Anbefalte handlinger

Kunder bør utføre følgende handlinger for å beskytte seg mot sikkerhetsproblemene:

  1. Bruk alle tilgjengelige Windows operativsystemoppdateringer, inkludert de månedlige Windows sikkerhetsoppdateringene.

  2. Bruk den gjeldende fastvareoppdateringen (mikrokode) som leveres av enhetsprodusenten.

  3. Evaluer risikoen for miljøet basert på informasjonen som gis i Microsofts sikkerhetsveiledninger: ADV180002,ADV180012,ADV190013og informasjonen i denne Kunnskapsbase-artikkelen.

  4. Gjør noe etter behov ved hjelp av veiledningene og registernøkkelinformasjonen som er angitt i denne Knowledge Base-artikkelen.

Obs! Surface-kunder mottar en mikrokodeoppdatering gjennom Windows oppdatering. Hvis du vil ha en liste over de nyeste oppdateringene for Surface-enhetens fastvare (mikrokode), kan du se KB 4073065.

Begrensende Innstillinger for Windows Server

Sikkerhetsveiledninger ADV180002,ADV180012og ADV190013 gir informasjon om risikoen som utgjøres av disse sikkerhetsproblemene.  De hjelper deg også med å identifisere disse sikkerhetsproblemene og identifisere standardtilstanden for Windows Server-systemer. Tabellen nedenfor oppsummerer kravet om CPU-mikrokode og standardstatusen for begrensningene på Windows Server.

CVE

Krever CPU-mikrokode/fastvare?

Begrensning Standardstatus

CVE-2017-5753

Nei

Aktivert som standard (ingen alternativ for å deaktivere)

Se ADV180002 for mer informasjon

CVE-2017-5715

Ja

Deaktivert som standard.

Se ADV180002 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

Obs! Retpoline er aktivert som standard for enheter som kjører Windows 10 1809 eller nyere hvis Spectre Variant 2 ( CVE-2017-5715 ) er aktivert. Hvis du vil ha mer informasjon, kan du følge Begrensende Spectre variant 2 med Retpoline på Windows blogginnlegg.

CVE-2017-5754

Nei

Windows Server 2019, Windows Server 2022: Aktivert som standard.
Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV180002 for mer informasjon.

CVE-2018-3639

Intel: Ja

AMD: Nei

Deaktivert som standard. Se ADV180012 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-11091

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard.
Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-12126

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard.
Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-12127

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard.
Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-12130

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard.
Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2019-11135

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard.
Windows Server 2016 og tidligere: Deaktivert som standard.

Se CVE-2019-11135 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

Kunder som ønsker å få all tilgjengelig beskyttelse mot disse sikkerhetsproblemene, må gjøre endringer i registernøkkelen for å aktivere disse begrensningene som er deaktivert som standard.

Aktivering av disse begrensningene kan påvirke ytelsen. Omfanget av ytelseseffektene avhenger av flere faktorer, for eksempel det bestemte brikkesettet i den fysiske verten og arbeidsbelastningene som kjører. Vi anbefaler at kunder vurderer ytelseseffektene for miljøet og foretar nødvendige justeringer.

Serveren er utsatt for økt risiko hvis den er i en av følgende kategorier:

  • Hyper-V-verter – Krever beskyttelse for VM-til-VM- og VM-til-vert-angrep.

  • RDSH (Remote Desktop Services Hosts) – Krever beskyttelse fra én økt til en annen økt eller fra økt-til-vert-angrep.

  • Fysiske verter eller virtuelle maskiner som kjører ikke-klarert kode,for eksempel beholdere eller ikke-klarerte utvidelser for databaser, uklarert nettinnhold eller arbeidsbelastninger som kjører kode som er fra eksterne kilder. Disse krever beskyttelse mot uklarerte prosess-til-annen-prosess- eller ikke-klarerte prosess-til-kjerne-angrep.

Bruk følgende innstillinger for registernøkkel til å aktivere begrensningene på serveren, og start systemet på nytt for at endringene skal tre i kraft.

Obs! Aktivering av begrensninger som er deaktivert som standard, kan påvirke ytelsen. Den faktiske ytelseseffekten avhenger av flere faktorer, for eksempel det bestemte brikkesettet i enheten og arbeidsbelastningene som kjører.

Registerinnstillinger

Vi gir følgende registerinformasjon for å aktivere begrensninger som ikke er aktivert som standard, som dokumentert i Sikkerhetsveiledninger ADV180002,ADV180012og ADV190013.

I tillegg tilbyr vi registernøkkelinnstillinger for brukere som vil deaktivere begrensningene som er relatert til CVE-2017-5715 og CVE-2017-5754 for Windows klienter.

Viktig Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåten nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

322756 Slik kan du sikkerhetskopiere og gjenopprette registeret i Windows

Administrer reduksjoner for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

Viktig merknad Retpoline er aktivert som standard på Windows 10, versjon 1809 servere hvis Spectre, Variant 2 ( CVE-2017-5715 ) er aktivert. Aktivering av Retpoline på den nyeste versjonen av Windows 10 kan forbedre ytelsen på servere som kjører Windows 10, versjon 1809 for Spectre variant 2, spesielt på eldre prosessorer.

Slik aktiverer du reduksjoner for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Slå av alle virtuelle maskiner fullstendig. Dette gjør at den fastvarerelaterte reduksjonen kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også virtuelle maskiner når de startes på nytt.

Start datamaskinen på nytt for at endringene skal tre i kraft.

Slik deaktiverer du begrensende tiltak for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen på nytt for at endringene skal tre i kraft.


Obs! Hvis du angir FeatureSettingsOverrideMask til 3, er det nøyaktig for både aktiverings- og deaktiveringsinnstillingene. (Se delenVanlige spørsmål for mer informasjon om registernøkler.)

Administrer reduksjonen for CVE-2017-5715 (Spectre Variant 2)

Slik deaktiverer du variant 2: (begrensning av begrensning av grenmålinjeksjon i 2017-2017-5715:   

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen på nytt for at endringene skal tre i kraft.

Slik aktiverer du variant 2: (begrensning av grenmålinjeksjon for 2017-2017-5715:   

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen på nytt for at endringene skal tre i kraft.

Bare AMD-prosessorer: Aktiver den fullstendige reduksjonen for NEDSATT-2017-5715 (Spectre Variant 2)

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD-cpu-er. Kunder må aktivere reduksjonen for å få ekstra beskyttelse for Å BESKYTTES-2017-5715.  Hvis du vil ha mer informasjon, kan du se Vanlige spørsmål #15 i ADV180002.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med annen beskyttelse for CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Slå av alle virtuelle maskiner fullstendig. Dette gjør at den fastvarerelaterte reduksjonen kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også virtuelle maskiner når de startes på nytt.

Start datamaskinen på nytt for at endringene skal tre i kraft.

Administrer reduksjoner for CVE-2018-3639 (spekulativ Store Bypass), CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

Slik aktiverer du begrensende tiltak for CVE-2018-3639 (spekulativ Store Bypass), CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Slå av alle virtuelle maskiner fullstendig. Dette gjør at den fastvarerelaterte reduksjonen kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også virtuelle maskiner når de startes på nytt.

Start datamaskinen på nytt for at endringene skal tre i kraft.

Slik deaktiverer du reduksjoner for NEDLASTNING-2018-3639 (spekulativ Store-omgåelse) OG reduksjoner for NEDLASTNING-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen på nytt for at endringene skal tre i kraft.

Bare AMD-prosessorer: Aktiver den fullstendige reduksjonen for CVE-2017-5715 (Spectre Variant 2) og CVE 2018-3639 (spekulativ Store Bypass)

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD-prosessorer. Kunder må aktivere reduksjonen for å få ekstra beskyttelse for Å BESKYTTES-2017-5715.  Hvis du vil ha mer informasjon, kan du se Vanlige spørsmål #15 i ADV180002.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med andre beskyttelser for CVE 2017-5715 og beskyttelse for CVE-2018-3639 (spekulativ Store bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Slå av alle virtuelle maskiner fullstendig. Dette gjør at den fastvarerelaterte reduksjonen kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også virtuelle maskiner når de startes på nytt.

Start datamaskinen på nytt for at endringene skal tre i kraft.

Behandle sikkerhetsproblemet i Intel® Transactional Synchronization Extensions (Intel® TSX) ved transaksjonsasynkron avbrudd (CVE-2019-11135) og mikroarkitekturdatasampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) sammen med Spectre [ CVE-2017-5753 & CVE-2017-5715 ] og Meltdown [ CVE-2017-5754 ] varianter, inkludert Spekulativ Store Bypass Disable (SSBD) [ CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646 ]

Aktivere begrensninger for sikkerhetsproblemet i Intel® Transactional Synchronization Extensions (Intel® TSX) transaction aynchronous Abort (CVE-2019-11135)og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12127 , CVE-2018-12130) sammen medSpectre [CVE-2017-5753 & CVE-2017-5715] og Meltdown [CVE-2017-5754] varianter, inkludert Spekulativ Store Bypass Disable (SSBD) [CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646] uten å deaktivere Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Slå av alle virtuelle maskiner fullstendig. Dette gjør at den fastvarerelaterte reduksjonen kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også virtuelle maskiner når de startes på nytt.

Start datamaskinen på nytt for at endringene skal tre i kraft.

Aktivere begrensninger for sikkerhetsproblemet i Intel® Transactional Synchronization Extensions (Intel® TSX) transaction aynchronous Abort (CVE-2019-11135)og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12127 , CVE-2018-12130) sammen medSpectre [ CVE-2017-5753 & CVE-2017-5715 ] og Meltdown [ CVE-2017-5754 ] varianter, inkludert Spekulative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646 ] med Hyper-Threading deaktivert:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Slå av alle virtuelle maskiner fullstendig. Dette gjør at den fastvarerelaterte reduksjonen kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også virtuelle maskiner når de startes på nytt.

Start datamaskinen på nytt for at endringene skal tre i kraft.

Deaktivere begrensninger for sikkerhetsproblemet i Intel® Transactional Synchronization Extensions (Intel® TSX) transaction aynchronous Abort (CVE-2019-11135)og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12127 , CVE-2018-12130) sammen medSpectre [ CVE-2017-5753 & CVE-2017-5715 ] og Meltdown [ CVE-2017-5754 ] varianter, inkludert Spekulative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start datamaskinen på nytt for at endringene skal tre i kraft.

Kontrollere at beskyttelse er aktivert

For å hjelpe kunder med å bekrefte at beskyttelse er aktivert, har Microsoft publisert et PowerShell-skript som kunder kan kjøre på systemene sine. Installer og kjør skriptet ved å kjøre følgende kommandoer.

PowerShell-bekreftelse ved hjelp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installer PowerShell-modulen:

PS> Install-Module SpeculationControl

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-bekreftelse ved hjelp av en nedlasting fra Technet (tidligere operativsystemversjoner og tidligere WMF-versjoner)

Installer PowerShell-modulen fra Technet ScriptCenter:

  1. Gå til https://aka.ms/SpeculationControlPS .

  2. Last SpeculationControl.zip til en lokal mappe.

  3. Pakk ut innholdet i en lokal mappe. Eksempel: C:\ADV180002

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

Start PowerShell, og bruk deretter det forrige eksemplet til å kopiere og kjøre følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Hvis du vil ha en detaljert forklaring av utdataene for PowerShell-skriptet, kan du se Knowledge Base-4074629

Vanlige spørsmål

Sikkerhetsoppdateringene som ble utgitt i januar Windows og februar 2018, ble ikke tilbudt til alle kunder for å unngå negativ innvirkning på kundeenheter. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-4072699 .

Mikrokoden leveres via en fastvareoppdatering. Ta kontakt med OEMen om fastvareversjonen som har riktig oppdatering for datamaskinen.

Det finnes flere variabler som påvirker ytelsen, alt fra systemversjonen til arbeidsbelastningene som kjører. For enkelte systemer vil ytelseseffekten være ubetydelig. For andre vil det være betydelig.

Vi anbefaler at du vurderer ytelseseffektene på systemene og foretar justeringer etter behov.

I tillegg til veiledningen som er i denne artikkelen om virtuelle maskiner, bør du kontakte tjenesteleverandøren for å sikre at vertene som kjører de virtuelle maskinene, er tilstrekkelig beskyttet.

Hvis Windows server virtuelle maskiner som kjører i Azure, kan du se Veiledning for å begrense spekulativ kjøring av sikkerhetsproblemer i sidekanaler i Azure. Hvis du vil ha veiledning om hvordan du bruker Azure Update Management til å redusere dette problemet på gjeste-VIRTUELLE-er, kan du se Microsoft Knowledge Base-4077467 .

Oppdateringene som ble utgitt for Windows Server-beholderbilder for Windows Server 2016 og Windows 10, versjon 1709, omfatter begrensningene for dette settet med sikkerhetsproblemer. Ingen ekstra konfigurasjon er nødvendig.

Obs! Du må fortsatt kontrollere at verten som disse beholderne kjører på, er konfigurert til å aktivere de aktuelle begrensningene.

Nei, installasjonsordren spiller ingen rolle.

Ja, du må starte på nytt etter at fastvaren (mikrokode) oppdateres, og deretter på nytt etter systemoppdateringen.

Her er detaljene for registernøklene:

FeatureSettingsOverride representerer et punktgrafikkbilde som overstyrer standardinnstillingen og styrer hvilke begrensninger som skal deaktiveres. Bit 0 styrer reduksjonen som tilsvarer CVE-2017-5715. Bit 1 styrer reduksjonen som tilsvarer CVE-2017-5754. Bitene er satt til 0 for å aktivere reduksjonen og til 1 for å deaktivere reduksjonen.

FeatureSettingsOverrideMask representerer en punktgrafikkmaske som brukes sammen med FeatureSettingsOverride.  I denne situasjonen bruker vi verdien 3 (representert som 11 i det binære tall- eller grunntallsystemet) til å angi de to første bitene som samsvarer med de tilgjengelige reduksjonene. Denne registernøkkelen er satt til 3 for å aktivere eller deaktivere begrensningene.

MinVmVersionForCpuBasedMitigations er for Hyper-V-verter. Denne registernøkkelen definerer den minste VM-versjonen som kreves for at du skal kunne bruke de oppdaterte fastvarefunksjonene (CVE-2017-5715). Sett denne til 1.0 for å dekke alle VM-versjoner. Legg merke til at denne registerverdien ignoreres (godartet) for verter som ikke er Hyper-V-verter. Hvis du vil ha mer informasjon, kan du se Beskytte virtuelle gjestemaskiner fra CVE-2017-5715 (grenmålinjeksjon).

Ja, det finnes ingen bivirkninger hvis disse registerinnstillingene brukes før du installerer de tilknyttede løsningene for januar 2018.

Se en detaljert beskrivelse av skriptutdataene på Forstå Get-SpeculationControlSettings PowerShell-skriptutdata .

Ja, for Windows Server 2016 Hyper-V-verter som ennå ikke har fastvareoppdateringen tilgjengelig, har vi publisert alternativ veiledning som kan bidra til å redusere VM til VM eller VM for å være vert for angrep. Se Alternative beskyttelser for Windows Server 2016 Hyper-V-verter mot spekulativ kjøring av sidekanalssårbarheter .

Bare sikkerhetsoppdateringer er ikke kumulative. Avhengig av operativsystemversjonen må du kanskje installere flere sikkerhetsoppdateringer for full beskyttelse. Generelt må kundene installere oppdateringene for januar, februar, mars og april 2018. Systemer som har AMD-prosessorer, trenger en ekstra oppdatering som vist i tabellen nedenfor:

Operativsystemversjon

Sikkerhetsoppdatering

Windows 8.1, Windows Server 2012 R2

4338815 – Månedlig beregnet verdi

4338824 – bare sikkerhet

Windows 7 SP1, Windows Server 2008 R2 SP1 eller Windows Server 2008 R2 SP1 (Server Core-installasjon)

4284826 – Månedlig beregnet verdi

4284867 – bare sikkerhet

Windows Server 2008 SP2

4340583 – sikkerhetsoppdatering

Vi anbefaler at du installerer bare sikkerhetsoppdateringene i utgivelsesrekkefølgen.

Obs!   En tidligere versjon av disse vanlige spørsmålene har feilaktig angitt at oppdateringen bare for sikkerhet for februar inkluderte sikkerhetsoppdateringene som ble utgitt i januar. Det gjør det faktisk ikke.

Nei. KB-4078130 sikkerhetsoppdatering var en spesifikk løsning for å hindre uforutsigbar systematferd, ytelsesproblemer og uventede omstarter etter installasjonen av mikrokode. Hvis du bruker sikkerhetsoppdateringene Windows klientoperativsystemet, aktiveres alle de tre begrensningene. På Windows Server-operativsystemer må du fortsatt aktivere begrensningene etter at du har utført riktig testing. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-4072698 .

Dette problemet ble løst i KB 4093118 .

I februar 2018 kunngjorde Intel at de hadde fullført valideringene og begynte å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer som gjelder Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – «Branch Target Injection»). KB 4093836 lister opp bestemte Kunnskapsbase-artikler etter Windows versjon. Hver bestemt KB-artikkel inneholder de tilgjengelige Intel-mikrokodeoppdateringene etter CPU.

11. januar 2018Intel rapporterte problemer i nylig utgitt mikrokode som var ment å håndtere Spectre variant 2 (CVE-2017-5715 – «Branch Target Injection»). Intel røpet spesielt at denne mikrokoden kan føre til «høyere enn forventet omstarter og annenuforutsigbar systematferd», og at disse scenariene kan føre til tap eller korrupsjon avdata. « Vår opplevelse er at ustabilitet i systemet kan føre til tap av data eller korrupsjon i enkelte tilfeller. 22. januar anbefalte Intel at kunder slutter å distribuere den gjeldende mikrokodeversjonen på berørte prosessorer, mens Intel utfører ytterligere testing på den oppdaterte løsningen. Vi forstår at Intel fortsetter å undersøke den potensielle effekten av den gjeldende mikrokodeversjonen. Vi oppfordrer kunder til å se gjennom veiledningen deres kontinuerlig for å informere om avgjørelsene deres.

Mens Intel tester, oppdaterer og distribuerer ny mikrokode, gjør vi tilgjengelig en OOB-oppdatering (out-of-band), KB 4078130 , som spesifikt deaktiverer bare reduksjonen mot CVE-2017-5715. I testingen vår har denne oppdateringen blitt funnet for å hindre den beskrevne virkemåten. Hvis du vil se den fullstendige listen over enheter, kan du se veiledningen for mikrokodeendringer fra Intel. Denne oppdateringen dekker Windows 7 Service Pack 1 (SP1), Windows 8.1 og alle versjoner av Windows 10, både klient og server. Hvis du kjører en berørt enhet, kan denne oppdateringen brukes ved å laste den ned fra nettstedet for Microsoft Update-katalogen. Bruk av denne nyttelasten deaktiverer spesielt bare reduksjonen mot CVE-2017-5715.

På dette tidspunktet finnes det ingen kjente rapporter som indikerer at denne Spectre Variant 2 (CVE-2017-5715 – «Branch Target Injection») har blitt brukt til å angripe kunder. Vi anbefaler at brukerne, når det er aktuelt, Windows redusere reduksjonen mot CVE-2017-5715 når Intel rapporterer at denne uforutsigbare systematferden er løst for enheten.

I februar 2018 kunngjordeIntel at de har fullført valideringene sine og begynt å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer som er relatert til Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – «Branch Target Injection»). KB 4093836 lister opp bestemte Kunnskapsbase-artikler etter Windows versjon. KBs-listen som er tilgjengelige for Intel-mikrokodeoppdateringer etter CPU.

Hvis du vil ha mer informasjon, kan du se AMD-sikkerhetsoppdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Disse er tilgjengelige fra OEM-fastvarekanalen.

Vi gjør tilgjengelige Intel-validerte mikrokodeoppdateringer som gjelder Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Kunder må ha installert Intel-mikrokode på enheter som kjører et Windows 10-operativsystem før de oppgraderer til Windows 10 april 2018-oppdateringen (versjon 1803) for å få de nyeste Intel-mikrokodeoppdateringene gjennom Windows-oppdateringen.

Mikrokodeoppdateringen er også tilgjengelig direkte fra Microsoft Update-katalogen hvis den ikke var installert på enheten før du oppgraderte systemet. Intel-mikrokode er tilgjengelig via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og instruksjoner for nedlasting, kan du se KB 4100347 .

Se inndelingene Anbefalte handlinger og Vanlige spørsmål i  ADV180012 | Microsoft Guidance for Speculative Store Bypass .

Hvis du vil bekrefte statusen for SSBD, har Get-SpeculationControlSettings PowerShell-skriptet blitt oppdatert for å oppdage berørte prosessorer, status for SSBD-operativsystemoppdateringer og tilstanden til prosessormikrokoden, hvis aktuelt. Hvis du vil ha mer informasjon og få PowerShell-skriptet, kan du se KB 4074629 .

13. juni 2018 ble et ekstra sikkerhetsproblem som involverer sidekanals spekulativ kjøring, kjent som Lazy FP State Restore, kunngjort og tilordnet CVE-2018-3665. Hvis du vil ha informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se Sikkerhetsveiledning ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Obs! Det finnes ingen nødvendige konfigurasjonsinnstillinger (registerinnstillinger) for Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) ble offentliggjort 10. juli 2018, og tilordnet MED NEDSN-2018-3693. Vi anser BCBS for å tilhøre samme klasse av sårbarheter som Grensekontroll bypass (variant 1). Vi er for øyeblikket ikke klar over noen forekomster av BCBS i programvaren vår. Vi fortsetter imidlertid å undersøke denne sårbarhetsklassen og vil samarbeide med bransjepartnere for å frigjøre reduksjoner etter behov. Vi oppfordrer forskere til å sende inn eventuelle relevante funn til Dusørprogrammet for Microsoft Spekulativ kjøring av sidekanal, inkludert eventuelle forekomster av BCBS som kan utnyttes. Programvareutviklere bør se gjennom utviklerveiledningen som er oppdatert for BCBS på C++ Developer Guidance for Speculative Execution Side Channels .

14. august 2018 ble L1 Terminal Fault (L1TF) kunngjort og tilordnet flere CVEs. Disse nye sikkerhetsproblemene for spekulativ kjøring av sidekanaler kan brukes til å lese innholdet i minnet på tvers av en klarert grense, og hvis den utnyttes, kan dette føre til tilgjengeliggjøring av informasjon. Det finnes flere vektorer der en angriper kan utløse sikkerhetsproblemene, avhengig av det konfigurerte miljøet. L1TF påvirker Intel® Core®-prosessorer og Intel® Xeon®-prosessorer.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og en detaljert visning av berørte scenarier, inkludert Microsofts tilnærming til begrensende L1TF, kan du se følgende ressurser:

Fremgangsmåten for å deaktivere Hyper-Threading avvike fra OEM til OEM, men er vanligvis en del av konfigurasjons- og konfigurasjonsverktøyene for BIOS eller fastvare.

Kunder som bruker 64-biters ARM-prosessorer, bør kontakte enhetens OEM for fastvarestøtte fordi beskyttelse av ARM64-operativsystemet som reduserer BESKYTTELSEn for ÅP-2017-5715 – branch-målinjeksjon (Spectre, variant 2) krever at den nyeste fastvareoppdateringen fra enhets-OEMer trer i kraft.

Du finner ytterligere veiledning i Windows for å beskytte mot spekulativ kjøring av sidekanalssårbarheter

Se veiledning i Windows for å beskytte mot spekulativ kjøring av sidekanalssårbarheter

Hvis du vil ha Azure-veiledning, kan du se denne artikkelen: Veiledning for å begrense spekulativ kjøring av sidekanalssårbarheter i Azure.

Hvis du vil ha mer informasjon om Retpoline-aktivering, kan du se blogginnlegget vårt: Begrensende Spectre variant 2 med Retpoline på Windows.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se Microsofts sikkerhetsveiledning: CVE-2019-1125 | Windows sikkerhetsproblem som kan føre til tilgjengeliggjøring av kjerneinformasjon.

Vi er ikke klar over noen forekomst av dette sikkerhetsproblemet som kan føre til tilgjengeliggjøring av informasjon som berører infrastrukturen for skytjenesten.

Så snart vi ble klar over dette problemet, arbeidet vi raskt med å løse det og lansere en oppdatering. Vi har stor tro på nært samarbeid med både forskere og bransjepartnere for å gjøre kundene sikrere, og publiserte ikke detaljer før tirsdag 6. august, i samsvar med koordinert praksis for offentliggjøring av sårbarhet.

Du finner ytterligere veiledning i Windows for å beskytte mot spekulativ kjøring av sidekanalssårbarheter.

Du finner ytterligere veiledning i Windows for å beskytte mot spekulativ kjøring av sidekanalssårbarheter.

Ansvarsfraskrivelse for informasjon fra tredjeparter 

Tredjepartsproduktene som er omtalt i denne artikkelen, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, implisitt eller på annen måte, om disse produktenes ytelse eller pålitelighet.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×