Windows-klienten veiledning for IT-eksperter til å beskytte mot sikkerhetsproblemene for spekulativ kjøring av side-kanal

Sammendrag

Denne artikkelen vil oppdateres når mer informasjon blir tilgjengelig. Kontroller tilbake her regelmessig for oppdateringer og nye vanlige spørsmål.

Microsoft er oppmerksom på en ny offentliggjort klasse av sikkerhetsproblemene som kalles "spekulativ angrep kjøring av side-kanal" som påvirker mange moderne prosessorer og operativsystemer, inkludert Intel, AMD og ARM.

Obs!  Dette problemet påvirker også andre operativsystemer, Android, krom, iOS og Mac OS. Derfor opplyse vi å søke råd fra disse leverandørene.

Microsoft har gitt ut flere oppdateringer for å redusere disse sikkerhetsproblemene. Vi har også tatt handlingen til å sikre tjenestene våre sky. Se følgende deler for mer informasjon.

Microsoft har ennå ikke mottatt informasjon som tydet på at disse sikkerhetsproblemene er brukt til å angripe kunder. Microsoft samarbeider tett med bransjepartnere inkludert brikke beslutningstakere i forretningslivet, maskinvare OEMer og app leverandører for å beskytte kundene. Hvis du vil hente alle tilgjengelige beskyttelse, er maskinvare/fastvare- og programvareoppdateringene nødvendige. Dette inkluderer mikrokode fra enheten OEMer og i noen tilfeller oppdaterer antivirus programvare også.

Avsnittene nedenfor vil hjelpe deg med å identifisere og redusere klienten miljøer som berøres av sikkerhetsproblemene som er identifisert i Microsoft Security Advisory ADV180002.

Windows Update gir også Internet Explorer og Edge begrensninger. Vi fortsetter å forbedre disse løsningene mot sikkerhetsproblemer i denne klassen.

Anbefalte handlinger

Kunder må ta følgende forholdsregler for å beskytte mot sikkerhetsproblemene:

  1. Kontroller at du kjører et antivirusprogram som støttes, før du installerer operativsystemet eller fastvareoppdateringer. Kontakt leverandøren av antivirusprogrammet informasjon om kompatibilitet.

  2. Bruke alle tilgjengelige Windows operativsystem oppdateringer, inkludert de månedlige sikkerhetsoppdateringene for Windows.

  3. Bruk den aktuelle fastvareoppdatering som leveres av produsenten av enheten.

Windows-baserte datamaskiner (fysisk eller virtuell) bør installere Microsofts sikkerhetsoppdateringer som ble utgitt januar – februar 2018. Se Microsoft Security Advisory ADV180002 oppdateringer for følgende versjoner av Windows.

Versjonen av operativsystemet

Windows-10 (RTM, 1511, 1607, 1703 og 1709) for x64 og x86-baserte systemer

Windows 8.1

Windows 7 SP1

Advarsel

Kunder bør installere alle monthy 2018 Windows-sikkerhetsoppdateringer for å motta fordelen med alle kjente beskyttelse mot sikkerhetsproblemene. I tillegg installerer disse sikkerhetsoppdateringene, en prosessor mikrokode eller fastvare, oppdateringen er nødvendig. Dette bør være tilgjengelig via OEM enhetens produsent.

Obs!  SURFACE kunder får en mikrokodeoppdateringen via Windows update. For en liste over tilgjengelige overflaten enheten i oppdateringer til fastvaren, kan du se KB 4073065.

 

Slik får du den månedlige oppdateringen for Windows-sikkerhet for Windows Update og Windows Update for bedrifter med gruppen eller MDM policy-konfigurasjoner som er satt til å deaktivere forhåndsvisning-versjoner

(Legg merke til dette gjelder ikke for WSUS brukere.)

Hvis du har deaktivert preview-versjoner, organisasjonens enheter ikke kan motta sikkerhetsoppdateringene for Windows for januar 2018. Følgende gruppe eller MDM konfigurasjoner policyinnstillingene Deaktiver forhåndsvisning versjoner og tillater ikke at sikkerhetsoppdateringene for Windows. De må endres for å gjøre dette. Hvis du vil kontrollere at du ikke kan motta oppdateringen, kan du søke etter tilgjengelige oppdateringer.

Gruppe/MDM-konfigurasjon

Innstillingen

Beskrivelse

System/AllowBuildPreview

0

Ikke tillatt

"Aktiver/deaktiver kontroll over Insider bygger"

Aktivert

Update/ManagePreviewBuilds

0 eller 1

Deaktiver forhåndsvisning versjoner - eller - deaktiver forhåndsvisning versjoner når neste utgivelse er offentlige

"Administrer forhåndsvisning bygginger"

Deaktiver forhåndsvisning versjoner - eller - deaktiver forhåndsvisning versjoner når neste utgivelse er offentlige

 

Hvis du vil tillate enheter å motta sikkerhetsoppdateringer for Windows, må du endre gruppe eller MDM-policyer til følgende "Ikke konfigurert" innstillinger:

Gruppe/MDM-konfigurasjon

Innstillingen

Beskrivelse

System/AllowBuildPreview

2

Ikke konfigurert

"Aktiver/deaktiver kontroll over Insider bygger"

Ikke konfigurert

Update/ManagePreviewBuilds

3

Ikke konfigurert

"Administrer forhåndsvisning bygginger"

Ikke konfigurert

 

Når enheter har mottatt månedlige sikkerhetsoppdateringene for Windows, kan policyinnstillingene for konfigurasjonen endres tilbake til sin tidligere tilstand (bygger deaktivering forhåndsvisning).


Verifiserer at beskyttelse er aktivert

Microsoft har publisert en PowerShell skript som kundene kan kjøre på sine systemer for å hjelpe kundene med å kontrollere at beskyttelse er aktivert. JegInstaller og Kjør skriptet ved å kjøre følgende kommandoer.

Obs!  Følgende bekreftelse gjelder bare for Windows-klienten og ikke Azure forekomster. For ytterligere cloud veiledning, se Azure blogg.

PowerShell-kontroll ved hjelp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installere PowerShell-modulen

PS> Install-Module SpeculationControl

Kjør PowerShell-modulen til å validere beskyttelsene er aktivert

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

PowerShell-kontroll ved hjelp av en nedlasting fra Technet (tidligere operativsystemversjoner og tidligere WMF-versjoner)

Installere PowerShell-modulen fra ScriptCenter på Technet.

Gå til https://aka.ms/SpeculationControlPS

Last ned SpeculationControl.zip til en lokal mappe.

Pakke ut innholdet til en lokal mappe, for eksempel C:\ADV180002

Kjør PowerShell-modulen til å validere beskyttelsene er aktivert

Start PowerShell, og deretter (bruker eksemplet ovenfor) kopiere og kjører du følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Utdataene fra denne PowerShell-skriptet vil ligne på følgende. Aktiverte beskyttelse vises i utdataene som "True".

PS C:\> Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True

Windows OS support for kernel VA shadow is present: True

Windows OS support for kernel VA shadow is enabled: True

Windows OS support for PCID optimization is enabled: True

Bryteren | Registerinnstillinger

Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. Ta sikkerhetskopi av registret før du endrer det, for sikkerhets skyld. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

322756 hvordan du sikkerhetskopierer og gjenoppretter registret i Windows


Obs! Denne oppdateringen er aktivert som standard. Det kreves ingen kunde-handling for å aktivere hurtigreparasjonene. Vi har følgende registerinformasjon for fullstendighet som kunder vil deaktivere sikkerhetsfeilrettingene som er knyttet til CVE-2017-5715 og CVE-2017 5754 for Windows-klienter.

Aktivere hurtigreparasjonen *

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen for at endringene skal tre i kraft.

Å deaktivere feilrettingen *

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen for at endringene skal tre i kraft.

(Du har ikke til å endre MinVmVersionForCpuBasedMitigations.)


Merk verdien til 3 er nøyaktig for både "Aktiver" og "Deaktiver" på grunn av maskering.

Deaktiver skadereduksjon mot Spectre Variant 2

Mens Intel tester, oppdaterer og distribuerer ny mikrokode, tilbyr vi et nytt alternativ for avanserte brukere på utsatt enheter til å deaktivere og aktivere skadereduksjon mot Spectre Variant 2 (CVE-2017-5715) uavhengig av hverandre gjennom innstillingen endringer i registret manuelt.

Hvis du har installert mikrokode, men du vil deaktivere CVE-2017-5715 - grenen mål injeksjon reduksjonen på grunn av uventede omstarter eller stabilitetsproblemer på systemet, kan du bruke fremgangsmåten nedenfor.

Slik deaktiverer du Variant 2: 2017 CVE-5715 "Grenen mål injeksjon":

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Slik aktiverer du Variant 2: 2017 CVE-5715 "Grenen mål injeksjon":

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Obs! Deaktivering og aktivere Variant 2 til innstillingen registerendringer krever administrative rettigheter og omstart.

Aktivere bruken av indirekte gren forutsigelse barriere (IBPB) for Spectre Variant 2 for AMD-prosessorer (CPUer)

Gjelder: Windows 10 versjon 1607 og 10 for Windows versjon 1709

Noen AMD-prosessorer (CPUer) tilbyr en funksjon for indirekte gren utformet for å redusere indirekte gren mål innsettinger gjennom en mekanisme for indirekte gren forutsigelse barriere (IBPB). (Hvis du vil ha mer informasjon, se AMD arkitektur retningslinjer rundt kontrollen indirekte gren og AMD-sikkerhetsoppdateringer ).

Bruk fremgangsmåten nedenfor til å kontrollere bruken av IBPB når du bytter fra brukerkontekst til kjernen kontekst:

Slik aktiverer du bruken av indirekte gren forutsigelse barriere (IBPB) når du bytter fra brukerkontekst kjernen kontekst:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Obs! Aktivere bruken av Indirekte gren forutsigelse barriere (IBPB) via registret endringer krever administrative rettigheter og omstart.

Ofte stilte spørsmål

Q1: Hvordan vet jeg om jeg har riktig versjon av CPU-mikrokode?

A1: Mikrokode leveres gjennom en fastvareoppdatering. Kunder bør kontakte sin CPU (brikkesett) og enhetsprodusenter på tilgjengelighet av sikkerhetsoppdateringer for gjeldende fastvare for sin enhet, inkludert Intels Mikrokode revisjon veiledning.

Q2: Operativsystemet mitt er ikke oppført. Når kan jeg forvente en reparasjon som utgis?

A2: Adressering en maskinvare-sikkerhetsproblemet gjennom en programvareoppdatering er en stor utfordring, og begrensninger for eldre operativsystemer krever omfattende arkitektoniske endringer. Vi arbeider med berørte chip-produsenter til å bestemme den beste måten å gi begrensninger som kan leveres i fremtidige oppdateringer.

Q3: Hvor kan jeg finne overflaten fastvare- eller oppdateringer?

A3: Oppdateringer for Microsoft Surface enheter vil bli levert til kunder via Windows Update og oppdateringer for Windows-operativsystemet. For en liste over tilgjengelige overflaten enheten i oppdateringer til fastvaren, kan du se 4073065 KB.

Hvis enheten ikke er fra Microsoft, kan du bruke fastvare fra enhetsprodusenten. Kontakt produsenten av OEM-enheten for mer informasjon.

Spm. 4: jeg har en x86-arkitekturen, men ikke ser oppdateringen som tilbys. Vil jeg få en?

A4: I februar og mars 2018 lagt Microsoft utgitt beskyttelse for noen x86-baserte systemer. Se KB4073757 for mer informasjon og Microsoft Security Advisory råd 180002.

SPØRSMÅL 5. Intel har identifisert omstart problemer med mikrokode på noen eldre prosessorer. Hva bør jeg gjøre?

A5. Intel har rapportert problemer med nylig utgitte mikrokode ment å løse Spectre variant 2 (CVE-2017 5715 gren mål injeksjon). Spesielt, Intel bemerket denne mikrokode kan føre til at "høyere enn forventet omstarter og andre uforutsette systemvirkemåte", og deretter oppmerksom på at situasjoner som dette kan resultere i "datatap eller ødelagte data". Vår egen erfaring er at systemet blir ustabilt kan i enkelte tilfeller føre til datatap eller ødelagte data. På 22. januar, Intel anbefales som kunder stoppe distribusjon av den gjeldende versjonen av mikrokode på utsatt prosessorer mens de utfører ytterligere testing på oppdaterte løsningen. Vi forstår at Intel fortsetter å undersøke den potensielle innvirkningen av den gjeldende versjonen av mikrokode og oppmuntre kunder til å se gjennom sine retningslinjer for fortløpende å informere sine beslutninger.

Mens Intel tester, oppdaterer og distribuerer ny mikrokode, har vi gjort tilgjengelig en ut av bånd oppdateringen, KB4078130, som deaktiverer spesielt bare skadereduksjon mot CVE-2017-5715 – "Grenen mål injection vulnerability." I våre tester, har denne oppdateringen oppdaget at virkemåten som er beskrevet. For en fullstendig liste over enheter, se Intels mikrokode revisjon veiledning. Denne oppdateringen omfatter Windows 7 (SP1), Windows 8.1 og alle versjoner av Windows-10 for klient og server. Hvis du kjører en utsatt-enhet, kan denne oppdateringen installeres ved å laste den ned fra webområdetfor Microsoft Update-katalogen. Bruk av denne nyttelast deaktiverer spesifikt bare skadereduksjon mot CVE-2017-5715 – "Grenen mål injection vulnerability."

Fra og med denne oppdateringen er det ingen kjente rapporter for å angi at denne Spectre varianten 2 (CVE-2017-5715) er brukt til å angripe kunder. Vi anbefaler at Windows-kunder, om nødvendig, reaktivere skadereduksjon mot CVE-2017-5715 når Intel rapporter at dette uforutsigbare systemet har blitt løst for enheten.

Q6. Hvor kan jeg finne Microsoft HoloLens operativsystem og fastvareoppdateringer?

A6. Oppdateringer til Windows-10 for HoloLens er tilgjengelige for HoloLens kunder via Windows Update.

Etter å ha brukt februar 2018 Windows Security Update, har HoloLens kunder ikke å gjøre noe mer for å oppdatere fastvaren for enheten. Disse løsningene vil også inkluderes i alle fremtidige versjoner av Windows 10 HoloLens.

Q7. Jeg ikke har installert noen av 2018 sikkerhet bare oppdateringer. Hvis jeg installerer de nyeste 2018 sikkerhet bare oppdateringene, vil jeg være beskyttet mot sikkerhetsproblemene beskrevet?

A7. Nr. Bare sikkerhetsoppdateringer er ikke kumulative. Avhengig av versjonen av operativsystemet du kjører, må du installere hver måned oppdaterer sikkerhet bare for å være beskyttet mot sikkerhetsproblemene. For eksempel, hvis du kjører Windows 7 for 32-biters systemer på en berørt Intel CPU må du installere alle oppdateringene bare sikkerhet. Vi anbefaler at du installerer oppdateringene bare sikkerhet utgivelsesrekkefølgen.

Obs! : En tidligere versjon av disse vanlige Spørsmålene feilaktig angav at oppdateringen bare februar sikkerhet med sikkerhetsoppdateringene som ble utgitt i januar .

SPØRSMÅL 8. Hvis jeg bruker noen av de aktuelle sikkerhetsoppdateringene for februar, de deaktiverer beskyttelse for CVE-2017-5715 som sikkerhetsoppdateringen 4078130 gjorde?

A8. Nr. Sikkerhetsoppdatering 4078130 er en reparasjonsfil for å hindre at systemet uforutsigbar atferd, ytelsesproblemer og/eller uventede omstarter etter installasjonen av mikrokode. Bruk av sikkerhetsoppdateringene fra februar på Windows-klientoperativsystemer gjør at alle tre begrensninger.

Q9. Jeg har hørt Intel har gitt ut oppdateringer av mikrokode. Hvor kan jeg finne dem?

A9. Intel nylig annonsert de har fullført sin valideringer og startet å frigi mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelig Intel godkjent mikrokode oppdateringer rundt Spectre Variant 2 [2017 CVE-5715 ("grenen mål injeksjon")]. KB4093836 og og KB4100347 liste over spesifikke Knowledge Base-artikler av Windows-versjonen. Hver bestemte KB inneholder de tilgjengelige oppdateringene for Intel mikrokode ved CPU.

SPØRSMÅL 10. Kjent problem: Enkelte brukere kan oppleve problemer med nettverkstilkoblingen eller miste innstillingene for IP-adresse når du har installert i mars 13, 2018 sikkerhetsoppdatering. (KB 4088875)

A10. Dette problemet er løst i KB4093118.

Q11. Jeg har hørt AMD har gitt ut oppdateringer av mikrokode. Hvor kan jeg søke etter og installere disse oppdateringene for systemet mitt?

A11. AMD nylig annonsert de har begynt å frigi mikrokode for nyere CPU-plattformer rundt Spectre Variant 2 [2017 CVE-5715 ("grenen mål injeksjon")]. For mer informasjon kan du se de AMD sikkerhetsoppdateringer og AMD tekniske beskrivelsen: arkitektur retningslinjer rundt indirekte gren kontrollen. Disse er tilgjengelige fra OEM-fastvare-kanal. 

Q13. Jeg kjører Windows 10 April 2018 oppdatere (versjon 1803). Er det Intel mikrokode tilgjengelig for enheten min? Hvor kan jeg finne det?

A13. Microsoft gjør tilgjengelig Intel godkjent mikrokode oppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "gren mål injeksjon""). For å få de siste oppdateringene for Intel mikrokode via Windows Update, kunder må ha installert Intel mikrokode på enheter som kjører et operativsystem som Windows 10 før du oppgraderer til Windows 10 April 2018 oppdateringen (versjon 1803).

Mikrokodeoppdateringen er også tilgjengelige direkte fra katalogen Hvis det ikke er installert på enheten før du oppgraderer Operativsystemet. Intel mikrokode er tilgjengelig via Windows Update, WSUS eller Microsoft Update-katalogen. For mer informasjon og instruksjoner, kan du se KB4100347.

Q14. Hvor finner jeg informasjon om den nye spekulativ kjøring av side-channel sikkerhetsproblemer (spekulativ butikken Bypass - CVE-2018-3639 og søk System registrere Les - CVE-2018-3640)?

A14. For mer informasjon, kan du se følgende ressurser:

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×