Endringslogg
| Endre dato | Beskrivelse av endring |
|---|---|
| 20. april 2023 kl. |
|
| 8. august 2023 kl. |
|
| 9. august 2023 kl. |
|
| 9. april 2024 |
|
| 16. april 2024 kl. |
|
Oppsummering
Denne artikkelen gir veiledning for en ny klasse av silicon-baserte mikroarkitektoniske og spekulative kanalsårbarheter på kjøringssiden som påvirker mange moderne prosessorer og operativsystemer. Dette inkluderer Intel, AMD og ARM. Spesifikke detaljer om disse silicon-baserte sårbarhetene finnes i ADV-er (sikkerhetsveiledninger) og CVE-er (vanlige sikkerhetssvakheter og eksponeringer):
- ADV180002 | Veiledning for å redusere spekulative kanalsårbarheter på kjøringssiden
- ADV180012 | Microsofts veiledning for å omgå spekulativ butikk
- ADV180013 | Microsoft-veiledning for falske systemer Les registrer
- ADV180016 | Microsoft-veiledning for tilstandsgjenoppretting for lat FP
- ADV180018 | Microsofts veiledning for å redusere L1TF-varianten
- ADV190013 | Microsofts veiledning for å redusere sårbarheter i mikroarkitekturdatasampling
- ADV220002 | Microsoft-veiledning om sikkerhetsproblemer med MMIO-foreldede data på Intel-prosessorer
- CVE-2022-23825 | Forveksling rundt AMD CPU-grentype
- CVE-2023-20569 | AMD CPU-returadresseprediktor
- CVE-2022-0001 | Injeksjon av Intel-grenhistorikk
Viktig
Disse problemene påvirker også andre operativsystemer, for eksempel Android, Chrome, iOS og MacOS. Vi råder kunder til å søke veiledning fra disse leverandørene.
Vi har utgitt flere oppdateringer for å redusere disse sårbarhetene. Vi har også iverksatt tiltak for å sikre skytjenestene våre. Se følgende avsnitt for mer informasjon.
Vi har ennå ikke mottatt informasjon som tyder på at disse sårbarhetene ble brukt til å angripe kunder. Vi arbeider tett med bransjepartnere inkludert brikkeprodusenter, maskinvare-OEM-er og applikasjonsleverandører for å beskytte kundene. For å få alle tilgjengelige beskyttelser kreves fastvare (mikrokode) og programvareoppdateringer. Dette omfatter mikrokode fra OEM-er for enheter og, i noen tilfeller, oppdateringer av antivirusprogramvare.
Sårbarheter
Spekulativ utførelse
Denne artikkelen tar for seg følgende sikkerhetsproblemer knyttet til spekulativ kjøring:
- CVE-2017-5715 | Branch Target Injection
- CVE-2017-5753 | Forbigåelse av grensekontroll
- CVE-2017-5754 | Rogue Data Cache Load
- CVE-2018-3639 | Speculative Store Bypass
Windows Update vil også tilby begrensninger for Internet Explorer og Edge. Vi vil fortsette å forbedre disse tiltakene mot denne typen sårbarheter.
Hvis du vil lære mer om denne typen sårbarheter, kan du se
Mikroarkitektonisk datasampling-sårbarhet
14. mai 2019 publiserte Intel informasjon om en ny underklasse av spekulative kanalsårbarheter på kjøringssiden, kjent som Microarchitectural Data Sampling og dokumentert i ADV190013 | Mikroarkitektonisk datasampling. De har fått tilordnet følgende CVE-er:
- CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
- CVE-2018-12126 | Sampling av mikroarkitektonisk lagerbufferdata (MSBDS)
- CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
- CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Viktig
Disse problemene påvirker andre systemer, for eksempel Android, Chrome, iOS og MacOS. Vi råder kunder til å søke veiledning fra disse leverandørene.
Microsoft har gitt ut oppdateringer for å bidra til å redusere disse sårbarhetene. For å få alle tilgjengelige beskyttelser kreves fastvare (mikrokode) og programvareoppdateringer. Dette kan omfatte mikrokode fra enhets-OEM-er. I noen tilfeller kan installasjon av disse oppdateringene påvirke ytelsen. Vi har også gjort noe for å sikre skytjenestene våre. Vi anbefaler på det sterkeste at du distribuerer disse oppdateringene.
Hvis du vil ha mer informasjon om dette problemet, kan du se følgende sikkerhetsveiledning og bruke scenariobasert veiledning til å finne ut hva som er nødvendige handlinger for å redusere trusselen:
- ADV190013 | Microsofts veiledning for å redusere sårbarheter i mikroarkitekturdatasampling
- Windows-veiledning for å beskytte mot spekulative kanalsårbarheter på kjøringssiden
Obs!
Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer mikrokodeoppdateringer.
Spectre, Variant 1-sårbarhet
6. august 2019 publiserte Intel detaljer om et sikkerhetsproblem med avsløring av kjerneinformasjon i Windows. Dette sikkerhetsproblemet er en variant av sikkerhetsproblemet med spekulativ kjøring av sidekanalen i Spectre og variant 1 og er tilordnet CVE-2019-1125.
Vi lanserte sikkerhetsoppdateringer for Windows-operativsystemet for å bidra til å løse dette problemet, 9. juli 2019. Vær oppmerksom på at vi holdt tilbake med å dokumentere denne begrensningen offentlig frem til den koordinerte bransjeoffentliggjøringen tirsdag 6.
Kunder som har Windows Update aktivert og har brukt sikkerhetsoppdateringene som ble utgitt 9. juli 2019, beskyttes automatisk. Det er ikke nødvendig med ytterligere konfigurasjon.
Obs!
Dette sikkerhetsproblemet krever ikke en mikrokodeoppdatering fra enhetsprodusenten (OEM).
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og aktuelle oppdateringer, kan du se veiledningen for Microsoft Sikkerhet Update:
Sikkerhetsproblem med asynkron avbrudd av transaksjoner
12. november 2019 publiserte Intel en teknisk veiledning om sikkerhetsproblemet tilknyttet asynkron avbrudd av transaksjoner i Intel® Transactional Synchronization Extensions (Intel TSX), som er tilordnet CVE-2019-11135. Microsoft har gitt ut oppdateringer for å bidra til å redusere dette sikkerhetsproblemet, og OS-beskyttelsen er aktivert som standard for Windows Server 2019, men deaktivert som standard for Windows Server 2016 og tidligere Windows Server OS-utgaver.
Sårbarhet tilknyttet MMIO-datasampling
14. juni 2022 publiserte vi ADV220002 | Microsoft-veiledning om sikkerhetsproblemer med MMIO-foreldede data på Intel-prosessorer og tilordnet disse CVE-ene:
- CVE-2022-21123 | Delt bufferdatalesing (SBDR)
- CVE-2022-21125 | Delt bufferdatasampling (SBDS)
- CVE-2022-21127 | Spesiell oppdatering av registerbufferdatasampling (SRBDS-oppdatering)
- CVE-2022-21166 | Partiell skriving (DRPW) (Device Register Partial Write)
Anbefalte handlinger
Du bør gjøre følgende for å beskytte deg mot sikkerhetsproblemene:
- Bruk alle tilgjengelige Windows-operativsystemoppdateringer, inkludert de månedlige Windows-sikkerhetsoppdateringene.
- Bruk den aktuelle fastvareoppdateringen (mikrokode) som leveres av enhetsprodusenten.
- Evaluer risikoen for miljøet ditt basert på informasjonen i Microsoft Sikkerhet Advisories: ADV180002, ADV180012, ADV190013 og ADV220002, i tillegg til informasjonen i denne kunnskapsbase artikkelen.
- Utfør handlingen som kreves ved å bruke veiledningene og registernøkkelinformasjonen som du finner i denne kunnskapsbase-artikkelen.
Obs!
overflate-kunder vil motta en mikrokodeoppdatering via Windows Update. Hvis du vil ha en liste over de nyeste oppdateringene for overflate-enhetsfastvare (mikrokode), kan du se KB4073065.
Forveksling mellom grentype
12. juli 2022 publiserte vi CVE-2022-23825 | AMD CPU-grentype forveksling som beskriver at aliaser i grenprediktoren kan føre til at enkelte AMD-prosessorer forutser feil grentype. Dette problemet kan potensielt føre til avsløring av informasjon.
For å beskytte deg mot dette sikkerhetsproblemet anbefaler vi at du installerer Windows-oppdateringer som er datert på eller etter juli 2022, og deretter iverksetter tiltakene som kreves av CVE-2022-23825 og registernøkkelinformasjonen som er angitt i denne kunnskapsbase-artikkelen.
Hvis du vil ha mer informasjon, kan du se sikkerhetsbulletinen AMD-SB-1037 .
Prediktor for avsenderadresse
8. august 2023 publiserte vi CVE-2023-20569 | Return Address Predictor (også kjent som Inception), som beskriver et nytt spekulativt sidekanalangrep som kan føre til spekulativ kjøring på en angriperkontrollert adresse. Dette problemet påvirker bestemte AMD-prosessorer og kan potensielt føre til avsløring av informasjon.
For å beskytte deg mot dette sikkerhetsproblemet anbefaler vi at du installerer Windows-oppdateringer som er datert på eller etter august 2023, og deretter iverksetter tiltak som kreves av CVE-2023-20569 og registernøkkelinformasjon som er angitt i denne kunnskapsbase-artikkelen.
Hvis du vil ha mer informasjon, kan du se sikkerhetsbulletinen AMD-SB-7005 .
Injeksjon av grenhistorikk
9. april 2024 publiserte vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI), som er en spesifikk form for intra-mode BTI. Dette sikkerhetsproblemet oppstår når en angriper kan manipulere grenloggen før overgang fra bruker- til overordnadsmodus (eller fra VMX ikke-rot/gjestemodus til rotmodus). Denne manipulasjonen kan føre til at en indirekte grenprediktor velger en bestemt prediktoroppføring for en indirekte gren, og at et visningsprogram på det beregnede målet kjører midlertidig. Dette kan være mulig fordi den relevante grenloggen kan inneholde grener som er tatt i tidligere sikkerhetskontekster, og spesielt andre prediktormoduser.
Reduksjonsinnstillinger for Windows Server og Azure Stack HCI
Sikkerhetsveiledninger (ADV-er) og CVE-er gir informasjon og informasjon om risikoen som disse sårbarhetene utgjør. De hjelper deg også med å identifisere sårbarheter og standard status for begrensninger for Windows Server-systemer. Tabellen nedenfor oppsummerer kravet til CPU-mikrokode og standardstatusen for reduksjonene på Windows Server.
| CVE | Krever CPU-mikrokode/-fastvare? | Standardstatus for reduksjon |
|---|---|---|
| CVE-2017-5753 | Nei | Aktivert som standard (ingen mulighet til å deaktivere) Se ADV180002 for ytterligere informasjon |
| CVE-2017-5715 | Ja | Deaktivert som standard. Se ADV180002 for mer informasjon og denne KB-artikkelen for gjeldende registernøkkelinnstillinger. Vær oppmerksom på «Retpoline» er aktivert som standard for enheter som kjører Windows 10, versjon 1809 og nyere hvis Spectre Variant 2 (CVE-2017-5715) er aktivert. Hvis du vil ha mer informasjon om «Retpoline», kan du følge Mitigating Spectre variant 2 med Retpoline på Windows-blogginnlegget. |
| CVE-2017-5754 | Nei | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard. Se ADV180002 for mer informasjon. |
| CVE-2018-3639 | Intel: Ja AMD: Nei |
Deaktivert som standard. Se ADV180012 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel. |
| CVE-2018-11091 | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard. Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel. |
| CVE-2018-12126 | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard. Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel. |
| CVE-2018-12127 | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard. Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel. |
| CVE-2018-12130 | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard. Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel. |
| CVE-2019-11135 | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard. Se CVE-2019-11135 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
| CVE-2022-21123 (del av MMIO-ADV220002) | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* Se CVE-2022-21123 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
| CVE-2022-21125 (del av MMIO-ADV220002) | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* Se CVE-2022-21125 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
| CVE-2022-21127 (del av MMIO-ADV220002) | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* Se CVE-2022-21127 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
| CVE-2022-21166 (del av MMIO-ADV220002) | Intel: Ja | Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* Se CVE-2022-21166 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
| CVE-2022-23825 (Forveksling av type AMD-CPU-gren) | AMD: Nei | Se CVE-2022-23825 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
|
CVE-2023-20569 (AMD CPU-returadresseprediktor) |
AMD: Ja | Se CVE-2023-20569 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
| CVE-2022-0001 | Intel: Nei |
Deaktivert som standard Se CVE-2022-0001 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger. |
Obs!
* Følg retningslinjene for reduksjon av nedsmelting nedenfor.
Hvis du vil ha all den tilgjengelige beskyttelsen mot disse sikkerhetsproblemene, må du endre registernøkkelen for å aktivere disse tiltakene som er deaktivert som standard.
Aktivering av disse tiltakene kan påvirke ytelsen. Omfanget av ytelseseffektene avhenger av flere faktorer, for eksempel det bestemte brikkesettet i den fysiske verten og arbeidsbelastningene som kjører. Vi anbefaler at du vurderer ytelseseffektene for miljøet ditt og foretar eventuelle nødvendige justeringer.
Serveren har økt risiko hvis den er i en av følgende kategorier:
- Hyper-V-verter: Krever beskyttelse for VM-til-VM-angrep og VM-til-vert-angrep.
- Verter for eksterne skrivebordstjenester (RDSH): Krever beskyttelse fra én økt til en annen økt eller fra økt-til-vert-angrep.
- Fysiske verter eller virtuelle maskiner som kjører ikke-klarert kode, for eksempel beholdere eller ikke-klarerte utvidelser for databaser, ikke-klarert nettinnhold eller arbeidsbelastninger som kjører kode som kommer fra eksterne kilder. Disse krever beskyttelse mot uklarerte angrep fra prosess til prosess eller uklarerte prosesser fra prosess til kjerne.
Bruk følgende registernøkkelinnstillinger til å aktivere begrensningene på serveren, og start enheten på nytt for at endringene skal tre i kraft.
Obs!
Som standard kan aktivering av begrensninger som er deaktivert, påvirke ytelsen. Den faktiske ytelseseffekten avhenger av flere faktorer, for eksempel det spesifikke brikkesettet i enheten og arbeidsbelastningene som kjører.
Innstillinger for registeret
Vi tilbyr følgende registerinformasjon for å aktivere begrensninger som ikke er aktivert som standard, som dokumentert i Sikkerhetsveiledninger (ADV-er) og CVE-er. I tillegg tilbyr vi registernøkkelinnstillinger for brukere som ønsker å deaktivere avbøtende tiltak når det er aktuelt for Windows-klienter.
Obs!
- VIKTIG Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Alvorlige problemer kan imidlertid oppstå hvis du endrer registeret feil. Pass derfor på at du følger disse trinnene nøye. Hvis du vil ha ekstra beskyttelse, sikkerhetskopierer du registeret før du endrer det. Du kan dermed gjenopprette registeret hvis det oppstår problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, les følgende artikkel i Microsoft Knowledge Base:
- KB322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows
Administrer tiltak for CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) og CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
Obs!
- VIKTIG Som standard er Retpoline konfigurert som følger hvis Spectre, Variant 2 mitigation (CVE-2017-5715) er aktivert:
-
- Retpoline-reduksjon er aktivert på Windows 10, versjon 1809 og nyere Windows-versjoner.
-
- Retpoline-reduksjon er deaktivert på Windows Server 2019 og nyere Windows Server-versjoner.
- Hvis du vil ha mer informasjon om konfigurasjonen av Retpoline, kan du se Begrensende Spectre variant 2 med Retpoline i Windows.
|
|---|
Obs!
Innstilling av FeatureSettingsOverrideMask til 3 er nøyaktig for både innstillingene "Aktiver" og "Deaktiver". (Se delen «Vanlige spørsmål » for mer informasjon om registernøkler.)
Administrer skadebegrensningstiltakene for CVE-2017-5715 (Spectre Variant 2)
Slik deaktiverer du variant 2: (CVE-2017-5715 | Branch Target Injection) redusering:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fStart enheten på nytt for at endringene skal tre i kraft. Slik aktiverer du variant 2: (CVE-2017-5715 | Branch Target Injection) redusering: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fStart enheten på nytt for at endringene skal tre i kraft. |
|---|
Bare AMD-prosessorer: Aktiver alle skadebegrensninger for CVE-2017-5715 (Spectre Variant 2)
Bruker-til-kjerne-beskyttelse for CVE-2017-5715 er deaktivert som standard for AMD-prosessorer. Kunder må aktivere begrensningen for å motta ytterligere beskyttelse for CVE-2017-5715. Hvis du vil ha mer informasjon, kan du se vanlige spørsmål #15 i ADV180002.
Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med andre beskyttelser for CVE 2017-5715:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fHvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fHvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines fullstendig. Dette gjør at fastvarerelaterte reduksjoner kan brukes på verten før VM-ene startes. Derfor oppdateres også de virtuelle maskinene når de startes på nytt. Start enheten på nytt for at endringene skal tre i kraft. |
|---|
Administrer løsninger for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)
Slik aktiverer du løsninger for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fHvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fHvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines fullstendig. Dette gjør at fastvarerelaterte reduksjoner kan brukes på verten før VM-ene startes. Derfor oppdateres også de virtuelle maskinene når de startes på nytt. Start enheten på nytt for at endringene skal tre i kraft. Slik deaktiverer du løsninger for CVE-2018-3639 (Speculative Store Bypass) OG løsninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fStart enheten på nytt for at endringene skal tre i kraft. |
|---|
Bare AMD-prosessorer: Aktiver alle skadebegrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE 2018-3639 (Speculative Store Bypass)
Bruker-til-kjerne-beskyttelse for CVE-2017-5715 er deaktivert som standard for AMD-prosessorer. Kunder må aktivere begrensningen for å motta ytterligere beskyttelse for CVE-2017-5715. Hvis du vil ha mer informasjon, kan du se vanlige spørsmål #15 i ADV180002.
Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med andre beskyttelser for CVE 2017-5715 og beskyttelser for CVE-2018-3639 (Speculative Store Bypass):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fHvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fHvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines fullstendig. Dette gjør at fastvarerelaterte reduksjoner kan brukes på verten før VM-ene startes. Derfor oppdateres også de virtuelle maskinene når de startes på nytt. Start enheten på nytt for at endringene skal tre i kraft. |
|---|
Administrer sårbarheten for asynkron avbrudd av transaksjoner, mikroarkitektonisk datasampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF)
|
For å aktivere tiltak for sikkerhetsproblemet knyttet til asynkrone avbrudd av transaksjoner i Intel TSX (Intel TSX) (CVE-2019-11135) og mikroarkitektonisk datasampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754]-varianter, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, og CVE-2022-21166) inkludert Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646] uten å deaktivere Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines fullstendig. Dette gjør at fastvarerelaterte reduksjoner kan brukes på verten før VM-ene startes. Derfor oppdateres også de virtuelle maskinene når de startes på nytt. Start enheten på nytt for at endringene skal tre i kraft. For å aktivere tiltak for sikkerhetsproblemet knyttet til asynkron avbrudd av transaksjoner i Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) og mikroarkitektonisk datasampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715] og Meltdown [CVE-2017-5754]-varianter, inkludert Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] i tillegg til L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646] med Hyper-Threading deaktivert: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines fullstendig. Dette gjør at fastvarerelaterte reduksjoner kan brukes på verten før VM-ene startes. Derfor oppdateres også de virtuelle maskinene når de startes på nytt. Start enheten på nytt for at endringene skal tre i kraft. Slik deaktiverer du sårbarheter for sikkerhetsproblemet knyttet til asynkron avbrudd av transaksjoner i Intel TSX (Intel TSX) (CVE-2019-11135) og mikroarkitektonisk datasampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715] og Meltdown [CVE-2017-5754]-varianter, inkludert Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] i tillegg til L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Start enheten på nytt for at endringene skal tre i kraft. |
|---|
CVE-2022-23825 \| AMD CPU-grentype forveksling (BTC)
Slik aktiverer du skadebegrensningen for CVE-2022-23825 på AMD-prosessorer :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Kunder må kanskje også deaktivere Hyper-Threading (også kalt Simultaneous Multi Threading (SMT)) for å få fullstendig beskyttelse. Se KB4073757 for veiledning om hvordan du beskytter Windows-enheter.
CVE-2023-20569 \| AMD CPU-returadresseprediktor
Slik aktiverer du skadebegrensningen for CVE-2023-20569 på AMD-prosessorer :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001 \| Injeksjon av Intel-grenhistorikk
Slik aktiverer du reduksjonen for CVE-2022-0001 på Intel-prosessorer:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Aktivere flere begrensninger
Hvis du vil aktivere flere avbøtinger, må du legge sammen den REG_DWORD verdien for hver utbedring.
Eksempel:
| Reduksjon av sikkerhetsproblemet knyttet til asynkron avbrudd av transaksjoner, mikroarkitektonisk datasampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktivert | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|---|---|
|
NOTE : 8264 (i desimalformat) = 0x2048 (i hex) Hvis du vil aktivere BHI sammen med andre eksisterende innstillinger, må du bruke bitvis OR med gjeldende verdi med 8 388 608 (0x800000). 0x800000 ELLER 0x2048(8264 i desimaltall), så blir det 8 396 872(0x802048). Det samme med FeatureSettingsOverrideMask. |
|
| Tiltak for CVE-2022-0001 på Intel-prosessorer | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
| Kombinert skadebegrensning | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Kontrollere at beskyttelse er aktivert
For å bidra til å kontrollere at beskyttelse er aktivert, har vi publisert et PowerShell-skript som du kan kjøre på enhetene dine. Installer og kjør skriptet ved hjelp av én av følgende metoder.
Metode 1: PowerShell-verifisering ved hjelp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)
Installere PowerShell-modulen:PS> Install-Module SpeculationControlKjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> Import-Module SpeculationControlPS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
Metode 2: PowerShell-bekreftelse ved hjelp av en nedlasting fra Technet (tidligere operativsystemversjoner og tidligere WMF-versjoner)
Installere PowerShell-modulen fra Technet ScriptCenter:
Start PowerShell, og bruk deretter eksemplet ovenfor til å kopiere og kjøre følgende kommandoer: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> CD C:\ADV180002\SpeculationControlPS> Import-Module .\SpeculationControl.psd1PS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
Hvis du vil ha en detaljert forklaring av utdataene fra PowerShell-skriptet, kan du se KB4074629 .
Vanlige spørsmål
Jeg fikk ikke tilbud om sikkerhetsoppdateringene for Windows som ble utgitt i januar og februar 2018. Hva bør jeg gjøre?
Windows-sikkerhetsoppdateringene som ble utgitt i januar og februar 2018, ble ikke tilbudt til alle kunder. Formålet med dette er å unngå å påvirke kundeenheter unødig. Hvis du vil ha mer informasjon, kan du se KB407269 .
Hvordan vet jeg om jeg har riktig versjon av CPU-mikrokoden?
Mikrokoden leveres gjennom en fastvareoppdatering. Spør din OEM om fastvareversjonen som har riktig oppdatering for datamaskinen din.
Hva er ytelseseffektene av avbøtendetiltakene?
Det finnes flere variabler som påvirker ytelsen, alt fra systemversjonen til arbeidsbelastningene som kjører. For enkelte systemer vil ytelseseffekten være ubetydelig. For andre vil det være betydelig.
Vi anbefaler at du vurderer ytelseseffekten på systemene dine og foretar nødvendige justeringer.
Jeg kjører Windows Server i et tredjeparts vertsbasert miljø eller sky. Hva bør jeg gjøre?
I tillegg til veiledningen i denne artikkelen om virtuelle maskiner, bør du kontakte tjenesteleverandøren for å sikre at vertene som kjører de virtuelle maskinene, er tilstrekkelig beskyttet.
For virtuelle Windows Server-maskiner som kjører i Azure, kan du se Veiledning for å redusere spekulative kanalsårbarheter på kjøringssiden i Azure. Hvis du vil ha veiledning om hvordan du bruker Azure oppdateringsadministrasjon til å løse dette problemet på gjeste-VM-er, kan du se KB4077467.
Finnes det noen Windows Server-beholderspesifikke retningslinjer?
Oppdateringene som ble utgitt for Windows Server-beholderbilder for Windows Server 2016 og Windows 10, versjon 1709, omfatter tiltak for dette settet med sikkerhetsproblemer. Ingen ekstra konfigurasjon er nødvendig.
Vær oppmerksom på Du må fremdeles kontrollere at verten som disse beholderne kjører på, er konfigurert til å aktivere de riktige begrensningene.
Må programvare- og maskinvareoppdateringene installeres i en bestemt rekkefølge?
Nei, installasjonsrekkefølgen spiller ingen rolle.
Vil det være flere omstarter?
Ja, du må starte på nytt etter fastvareoppdateringen (mikrokode) og deretter på nytt etter systemoppdateringen.
Kan du oppgi flere detaljer om registernøklene?
Her er detaljene for registernøklene:
FeatureSettingsOverride representerer et punktgrafikkbilde som overstyrer standardinnstillingen og kontrollerer hvilke begrensninger som deaktiveres. Bit 0 kontrollerer begrensningene som tilsvarer CVE-2017-5715. Bit 1 styrer begrensningen som tilsvarer CVE-2017-5754. Bitene er satt til 0 for å aktivere avbøtingen, og til 1 for å deaktivere avbøtingen.
FeatureSettingsOverrideMask representerer en punktgrafikkmaske som brukes sammen med FeatureSettingsOverride. I denne situasjonen bruker vi verdien 3 (representert som 11 i det binære tallsystemet eller grunntall 2-tallsystemet) for å angi de to første bitene som tilsvarer de tilgjengelige reduksjonene. Denne registernøkkelen er satt til 3 både for å aktivere eller deaktivere overføringene.
MinVmVersionForCpuBasedMitigations er for Hyper-V-verter. Denne registernøkkelen definerer minimumsversjonen av den virtuelle maskinen som kreves for at du skal kunne bruke de oppdaterte fastvarefunksjonene (CVE-2017-5715). Sett dette til 1.0 for å dekke alle VM-versjoner. Vær oppmerksom på at denne registerverdien ignoreres (godartet) på verter som ikke bruker Hyper-V. Hvis du vil ha mer informasjon, kan du se Beskytte virtuelle gjestemaskiner mot CVE-2017-5715 (branch target injection).
Kan jeg angi registernøklene før jeg installerer oppdateringen, og deretter installere oppdateringen og starte på nytt for at endringene skal tre i kraft?
Ja, det er ingen bivirkninger hvis disse registerinnstillingene tas i bruk før du installerer de reparasjonene knyttet til januar 2018.
Kan du oppgi flere detaljer om utdataene fra PowerShell-verifiseringsskriptet?
Se en detaljert beskrivelse av skriptutdataene på KB4074629: Understanding SpeculationControl PowerShell script output .
Hvis fastvareoppdateringen (mikrokode) ennå ikke er tilgjengelig fra OEM-en, finnes det fortsatt en måte å beskytte Hyper-V-verten på?
Ja, for Windows Server 2016 Hyper-V-verter som ennå ikke har fastvareoppdateringen tilgjengelig, har vi publisert en alternativ veiledning som kan bidra til å redusere belastningen fra VM til VM eller VM for å være vert for angrep. Se Alternativ beskyttelse for Windows Server 2016 Hyper-V-verter mot spekulative kanalsårbarheter på kjøringssiden.
Hvis jeg er på bare sikkerhetsgrenen, hvilke sikkerhetsoppdateringer må jeg installere for å beskytte meg mot disse sikkerhetsproblemene?
Bare sikkerhetsoppdateringer er ikke kumulative. Avhengig av operativsystemversjonen må du kanskje installere flere sikkerhetsoppdateringer for full beskyttelse. Vanligvis må kunder installere oppdateringene for januar, februar, mars og april 2018. Systemer som har AMD-prosessorer, trenger en ekstra oppdatering, som vist i tabellen nedenfor:
| Operativsystemversjon | Sikkerhetsoppdatering |
|---|---|
| Windows 8.1, Windows Server 2012 R2 | KB4338815 – månedlig samleoppdatering |
| KB4338824- Bare sikkerhet | |
| Windows 7 SP1, Windows Server 2008 R2 SP1 eller Windows Server 2008 R2 SP1 (Server Core-installasjon) | KB4284826 – månedlig samleoppdatering |
| KB4284867 – Bare sikkerhet | |
| Windows Server 2008 SP2 | KB4340583 – sikkerhetsoppdatering |
Vi anbefaler at du installerer rene sikkerhetsoppdateringer i utgaverekkefølgen.
Obs!
I en tidligere versjon av disse vanlige spørsmålene ble det feilaktig angitt at sikkerhetsoppdateringen for februar inkluderte sikkerhetsrettelser som ble utgitt i januar. Det gjør den faktisk ikke.
Hvis jeg tar i bruk noen av de aktuelle sikkerhetsoppdateringene, deaktiveres beskyttelsen for CVE-2017-5715 på samme måte som sikkerhetsoppdateringen KB4078130 gjorde?
Nei. Sikkerhetsoppdatering KB4078130 var en spesifikk løsning for å forhindre uforutsigbar systematferd, ytelsesproblemer og uventede omstarter etter installasjon av mikrokode. Bruk av sikkerhetsoppdateringer på Windows-klientoperativsystemer muliggjør alle tre tiltakene. På Windows Server-operativsystemer må du fortsatt aktivere begrensningene etter at du har utført ordentlig testing. Hvis du vil ha mer informasjon, kan du se KB4072698.
Kjent problem: Noen brukere kan oppleve problemer med nettverkstilkoblingen eller miste IP-adresseinnstillingene når de har installert sikkerhetsoppdateringen fra 13. mars 2018 (KB 4088875)
Dette problemet ble løst i KB4093118.
Intel har identifisert omstartsproblemer som involverer mikrokode på enkelte eldre prosessorer. Hva bør jeg gjøre?
I februar 2018 kunngjorde Intel at de hadde fullført valideringene og begynte å gi ut mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelig Intel-validerte mikrokodeoppdateringer som gjelder Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 viser spesifikke kunnskapsbase artikler etter Windows-versjon. Hver enkelt KB-artikkel inneholder tilgjengelige Intel-mikrokodeoppdateringer etter CPU.
11. januar 2018 rapporterte Intel problemer i nylig utgitt mikrokode som var ment å løse Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Intel bemerket spesifikt at denne mikrokoden kan forårsake "høyere omstarter enn forventet og annen uforutsigbar systemoppførsel" og at disse scenariene kan forårsake "tap av data eller skade." Vår erfaring er at ustabilitet i systemet kan føre til tap av eller skade på data i noen tilfeller. 22. januar anbefalte Intel at kunder slutter å distribuere den gjeldende versjonen av mikrokode på berørte prosessorer, mens Intel utfører ytterligere testing av den oppdaterte løsningen. Vi forstår at Intel fortsetter å undersøke den potensielle effekten av den nåværende versjonen av mikrokode. Vi oppfordrer kunder til å se gjennom veiledningen sin kontinuerlig for å informere beslutningene sine.
Mens Intel tester, oppdaterer og distribuerer ny mikrokode, gjør vi en utenforliggende (OOB)-oppdatering tilgjengelig, KB4078130, som spesifikt deaktiverer skadebegrensningstiltakene mot CVE-2017-5715. Testene våre har vist at denne oppdateringen forhindrer den beskrevne virkemåten. For den fullstendige listen over enheter, se revisjonsveiledningen for mikrokode fra Intel. Denne oppdateringen dekker Windows 7 Service Pack 1 (SP1), Windows 8.1 og alle versjoner av Windows 10, både klienten og serveren. Hvis du kjører en berørt enhet, kan denne oppdateringen brukes ved å laste den ned fra nettstedet for Microsoft Update-katalogen. Bruken av denne nyttelasten deaktiverer bare skadebegrensningstiltak mot CVE-2017-5715.
Per nå er det ingen kjente rapporter som indikerer at denne Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) har blitt brukt til å angripe kunder. Vi anbefaler at Windows-brukere, når det er aktuelt, aktiverer skadebegrensningstiltakene mot CVE-2017-5715 når Intel rapporterer at denne uforutsigbare systematferden har blitt løst for enheten din.
Jeg har hørt at Intel har gitt ut mikrokodeoppdateringer. Hvor finner jeg dem?
I februar 2018 kunngjorde Intel at de har fullført valideringene og begynt å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelig Intel-validerte mikrokodeoppdateringer som er relatert til Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 viser spesifikke kunnskapsbase artikler etter Windows-versjon. KB-ene viser tilgjengelige Intel-mikrokodeoppdateringer etter CPU.
Hvis du vil ha mer informasjon, kan du se AMD Security Oppdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Disse er tilgjengelige fra OEM-fastvarekanalen.
Jeg kjører Windows 10-oppdatering april 2018 (versjon 1803). Er Intel-mikrokode tilgjengelig for enheten min? Hvor finner jeg den?
Vi gjør tilgjengelig Intel-validerte mikrokodeoppdateringer som gjelder Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). For å få de nyeste Intel-mikrokodeoppdateringene via Windows Update, må kunder ha installert Intel-mikrokode på enheter som kjører et Windows 10-operativsystem før du oppgraderer til Windows 10-oppdatering april 2018 (versjon 1803).
Mikrokodeoppdateringen er også tilgjengelig direkte fra Microsoft Update-katalogen hvis den ikke ble installert på enheten før du oppgraderte systemet. Intel-mikrokode er tilgjengelig via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og laste ned instruksjoner, kan du se KB4100347.
Hvor kan jeg finne informasjon om de nye kanalsårbarhetene på spekulativ kjøringsside (Speculative Store Bypass – CVE-2018-3639 og Rogue System Register Read – CVE-2018-3640)?
Hvis du vil ha mer informasjon, kan du se følgende ressurser:
- ADV180012 | Microsofts veiledning for spekulativ Store-forbikobling for CVE-2018-3639
- ADV180013 | Microsoft-veiledning for falske systemer Registrer Les CVE-2018-3640 og KB-4073065 | Veiledning for overflate-kunder
- Microsofts blogg om sikkerhetsforskning og forsvar
- Utviklerveiledning for spekulativ Store-omgåelse
Hvor finner jeg mer informasjon om Windows-støtte for Speculative Store Bypass Disable (SSBD) i Intel-prosessorer?
Se avsnittene Anbefalte handlinger og Vanlige spørsmål i ADV180012 | Microsofts veiledning for å omgå spekulativ lagring.
Hvordan finner jeg ut om SSBD er aktivert eller deaktivert?
For å kontrollere statusen til SSBD har Get-SpeculationControlSettings PowerShell-skriptet blitt oppdatert for å oppdage berørte prosessorer, status for SSBD-operativsystemoppdateringer og tilstanden til prosessormikrokoden, hvis det er aktuelt. Hvis du vil ha mer informasjon og få tak i PowerShell-skriptet, kan du se KB4074629.
Jeg har hørt om «Lazy FP State Restore» (CVE-2018-3665). Vil Microsoft utgi tiltak for det?
13. juni 2018 ble en ekstra sårbarhet som involverer spekulativ utførelse i sidekanalen, kjent som Lazy FP State Restore, annonsert og tildelt CVE-2018-3665 . Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se sikkerhetsveiledningen ADV180016 | Microsoft-veiledning for Lazy FP State Restore .
Vær oppmerksom på Det er ingen nødvendige konfigurasjonsinnstillinger (register) for Lazy Restore FP Restore.
Jeg har hørt at CVE-2018-3693 (Bounds Check Bypass Store) er relatert til Spectre. Vil Microsoft utgi tiltak for det?
Bounds Check Bypass Store (BCBS) ble publisert 10. juli 2018, og tilordnet CVE-2018-3693. Vi anser BCBS for å tilhøre samme klasse av sårbarheter som forbikobling av grensesjekk (utgave 1). Vi vet ikke om noen forekomster av BCBS i programvaren vår. Vi fortsetter imidlertid å undersøke denne sikkerhetsbelastningsklassen og vil samarbeide med bransjepartnere for å frigjøre tiltak etter behov. Vi oppfordrer forskere til å sende inn alle relevante funn til dusørprogrammet for Microsofts dusørprogram på spekulativ utførelsesside, inkludert alle forekomster av BCBS som kan utnyttes. Programvareutviklere bør se gjennom utviklerveiledningen som er oppdatert for BCBS på C++ Utviklerveiledning for spekulative kanaler på kjøringssiden
Jeg har hørt at L1 Terminal Fault (L1TF) ble avslørt. Hvor finner jeg mer informasjon om den og Windows-støtte for den?
14. august 2018 ble L1 Terminal Fault (L1TF) annonsert og tildelt flere CVE-er. Disse nye spekulative kanalsårbarhetene på kjøringssiden kan brukes til å lese innholdet i minnet på tvers av en klarert grense og kan, hvis de utnyttes, føre til avsløring av informasjon. Avhengig av det konfigurerte miljøet finnes flere vektorer som en angriper kan bruke til å utløse sårbarhetene. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og en detaljert oversikt over berørte scenarier, inkludert Microsofts tilnærming til å begrense L1TF, kan du se følgende ressurser:
Hvordan deaktivere Hyper-Threading for L1TF på enheten min?
Trinnene for å deaktivere Hyper-Threading varierer fra OEM til OEM, men er vanligvis en del av BIOS- eller fastvareoppsettet og konfigurasjonsverktøyene.
Hvor kan jeg få ARM64-fastvare som reduserer CVE-2017-5715 \| Branch target injection (Spectre Variant 2)?
Kunder som bruker 64-biters ARM-prosessorer, bør kontakte enhetsprodusenten for å få fastvarestøtte, fordi ARM64-operativsystembeskyttelse som reduserer CVE-2017-5715 | Branch target injection (Spectre, Variant 2) krever den nyeste fastvareoppdateringen fra enhetsOEM-er for å tre i kraft.
Hvor kan jeg finne informasjon om Intels avsløring av Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)
Hvis du vil ha mer informasjon, kan du se følgende sikkerhetsveiledninger
Hvor finner jeg den scenariobaserte veiledningen for å fastslå handlinger som er nødvendige for å redusere sårbarheter i forbindelse med mikroarkitektonisk datasampling?
Du finner ytterligere veiledning i Windows-veiledningen for å beskytte mot spekulative kanalsårbarheter på kjøringssiden
Hvordan deaktivere Hyper-Threading for MDS på enheten min?
Se veiledningen i Windows-veiledningen for å beskytte mot spekulative kanalsårbarheter på kjøringssiden
Hvor finner jeg veiledning for Azure?
Hvis du vil ha veiledning for Azure, kan du se denne artikkelen: Veiledning for å redusere spekulative kanalsårbarheter på kjøringssiden i Azure.
Hvor kan jeg finne ut mer om Retpoline-aktivering på Windows 10, versjon 1809?
Hvis du vil ha mer informasjon om Retpoline-aktivering, kan du se blogginnlegget vårt: Mitigating Spectre variant 2 with Retpoline on Windows .
Jeg har hørt at det er en variant av Spectre Variant 1 spekulativ utførelsessidekanalsårbarhet. Hvor kan jeg finne ut mer?
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se sikkerhetsveiledningen for Microsoft : CVE-2019-1125 | Sikkerhetsproblem med fremlegging av Windows-kjerneinformasjon.
Støtter CVE-2019-1125 \| Sikkerhetsproblem med fremlegging av kjerneinformasjon i Windows påvirker Microsofts skytjenester?
Vi vet ikke om noen forekomster av dette sikkerhetsproblemet med informasjonsavsløring som påvirker infrastrukturen i skytjenesten vår.
Hvis oppdateringer for CVE-2019-1125 \| Windows Kernel Information Disclosure Vulnerability ble utgitt 9. juli 2019, hvorfor ble detaljene publisert 6. august 2019?
Så snart vi ble oppmerksomme på dette problemet, jobbet vi raskt for å løse det og gi ut en oppdatering. Vi har stor tro på nære partnerskap med både forskere og industripartnere for å gjøre kundene sikrere, og publiserte ikke detaljer før tirsdag 6.
Hvor finner jeg den scenariobaserte veiledningen for å fastslå handlinger som er nødvendige for å redusere sikkerhetsproblemet knyttet til asynkrone avbrudd av transaksjoner i Intel Transactional Synchronization Extensions (Intel TSX)?
Du finner ytterligere veiledning i Windows-veiledningen for å beskytte mot spekulative kanalsårbarheter på kjøringssiden.
Må jeg deaktivere Hyper-Threading sikkerhetsproblemet tilknyttet asynkron avbrudd av transaksjoner i Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) på enheten min?
Du finner ytterligere veiledning i Windows-veiledningen for å beskytte mot spekulative kanalsårbarheter på kjøringssiden.
Er det mulig å deaktivere Intel Transactional Synchronization Extensions (Intel TSX)-funksjonen?
Ytterligere veiledning finnes i Veiledning for deaktivering av Intel Transactional Synchronization Extensions (Intel TSX)-funksjonen.
Kilder
Ansvarsfraskrivelse for tredjepartsinformasjon
Tredjepartsproduktene som beskrives i denne artikkelen, er utviklet av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, indirekte eller på andre måter, om ytelsen eller påliteligheten til disse produktene.
Vi tilbyr kontaktinformasjon om tredjeparter for å hjelpe deg å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til kontaktinformasjonen om tredjeparter.