KB4072698: Windows Server en Azure Stack HCI-richtlijnen ter bescherming tegen op silicium gebaseerde microarchitectuur en speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde

Van toepassing op
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Wijzigingenlogboek
Datum wijzigen Omschrijving van wijziging
20 april 2023
  • MMIO-registerinformatie toegevoegd
Augustus 8, 2023
  • Inhoud over CVE-2022-23816 verwijderd omdat het CVE-nummer ongebruikt is
  • 'Verwarring over branchetype' toegevoegd onder de sectie 'Kwetsbaarheden'
  • Meer informatie toegevoegd aan de "CVE-2022-23825 | Registersectie AMD CPU Branch Type Confusion (BTC)"
Augustus 9, 2023
  • De "CVE-2022-23825 | Registersectie AMD CPU Branch Type Confusion (BTC)"
  • Toegevoegd "CVE-2023-20569 | AMD CPU Return Address Predictor" in de sectie "Samenvatting"
  • De 'CVE-2023-20569 | Registersectie AMD CPU-retouradresvoorspeller
9 april 2024
  • Toegevoegd CVE-2022-0001 | Intel Branch History Injection
16 april 2024
  • De sectie 'Meerdere risicobeperkingen inschakelen' is toegevoegd

Samenvatting

Dit artikel bevat richtlijnen voor een nieuwe klasse van op silicium gebaseerde microarchitectuur en speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde die van invloed zijn op veel moderne processors en besturingssystemen. Dit omvat Intel, AMD en ARM. Specifieke informatie over deze op silicium gebaseerde kwetsbaarheden vindt u in de volgende ADV's (Security Advisories) en CVE's (Common Vulnerabilities and Exposures):

Belangrijk

Deze problemen zijn ook van invloed op andere besturingssystemen, zoals Android, Chrome, iOS en MacOS. We adviseren klanten zich te laten adviseren door deze leveranciers.

We hebben verschillende updates uitgebracht om deze beveiligingslekken te beperken. We hebben ook actie ondernomen om onze cloudservices te beveiligen. Zie de volgende secties voor meer informatie.

We hebben nog geen informatie ontvangen dat deze kwetsbaarheden zijn gebruikt om klanten aan te vallen. We werken nauw samen met industriële partners, waaronder chipfabrikanten, hardware-OEM's en toepassingsleveranciers, om klanten te beschermen. Als u van alle beschikbare beveiligingen wilt profiteren, zijn firmware- (microcode) en software-updates vereist. Dit omvat microcode van apparaat-OEM's en, in sommige gevallen, updates van antivirussoftware.

Kwetsbaarheden

Speculatieve executie

Dit artikel heeft betrekking op de volgende speculatieve beveiligingslekken bij uitvoering:

Windows Update biedt ook oplossingen voor Internet Explorer en Edge. We blijven deze oplossingen voor deze klasse van kwetsbaarheden verbeteren.

Zie voor meer informatie over deze klasse van kwetsbaarheden

Microarchitectural Data Sampling kwetsbaarheid

Op 14 mei 2019 publiceerde Intel informatie over een nieuwe subklasse van speculatieve kwetsbaarheden in kanalen aan de uitvoeringszijde die bekend staat als Microarchitectural Data Sampling en gedocumenteerd in ADV190013 | Microarchitecturale gegevensbemonstering. Ze hebben de volgende CVE's toegewezen gekregen:

Belangrijk

Deze problemen zijn van invloed op andere systemen, zoals Android, Chrome, iOS en MacOS. We adviseren klanten zich te laten adviseren door deze leveranciers.

Microsoft heeft updates uitgebracht om deze beveiligingslekken te beperken. Als u van alle beschikbare beveiligingen wilt profiteren, zijn firmware- (microcode) en software-updates vereist. Dit kan microcode van apparaat-OEM's bevatten. In sommige gevallen heeft de installatie van deze updates invloed op de prestaties. We hebben ook actie ondernomen om onze cloudservices te beveiligen. Het wordt ten zeerste aangeraden deze updates in te zetten.

Zie het volgende beveiligingsadvies voor meer informatie over dit probleem en gebruik op scenario's gebaseerde richtlijnen om te bepalen welke acties nodig zijn om de bedreiging te beperken:

Opmerking

We raden u aan alle nieuwste updates van Windows Update te installeren voordat u microcode-updates installeert.

Spectre, Variant 1 kwetsbaarheid

Op 6 augustus 2019 heeft Intel details vrijgegeven over een kwetsbaarheid door openbaarmaking van Windows-kernelinformatie. Deze kwetsbaarheid is een variant van het speculatieve beveiligingslek in kanalen aan de uitvoeringszijde Spectre, Variant 1 en is toegewezen aan CVE-2019-1125.

Op 9 juli 2019 hebben we beveiligingsupdates voor het Windows-besturingssysteem uitgebracht om dit probleem te beperken. Houd er rekening mee dat we hebben gewacht met het openbaar documenteren van deze beperking tot de gecoördineerde openbaarmaking van de sector op dinsdag 6 augustus 2019.

Klanten die beschikken over Windows Update en die de beveiligingsupdates hebben geïnstalleerd die zijn uitgebracht op 9 juli 2019, worden automatisch beveiligd. Er is geen verdere configuratie nodig.

Opmerking

Voor dit beveiligingslek is geen microcode-update van de fabrikant (OEM) van uw apparaat vereist.

Zie de Microsoft Beveiliging Update Guide voor meer informatie over dit beveiligingslek en toepasselijke updates:

Kwetsbaarheid voor het asynchroon afbreken van transacties

Op 12 november 2019 heeft Intel een technisch advies gepubliceerd over® Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchroon afbreken kwetsbaarheid die is toegewezen aan CVE-2019-11135. Microsoft heeft updates uitgebracht om dit beveiligingslek te beperken. De beveiliging van het besturingssysteem is standaard ingeschakeld voor Windows Server 2019, maar standaard uitgeschakeld voor Windows Server 2016 en eerdere versies van het besturingssysteem van Windows Server.

Kwetsbaarheid van verouderde gegevenssteekproeven in MMIO

Op 14 juni 2022 publiceerden we ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities en heeft deze CVE's toegewezen:

Aanbevolen acties

Neem de volgende acties om u te beschermen tegen de beveiligingsproblemen:

  1. Pas alle beschikbare updates voor het Windows-besturingssysteem toe, inclusief de maandelijkse beveiligingsupdates voor Windows.
  2. Pas de toepasselijke firmware-update (microcode) toe die wordt geleverd door de fabrikant van het apparaat.
  3. Evalueer het risico voor uw omgeving op basis van de informatie die wordt verstrekt in Microsoft-beveiligingsadviezen: ADV180002, ADV180012, ADV190013 en ADV220002, naast de informatie in dit Knowledge Base artikel.
  4. Onderneem zo nodig actie aan de hand van de richtlijnen en registersleutelinformatie in dit Knowledge Base-artikel.

Opmerking

Surface-klanten ontvangen een microcode-update via Windows Update. Zie KB4073065 voor een lijst met de meest recente firmware-updates voor surface-apparaten (microcode).

Verwarring over branchetype

Op 12 juli 2022 hebben we CVE-2022-23825 | AMD CPU Branch Type Verwarring waarin wordt beschreven dat aliassen in de branch predictor ertoe kunnen leiden dat bepaalde AMD-processors het verkeerde branchtype voorspellen. Dit probleem kan mogelijk leiden tot het vrijgeven van informatie.

Ter bescherming tegen dit beveiligingslek raden we u aan Windows-updates te installeren die dateren van juli 2022 of daarna, en vervolgens actie te ondernemen zoals vereist door CVE-2022-23825 en de registersleutelinformatie in dit Knowledge Base-artikel.

Zie het beveiligingsbulletin AMD-SB-1037 voor meer informatie.

Retouradresvoorspeller

Op 8 augustus 2023 hebben we CVE-2023-20569 | Return Address Predictor (ook bekend als Inception) die een nieuwe speculatieve zijkanaalaanval beschrijft die kan resulteren in speculatieve uitvoering op een door een aanvaller gecontroleerd adres. Dit probleem is van invloed op bepaalde AMD-processors en kan mogelijk leiden tot het vrijgeven van informatie.

Als bescherming tegen dit beveiligingslek raden we u aan Windows-updates te installeren die dateren van of na augustus 2023 en vervolgens actie te ondernemen zoals vereist door CVE-2023-20569 en de registersleutelinformatie in dit Knowledge Base-artikel.

Zie het beveiligingsbulletin AMD-SB-7005 voor meer informatie.

Branch History Injection

Op 9 april 2024 hebben we CVE-2022-0001 | Intel Branch History Injection die Branch History Injection (BHI) beschrijft, wat een specifieke vorm van intra-mode BTI is. Dit beveiligingslek treedt op wanneer een aanvaller de branchegeschiedenis kan manipuleren voordat deze overgaat van gebruikers- naar supervisormodus (of van VMX niet-hoofd-/gastmodus naar hoofdmodus). Deze manipulatie kan ertoe leiden dat een indirecte vertakkingsvoorspeller een specifieke voorspellervermelding voor een indirecte vertakking selecteert en dat een openbaarmakingsgadget bij het voorspelde doel tijdelijk wordt uitgevoerd. Dit is mogelijk omdat de relevante vertakkingsgeschiedenis vertakkingen kan bevatten die in eerdere beveiligingscontexten zijn genomen, en met name andere voorspellende modi.

Instellingen voor risicobeperking voor Windows Server en Azure Stack HCI

Beveiligingsadviezen (ADV's) en CVE's bieden informatie over het risico dat deze kwetsbaarheden vormen. Ze helpen u ook bij het identificeren van de kwetsbaarheden en het identificeren van de standaardstatus van risicobeperkingen voor Windows Server-systemen. De onderstaande tabel bevat een overzicht van de vereisten van CPU-microcode en de standaardstatus van de risicobeperkingen op Windows Server.

CVE CPU-microcode/firmware vereist? Standaardstatus van risicobeperking
CVE-2017-5753 Nee Standaard ingeschakeld (geen optie om uit te schakelen)
Raadpleeg ADV180002 voor meer informatie
CVE-2017-5715 Ja Standaard uitgeschakeld.
Raadpleeg ADV180002 voor meer informatie en dit KB-artikel voor de van toepassing zijnde registersleutelinstellingen.
Notitie 'Retpoline' is standaard ingeschakeld voor apparaten met Windows 10 versie 1809 en hoger als Spectre Variant 2 (CVE-2017-5715) is ingeschakeld. Voor meer informatie over 'Retpoline' volgt u het Engelstalige blogbericht Mitigating Spectre variant 2 with Retpoline on Windows .
CVE-2017-5754 Nee Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.
Raadpleeg ADV180002 voor aanvullende informatie.
CVE-2018-3639 Intel: Ja
AMD: Nee
Standaard uitgeschakeld. Zie ADV180012 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-11091 Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.
Zie ADV190013 voor meer informatie en dit artikel voor de van toepassing zijnde registersleutelinstellingen.
CVE-2018-12126 Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.
Zie ADV190013 voor meer informatie en dit artikel voor de van toepassing zijnde registersleutelinstellingen.
CVE-2018-12127 Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.
Zie ADV190013 voor meer informatie en dit artikel voor de van toepassing zijnde registersleutelinstellingen.
CVE-2018-12130 Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.
Zie ADV190013 voor meer informatie en dit artikel voor de van toepassing zijnde registersleutelinstellingen.
CVE-2019-11135 Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.
Zie CVE-2019-11135 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.
CVE-2022-21123 (onderdeel van MMIO ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.*
Zie CVE-2022-21123 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.
CVE-2022-21125 (onderdeel van MMIO ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.*
Zie CVE-2022-21125 voor meer informatie en dit artikel voor de toepasselijke instellingen voor registersleutels.
CVE-2022-21127 (onderdeel van MMIO ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.*
Zie CVE-2022-21127 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.
CVE-2022-21166 (onderdeel van MMIO ADV220002) Intel: Ja Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.*
Zie CVE-2022-21166 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.
CVE-2022-23825 (AMD CPU-taktypeverwarring) AMD: Nee Zie CVE-2022-23825 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.
CVE-2023-20569
(AMD CPU Return Address Predictor)
AMD: Ja Zie CVE-2023-20569 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.
CVE-2022-0001 Intel: Nee Standaard uitgeschakeld
Zie CVE-2022-0001 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.

Opmerking

* Volg hieronder de richtlijnen voor de risicobeperking voor Meltdown.

Als u alle beschikbare beveiligingen tegen deze kwetsbaarheden wilt verkrijgen, moet u wijzigingen in de registersleutel aanbrengen om deze oplossingen in te schakelen, die standaard zijn uitgeschakeld.

Het inschakelen van deze beperkingen kan van invloed zijn op de prestaties. De mate van de invloed op de prestaties hangt af van meerdere factoren, zoals de specifieke chipset in uw fysieke host en de workloads die worden uitgevoerd. We raden u aan de prestatie-effecten voor uw omgeving te beoordelen en indien nodig aanpassingen te doen.

Uw server loopt een verhoogd risico als deze zich in een van de volgende categorieën bevindt:

  • Hyper-V-hosts: vereist bescherming tegen VM-naar-VM- en VM-naar-host-aanvallen.
  • Extern bureaublad Services Hosts (RDSH): vereist bescherming van de ene sessie naar een andere sessie of tegen aanvallen van sessie naar host.
  • Fysieke hosts of virtuele machines die niet-vertrouwde code uitvoeren, zoals containers of niet-vertrouwde extensies voor databases, niet-vertrouwde webinhoud of workloads die code uitvoeren die afkomstig is van externe bronnen. Deze vereisen bescherming tegen niet-vertrouwde proces-naar-een-proces of niet-vertrouwde-proces-naar-kernel-aanvallen.

Gebruik de volgende registersleutelinstellingen om de risicobeperkingen op de server in te schakelen en start het apparaat opnieuw op om de wijzigingen door te voeren.

Opmerking

Standaard kan het inschakelen van uitgeschakelde risicobeperkingen de prestaties beïnvloeden. Het daadwerkelijke prestatie-effect is afhankelijk van meerdere factoren, zoals de specifieke chipset in het apparaat en de werkbelasting die wordt uitgevoerd.

Registerinstellingen

We bieden de volgende registerinformatie om risicobeperkingen in te schakelen die niet standaard zijn ingeschakeld, zoals beschreven in Beveiligingsadviezen (ADV's) en CVE's. Daarnaast bieden we registersleutelinstellingen voor gebruikers die de risicobeperkingen willen uitschakelen indien deze van toepassing zijn voor Windows-clients.

Opmerking

  • BELANGRIJK Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Er kunnen echter ernstige problemen optreden als je het register verkeerd wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert. Zorg er als extra beveiligingsmaatregel voor dat je een back-up van het register maakt voordat je hierin wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Raadpleeg het volgende artikel in de Microsoft Knowledge Base voor meer informatie over het maken van een back-up van het register en het herstellen van het register:
  • KB322756 Een back-up van het register maken en het register herstellen in Windows

Oplossingen beheren voor CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) en CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Opmerking

  • BELANGRIJK Standaard wordt Retpoline als volgt geconfigureerd als Spectre, Variant 2-beperking (CVE-2017-5715) is ingeschakeld:
    • Retpoline-beperking is ingeschakeld op Windows 10 versie 1809 en latere Windows-versies.
    • Retpoline-beperking is uitgeschakeld op Windows Server 2019 en latere versies van Windows Server.
  • Zie Spectre variant 2 beperken met Retpoline in Windows voor meer informatie over de configuratie van Retpoline.
  • Om oplossingen mogelijk te maken voor CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) en CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Als de functie Hyper-V is geïnstalleerd, voegt u de volgende registerinstelling toe:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmware-gerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.
    Start het apparaat opnieuw op om de wijzigingen door te voeren.
  • Oplossingen voor CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) en CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) uitschakelen
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Start het apparaat opnieuw op om de wijzigingen door te voeren.

Opmerking

Het instellen van FeatureSettingsOverrideMask op 3 is correct voor zowel de instellingen 'inschakelen' als 'uitschakelen'. (Zie de sectie Veelgestelde vragen voor meer informatie over registersleutels.)

De risicobeperking voor CVE-2017-5715 (Spectre Variant 2) beheren
Variant 2 uitschakelen: (CVE-2017-5715 | Branch Target Injection) mitigatie:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Variant 2 inschakelen: (CVE-2017-5715 | Branch Target Injection) mitigatie:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Alleen AMD-processors: schakel de volledige risicobeperking voor CVE-2017-5715 (Spectre Variant 2) in

Standaard is gebruikers-naar-kernel-beveiliging voor CVE-2017-5715 uitgeschakeld voor AMD-CPU's. Klanten moeten de risicobeperking inschakelen om aanvullende beveiligingen te ontvangen voor CVE-2017-5715.  Zie Veelgestelde vragen #15 in ADV180002 voor meer informatie.

Schakel gebruikers-naar-kernel-beveiliging in op AMD-processors, samen met andere beveiligingen voor CVE 2017-5715:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Als de functie Hyper-V is geïnstalleerd, voegt u de volgende registerinstelling toe:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmware-gerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Oplossingen beheren voor CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown)
Ga als volgt te werk om oplossingen mogelijk te maken voor CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Als de functie Hyper-V is geïnstalleerd, voegt u de volgende registerinstelling toe:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmware-gerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Oplossingen voor CVE-2018-3639 (Speculative Store Bypass) EN oplossingen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown) uitschakelen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Alleen AMD-processors: schakel de volledige risicobeperking in voor CVE-2017-5715 (Spectre Variant 2) en CVE 2018-3639 (Speculative Store Bypass)

Standaard is de bescherming van gebruiker naar kernel voor CVE-2017-5715 uitgeschakeld voor AMD-processors. Klanten moeten de risicobeperking inschakelen om aanvullende beveiligingen te ontvangen voor CVE-2017-5715.  Zie voor meer informatie #15 in ADV180002.

Schakel gebruikers-naar-kernel-beveiliging in op AMD-processors, samen met andere beveiligingen voor CVE 2017-5715 en beveiligingen voor CVE-2018-3639 (Speculative Store Bypass):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Als de functie Hyper-V is geïnstalleerd, voegt u de volgende registerinstelling toe:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmware-gerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Kwetsbaarheid voor asynchrone afbreking van transacties beheren, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) en L1 Terminal Fault (L1TF)
Om oplossingen in te schakelen voor het beveiligingsprobleem met betrekking tot het asynchroon afbreken van transacties in Intel Transactional Synchronisation Extensions (Intel TSX) (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) samen met Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varianten, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, en CVE-2022-21166) inclusief Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] en L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646] zonder Hyper-Threading uit te schakelen:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Als de functie Hyper-V is geïnstalleerd, voegt u de volgende registerinstelling toe:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmware-gerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Om oplossingen in te schakelen voor beveiligingsproblemen met betrekking tot het asynchroon afbreken van transacties met betrekking tot Intel Transactional Synchronisation Extensions (Intel TSX) (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) samen met Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754] varianten, waaronder Speculative Store Bypass Disable (SSBD) [CVE-2018-3639]] en L1-terminalfout (L1TF) [CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646] met Hyper-Threading uitgeschakeld:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Als de functie Hyper-V is geïnstalleerd, voegt u de volgende registerinstelling toe:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmware-gerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.
Start het apparaat opnieuw op om de wijzigingen door te voeren.
Om oplossingen uit te schakelen voor het beveiligingslek met betrekking tot het asynchroon afbreken van transacties met betrekking tot Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) samen met de varianten Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754], waaronder Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] evenals L1-terminalfout (L1TF) [CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646]:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Start het apparaat opnieuw op om de wijzigingen door te voeren.
CVE-2022-23825 \| AMD CPU Branch Type Confusion (BTC)

De mitigatie voor CVE-2022-23825 op AMD-processors inschakelen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Klanten die volledig beveiligd zijn, moeten mogelijk ook Hyper-Threading uitschakelen (ook wel bekend als Simultaneous Multi Threading (SMT)). Raadpleeg KB4073757 voor richtlijnen over het beschermen van Windows-apparaten.

CVE-2023-20569 \| AMD CPU Return Address Predictor

De risicobeperking voor CVE-2023-20569 inschakelen op AMD-processors:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Intel Branch History Injection

Om de mitigatie voor CVE-2022-0001 op Intel-processors in te schakelen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Meerdere risicobeperkingen inschakelen

Als u meerdere risicobeperkingen wilt inschakelen, moet u de REG_DWORD waarde van elke beperking bij elkaar optellen.

Bijvoorbeeld:


Beperking van kwetsbaarheid voor asynchrone afbreken van transactie, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) en L1 Terminal Fault (L1TF) met Hyper-Threading uitgeschakeld reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
OPMERKING 8264 (in decimalen) = 0x2048 (in hex)
Als u BHI wilt inschakelen samen met andere bestaande instellingen, moet u bitsgewijze OR van de huidige waarde met 8.388.608 (0x800000) gebruiken.
0x800000 OF 0x2048(8264 in decimale weergave) en wordt dan 8.396.872(0x802048). Hetzelfde geldt voor FeatureSettingsOverrideMask.
Beperking voor CVE-2022-0001 op Intel-processors reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Gecombineerde risicobeperking reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Controleren of beveiligingen zijn ingeschakeld

Om u te helpen controleren of beveiligingen zijn ingeschakeld, hebben we een PowerShell-script gepubliceerd dat u op uw apparaten kunt uitvoeren. Installeer en voer het script op een van de volgende manieren uit.

Methode 1: PowerShell-verificatie met behulp van de PowerShell Gallery (Windows Server 2016 of WMF 5.0/5.1)
Installeer de PowerShell-module:
PS> Install-Module SpeculationControl
Voer de PowerShell-module uit om te controleren of beveiligingen zijn ingeschakeld:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Methode 2: PowerShell-verificatie met behulp van een download van Technet (eerdere versies van het besturingssysteem en eerdere WMF-versies)
Installeer de PowerShell-module vanuit Technet ScriptCenter:

  1. Ga naar https://aka.ms/SpeculationControlPS .
  2. Download SpeculationControl.zip naar een lokale map.
  3. Pak de inhoud uit naar een lokale map. Bijvoorbeeld: C:\ADV180002
Voer de PowerShell-module uit om te controleren of beveiligingen zijn ingeschakeld:

Start PowerShell en gebruik het vorige voorbeeld om de volgende opdrachten te kopiëren en uit te voeren:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Zie KB4074629 voor een gedetailleerde uitleg van de uitvoer van het PowerShell-script.

Veelgestelde vragen

Ik heb de Windows-beveiligingsupdates die in januari en februari 2018 zijn uitgebracht, niet gekregen. Wat moet ik doen?

Om nadelige gevolgen voor klantapparaten te helpen voorkomen, zijn de Windows-beveiligingsupdates die in januari en februari 2018 zijn uitgebracht, niet aan alle klanten aangeboden. Zie KB407269 voor meer informatie.

Hoe weet ik of ik de juiste versie van de CPU-microcode heb?

De microcode wordt geleverd via een firmware-update. Raadpleeg uw OEM over de firmwareversie met de juiste update voor uw computer.

Wat zijn de prestatie-effecten van de risicobeperkingen?

Er zijn meerdere variabelen die van invloed zijn op de prestaties, variërend van de systeemversie tot de werkbelasting die wordt uitgevoerd. Voor sommige systemen is het prestatie-effect verwaarloosbaar. Voor anderen zal het aanzienlijk zijn.

We raden u aan de invloed van de prestaties op uw systemen te beoordelen en indien nodig aanpassingen aan te brengen.

Ik voer Windows Server uit in een door derden gehoste omgeving of cloud. Wat moet ik doen?

Naast de richtlijnen in dit artikel met betrekking tot virtuele machines, kunt u het beste contact opnemen met uw serviceprovider om ervoor te zorgen dat de hosts waarop uw virtuele machines worden uitgevoerd, voldoende zijn beveiligd.

Voor virtuele machines van Windows Server die worden uitgevoerd in Azure, raadpleegt u de Guidance for mitigating speculative execution side-channel vulnerabilities in Azure . Zie KB4077467 voor meer informatie over het gebruik van Azure Update Management om dit probleem op gast-VM's te verhelpen.

Zijn er specifieke richtlijnen voor containers voor Windows Server?

De updates die zijn uitgebracht voor Windows Server-containerinstallatiekopieën voor Windows Server 2016 en Windows 10 versie 1709 bevatten de oplossingen voor deze set kwetsbaarheden. Er is geen extra configuratie vereist.

Notitie U moet er nog steeds voor zorgen dat de host waarop deze containers worden uitgevoerd, is geconfigureerd om de juiste risicobeperkingen in te schakelen.

Moeten de software- en hardware-updates in een bepaalde volgorde worden geïnstalleerd?

Nee, de installatievolgorde maakt niet uit.

Zullen er meerdere keren opnieuw worden opgestart?

Ja, je moet opnieuw opstarten na de firmware-update (microcode) en vervolgens opnieuw na de systeemupdate.

Kunt u meer informatie geven over de registersleutels?

Dit zijn de details voor de registersleutels:

FeatureSettingsOverride vertegenwoordigt een bitmap die de standaardinstelling overschrijft en bepaalt welke risicobeperkingen worden uitgeschakeld. Bit 0 bepaalt de beperking die overeenkomt met CVE-2017-5715. Bit 1 bepaalt de beperking die overeenkomt met CVE-2017-5754. De bits worden ingesteld op 0 om de risicobeperking in te schakelen en op 1 om de risicobeperking uit te schakelen.

FeatureSettingsOverrideMask vertegenwoordigt een bitmapmasker dat wordt gebruikt in combinatie met FeatureSettingsOverride. In deze situatie gebruiken we de waarde 3 (weergegeven als 11 in het binaire getal of het numerieke systeem met grondtal 2) om de eerste twee bits aan te geven die overeenkomen met de beschikbare beperkingen. Deze registersleutel is ingesteld op 3 om de risicobeperkingen in of uit te schakelen.

MinVmVersionForCpuBasedMitigations is bedoeld voor Hyper-V-hosts. Deze registersleutel definieert de minimale VM-versie die vereist is om de bijgewerkte firmwaremogelijkheden (CVE-2017-5715) te kunnen gebruiken. Stel dit in op 1.0 om alle VM-versies te dekken. U ziet dat deze registerwaarde wordt genegeerd (goedaardig) op niet-Hyper-V-hosts. Zie Virtuele machines voor gasten beveiligen tegen CVE-2017-5715 (branch target injection) voor meer informatie.

Kan ik de registersleutels instellen voordat ik de update installeer, en vervolgens de update installeren en opnieuw opstarten om de wijzigingen door te voeren?

Ja, er zijn geen bijwerkingen als deze registerinstellingen worden toegepast voordat de aan januari 2018 gerelateerde correcties zijn geïnstalleerd.

Kunt u meer details geven over de uitvoer van het PowerShell-verificatiescript?

Een gedetailleerde beschrijving van de scriptuitvoer vindt u op KB4074629: Understanding SpeculationControl PowerShell script output .

Als de firmware-update (microcode) nog niet beschikbaar is bij mijn OEM, is er dan nog steeds een manier om mijn Hyper-V-host te beschermen?

Ja, voor Windows Server 2016 Hyper-V-hosts waarvoor de firmware-update nog niet beschikbaar is, hebben we alternatieve richtlijnen gepubliceerd die kunnen helpen bij het beperken van aanvallen van VM naar VM of VM naar host. Zie Alternatieve beveiligingen voor Hyper-V-hosts van Windows Server 2016 tegen de speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde.

Als ik lid ben van de Security-only branch, welke beveiligingsupdates moet ik dan installeren om beschermd te zijn tegen deze kwetsbaarheden?

Beveiligingsupdates zijn niet cumulatief. Afhankelijk van de versie van uw besturingssysteem, moet u mogelijk verschillende beveiligingsupdates installeren voor volledige bescherming. In het algemeen moeten klanten de updates van januari, februari, maart en april 2018 installeren. Systemen met AMD-processors hebben een aanvullende update nodig, zoals wordt weergegeven in de volgende tabel:

Versie van besturingssysteem Beveiligingsupdate
Windows 8.1, Windows Server 2012 R2 KB4338815 - maandelijks updatepakket
KB4338824- Alleen beveiliging
Windows 7 SP1, Windows Server 2008 R2 SP1 of Windows Server 2008 R2 SP1 (Server Core-installatie) KB4284826 - maandelijks updatepakket
KB4284867 - Alleen beveiliging
Windows Server 2008 SP2 KB4340583 - Beveiligingsupdate

U wordt aangeraden de beveiligingsupdates te installeren in de volgorde waarin ze zijn uitgebracht.

Opmerking

In een eerdere versie van deze veelgestelde vragen stond ten onrechte dat de beveiligingsupdate van februari de beveiligingspatches bevatte die in januari waren uitgebracht. In feite doet het dat niet.

Als ik een van de toepasselijke beveiligingsupdates toepas, worden de beveiligingen voor CVE-2017-5715 dan op dezelfde manier uitgeschakeld als de beveiligingsupdate KB4078130?

Nee. Beveiligingsupdate KB4078130 was een specifieke oplossing om onvoorspelbaar systeemgedrag, prestatieproblemen en onverwachte herstarts na de installatie van microcode te voorkomen. Als u de beveiligingsupdates toepast op Windows-clientbesturingssystemen, worden alle drie de oplossingen ingeschakeld. Op Windows Server-besturingssystemen moet u de beperkende maatregelen nog steeds inschakelen nadat u de juiste tests hebt uitgevoerd. Zie KB4072698 voor meer informatie.

Bekend probleem: sommige gebruikers ondervinden problemen met de netwerkverbinding of verliezen IP-adresinstellingen nadat ze de beveiligingsupdate van 13 maart 2018 (KB 4088875) hebben geïnstalleerd

Dit probleem is opgelost in KB4093118.

Intel heeft problemen met het opnieuw opstarten geïdentificeerd waarbij microcode betrokken is op sommige oudere processors. Wat moet ik doen?

In februari 2018 kondigde Intel aan dat ze hun validaties hadden voltooid en begonnen waren met het uitbrengen van microcode voor nieuwere CPU-platforms. Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar die betrekking hebben op Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection).  KB4093836 bevat specifieke artikelen Knowledge Base per Windows-versie. Elk KB-artikel bevat de beschikbare Intel microcode-updates per CPU.

Op 11 januari 2018 meldde Intel problemen in onlangs uitgebrachte microcode die bedoeld was om Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Intel merkte met name op dat deze microcode kan leiden tot "hoger dan verwacht opnieuw opstarten en ander onvoorspelbaar systeemgedrag" en dat deze scenario's "gegevensverlies of -beschadiging" kunnen veroorzaken. Onze ervaring is dat instabiliteit van het systeem in sommige gevallen kan leiden tot gegevensverlies of -beschadiging. Op 22 januari heeft Intel klanten aangeraden te stoppen met het implementeren van de huidige microcode-versie op betrokken processors terwijl Intel aanvullende tests uitvoert op de bijgewerkte oplossing. We begrijpen dat Intel bezig met het onderzoeken van de mogelijke invloed van de huidige versie van microcode. We raden klanten aan hun richtlijnen regelmatig te bekijken om geïnformeerde beslissingen te kunnen nemen.

Terwijl Intel nieuwe microcode test, updatet en implementeert, stellen we een out-of-band (OOB) update beschikbaar, KB4078130, waarmee alleen de bescherming tegen CVE-2017-5715 wordt uitgeschakeld. In onze tests is gebleken dat deze update het beschreven gedrag voorkomt. Zie voor de volledige lijst met apparaten de richtlijnen voor microcoderevisie van Intel. Deze update heeft betrekking op Windows 7 Service Pack 1 (SP1), Windows 8.1 en alle versies van Windows 10, zowel client als server. Als u een getroffen apparaat gebruikt, kan deze update worden toegepast door deze te downloaden van de website Microsoft Update-catalogus. Toepassing van deze nettolading schakelt specifiek alleen de bescherming tegen CVE-2017-5715 uit.

Op dit moment zijn er geen rapporten bekend die aangeven dat deze Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) is gebruikt om klanten aan te vallen. We raden Windows-gebruikers aan om, indien nodig, de bescherming tegen CVE-2017-5715 opnieuw in te schakelen wanneer Intel meldt dat dit onvoorspelbare systeemgedrag voor uw apparaat is opgelost.

Ik heb gehoord dat Intel microcode-updates heeft uitgebracht. Waar kan ik ze vinden?

In februari 2018 kondigde Intel aan dat ze hun validaties hebben voltooid en zijn begonnen met het uitbrengen van microcode voor nieuwere CPU-platforms. Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar die betrekking hebben op Spectre Variant 2, Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 bevat specifieke artikelen Knowledge Base per Windows-versie. De lijst met beschikbare KB's bevat Intel microcode-updates per CPU.

Zie voor meer informatie AMD Security Updates and AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Deze zijn beschikbaar via het OEM-firmwarekanaal.

Ik gebruik de update voor Windows 10, april 2018 (versie 1803). Is microcode van Intel beschikbaar voor mijn apparaat? Waar kan ik die vinden?

We stellen door Intel gevalideerde microcode-updates beschikbaar die betrekking hebben op Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). Klanten die de nieuwste microcode-updates van Intel willen ontvangen via Windows Update, moeten microcode van Intel hebben geïnstalleerd op apparaten met een besturingssysteem van Windows 10 voordat ze een upgrade gaan uitvoeren naar de update voor Windows 10, april 2018 (versie 1803).

De microcode-update is ook rechtstreeks beschikbaar vanuit de Microsoft Update-catalogus als deze niet op het apparaat is geïnstalleerd voordat het systeem werd bijgewerkt. Microcode van Intel is beschikbaar via Windows Update, Windows Server Update Services (WSUS) of de Microsoft Update-catalogus. Zie KB4100347 voor meer informatie en downloadinstructies.

Waar vind ik informatie over nieuwe speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde (Speculative Store Bypass - CVE-2018-3639 en Rogue System Register Read - CVE-2018-3640)?

Voor meer informatie kunt u de volgende bronnen raadplegen:

Waar vind ik meer informatie over Windows-ondersteuning voor Speculative Store Bypass Disable (SSBD) in Intel-processors?

Zie de secties "Aanbevolen acties" en "FAQ" van ADV180012 | Microsoft-richtlijnen voor het omzeilen van speculatieve winkels.

Hoe kan ik bepalen of SSBD is ingeschakeld of uitgeschakeld?

Om de status van SSBD te controleren, is het Get-SpeculationControlSettings PowerShell-script bijgewerkt om betrokken processors, de status van de updates van het SSBD-besturingssysteem en de status van de processormicrocode, indien van toepassing, te detecteren. Zie KB4074629 voor meer informatie en het verkrijgen van het PowerShell-script.

Ik heb gehoord over "Lazy FP State Restore" (CVE-2018-3665). Zal Microsoft ervoor oplossingen vrijgeven?

Op 13 juni 2018 werd een extra kwetsbaarheid met speculatieve uitvoering in kanalen aan de zijkant, bekend als Lazy FP State Restore, aangekondigd en toegewezen aan CVE-2018-3665 . Zie voor informatie over dit beveiligingslek en de aanbevolen acties het beveiligingsadvies ADV180016 | Microsoft-richtlijnen voor statusherstel van een luie FP .

Notitie Er zijn geen vereiste configuratie-instellingen (register) voor Lazy Restore FP-herstel.

Ik heb gehoord dat CVE-2018-3693 (Bounds Check Bypass Store) gerelateerd is aan Spectre. Zal Microsoft ervoor oplossingen vrijgeven?

Bounds Check Bypass Store (BCBS) werd op 10 juli 2018 bekendgemaakt en kreeg CVE-2018-3693 toegewezen. Wij beschouwen BCBS als behorend tot dezelfde klasse van kwetsbaarheden als Bounds Check Bypass (Variant 1). We zijn momenteel niet op de hoogte van enige gevallen van BCBS in onze software. We blijven echter onderzoek doen naar deze kwetsbaarheidsklasse en werken samen met partners uit de sector om zo nodig risicobeperkingen vrij te geven. We raden onderzoekers aan alle relevante bevindingen in te dienen bij het Microsoft Speculative Execution Side Channel bounty-programma, inclusief eventuele misbruikbare exemplaren van BCBS. Softwareontwikkelaars moeten de richtlijnen voor ontwikkelaars bekijken die zijn bijgewerkt voor BCBS op C++ Developer Guidance for Speculative Execution Side Channels

Ik heb gehoord dat L1 Terminal Fault (L1TF) is bekendgemaakt. Waar vind ik meer informatie over deze functie en Windows-ondersteuning ervoor?

Op 14 augustus 2018 werd L1 Terminal Fault (L1TF) aangekondigd en kregen meerdere CVE's toegewezen. Deze nieuwe speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde kunnen worden gebruikt om de inhoud van het geheugen over een vertrouwde grens te lezen en kunnen, als ze worden misbruikt, leiden tot het vrijgeven van informatie. Er zijn meerdere vectoren waarmee een aanvaller de kwetsbaarheden kan activeren, afhankelijk van de geconfigureerde omgeving. L1TF is van invloed op Intel® Core-processors® en Intel® Xeon-processors®.

Zie de volgende bronnen voor meer informatie over dit beveiligingslek en een gedetailleerde weergave van getroffen scenario's, waaronder de aanpak van Microsoft om L1TF te beperken:

Hoe kan ik Hyper-Threading voor L1TF op mijn apparaat uitschakelen?

De stappen voor het uitschakelen van Hyper-Threading verschillen van OEM tot OEM, maar maken over het algemeen deel uit van de BIOS- of firmware-instellings- en configuratiehulpprogramma's.

Waar kan ik ARM64-firmware krijgen die CVE-2017-5715 \| Branch Target injection (Spectre Variant 2)?

Klanten die gebruikmaken van 64-bits ARM-processoren moeten contact opnemen met de OEM van het apparaat voor firmwareondersteuning, omdat beveiligingen van het ARM64-besturingssysteem CVE-2017-5715 beperken | Branch Target Injection (Spectre, Variant 2) vereist dat de meest recente firmware-update van apparaat-OEM's van kracht wordt.

Waar kan ik informatie vinden over de openbaarmaking van Intel met betrekking tot Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Raadpleeg de volgende beveiligingsadviezen voor meer informatie

Waar vind ik de richtlijnen op basis van scenario's om te bepalen welke acties nodig zijn om beveiligingslekken in Microarchitectural Data Sampling te verhelpen?

Verdere richtlijnen zijn te vinden in Windows-richtlijnen ter bescherming tegen speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde

Hoe kan ik Hyper-Threading voor MDS uitschakelen op mijn apparaat?

Raadpleeg de richtlijnen in Windows-richtlijnen ter bescherming tegen speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde

Waar vind ik begeleiding voor Azure?

Raadpleeg het volgende artikel voor hulp bij Azure: Richtlijnen voor het beperken van speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde in Azure.

Waar vind ik meer informatie over het activeren van Retpoline in Windows 10 versie 1809?

Raadpleeg voor meer informatie over het inschakelen van Retpoline ons blogbericht: Spectre variant 2 beperken met Retpoline op Windows .

Ik heb gehoord dat er een variant is van de speculatieve kwetsbaarheid van het kanaal aan de uitvoeringszijde van Spectre Variant 1. Waar kan ik meer informatie vinden?

Meer informatie over dit beveiligingsprobleem vindt u in de Microsoft-beveiligingshandleiding: CVE-2019-1125 | Kwetsbaarheid in Windows-kernel met betrekking tot openbaarmaking van informatie.

Heeft CVE-2019-1125 \| Beveiligingslek met betrekking tot informatievrijgave Windows-kernel van invloed op cloudservices van Microsoft?

We zijn niet op de hoogte van enig geval van dit beveiligingslek met betrekking tot het vrijgeven van informatie dat van invloed is op onze cloudservice-infrastructuur.

Als updates voor CVE-2019-1125 \| Het beveiligingslek met betrekking tot het vrijgeven van Windows-kernelinformatie is uitgebracht op 9 juli 2019. Waarom zijn de details gepubliceerd op 6 augustus 2019?

Zodra we ons bewust werden van dit probleem, hebben we er snel aan gewerkt om het op te lossen en een update uit te brengen. We geloven sterk in nauwe partnerschappen met zowel onderzoekers als industriële partners om klanten veiliger te maken, en hebben pas op dinsdag 6 augustus details gepubliceerd, in overeenstemming met gecoördineerde praktijken voor het openbaar maken van kwetsbaarheden.

Waar vind ik de richtlijnen op basis van scenario's om te bepalen welke acties nodig zijn om het probleem met betrekking tot het asynchroon afbreken van transacties in Intel TSX (Intel TSX) te beperken (CVE-2019-11135)?

Verdere richtlijnen zijn te vinden in Windows-richtlijnen ter bescherming tegen speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde.

Moet ik Hyper-Threading uitschakelen voor het beveiligingsprobleem met betrekking tot het asynchroon afbreken van transacties in Intel TSX (Intel TSX) (CVE-2019-11135) op mijn apparaat?

Verdere richtlijnen zijn te vinden in Windows-richtlijnen ter bescherming tegen speculatieve beveiligingslekken in kanalen aan de uitvoeringszijde.

Is er een manier om Intel Transactional Synchronization Extensions (Intel TSX)-mogelijkheid uit te schakelen?

Verdere richtlijnen zijn te vinden in de Leidraad voor het uitschakelen van Intel TSX-mogelijkheden (Transactional Synchronization Extensions).

Meer informatie

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden besproken, worden ontwikkeld door bedrijven die losstaan van Microsoft. We geven geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.