Windows client richtlijnen voor IT-professionals te beschermen tegen side-Channel beveiligingslekken speculatieve

Van toepassing: Windows 10, version 1903Windows 10, version 1809Windows 10, version 1803

Samenvatting


Microsoft is zich bewust van een nieuwe klasse openbaar gemaakt van kwetsbaarheden die worden genoemd "speculatieve uitvoering side-Channel aanvallen" en die invloed hebben op vele moderne processors, met inbegrip van Intel, AMD, VIA, en ARM.

Opmerking Dit probleem heeft ook invloed op andere besturingssystemen, zoals Android, Chrome, iOS en macOS. Daarom adviseren wij klanten om advies te vragen aan deze leveranciers.

We hebben verschillende updates uitgebracht om deze kwetsbaarheden te helpen verhelpen. We hebben ook actie ondernomen om onze clouddiensten te beveiligen. Zie de volgende secties voor meer informatie.

We hebben nog geen informatie ontvangen om aan te geven dat deze kwetsbaarheden werden gebruikt om klanten aan te vallen. We werken nauw samen met industriepartners, waaronder chip makers, hardware-Oem's en leveranciers van toepassingen om klanten te beschermen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit omvat microcode van apparaat Oem's en, in sommige gevallen, updates voor antivirussoftware.

In dit artikel worden de volgende beveiligingslekken opgelost:

Windows Update biedt ook Internet Explorer en rand oplossingen. We zullen deze beperkende maatregelen tegen deze klasse van kwetsbaarheden blijven verbeteren.

Zie voor meer informatie over deze klasse van beveiligingslekken,

Bijgewerkt op mei 14, 2019 Op 14 mei 2019, Intel gepubliceerd informatie over een nieuwe subklasse van speculatieve uitvoering side-Channel beveiligingslekken bekend als Microarchitectural gegevens sampling. Aan hen zijn de volgende CVEs toegewezen:

Belangrijk Deze problemen zijn van invloed op andere systemen, zoals Android, Chrome, iOS en MacOS. Wij adviseren klanten om advies te vragen aan hun respectieve leveranciers.

We hebben updates uitgebracht om te helpen deze beveiligingslekken te verhelpen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit kan microcode van het apparaat Oem's omvatten. In sommige gevallen heeft het installeren van deze updates een invloed op de prestaties. We hebben ook gehandeld om onze clouddiensten te beveiligen. Het is raadzaam deze updates te implementeren.

Zie voor meer informatie over dit probleem het volgende beveiligingsadvies en gebruik op scenario's gebaseerde richtlijnen om te bepalen welke acties nodig zijn om de dreiging te beperken:

Opmerking Het is raadzaam alle van de meest recente updates van Windows Update te installeren voordat u microcode-updates installeert.

UPDATED op augustus 6, 2019 op augustus 6, 2019 Intel vrijgegeven details over een Windows-kernel beveiligingslek met betrekking tot het vrijgeven van informatie. Dit beveiligingslek is een variant van de Spectre variant 1 speculatieve uitvoering side Channel kwetsbaarheid en is toegewezen CVE-2019-1125.

Op 9 juli 2019 hebben we beveiligingsupdates uitgebracht voor het Windows-besturingssysteem om dit probleem te verhelpen. Houd er rekening mee dat we deze mitigatie publiekelijk hebben tegengehouden tot de gecoördineerde bekendmaking van de sector op dinsdag 6 augustus 2019.

Klanten die Windows Update hebben ingeschakeld en de beveiligingsupdates hebben toegepast die zijn uitgebracht op 9 juli 2019 worden automatisch beveiligd. Er is geen verdere configuratie nodig.

Opmerking voor dit beveiligingslek is geen microcode-update vereist van de fabrikant van uw apparaat (OEM).

Zie de Microsoft Security Update Guide voor meer informatie over dit beveiligingslek en de toepasselijke updates:

CVE-2019-1125 | Beveiligingslek met betrekking tot het vrijgeven van informatie over Windows-kernel.

Bijgewerkt op November 12, 2019 op november 12, 2019, Intel publiceerde een technisch advies rond Intel® transactionele synchronisatie-extensies (Intel® TSX) transactie asynchroon afbreken kwetsbaarheid die is toegewezen CVE-2019-11135. Microsoft heeft updates uitgebracht om dit beveiligingslek te verhelpen en de besturingssysteem beveiligingen zijn standaard ingeschakeld voor Windows client OS-edities.

Aanbevolen acties


Klanten moeten de volgende acties uitvoeren om te helpen beschermen tegen de beveiligingslekken:

  1. Pas alle beschikbare updates van het Windows-besturingssysteem toe, inclusief de maandelijkse Windows-beveiligingsupdates.
  2. Pas de toepasselijke firmware-update (microcode) toe die door de fabrikant van het apparaat wordt geleverd.
  3. Evalueer het risico voor uw omgeving op basis van de informatie die wordt geleverd op Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 en informatie in dit Knowledge Base-artikel.
  4. Neem actie zoals vereist met behulp van de adviezen en registersleutel informatie die zijn opgegeven in dit Knowledge Base-artikel.

Opmerking Surface-klanten ontvangen een microcode-update via Windows Update. Zie voor een lijst van de meest recente beschikbare Surface device firmware (microcode) updates KB 4073065.

Beperkingsinstellingen voor Windows-clients


Beveiligingsadviezen ADV180002, ADV180012en ADV190013 bieden informatie over het risico dat wordt veroorzaakt door deze beveiligingslekken en ze helpen u de standaardstatus van beperkende factoren voor Windows-clientsystemen te identificeren. De volgende tabel bevat een overzicht van de vereiste van CPU-microcode en de standaardstatus van de beperkende factoren op Windows-clients.

Cve

Vereist CPU microcode/firmware?

Standaardstatus van risicobeperking

CVE-2017-5753

Nee

Standaard ingeschakeld (geen optie om uit te schakelen)

Raadpleeg ADV180002 voor meer informatie.

CVE-2017-5715

Ja

Standaard ingeschakeld. Gebruikers van systemen op basis van AMD-processors moeten Veelgestelde vragen #15 en gebruikers van ARM-processors moeten de veelgestelde vragen #20 op ADV180002 voor aanvullende actie en dit KB-artikel voor de toepasselijke registersleutelinstellingen zien.

Opmerking "Retpoline" is standaard ingeschakeld voor apparaten met Windows 10 1809 of nieuwer als Spectre variant 2 (CVE-2017-5715) is ingeschakeld. Voor meer informatie, rond "retpoline", volg de richtlijnen inde beperkende Spectre variant 2 met retpoline op Windows blog post.

CVE-2017-5754

Nee

Standaard ingeschakeld

Raadpleeg ADV180002 voor meer informatie.

CVE-2018-3639

Intel: Ja AMD: Nee ARM: Ja

Intel en AMD: standaard uitgeschakeld. Zie ADV180012 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.

ARM: standaard ingeschakeld zonder optie om uit te schakelen.

CVE-2018-11091 Intel: Ja

Standaard ingeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-12126 Intel: Ja

Standaard ingeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-12127 Intel: Ja

Standaard ingeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2018-12130 Intel: Ja

Standaard ingeschakeld.

Zie ADV190013 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.
CVE-2019-11135 Intel: Ja

Standaard ingeschakeld.

Zie CVE-2019-11135 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.

Opmerking Beperkende maatregelen die zijn uitgeschakeld door-standaard kunnen invloed hebben op de prestaties. Het effect van de werkelijke prestaties is afhankelijk van meerdere factoren, zoals de specifieke chipset in het apparaat en de werkbelastingen die worden uitgevoerd.

Registerinstellingen


We bieden de volgende registerinformatie om in te schakelen beperkende factoren die niet standaard zijn ingeschakeld, zoals beschreven in Beveiligingsadviezen ADV180002 en ADV180012. Bovendien bieden we registersleutelinstellingen voor gebruikers die de beperkende factoren die verband houden met CVE-2017-5715 en CVE-2017-5754 voor Windows-clients willen uitschakelen.

Belangrijk Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register moet wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u deze wijzigt. Vervolgens u het register herstellen als er een probleem optreedt. Raadpleeg het volgende artikel in de Microsoft Knowledge Base voor meer informatie over het maken en terugzetten van een back-up van het register:

322756 het back-up en terugzetten van het register in Windows

Beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting) beheren


Belangrijke opmerking Retpoline is standaard ingeschakeld op Windows 10, versie 1809 apparaten als Spectre, variant 2 (CVE-2017-5715) is ingeschakeld. Het inschakelen van Retpoline op de nieuwste versie van Windows 10 kan de prestaties verbeteren op apparaten met Windows 10, versie 1809 voor Spectre variant 2, met name op oudere processors.

Om in te schakelen standaard beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting)

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Start de computer opnieuw op om de wijzigingen door te voeren.

Beperkende maatregelen uitschakelen voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting)

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Start de computer opnieuw op om de wijzigingen door te voeren.

Opmerking Een waarde van 3 is nauwkeurig voor Featuresettingsoverridemask voor zowel de "Enable" en "Disable" instellingen. (Zie de sectie ' Veelgestelde vragen ' voor meer informatie over registersleutels.)

Beheer mitigatie voor CVE-2017-5715 (Spectre variant 2)


Om beperkende factoren voor CVE-2017-5715 (Spectre Variant 2)uit te schakelen :

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Start de computer opnieuw op om de wijzigingen door te voeren.

Om in te schakelen standaard beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting):

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Start de computer opnieuw op om de wijzigingen door te voeren.

Alleen AMD en ARM-processors: volledige risicobeperking voor CVE-2017-5715 (Spectre variant 2) inschakelen


Gebruiker-naar-kernel-beveiliging voor CVE-2017-5715 is standaard uitgeschakeld voor AMD en ARM Cpu's. Klanten moeten de oplossing voor het ontvangen van aanvullende beveiligingen voor CVE-2017-5715 inschakelen. Zie voor meer informatie Veelgestelde vragen #15 in ADV180002 voor AMD-processors en veelgestelde vragen #20 in ADV180002 voor arm-processors.

Bescherming van de gebruiker-naar-kernel op AMD en arm-processors in combinatie met andere beveiligingen voor CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Beperkende factoren voor CVE-2018-3639 (speculatieve winkel bypass), CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting) beheren


Om in te schakelen beperkende factoren voor CVE-2018-3639 (speculatieve winkel bypass), standaard beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Opmerking: AMD-processors zijn niet kwetsbaar voor CVE-2017-5754 (kernsmelting). Deze registersleutel wordt gebruikt in systemen met AMD-processors om in te schakelen standaard beperkende factoren voor CVE-2017-5715 op AMD-processors en de beperking voor CVE-2018-3639.

Om beperkende factoren voor CVE-2018-3639 (speculatieve winkel bypass) * en * beperkende factoren voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (kernsmelting) uitschakelen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Alleen AMD-processors: volledige risicobeperking voor CVE-2017-5715 (Spectre variant 2) en CVE 2018-3639 (speculatieve winkel bypass) inschakelen


Gebruiker-naar-kernel-beveiliging voor CVE-2017-5715 is standaard uitgeschakeld voor AMD-processors. Klanten moeten de oplossing voor het ontvangen van aanvullende beveiligingen voor CVE-2017-5715 inschakelen.  Zie voor meer informatie Veelgestelde vragen #15 in ADV180002.

Bescherming van de gebruiker-naar-kernel op AMD-processors samen met andere beveiligingen voor cve 2017-5715 en beveiligingen voor CVE-2018-3639 (speculatieve winkel bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start de computer opnieuw op om de wijzigingen door te voeren.

Intel® transactionele synchronisatie-extensies (Intel® TSX) transactie asynchroon afbreken van het beveiligingslek (CVE-2019-11135) en Microarchitecturele gegevens bemonstering (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) samen met Spectre (CVE-2017-5753 & CVE-2017-5715) en Meltdown (CVE-2017-5754) varianten, met inbegrip van speculatieve winkel bypass uitschakelen (SSBD) (CVE-2018-3639) evenals L1 Terminal fault (L1TF) (CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646)


Om in te schakelen beperkende factoren voor Intel® transactionele synchronisatie extensies (Intel® TSX) transactie asynchroon afbreken van het beveiligingslek (CVE-2019-11135) en microarchitectural gegevens sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) samen met Spectre (CVE-2017-5753 & CVE-2017-5715) en Meltdown (CVE-2017-5754) varianten, met inbegrip van speculatieve winkel bypass uitschakelen (ssbd) ( CVE-2018-3639) evenals L1 Terminal fault (L1TF) (CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646) zonder Hyper-Threading uit te schakelen:

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg toevoegen "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Om in te schakelen beperkende factoren voor Intel® transactionele synchronisatie extensies (Intel® TSX) transactie asynchroon afbreken van het beveiligingslek (CVE-2019-11135) en microarchitectural gegevens sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) samen met Spectre (CVE-2017-5753 & CVE-2017-5715) en Meltdown (CVE-2017-5754) varianten, met inbegrip van speculatieve winkel bypass uitschakelen (ssbd) ( CVE-2018-3639) evenals L1 Terminal fault (L1TF) (CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646) met Hyper-Threading uitgeschakeld:

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling:

reg toevoegen "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

 

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Alle virtuele machines volledig afgesloten. Hiermee de firmware-gerelateerde beperking worden toegepast op de host voordat de virtuele machines worden gestart. Daarom worden de virtuele machines ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start de computer opnieuw op om de wijzigingen door te voeren.

Beperkende factoren voor Intel® transactionele synchronisatie extensies (Intel® TSX) transactie asynchroon afbreken van het beveiligingslek (CVE-2019-11135) en microarchitectural gegevens sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) samen met Spectre (CVE-2017-5753 & CVE-2017-5715) en Meltdown (CVE-2017-5754) varianten, met inbegrip van speculatieve winkel bypass uitschakelen (ssbd) ( CVE-2018-3639) evenals L1 Terminal fault (L1TF) (CVE-2018-3615, CVE-2018-3620, en CVE-2018-3646):

reg toevoegen ' HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management '/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg toevoegen "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Start de computer opnieuw op om de wijzigingen door te voeren.

Controleren of beveiligingen zijn ingeschakeld


Om klanten te helpen controleren of beveiligingen zijn ingeschakeld, hebben we een PowerShell-script gepubliceerd dat klanten op hun systemen kunnen uitvoeren. Installeer en voer het script uit door de volgende opdrachten uit te voeren.

PowerShell-verificatie met behulp van de PowerShell Gallery (Windows Server 2016 of WMF 5.0/5.1)

De PowerShell-module installeren:

PS > installatie-module SpeculationControl

Voer de PowerShell-module om te controleren of de beveiligingen zijn ingeschakeld:

PS > # Sla het huidige uitvoeringsbeleid op zodat het opnieuw kan worden ingesteld

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-bereik CurrentUser

PS > import-module SpeculationControl

PS > Get-SpeculationControlSettings

PS > # het uitvoeringsbeleid opnieuw instellen op de oorspronkelijke staat

PS > Set-ExecutionPolicy $SaveExecutionPolicy-Scope CurrentUser

 

PowerShell-verificatie met behulp van een download van TechNet (eerdere versies van het besturingssysteem en eerdere versies van WMF)

De PowerShell-module installeren vanuit TechNet Script Center:

Ga naar https://aka.MS/SpeculationControlPS

Download SpeculationControl. zip naar een lokale map.

Pak de inhoud uit in een lokale map, bijvoorbeeld C:\ADV180002

Voer de PowerShell-module om te controleren of de beveiligingen zijn ingeschakeld:

PowerShell starten en vervolgens (met behulp van het vorige voorbeeld) kopiëren en voer de volgende opdrachten:

PS > # Sla het huidige uitvoeringsbeleid op zodat het opnieuw kan worden ingesteld

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-bereik CurrentUser

PS > CD C:\ADV180002\SpeculationControl

PS > import-module .\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # het uitvoeringsbeleid opnieuw instellen op de oorspronkelijke staat

PS > Set-ExecutionPolicy $SaveExecutionPolicy-Scope CurrentUser

Voor een gedetailleerde uitleg van de uitvoer van het PowerShell-script, raadpleegt u Knowledge Base-artikel 4074629.

Veelgestelde vragen