspējot (SSBD) [CVE-2018-3639], kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE 2018-3620 un CVE-2018-3646] neatspējojot Hyper-Threading:

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg pievienot "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai iespējotu Mitigations Intel® transakciju sinhronizācijas paplašinājumi (Intel® TSX) darbības asinhronā pārtraukšanas ievainojamība (CVE-2019-11135) un mikroarhitektūras datu paraugu ņemšana ( CVE-2018-11091 , CVE 2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Spectre [CVE-2017-5753 & CVE-2017-5715] un meltdown [CVE-2017-5754] varianti, tostarp Spekulatīvu krātuves apiet atspējot (SSBD) [CVE-2018-3639] kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE 2018-3620 un CVE-2018-3646] ar atspējotu Hyper-Threading:

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg pievienot "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai atspējotu Mitigations Intel® transakciju sinhronizēšana paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukt ievainojamību (CVE-2019-11135) un mikroarhitektūras datu paraugu ņemšana ( CVE-2018-11091 , CVE 2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Spectre [CVE-2017-5753 & CVE-2017-5715] un meltdown [CVE-2017-5754] varianti, tostarp Spekulatīvu krātuves apiet atspējot (SSBD) [CVE-2018-3639], kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE 2018-3620 un CVE-2018-3646]:

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Tiek pārbaudīts, vai aizsardzība ir iespējota

Lai palīdzētu klientiem pārbaudīt, vai ir iespējoti aizsardzības līdzekļi, Microsoft ir publicējusi PowerShell skriptu, ko klienti var palaist savās sistēmās. Instalēt un palaist skriptu, izpildot šādas komandas.

PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1)

Instalējiet PowerShell moduli:

PS> Install-Module SpeculationControl

Palaidiet PowerShell moduli, lai pārbaudītu, vai aizsardzība ir iespējota:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell pārbaude, izmantojot lejupielādi no TechNet (vecākas operētājsistēmas versijas un vecākas WMF versijas)

Instalējiet PowerShell modulis TechNet ScriptCenter:

  1. Dodieties uz https://aka.MS/SpeculationControlPS .

  2. Lejupielādēt SpeculationControl. zip uz lokālo mapi.

  3. Izvērst saturu uz lokālo mapi. Piemēram: C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai aizsardzība ir iespējota:

Startējiet PowerShell un pēc tam izmantojiet iepriekšējo piemēru kopēt un palaist šādas komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detalizētu skaidrojumu par PowerShell skripta izvadi skatiet zināšanu bāzes rakstā 4074629 .

bieži uzdotie jautājumi

Lai palīdzētu izvairīties no nelabvēlīgas ietekmes uz klientu ierīcēm, Windows drošības atjauninājumi, kas tika izlaisti janvārī un februārī 2018 netika piedāvāti visiem klientiem. Plašāku informāciju skatiet Microsoft zināšanu bāzes rakstā 4072699 .

Mikrokoda tiek piegādāts, izmantojot programmaparatūras atjauninājumu. Sazinieties ar OEM par aparātprogrammatūras versiju, kurai ir atbilstošs atjauninājums jūsu datoram.

Ir vairāki mainīgie, kas ietekmē veiktspēju, sākot ar sistēmas versija darba slodzes, kas darbojas. Dažās sistēmās darbības rezultāts būs niecīgs. Citiem tas būs ievērojams.

Mēs iesakām novērtēt veiktspējas ietekmi uz jūsu sistēmas un veikt pielāgojumus, ja nepieciešams.

Papildus norādījumus, kas ir šajā rakstā attiecībā uz virtuālās mašīnas, sazinieties ar pakalpojumu sniedzēju, lai pārliecinātos, vai hosts, kas darbojas jūsu virtuālās mašīnas ir pietiekami aizsargāti. Windows Server virtuālās mašīnas, kas darbojas Azure, skatiet norādījumus, lai mazinātu spekulatīvu izpildes blakus kanālu ievainojamība Azure . Lai iegūtu norādījumus par Azure atjauninājumu pārvaldības lietošanu, lai mazinātu šo problēmu, izmantojot viesa VMs, skatiet Microsoft zināšanu bāzes rakstā 4077467 .

Atjauninājumi, kas tika izlaisti Windows Server konteinera attēlus Windows Server 2016 un Windows 10, versija 1709 ietver Mitigations šo kopu ievainojamību. Papildu konfigurācija nav nepieciešama. Ņemiet vērā Jums ir jāpārliecinās, resursdatora, kurā darbojas šie konteineri ir konfigurēts, lai iespējotu atbilstošu Mitigations.

Nē, uzstādīšanas pasūtījumam nav nozīmes.

Jā, ir jārestartē pēc programmaparatūras (mikrokoda) atjauninājumu un pēc tam vēlreiz pēc sistēmas atjaunināšanas.

Šeit ir informācija par reģistra atslēgām:

Featuresettingsoverride apzīmē bitkarte, kas ignorē noklusējuma iestatījumu un vadīklas, kuras Mitigations tiks atspējoti. Bits 0 kontrolē samazināšanas, kas atbilst CVE-2017-5715. BITS 1 kontrolē samazināšanas, kas atbilst CVE-2017-5754. Bits ir iestatīti uz 0 , lai iespējotu samazināšanas un 1 atspējot samazināšanas.

Featuresettingsoverridemask apzīmē bitkartes masku, kas tiek izmantota kopā ar Featuresettingsoverride.  Šādā gadījumā mēs izmantojam vērtību 3 (attēlotas kā 11 binārais cipars vai ciparu sistēma Base-2) norāda pirmos divus bitus, kas atbilst pieejamo Mitigations. Šī reģistra atslēga ir iestatīta uz 3 gan iespējot vai atspējot Mitigations.

Minvmversionforcpubasedmitigations ir Hyper-V resursdatoru. Šī reģistra atslēga definē minimālo VM versiju, kas nepieciešama, lai jūs varētu izmantot atjauninātās aparātprogrammatūras iespējas (CVE-2017-5715). Set to 1,0 , lai APTVERTU visas VM versijas. Ņemiet vērā, ka šī reģistra vērtība tiks ignorēts (labdabīgi)-Hyper-V resursdatoru. Plašāku informāciju skatiet sadaļā Viesu virtuālo mašīnu aizsardzība no CVE-2017-5715 (zara mērķa injekcija) .

Jā, nav blakusparādības, ja šie reģistra iestatījumi tiek lietoti pirms instalēšanas 2018 janvāra saistīto labojumu.

Skatiet detalizētu aprakstu par skripta izvadi izpratne get SpeculationControlSettings PowerShell skripta izvade .

Jā, Windows Server 2016 Hyper-V hosts, kas vēl nav pieejams programmaparatūras atjauninājums, esam publicējuši alternatīvas norādes, kas var palīdzēt samazināt VM VM vai VM resursdatora uzbrukumiem. Skatiet alternatīvo aizsardzību pret Windows Server 2016 Hyper-V hosts pret spekulatīvu izpildes blakus kanālu vājās vietas .

Tikai drošības atjauninājumi nav kumulatīvi. Atkarībā no operētājsistēmas versijas, iespējams, vajadzēs instalēt vairākus drošības atjauninājumus pilnīgai aizsardzībai. Parasti klientiem vajadzēs instalēt janvāra, februāris, marts un aprīlis 2018 atjauninājumus. Sistēmas, kas ir AMD procesori nepieciešams papildu atjauninājumu, kā parādīts šajā tabulā:

Operētājsistēmas versija

Drošības atjauninājumu

Windows 8,1, Windows Server 2012 R2

4338815-ikmēneša apkopojums

4338824-tikai drošības

Windows 7 SP1, Windows Server 2008 R2 SP1 vai Windows Server 2008 R2 SP1 (Server Core instalācija)

4284826-ikmēneša apkopojums

4284867-tikai drošības

Windows Server 2008 SP2

4340583-drošības atjauninājums

Ieteicams instalēt tikai drošības atjauninājumu izlaišanas secībā.

Piezīme   vecākas versijas šo FAQ nepareizi norādīts, ka tikai februāra drošības atjauninājumā iekļauti drošības labojumi, kas tika izlaisti janvārī. Faktiski, tā nav.

nē. Drošības atjauninājums KB 4078130 bija īpašs labojums, lai novērstu neparedzamas sistēmas uzvedību, veiktspējas problēmas un neparedzēti restartējas pēc mikrokoda instalēšanas. Drošības atjauninājumu lietošana Windows klienta operētājsistēmās iespējo visus trīs Mitigations. Windows serveru operētājsistēmās, jums joprojām ir jāiespējo Mitigations pēc pienācīgas pārbaudes. Plašāku informāciju skatiet Microsoft zināšanu bāzes rakstā 4072698 .

Šī problēma tika atrisināta KB 4093118 .

Gada februārī 2018, Intel paziņoja , ka tās ir pabeigušas savu apstiprinājumu un sāka izlaist mikrokoda jaunāku CPU platformām. Microsoft dara pieejamus Intel validētos mikrokoda atjauninājumus, kas attiecas uz Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "zara mērķa injekcija"). KB 4093836 Windows versijā ir norādīti specifiski zināšanu bāzes raksti. Katru konkrētu zināšanu bāzes rakstā ir pieejams Intel mikrokoda atjauninājumu CPU.

Janvāris 11, 2018 Intel ziņoja par problēmām nesen izlaistā mikrokoda, kas bija domāts, lai risinātu Spectre Variant 2 (CVE-2017-5715-"zara mērķa injekcija"). Precīzāk, Intel atzīmēja, ka šis mikrokoda var izraisīt "lielāks nekā gaidīts reboots un citu neparedzama sistēmas darbība " un šie scenāriji var izraisīt "datu zudumu vai bojājumu. " Mūsu pieredze ir, ka sistēmas nestabilitāti dažos gadījumos var izraisīt datu zudumu vai bojājumu. 22. janvārī, Intel ieteicams klientiem pārtraukt izvietot pašreizējo mikrokoda versija attiecīgajā procesori, kamēr Intel veic papildu testēšana atjaunināto risinājumu. Mēs saprotam, ka Intel turpina pētīt iespējamo ietekmi pašreizējo mikrokoda versiju. Mēs aicinām klientus regulāri pārskatīt savus norādījumus, lai informētu savus lēmumus.

Intel pārbaudes, atjauninājumus un ievieš jaunu mikrokoda, mēs darām pieejams ārpusjoslas (OOB) atjauninājumu, KB 4078130 , kas īpaši atspējo tikai samazināšanas pret CVE-2017-5715. Mūsu testēšana, šis atjauninājums ir konstatēts, lai novērstu aprakstīto uzvedību. Pilnu ierīču sarakstu skatiet mikrokoda pārskatīšanas norādījumus no Intel. Šis atjauninājums attiecas uz Windows 7 Service Pack 1 (SP1), Windows 8,1 un visas versijas Windows 10, gan klienta un servera. Ja datorā darbojas attiecīgā ierīce, šo atjauninājumu var lietot, lejupielādējot to no vietnes Microsoft atjauninājumu kataloga . Piemērojot šo lietderīgo slodzi īpaši atspējo tikai samazināšanas pret CVE-2017-5715.

No šī laika nav zināmas atskaites, kas norāda, ka, lai uzbruktu klientiem, tiek izmantots šis spektrs Variant 2 (CVE-2017-5715-"zara mērķa injekcija"). Ieteicams, ja nepieciešams, Windows lietotāji atkārtoti iespējot samazināšanas pret CVE-2017-5715, Intel ziņo, ka šī neparedzama sistēmas darbība ir atrisināta jūsu ierīcei.

Gada februārī 2018, Intelpaziņoja , ka tās ir pabeigušas savu apstiprinājumu un sāka izlaist mikrokoda jaunāku CPU platformām. Korporācija Microsoft dara pieejamus Intel validētos mikrokoda atjauninājumus, kas ir saistīti ar Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "zara mērķa injekcija"). KB 4093836 Windows versijā ir norādīti specifiski zināšanu bāzes raksti. KBs saraksts pieejams Intel mikrokoda atjauninājumu CPU.

Lai iegūtu papildinformāciju, skatiet AMD drošības atjauninājumi un AMD whitepaper: arhitektūras vadlīnijas saistībā ar netiešo zara vadīklu . Tie ir pieejami OEM programmaparatūras kanāls.

Mēs darām pieejamus Intel validētos mikrokoda atjauninājumus, kas attiecas uz Spectre Variant 2 (CVE-2017-5715-"zara mērķa injekcija "). Lai iegūtu jaunākos Intel mikrokoda atjauninājumus, izmantojot Windows Update, klientiem jābūt instalētam Intel mikrokodam ierīcēs, kurās darbojas operētājsistēma Windows 10, pirms jaunināšanas uz Windows 10 aprīļa 2018 atjauninājumu (1803 versija).

Mikrokoda atjauninājums ir pieejams tieši no Microsoft atjauninājumu kataloga, ja tas nav instalēts ierīcē pirms sistēmas jaunināšanas. Intel mikrokoda ir pieejama, izmantojot Windows atjaunināšanu, Windows Server atjaunināšanas pakalpojumi (WSUS) vai Microsoft atjauninājumu kataloga. Papildinformāciju un lejupielādes instrukcijas skatiet KB 4100347 .

Skatiet sadaļu  "Ieteicamās darbības" un "FAQ" ADV180012 | Microsoft vadlīnijas spekulatīvu krātuves apiet .

Lai pārbaudītu statusu SSBD, Get SpeculationControlSettingsPowerShell skriptu ir atjaunināta, lai noteiktu attiecīgā procesori, ssbd operētājsistēmas atjauninājumu statusu un procesora mikrokoda stāvokli, ja nepieciešams. Lai iegūtu papildinformāciju un iegūt PowerShell skriptu, skatiet KB 4074629 .

2018 jūnijs 13, papildu ievainojamība, kas ietver blakus kanālu spekulatīvu izpildes, pazīstams kā SLINKS FP stāvokļa atjaunošanastika paziņots un piešķirts CVE-2018-3665 . Lai iegūtu informāciju par šo ievainojamību un ieteicamajām darbībām, skatiet drošības biļetenā ADV180016 | Microsoft vadlīnijas slinks FP stāvokļa atjaunošanai .

Ņemiet vērā Nav nepieciešamo konfigurācijas (reģistrs) iestatījumus slinks atjaunot FP atjaunot.

Robežu pārbaude apiet Store (BCBS) tika atklāts 10. jūlijā, 2018 un piešķirto CVE-2018-3693 . Mēs uzskatām, ka BCBS pieder tās pašas klases ievainojamību, kā robežas pārbaudīt apiet (variants 1). Mēs šobrīd nav informēti par visiem gadījumiem BCBS mūsu programmatūru. Tomēr mēs turpinām pētīt šo ievainojamības klasi un sadarbošos ar nozares partneriem, lai atbrīvotu mitigations, ja nepieciešams. Mēs aicinām pētniekus iesniegt visus attiecīgos konstatējumus Microsoft spekulatīvu izpildes blakus kanālu Bounty programmu , tostarp visus izmantojamajiem gadījumiem bcbs. Programmatūras izstrādātājiem ir jāpārskata izstrādātāju vadlīnijas, kas ir atjaunināti BCBS C++ izstrādātāja norādījumus spekulatīvu izpildes blakus kanālus .

14. augustā 2018, L1 termināļa kļūme (L1TF) tika paziņots un piešķirtas vairākas cves. Šīs jaunās spekulatīvas izpildes blakus kanālu ievainojamība var izmantot, lai lasītu atmiņas saturu pāri uzticamo robežu un, ja to izmanto, var izraisīt informācijas atklāšanu. Ir vairāki vektori uzbrucējs var izraisīt ievainojamību, atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesoriem un Intel® Xeon® procesoriem.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu uz ietekmēto scenāriju, tostarp Microsoft pieeja mazināt L1TF, skatiet šādus resursus:

Darbības, lai atspējotu Hyper-Threading atšķiras no OEM oriģinālā OEM, bet parasti ir daļa no BIOS vai programmaparatūras iestatīšanas un konfigurācijas rīki.

Klientiem, kuri izmanto 64 bitu ARM Procesori vajadzētu sazināties ar ierīces OEM programmaparatūras atbalstu, jo ARM64 operētājsistēmas aizsardzību, kas mazina CVE 2017-5715 -zara mērķa injekcija (Spectre, variants 2) nepieciešama jaunākā programmaparatūras atjauninājums no ierīces OEM stātos spēkā.

Lai iegūtu vairāk informācijas par Retpoline aktivizēšana, skatiet mūsu blog post: mazināt Spectre variants 2 ar retpoline uz logiem .

Plašāku informāciju par šo ievainojamību skatiet Microsoft drošības ceļvedī: CVE-2019-1125 | Windows kodola informācijas atklāšana ievainojama.

Mēs neesam informēti par visiem šīs informācijas atklāšanas ievainojamības gadījumu, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz mēs uzzinājusi par šo jautājumu, mēs strādāja ātri, lai risinātu to un atbrīvot atjauninājumu. Mēs stingri ticam ciešām partnerībām ar pētniekiem un nozares partneriem, lai padarītu klientus drošāku un nepublicētu informāciju līdz Otrdiena, augusts 6, saskaņā ar koordinētu neaizsargātības atklāšanas praksi.

Atsauces

Trešās puses informācijas atruna

Šajā rakstā minētos trešo pušu produktus ražo no Microsoft neatkarīgi uzņēmumi. Microsoft nesniedz nekādas netiešas vai cita veida garantijas par šo produktu veiktspēju vai uzticamību.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×