Richtlijnen ter bescherming tegen side-channel van speculatieve beveiligingslekken Windows Server

Van toepassing: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Meer

Samenvatting


Microsoft is zich bewust van een nieuwe klasse openbaar gemaakte beveiligingslekken die "aanvallen speculatieve uitvoering side-channel" worden genoemd en die van invloed zijn op veel moderne processoren, zoals Intel, AMD en ARM.

Opmerking  Dit probleem geldt ook voor andere besturingssystemen zoals Android, chroom, iOS en Mac OS. Wij raden daarom klanten te zoeken naar hulp van de leveranciers.

Microsoft heeft vrijgegeven verscheidene om te voorkomen dat deze beveiligingslekken. Ook hebben we de actie voor het beveiligen van onze cloud services genomen. Zie de volgende secties voor meer informatie.

Microsoft heeft nog geen informatie ontvangen om aan te geven dat deze beveiligingslekken zijn gebruikt voor aanvallen op klanten. Microsoft werkt nauw samen met industriepartners inclusief chip makers, OEM's hardware en app leveranciers om klanten te beschermen. Als u alle beschikbare bescherming, firmware (microcode) en software zijn updates nodig. Dit omvat microcode bij apparaat OEM's en in sommige gevallen werkt u antivirussoftware.

In dit artikel worden de volgende problemen:

Zie voor meer informatie over deze klasse van beveiligingslekken, ADV180002 en ADV180012.

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.

Aanbevolen acties


Klanten moeten de volgende acties te beschermen tegen de beveiligingslekken uitvoeren:

  1. Alle beschikbare Windows besturingssysteem-updates, met inbegrip van de maandelijkse beveiligingsupdates voor Windows van toepassing. Voor meer informatie over het inschakelen van deze updates see Microsoft Knowledge Base-artikel 4072699.
  2. Updates die van toepassing zijn firmware (microcode) van de apparaatfabrikant (OEM) van toepassing.
  3. Evalueren van de risico's voor uw omgeving op basis van de informatie die is opgeslagen in een Microsoft-beveiligingsadviezenADV180002enADV180012en ook in dit Knowledge Base-artikel.
  4. Maatregelen zoals vereist door de adviezen en informatie over registersleutels in dit Knowledge Base-artikel wordt geleverd.

Beperkende instellingen voor Windows Server


Beveiligingsadviezen ADV180002 en ADV180012 bevatten informatie over het risico van deze beveiligingslekken en de standaardstatus van beperkende factoren voor het Windows Server-systemen te identificeren. De onderstaande tabel geeft een overzicht van de vereiste van microcode CPU en de standaardstatus van de beperkende maatregelen op Windows Server.

CVE CPU microcode/firmware vereist? De standaardstatus risicobeperking

CVE-2017-5753

Nee

Standaard (geen optie uit te schakelen)

CVE-2017-5715

Ja

Standaard uitgeschakeld.

CVE-2017-5754

Nee

Windows Server 2019: Standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

CVE-2018-3639

Intel: Ja

AMD: Nee

Standaard uitgeschakeld. Zie ADV180012 voor meer informatie en voor de desbetreffende registersleutels in dit KB-artikel.

Klanten die u wilt ophalen van alle beschikbare bescherming tegen deze beveiligingslekken moeten maken van belangrijke wijzigingen in het register zodat deze oplossingen die zijn standaard uitgeschakeld.

Inschakelen van deze beperkingen kan de prestaties beïnvloeden. De omvang van de gevolgen voor de prestaties zijn afhankelijk van meerdere factoren, zoals de specifieke-chipset in uw fysieke host en de werklast die worden uitgevoerd. Het is raadzaam dat klanten beoordelen van de prestaties van effecten voor hun omgeving en de nodige aanpassingen doorvoeren.

Uw server is toegenomen risico als van de volgende categorieën een:

  • Hyper-V host – is beveiliging vereist voor VM-VM- en VM-naar-host-aanvallen.
  • Remote Desktop Services-Hosts (RDSH) – bescherming van één sessie met een andere sessie of sessiehost aanvallen is vereist.
  • Hosts fysieke of virtuele machines met niet-vertrouwde code, zoals containers of niet-vertrouwde uitbreidingen voor de database, niet-vertrouwde webinhoud of werklast die code uitvoert die is afkomstig van externe bronnen. Deze vereisen bescherming tegen aanvallen van niet-vertrouwde proces naar een ander proces of niet-vertrouwde proces-naar-de kernel.

Met de volgende registersleutelinstellingen de beperkende maatregelen op de server inschakelen en starten om de wijzigingen van kracht te laten worden.

BelangrijkDeze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up en terugzetten van het register, klikt u op het volgende artikel in de Microsoft Knowledge Base:

 

322756Back-up maken en het register terugzetten in Windows

Beperkende factoren voor het CVE 2017 5715 (Spectre Variant 2) en CVE-2017-5754 (smelten) beheren


Beperkende factoren voor het CVE 2017 5715 (Spectre Variant 2) en CVE-2017-5754 (smelten) inschakelen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dit is een Hyper-V host als de firmware-updates zijn toegepast: Volledig afgesloten op alle virtuele Machines. Hiermee kunt de oplossing firmware betrekking op de host worden toegepast voordat de VMs worden gestart. Het VMs's worden ook bijgewerkt wanneer ze opnieuw zijn gestart.

Start de computer om de wijzigingen van kracht te laten worden.

Beperkende factoren voor het CVE 2017 5715 (Spectre Variant 2) en CVE-2017-5754 (smelten) uitschakelen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Opnieuw starten van de computer om de wijzigingen van kracht te laten worden.

Opmerking FeatureSettingsOverrideMask 3 instelling klopt voor zowel de "inschakelen" en "uitschakelen". (Zie de sectie 'Veelgestelde vragen' voor meer informatie over de registersleutels).

Beheren van de oplossing van CVE 2017 5715 (Spectre Variant 2)


Uitschakelen Variant 2: (CVE -2017 5715 " "Doel injectie filiaal ")risicobeperking:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer om de wijzigingen van kracht te laten worden.

Inschakelen Variant 2: (CVE-2017-5715"Filiaal doel injectie") beperking:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer om de wijzigingen van kracht te laten worden.

AMD-processors: inschakelen van de volledige oplossing van CVE 2017 5715 (Spectre Variant 2)


Bescherming van de gebruiker aan de kernel voor CVE-2017-5715 is standaard uitgeschakeld voor AMD CPU's. Klanten moeten de oplossing voor het ontvangen van extra bescherming voor CVE-2017-5715 inschakelen.  Zie de veelgestelde vragen over #15 in ADV180002voor meer informatie.

Beveiliging op AMD-processors en andere beveiligingen voor 2017 CVE 5715 gebruiker met kernel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dit is een Hyper-V host als de firmware-updates zijn toegepast: Volledig afgesloten op alle virtuele Machines. Hiermee kunt de oplossing firmware betrekking op de host worden toegepast voordat de VMs worden gestart. Het VMs's worden ook bijgewerkt wanneer ze opnieuw zijn gestart.

Start de computer om de wijzigingen van kracht te laten worden.

Beperkende factoren voor het CVE-2018-3639 (speculatieve winkel Bypass) CVE 2017 5715 (Spectre Variant 2) en CVE-2017-5754 (smelten) beheren



Beperkende factoren voor het CVE-2018-3639 (speculatieve winkel Bypass) CVE 2017 5715 (Spectre Variant 2) en CVE-2017-5754 (smelten) inschakelen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dit is een Hyper-V host als de firmware-updates zijn toegepast: Volledig afgesloten op alle virtuele Machines. Hiermee kunt de oplossing firmware betrekking op de host worden toegepast voordat de VMs worden gestart. Het VMs's worden ook bijgewerkt wanneer ze opnieuw zijn gestart.

Start de computer om de wijzigingen van kracht te laten worden.

Beperkende factoren voor het CVE-2018-3639 (speculatieve winkel Bypass) uitschakelen en beperkende factoren voor het CVE 2017 5715 (Spectre Variant 2) en CVE-2017-5754 (smelten)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer om de wijzigingen van kracht te laten worden.

 

AMD-processors: de volledige oplossing van CVE 2017 5715 (Spectre Variant 2) en 2018 CVE-3639 (speculatieve winkel Bypass) inschakelen


Bescherming van de gebruiker aan de kernel voor CVE-2017-5715 is standaard uitgeschakeld voor AMD-processors. Klanten moeten de oplossing voor het ontvangen van extra bescherming voor CVE-2017-5715 inschakelen.  Zie de veelgestelde vragen over #15 in ADV180002voor meer informatie.

Inschakelen op AMD-processors en andere beveiligingen voor 2017 CVE 5715 gebruiker-kernel-bescherming en beschermingsmaatregelen voor CVE-2018-3639 (speculatieve winkel Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dit is een Hyper-V host als de firmware-updates zijn toegepast:Is volledig afgesloten van alle virtuele Machines. Hiermee kunt de oplossing firmware betrekking op de host worden toegepast voordat de VMs worden gestart. Het VMs worden dus ook bijgewerkt wanneer ze opnieuw zijn gestart.

Start de computer om de wijzigingen van kracht te laten worden.

Controleren of de beschermingsmaatregelen zijn ingeschakeld


Microsoft heeft een PowerShell script die klanten op hun systemen gepubliceerd, zodat klanten controleren of de beschermingsmaatregelen zijn ingeschakeld. Installeer en voer het script door de volgende opdrachten uit te voeren.

PowerShell verificatie met behulp van de galerie PowerShell (Windows Server 2016 of WMF 5.0/5.1)

De PowerShell-Module installeren:

PS> Install-Module SpeculationControl

Voer de PowerShell-module om te controleren of de beschermingsmaatregelen zijn ingeschakeld:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell verificatie met behulp van een download van Technet (eerder versies van besturingssystemen en WMF eerdere versies)

De PowerShell-module installeren vanaf Technet ScriptCenter:

  1. Ga naar https://aka.ms/SpeculationControlPS.
  2. Download SpeculationControl.zip naar een lokale map.
  3. Pak de inhoud naar een lokale map. Bijvoorbeeld: C:\ADV180002

Voer de PowerShell-module om te controleren of de beschermingsmaatregelen zijn ingeschakeld:

PowerShell Start en vervolgens te kopiëren en voer de volgende opdrachten gebruiken in het vorige voorbeeld:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Zie voor een gedetailleerde uitleg van de uitvoer van het PowerShell-script, , Knowledge Base-artikel 4074629

Veelgestelde vragen


Verwijzingen