Windows Server-richtlijnen ter bescherming tegen side-Channel beveiligingslekken in speculatieve uitvoering

Van toepassing: Windows Server 2019Windows Server 2016Windows Server 2012 R2

Samenvatting


Microsoft is zich bewust van een nieuwe klasse openbaar gemaakt van kwetsbaarheden die worden genoemd "speculatieve uitvoering side-Channel aanvallen" en die invloed hebben op vele moderne processors, met inbegrip van Intel, AMD, VIA, en ARM.

Opmerking Dit probleem heeft ook invloed op andere besturingssystemen, zoals Android, Chrome, iOS en macOS. Daarom adviseren wij klanten om advies te vragen aan deze leveranciers.

We hebben verschillende updates uitgebracht om deze kwetsbaarheden te helpen verhelpen. We hebben ook actie ondernomen om onze clouddiensten te beveiligen. Zie de volgende secties voor meer informatie.

We hebben nog geen informatie ontvangen om aan te geven dat deze kwetsbaarheden werden gebruikt om klanten aan te vallen. We werken nauw samen met industriepartners, waaronder chip makers, hardware-Oem's en leveranciers van toepassingen om klanten te beschermen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit omvat microcode van apparaat Oem's en, in sommige gevallen, updates voor antivirussoftware.

In dit artikel worden de volgende beveiligingslekken opgelost:

Windows Update biedt ook Internet Explorer en rand oplossingen. We zullen deze beperkende maatregelen tegen deze klasse van kwetsbaarheden blijven verbeteren.

Zie voor meer informatie over deze klasse van beveiligingslekken,

Bijgewerkt op mei 14, 2019 Op 14 mei 2019, Intel gepubliceerd informatie over een nieuwe subklasse van speculatieve uitvoering side-Channel beveiligingslekken bekend als Microarchitectural gegevens sampling. Aan hen zijn de volgende CVEs toegewezen:

Belangrijk Deze problemen zijn van invloed op andere systemen, zoals Android, Chrome, iOS en MacOS. Wij adviseren klanten om advies te vragen aan hun respectieve leveranciers.

Microsoft heeft updates uitgebracht om deze beveiligingslekken te helpen verhelpen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit kan microcode van het apparaat Oem's omvatten. In sommige gevallen heeft het installeren van deze updates een invloed op de prestaties. We hebben ook gehandeld om onze clouddiensten te beveiligen. Het is raadzaam deze updates te implementeren.

Zie voor meer informatie over dit probleem het volgende beveiligingsadvies en gebruik op scenario's gebaseerde richtlijnen om te bepalen welke acties nodig zijn om de dreiging te beperken:

Opmerking Het is raadzaam alle van de meest recente updates van Windows Update te installeren voordat u microcode-updates installeert.

UPDATED op augustus 6, 2019 op augustus 6, 2019 Intel vrijgegeven details over een Windows-kernel beveiligingslek met betrekking tot het vrijgeven van informatie. Dit beveiligingslek is een variant van de Spectre variant 1 speculatieve uitvoering side Channel kwetsbaarheid en is toegewezen CVE-2019-1125.

Op 9 juli 2019 hebben we beveiligingsupdates uitgebracht voor het Windows-besturingssysteem om dit probleem te verhelpen. Houd er rekening mee dat we deze mitigatie publiekelijk hebben tegengehouden tot de gecoördineerde bekendmaking van de sector op dinsdag 6 augustus 2019.

Klanten die Windows Update hebben ingeschakeld en de beveiligingsupdates hebben toegepast die zijn uitgebracht op 9 juli 2019 worden automatisch beveiligd. Er is geen verdere configuratie nodig.

Opmerking voor dit beveiligingslek is geen microcode-update vereist van de fabrikant van uw apparaat (OEM).

Zie de Microsoft Security Update Guide voor meer informatie over dit beveiligingslek en de toepasselijke updates:

CVE-2019-1125 | Beveiligingslek met betrekking tot het vrijgeven van informatie over Windows-kernel

Bijgewerkt op November 12, 2019 op november 12, 2019, Intel publiceerde een technisch advies rond Intel® transactionele synchronisatie-extensies (Intel® TSX) transactie asynchroon afbreken kwetsbaarheid die is toegewezen CVE-2019-11135. Microsoft heeft updates uitgebracht om dit beveiligingslek te verhelpen en de besturingssysteem beveiligingen zijn standaard ingeschakeld voor edities van Windows Server OS.

Aanbevolen acties


Klanten moeten de volgende acties uitvoeren om te helpen beschermen tegen de beveiligingslekken:

  1. Pas alle beschikbare updates van het Windows-besturingssysteem toe, inclusief de maandelijkse Windows-beveiligingsupdates.
  2. Pas de toepasselijke firmware-update (microcode) toe die door de fabrikant van het apparaat wordt geleverd.
  3. Evalueer het risico voor uw omgeving op basis van de informatie die wordt verstrekt op Microsoft-beveiligingsadviezen: ADV180002, ADV180012, ADV190013en informatie in dit Knowledge Base-artikel.
  4. Neem actie zoals vereist met behulp van de adviezen en registersleutel informatie die zijn opgegeven in dit Knowledge Base-artikel.

Opmerking Surface-klanten ontvangen een microcode-update via Windows Update. Zie voor een lijst van de meest recente Surface device firmware (microcode) updates KB 4073065.

Beperkingsinstellingen voor Windows Server


Beveiligingsadviezen ADV180002, ADV180012en ADV190013 bieden informatie over het risico dat wordt veroorzaakt door deze beveiligingslekken.  Ze helpen u ook de deze beveiligingslekken identificeren en identificeren van de standaardstatus van beperkende factoren voor Windows Server-systemen. De onderstaande tabel bevat een overzicht van de vereiste van CPU-microcode en de standaardstatus van de beperkende factoren op Windows Server.

Cve Vereist CPU microcode/firmware? Standaardstatus van risicobeperking

CVE-2017-5753

Nee

Standaard ingeschakeld (geen optie om uit te schakelen)

Raadpleeg ADV180002 voor meer informatie

CVE-2017-5715

Ja

Standaard uitgeschakeld.

Raadpleeg ADV180002 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.

Opmerking "Retpoline" is standaard ingeschakeld voor apparaten met Windows 10 1809 of nieuwer als Spectre variant 2 ( CVE-2017-5715 ) is ingeschakeld. Voor meer informatie, rond "retpoline", volgbeperkende Spectre variant 2 met Retpoline op Windows blog post.

CVE-2017-5754

Nee

Windows Server 2019: standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

Raadpleeg ADV180002 voor meer informatie.

CVE-2018-3639

Intel: Ja

AMD: Nee

Standaard uitgeschakeld. Zie ADV180012 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.

CVE-2018-11091 Intel: Ja

Windows Server 2019: standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-12126 Intel: Ja

Windows Server 2019: standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-12127 Intel: Ja

Windows Server 2019: standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-12130 Intel: Ja

Windows Server 2019: standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2019-11135 Intel: Ja

Windows Server 2019: standaard ingeschakeld. Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie CVE-2019-11135 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.

Klanten die alle beschikbare beveiligingen tegen deze beveiligingslekken willen verkrijgen, moeten registersleutelwijzigingen aanbrengen om deze beperkingen in te schakelen die standaard zijn uitgeschakeld.

Het inschakelen van deze oplossingen kan invloed hebben op de prestaties. De schaal van de prestatie-effecten is afhankelijk van meerdere factoren, zoals de specifieke chipset in uw fysieke host en de werkbelastingen die worden uitgevoerd. We raden klanten aan de prestatie-effecten voor hun omgeving te beoordelen en de nodige aanpassingen door te voeren.

Uw server heeft een verhoogd risico als deze zich in een van de volgende categorieën bevindt:

  • Hyper-V-hosts – vereist bescherming voor VM-naar-VM en VM-to-host-aanvallen.
  • Extern bureaublad-services-hosts (RDSH) – vereist bescherming van de ene sessie naar een andere sessie of van sessie-naar-host-aanvallen.
  • Fysieke hosts of virtuele machines waarop niet- vertrouwde codewordt uitgevoerd, zoals containers of niet-vertrouwde extensies voor database, niet-vertrouwde webinhoud of werkbelastingen die code uitvoeren die afkomstig is van externe bronnen. Deze vereisen bescherming tegen niet-vertrouwde proces-naar-een-proces of niet-vertrouwde proces-naar-kernel aanvallen.

Gebruik de volgende registersleutelinstellingen om de beperkende factoren op de server in te schakelen en start het systeem opnieuw op om de wijzigingen door te voeren.

Opmerking Beperkende maatregelen die zijn uitgeschakeld door-standaard kunnen invloed hebben op de prestaties. Het effect van de werkelijke prestaties is afhankelijk van meerdere factoren, zoals de specifieke chipset in het apparaat en de werkbelastingen die worden uitgevoerd.

Registerinstellingen


We bieden de volgende registerinformatie om in te schakelen beperkende factoren die niet standaard zijn ingeschakeld, zoals beschreven in Beveiligingsadviezen ADV180002, ADV180012en ADV190013.

Bovendien bieden we registersleutelinstellingen voor gebruikers die de beperkende factoren die verband houden met CVE-2017-5715 en CVE-2017-5754 voor Windows-clients willen uitschakelen.

Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register moet wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u deze wijzigt. Vervolgens u het register herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken en terugzetten van een back-up van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

322756 het back-up en terugzetten van het register in Windows

Beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting) beheren


Belangrijke opmerking Retpoline is standaard ingeschakeld op Windows 10, versie 1809 servers als Spectre, variant 2 ( CVE-2017-5715 ) is ingeschakeld. Het inschakelen van Retpoline op de nieuwste versie van Windows 10 kan de prestaties verbeteren op servers met Windows 10, versie 1809 voor Spectre variant 2, met name op oudere processors.

Om in te schakelen beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Beperkende maatregelen uitschakelen voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Opmerking Instellen FeatureSettingsOverrideMask op 3 is nauwkeurig voor zowel de "Enable" en "Disable" instellingen. (Zie de sectie 'Veelgestelde vragen ' voor meer informatie over registersleutels.)

Beheer de oplossing voor CVE-2017-5715 (Spectre variant 2)


Om variant 2 uit te schakelen: (CVE-2017-5715"Branch target Injection") mitigatie:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Om variant 2 in te schakelen: (CVE-2017-5715"Branch target Injection") mitigatie:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Alleen AMD-processors: Schakel de volledige risicobeperking voor CVE-2017-5715 (Spectre variant 2)


Gebruiker-naar-kernel-beveiliging voor CVE-2017-5715 is standaard uitgeschakeld voor AMD Cpu's. Klanten moeten de oplossing voor het ontvangen van aanvullende beveiligingen voor CVE-2017-5715 inschakelen.  Zie voor meer informatie Veelgestelde vragen #15 in ADV180002.

Bescherming van de gebruiker-naar-kernel op AMD-processors samen met andere beveiligingen voor CVE 2017-5715 inschakelen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Beperkende factoren voor CVE-2018-3639 (speculatieve winkel bypass), CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting) beheren



Om in te schakelen beperkende factoren voor CVE-2018-3639 (speculatieve winkel bypass), CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Om uit te schakelen beperkende factoren voor CVE-2018-3639 (speculatieve winkel bypass) en beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Alleen AMD-processors: Schakel de volledige oplossing voor CVE-2017-5715 (Spectre variant 2) en CVE 2018-3639 (speculatieve winkel bypass)


Gebruiker-naar-kernel-beveiliging voor CVE-2017-5715 is standaard uitgeschakeld voor AMD-processors. Klanten moeten de oplossing voor het ontvangen van aanvullende beveiligingen voor CVE-2017-5715 inschakelen.  Zie voor meer informatie Veelgestelde vragen #15 in ADV180002.

Bescherming van de gebruiker-naar-kernel op AMD-processors, samen met andere beveiligingen voor cve 2017-5715 en beveiligingen voor CVE-2018-3639 (speculatieve winkel bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Intel® transactionele synchronisatie-extensies (Intel® TSX) transactie asynchroon afbreken van het beveiligingslek (CVE-2019-11135) en Microarchitecturele gegevens bemonstering (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) samen met Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754] varianten, met inbegrip van speculatieve winkel bypass uitschakelen (SSBD) [CVE-2018-3639] evenals L1 Terminal fault (L1TF) [CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646]


Om in te schakelen beperkende factoren voor Intel® transactionele synchronisatie extensies (Intel® TSX) transactie asynchroon afbreken (CVE-2019-11135) en microarchitectural gegevens sampling (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) samen met Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754] varianten, met inbegrip van speculatieve Store bypass Disable (SSBD) [CVE-2018-3639] evenals L1 Terminal fault (L1TF) [CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646] zonder Hyper-Threading uit te schakelen:

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg toevoegen "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Om in te schakelen beperkende factoren voor Intel® transactionele synchronisatie extensies (Intel® TSX) transactie asynchrone afbreken van het beveiligingslek (CVE-2019-11135) en microarchitectural gegevens sampling (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) samen met Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754] varianten, met inbegrip van Speculatieve winkel bypass uitschakelen (SSBD) [CVE-2018-3639] evenals L1 Terminal fault (L1TF) [CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646] met Hyper-Threading uitgeschakeld:

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg toevoegen "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Om beperkende factoren voor Intel® transactionele synchronisatie extensies (Intel® TSX) transactie asynchroon afbreken beveiligingslek (CVE-2019-11135) en microarchitectural gegevens sampling (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) samen met Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754] varianten, met inbegrip van Speculatieve winkel bypass uitschakelen (SSBD) [CVE-2018-3639] evenals L1 Terminal fault (L1TF) [CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646]:

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Start de computer opnieuw op om de wijzigingen door te voeren.

Controleren of beveiligingen zijn ingeschakeld


Om klanten te helpen controleren of beveiligingen zijn ingeschakeld, heeft Microsoft een PowerShell-script gepubliceerd dat klanten op hun systemen kunnen uitvoeren. Installeer en voer het script uit door de volgende opdrachten uit te voeren.

PowerShell-verificatie met behulp van de PowerShell Gallery (Windows Server 2016 of WMF 5.0/5.1)

De PowerShell-module installeren:

PS> Install-Module SpeculationControl

Voer de PowerShell-module om te controleren of de beveiligingen zijn ingeschakeld:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-verificatie met behulp van een download van TechNet (eerdere versies van het besturingssysteem en eerdere versies van WMF)

De PowerShell-module installeren vanuit TechNet Script Center:

  1. Ga naar https://aka.MS/SpeculationControlPS .
  2. Download SpeculationControl. zip naar een lokale map.
  3. Pak de inhoud uit in een lokale map. Bijvoorbeeld: C:\ADV180002

Voer de PowerShell-module om te controleren of de beveiligingen zijn ingeschakeld:

Start PowerShell, en gebruik vervolgens het vorige voorbeeld te kopiëren en voer de volgende opdrachten:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Zie voor een gedetailleerde uitleg van de uitvoer van het PowerShell-script, Knowledge Base-artikel 4074629 .

Veelgestelde vragen


Verwijzingen