Ieteicamās darbības

Klientiem ir jāveic šādas darbības, lai palīdzētu aizsargāties pret ievainojamībām:

  1. Lietojiet visus pieejamos Windows atjauninājumus, ieskaitot ikmēneša Windows drošības atjauninājumus.

  2. Lietojiet aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

  3. Novērtējiet risku savā vidē, pamatojoties uz Microsoft drošības konsultantiem sniegto informāciju: ADV180002,ADV180012,ADV190013un šajā zināšanu bāzes rakstā sniegto informāciju.

  4. Rīkojieties, kā nepieciešams, izmantojot padomniekus un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāzes rakstā.

Piezīme.Surface klienti saņems mikrokoda atjauninājumu, Windows atjauninājumā. Jaunāko Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB 4073065.

Windows servera Iestatījumi Iestatījumi.

Drošības padomnieki ADV180002,ADV180012un ADV190013 sniedz informāciju par risku, ko rada šīs ievainojamības.  Tās arī palīdz noteikt šīs ievainojamības un noteikt risku mazināšanas noklusējuma stāvokli Windows Server sistēmām. Tālāk esošajā tabulā apkopota centrālā procesora mikrokoda prasības un Windows servera Windows statuss.

CVE

Vai nepieciešams centrālais mikrokods/aparātprogrammatūra?

.

CVE-2017-5753

Iespējota pēc noklusējuma (nav atspējošanas opcijas)

Lai iegūtu papildinformāciju, skatiet ADV180002.

CVE-2017-5715

Pēc noklusējuma ir atspējots.

Papildinformāciju skatiet ADV180002 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

Piezīme Opcija "Retpoline" pēc noklusējuma ir iespējota ierīcēm, kurās darbojas Windows 10 1809 vai jaunāka versija, ja ierīce Ar Variant 2 (CVE-2017-5715 ) ir iespējota. Lai iegūtu papildinformāciju par lauku "Retpoline", sekojiet 2. varianta Mitigating 2 ar Repoline Windows emuāra ziņā.

CVE-2017-5754

Windows Server 2019, Windows Server 2022: Enabled by default.
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet ADV180002.

CVE-2018-3639

Intel: Jā

AMD: Nē

Pēc noklusējuma ir atspējots. Papildinformāciju skatiet ADV180012 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-11091

Intel: Jā

Windows Server 2019, Windows Server 2022: Enabled by default.
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-12126

Intel: Jā

Windows Server 2019, Windows Server 2022: Enabled by default.
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-12127

Intel: Jā

Windows Server 2019, Windows Server 2022: Enabled by default.
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-12130

Intel: Jā

Windows Server 2019, Windows Server 2022: Enabled by default.
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2019-11135

Intel: Jā

Windows Server 2019, Windows Server 2022: Enabled by default.
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet CVE-2019-11135 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

Klientiem, kuri vēlas iegūt visus pieejamos aizsardzībus pret šo ievainojamību, jāveic reģistra atslēgas izmaiņas, lai iespējotu pēc noklusējuma atspējoto risku mazināšanas iespēju.

Šo risku mazināšanas iespējošana var ietekmēt veiktspēju. Veiktspējas efektu mērogs ir atkarīgs no vairākiem faktoriem, piemēram, konkrētā mikroshēmu kopas jūsu fiziskajā resursdatorā un palaistās darba slodzes. Iesakām klientiem novērtēt veiktspējas ietekmi uz savu vidi un veikt visus nepieciešamos pielāgojumus.

Serverī ir palielināts risks, ja tas atrodas kādā no šīm kategorijām:

  • Hyper-V resursdatori — ir nepieciešama VM-to-VM un VM-to-host uzbrukumu aizsardzība.

  • Attālās darbvirsmas pakalpojumu resursdatori (Remote Desktop Services Hosts — RDSH) — nepieciešama aizsardzība no vienas sesijas uz citu vai no sesijas uz resursdatora uzbrukumiem.

  • Fiziskie resursdatori vai virtuālās mašīnas, kurās darbojas neuzticams kods,piemēram, konteineri vai neuzticami datu bāzes paplašinājumi, neuzticams tīmekļa saturs vai darba slodzes, kas palaiž kodu no ārējiem avotiem. Tiem ir nepieciešama aizsardzība pret neuzticamiem procesam pret citiem procesiem vai neuzticamiem procesam nesoļa uzbrukumiem.

Izmantojiet tālāk norādītos reģistra atslēgas iestatījumus, lai iespējotu risku mazināšanas pasākumus serverī, un restartējiet sistēmu, lai izmaiņas stātos spēkā.

Piezīme.Pēc noklusējuma izslēgtu risku mazināšana var ietekmēt veiktspēju. Faktiskā veiktspējas ietekme ir atkarīga no vairākiem faktoriem, piemēram, konkrētās mikroshēmas kopas ierīcē un darba slodzes, kas darbojas.

Reģistra iestatījumi

Mēs sniedzam tālāk norādīto reģistra informāciju, lai iespējotu risku mazināšanas darbības, kas nav iespējotas pēc noklusējuma, kā dokumentēts drošības konsultantos ADV180002,ADV180012un ADV190013.

Turklāt mēs sniedzam reģistra atslēgu iestatījumus lietotājiem, kuri vēlas atspējot ar CVE-2017-5715 un CVE-2017-5754 saistītos riskus Windows klientiem.

Svarīgi! Šajā sadaļā, metodē vai uzdevumā ir ietverti norādījumi par to, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Papildu drošībai pirms reģistra modificēšanas izveidojiet tā dublējumu. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Lai iegūtu papildinformāciju par reģistra dublēšanu un atjaunošanu, noklikšķiniet uz tālāk norādītā raksta numura un lasiet rakstu Microsoft zināšanu bāzē.

322756 Reģistra dublēšana un atjaunošana operētājsistēmā Windows

Pārvaldiet CVE-2017-5715 (2. varianta) un CVE-2017-5754 riskus (2. variants) (Kustināšanas laikā)

Svarīga piezīme Repozitorējums pēc noklusējuma ir iespējots Windows 10 serveros Ark, versija 1809 serveros, ja Lauka nosaukums, 2. variants (CVE-2017-5715) ir iespējots. Retpoline iespējošana jaunākajā Windows 10 versijā var uzlabot veiktspēju serveros, kuros darbojas Windows 10, versija 1809 2. variantam, īpaši vecākajos procesoros.

Lai iespējotu CVE-2017-5715 (Nomus 2. variants) un CVE-2017-5754 (Kūpināšanas) risku.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet datoru.

Lai atspējotu CVE-2017-5715 (Nomus 2. variants) un CVE-2017-5754 (Kūpināšanas) risku.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet datoru.


Piezīme Iestatot FeatureSettingsOverrideMask uz 3, iestatījumiem "iespējot" un "atspējot" ir precīzi. (Papildinformācijupar reģistra atslēgām skatiet sadaļā " Bieži uzdotie jautājumi ".

Pārvaldiet CVE-2017-5715 risku mazināšanas pasākumu (2. variants)

Lai atspējotu 2. variantu: (CVE-2017-5715  "Zaru mērķa ievadīšanas") risku mazināšana:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet datoru.

Lai iespējotu 2. variantu: (CVE-2017-5715  "Zaru mērķa ievadīšanas") risku mazināšana:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet datoru.

Tikai AMD procesori: iespējot pilnu risku, ja CVE-2017-5715 (Variants 2)

Pēc noklusējuma AMD CPU vajadzībām ir atspējota CVE-2017-5715 lietotāju-to-kernel aizsardzība. Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Iespējojiet LIETOTĀJA-to-kernel aizsardzību AMD procesoriem kopā ar citu aizsardzību attiecībā uz CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet datoru.

Risku mazināšanas pasākumu pārvaldība objektā CVE-2018-3639 (speculative Store Bypass), CVE-2017-5715 (2. variants) un CVE-2017-5754 (Kūka)

Lai iespējotu CVE-2018-3639 (speculatīvs krātuves apiešanu), CVE-2017-5715 (2. variants) un CVE-2017-5754 (Kūka) risku.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet datoru.

Lai atspējotu CVE-2018-3639 risku mazināšanas pasākumu (specifikāciju krātuves apiešana) AND riskus attiecībā uz CVE-2017-5715 (Spee Variant 2) un CVE-2017-5754 (Kūka)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet datoru.

Tikai AMD procesori: iespējot pilnu risku, ja tiek lietots CVE-2017-5715 (Gala variants 2) un CVE 2018-3639 (speculatīva veikala apiešanu)

Pēc noklusējuma AMD procesoriem ir atspējota lietotāja -to-kernel aizsardzība pret CVE-2017-5715. Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Iespējojiet lietotāja-to-kernel aizsardzību AMD procesoriem kopā ar citu CVE 2017-5715 aizsardzību un CVE-2018-3639 aizsardzību (speculatīvs veikala apiešana):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet datoru.

Pārvaldiet Intel® transakciju sinhronizācijas paplašinājumus (Intel® TSX) transakciju asinhronā priekšlaikus pārtraukta ievainojamība (CVE-2019-11135) un Microarbokectural datu iztveršana (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kopā ar & CVE-2017-5715 ] un Candown [ CVE-2017-5754 ] variantiem, tostarp Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as well as L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646 ]

Lai iespējotu intel® transakciju sinhronizācijas paplašinājumu (Intel® TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarbokectural datuiztveršana (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kopā ar Karekli[CVE-2017-5753 & CVE-2017-5715] un Kūdudown [CVE-2017-5754] varianti, tostarp Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646], neatspējojot hiperpave slāpēšanu:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet datoru.

Lai iespējotu intel® transakciju sinhronizācijas paplašinājumu (Intel® TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarhinectural datuiztveršanu (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kopā ar Karekli [CVE-2017-5753 & CVE-2017-5715 ] un Kūkli [ CVE-2017-5754 ] varianti, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] kā arī L1 termināļa kļūme (L1TF) [ CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646 ] ar atspējotiem Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet datoru.

Lai atspējotu intel® transakciju sinhronizācijas paplašinājumu (Intel® TSX) transakcijas asinhronās pārtraukšanas ievainojamību(CVE-2019-11135) un Microarhinectural datuiztveršanu (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kopā ar Karekli [CVE-2017-5753 & CVE-2017-5715 ] un Kūkli [ CVE-2017-5754 ] varianti, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] kā arī L1 termināļa kļūme (L1TF) [ CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet datoru.

Pārbaude, vai aizsardzība ir iespējota

Lai palīdzētu klientiem pārbaudīt, vai aizsardzība ir iespējota, Microsoft ir publicējusi PowerShell skriptu, ko klienti var palaist savās sistēmās. Instalējiet un palaidiet skriptu, izpildot tālāk norādītās komandas.

PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1)

Instalējiet PowerShell moduli:

PS> Install-Module SpeculationControl

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell pārbaude, izmantojot lejupielādi no Technet (vecākas operētājsistēmas versijas un vecākas WMF versijas)

Instalējiet PowerShell moduli no Technet ScriptCenter.

  1. Dodieties uz https://aka.ms/SpeculationControlPS .

  2. Lejupielādējiet SpeculationControl.zip failus lokālajā mapē.

  3. Izvilkt saturu lokālajā mapē. Piemēram: C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

Startējiet programmu PowerShell un pēc tam izmantojiet iepriekšējo piemēru, lai kopētu un izpildītu šādas komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Detalizētu skaidrojumu par PowerShell skripta izvadi skatiet zināšanu bāzes rakstā 4074629. 

bieži uzdotie jautājumi

Lai nepieļautu klientu ierīču nelabvēlīgu ietekmēšanu, Windows 2018. gada janvārī un februārī izlaistie drošības atjauninājumi netika piedāvāti visiem klientiem. Detalizētu informāciju skatiet Microsoft zināšanu bāzes rakstā 4072699 .

Mikrokods tiek piegādāts, izmantojot aparātprogrammatūras atjauninājumu. Sazinieties ar OEM par aparātprogrammatūras versiju, kurā ir jūsu datoram atbilstošs atjauninājums.

Ir vairāki mainīgie, kas ietekmē veiktspēju, sākot no sistēmas versijas līdz darba slodzēm, kas darbojas. Dažām sistēmām veiktspējas efekts būs spēkā. Citiem tas būs ļoti svarīgi.

Iesakām novērtēt veiktspējas efektu sistēmās un pēc vajadzības veikt pielāgojumus.

Papildus norādījumiem šajā rakstā par virtuālajām mašīnām sazinieties ar pakalpojumu sniedzēju, lai pārliecinātos, vai jūsu virtuālo mašīnu resursdatori ir pietiekami labi aizsargāti.

Ja Windows Server virtuālajās mašīnās, kas darbojas programmā Azure, skatiet rakstu Norādījumi par apzīmētās izpildes blakus kanāla ievainojamību migrēšanu azure . Lai iegūtu norādījumus par Azure Update management izmantošana, lai mazinātu šo problēmu viesu virtuālās ierīces, skatiet Microsoft zināšanu bāzes rakstu 4077467.

Atjauninājumi, kas tika izlaisti Windows Server konteinera attēliem Windows Server 2016 un Windows 10 versijā 1709 ietver ievainojamības mazināšanas pasākumus. Nav nepieciešama papildu konfigurācija.

Piezīme Joprojām pārliecinieties, vai resursdators, kurā šie konteineri darbojas, ir konfigurēts, lai iespējotu atbilstošu risku.

Nē, instalēšanas secībai nav nozīmes.

Jā, pēc aparātprogrammatūras (mikrokoda) atjaunināšanas ir jārestartē un pēc sistēmas atjaunināšanas.

Tālāk ir sniegta detalizēta informācija par reģistra atslēgām.

FeatureSettingsOverride apzīmē bitkarti, kas ignorē noklusējuma iestatījumu un vadīklas, kuras tiek atspējotas. 0 bits kontrolē CVE-2017-5715 atbilstošo risku. 1. bits kontrolē CVE-2017-5754 atbilstošo risku. Biti tiek iestatīti uz 0, lai iespējotu risku mazināšanas pasākumu, un 1, lai atspējotu risku.

FeatureSettingsOverrideMask apzīmē bitkartes masku, kas tiek izmantota kopā ar FeatureSettingsOverride. Šajā gadījumā binārajā skaitļu sistēmā tiek izmantota vērtība 3 (binārajā skaitļu sistēmā tiek rādīta kā 11), lai norādītu pirmos divus bitus, kas atbilst pieejamajiem risku mazināšanas pasākumiem. Šī reģistra atslēga ir iestatīta uz 3, lai iespējotu vai atspējotu atvieglojumus.

MinVmVersionForCpuBasedMitigations ir Paredzēts Hyper-V resursdatoriem. Šī reģistra atslēga nosaka minimālo VM versiju, kas nepieciešama atjauninātās aparātprogrammatūras iespēju (CVE-2017-5715) lietošanai. Iestatiet šo kā 1.0, lai ietvertu visas VM versijas. Ievērojiet, ka šī reģistra vērtība tiks ignorēta (benign) resursdatoros, kas nav Hyper-V. Papildinformāciju skatiet rakstā Viesu virtuālo mašīnu aizsardzība no CVE-2017-5715 (zaru mērķa ievadīšanas) .

Jā, nav par efektu, ja šie reģistra iestatījumi tiek lietoti pirms 2018. gada janvāra saistīto labojumu instalēšanas.

Detalizētu aprakstu par skripta izvadi skatiet rakstā Get-SpeculationControlSettings PowerShell skripta izvade.

Jā, Windows Server 2016 Hyper-V resursdatoriem, kam vēl nav pieejams aparātprogrammatūras atjauninājums, mēs publicējām alternatīvus norādījumus, kas var palīdzēt mazināt VM uz VM vai VM, lai viesotu uzbrukumus. Skatiet rakstu Alternatīva Windows Server 2016 Hyper-V hosts pret apzīmētās izpildes sānu kanāla ievainojamību .

Drošība Tikai atjauninājumi nav kumulatīvi. Atkarībā no operētājsistēmas versijas, iespējams, būs jāinstalē vairāki drošības atjauninājumi, lai nodrošinātu pilnu aizsardzību. Parasti klientiem būs jāinstalē 2018. gada janvāra, februāra, marta un aprīļa atjauninājumi. Sistēmām ar AMD procesoriem ir nepieciešams papildu atjauninājums, kā parādīts šajā tabulā:

Operētājsistēmas versija

Drošības atjauninājums

Windows 8.1, Windows Server 2012 R2

4338815 - ikmēneša apkopojums

4338824 — tikai drošība

Windows 7 SP1, Windows Server 2008 R2 SP1 vai Windows Server 2008 R2 SP1 (Server Core instalācija)

4284826 – ikmēneša apkopojums

4284867 — tikai drošība

Windows Server 2008 SP2

4340583 — drošības atjauninājums

Mēs iesakām instalēt tikai drošības atjauninājumus izlaišanas secībā.

Piezīme   Šī bieži uzdoto jautājumu iepriekšējā versija nepareizi paziņoja, ka februāra tikai drošības atjauninājumā ir iekļauti drošības labojumi, kas tika izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājums KB 4078130 bija konkrēts labojums, lai novērstu neparedzētas sistēmas darbības, veiktspējas problēmas un neparedzētas restartēšanas pēc mikrokoda instalēšanas. Lietojot drošības atjauninājumus klienta Windows, var izmantot visus trīs riskus. Ja Windows servera operētājsistēmās, pēc pareizas testēšanas jums joprojām ir jāiespējo atvieglojumus. Papildinformāciju skatiet Microsoft zināšanu bāzes rakstā 4072698.

Šī problēma tika novērsta KB 4093118.

2018. gada februārī Intel paziņoja, ka ir pabeigusi validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus, kas attiecas uz 2. Varianta 2. variantu (CVE-2017-5715 — "Filiāles mērķa ievadīšanas"). KB 4093836 uzskaitīti konkrēti zināšanu bāzes raksti, Windows versiju. Katrā konkrētajā KB rakstā ir iekļauti pieejamie centrālā procesora Intel mikrokoda atjauninājumi.

2018. gada 11. janvārisIntel ziņoja par problēmām nesen izlaistajā mikrokodā, kas bija paredzēts, lai novērstu 2. varianta Attiecas uz CVE-2017-5715 — "Zaru mērķa novēršanai"). Precīzāk, Intel atzīmēja, ka šis mikrokods var izraisīt " lielāku, nekā paredzēts, restartēšanu un citu neparedzētu sistēmas darbību ",un ka šie scenāriji var izraisīt " datu zudumuvai bojājumus. "Mūsu pieredze ir tā, ka sistēmas neesība dažos gadījumos var izraisīt datu zudumu vai bojājumus. 22. janvārī Intel iesaka klientiem pārtraukt pašreizējās mikrokoda versijas izvietošanu ietekmētajos procesoros, kamēr Intel veic papildu pārbaudi par atjaunināto risinājumu. Mēs saprotam, ka Intel turpina izpētīt pašreizējās mikrokoda versijas iespējamo ietekmi. Iesakām klientiem regulāri pārskatīt norādījumus, lai informētu par saviem lēmumiem.

Intel pārbauda, atjaunina un izvieto jaunu mikrokodu, tāpēc mēs sniedzam iespēju izmantot ārpusjoslas (OoB) atjauninājumu, KB 4078130, kas īpaši atspējo tikai risku mazināšanas līdzekli attiecībā uz CVE-2017-5715. Mūsu pārbaudē tika konstatēts, ka šis atjauninājums novērš aprakstīto darbību. Pilnu ierīču sarakstu skatiet Intel mikrokoda pārskatīšanas norādījumos. Šis atjauninājums attiecas Windows 7. servisa pakotni 1 (SP1), Windows 8.1, kā arī visas Windows 10 klienta un servera versijas. Ja izmantojat ietekmēto ierīci, šo atjauninājumu var lietot, lejupielādējot to no tīmekļa vietnes Microsoft atjaunināšanas katalogs. Šīs lietderīgās slodzes lietošana īpaši atspējo tikai risku, kas tiek piemērots CVE-2017-5715.

Šajā laikā nav nevienas zināmas atskaites, kas norāda, ka šis Vietnes variants 2 (CVE-2017-5715 — "Zaru mērķa ievadīšanas vieta") ir ticis izmantots uzbrukuma klientiem. Ja nepieciešams, iesakām, Windows lietotāji izmantos risku mazināšanas iespēju attiecībā uz CVE-2017-5715, ja Intel ziņo, ka šī neprognozējamā sistēmas darbība jūsu ierīcei ir atrisināta.

2018. gada februārīIntel paziņoja, ka ir pabeigusi validāciju un sākusi mikrokoda laidienu jaunākām centrālā procesora platformām. Microsoft padara pieejamus intelivalidētus mikrokoda atjauninājumus, kas saistīti ar Tajādu Variant 2 Ar 2. variantu (CVE-2017-5715 — "Filiāles mērķa īscināšana"). KB 4093836 uzskaitīti konkrēti zināšanu bāzes raksti, Windows versijā. KBS saraksts ir pieejams intel microcode atjauninājumiem, ko veic centrālais procesors.

Papildinformāciju skatiet rakstā AMD drošības atjauninājumi un AMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles vadīklu . Tie ir pieejami OEM aparātprogrammatūras kanālā.

Mēs padara pieejamus intelivalidētus mikrokoda atjauninājumus, kas attiecas uz Neitra 2. variantu (CVE-2017-5715 — "Zaru mērķa ievadīšanas"). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no Microsoft atjauninājumu kataloga, ja tas netika instalēts ierīcē pirms sistēmas jaunināšanas. Intel microcode ir pieejams, Windows Update, Windows Server Update Services (WSUS) vai Microsoft Update Catalog. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB 4100347 .

Skatiet   ADV180012 sadaļas Ieteicamās darbības un Bieži uzdotie jautājumi | Microsoft norādījumi par apzīmētā veikala apiešanu.

Lai pārbaudītu SSBD statusu, skripts Get-SpeculationControlSettings PowerShell ir atjaunināts, lai noteiktu ietekmētos procesorus, operētājsistēmas SSBD atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanai skatiet kb 4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, kas ietver sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, tika paziņota un piešķirta CVE-2018-3665 . Informāciju par šo ievainojamību un ieteicamajām darbībām skatiet drošības konsultāciju ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu.

Piezīme. Lazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā ar piešķirtu CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs neesam informēti par BCBS instancēm mūsu programmatūrā. Tomēr mēs turpinām izpētīt šo ievainojamības nodarbības un sadarboties ar nozares partneriem, lai pēc vajadzības atbrīvotu riskus. Mēs iesakām zinātniekiem iesniegt visus atbilstošos rezultātus programmai Microsoft Speculative Execution Side Channel bounty, tostarp jebkurā izmantojamā BCBS instancē. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas ir atjaunināti BCBS vietnē C++ izstrādātāju norādījumi specifikācijas izpildes kanālu gadījumā.

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Ir vairāki vektori, pēc kuriem uzbrukums var izraisīt ievainojamību atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon® procesorus.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanas migrācijai, skatiet šos resursus:

Darbības, lai atspējotu Hyper-Threading atšķiras no OEM uz OEM, bet parasti ir daļa no BIOS vai aparātprogrammatūras iestatīšanas un konfigurācijas rīkiem.

Klientiem, kuri izmanto 64 bitu ARM procesorus, ir jāsazinās ar ierīci OEM, lai saņemtu aparātprogrammatūras atbalstu, jo ARM64 operētājsistēmas aizsardzībai, kas ietekmē CVE-2017-5715 — zaru mērķa ieslēgšanu (2. variants), ir nepieciešams jaunākais aparātprogrammatūras atjauninājums, ko nodrošina ierīces OEM.

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus.

Lūdzu, skatiet norādījumus papildinformācijā Windows, lai aizsargātu pret speculācijas izpildes sānu kanāla ievainojamību

Lai saņemtu azure norādījumus, skatiet šo rakstu: Norādījumi par apzīmētās izpildes blakus kanālu ievainojamību imitēšanu azure .

Papildinformāciju par Retpoline iespējošanu skatiet mūsu emuāra ziņā: 2. varianta mitigēšana ar Retpoline Windows.

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātnieku, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.

Papildu norādījumus var atrast šajā Windows, lai aizsargātu pret speculācijas izpildes sānu kanāla ievainojamību.

Papildu norādījumus var atrast šajā Windows, lai aizsargātu pret speculācijas izpildes sānu kanāla ievainojamību.

Papildu norādījumi ir atrodami, izmantojot norādījumus par intel® transakciju sinhronizācijas paplašinājumu (Intel® TSX) atspējošanu.

Informatīva atruna saistībā ar trešajām pusēm 

Šajā rakstā minētos trešo pušu produktus ražo no Microsoft neatkarīgi uzņēmumi. Microsoft nesniedz nekādas netiešas vai cita veida garantijas par šo produktu veiktspēju vai uzticamību.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar tulkojuma kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×