You have multiple accounts
Choose the account you want to sign in with.

Opmerking: Dit artikel wordt bijgewerkt zodra er aanvullende informatie beschikbaar komt. Kom hier regelmatig terug voor updates en nieuwe veelgestelde vragen.

Kwetsbaarheden

In dit artikel worden de volgende speculatieve uitvoeringsproblemen behandeld:

Windows Update biedt ook oplossingen voor Internet Explorer en Edge. We blijven deze oplossingen voor deze klasse van beveiligingsproblemen verbeteren.

Zie voor meer informatie over deze klasse beveiligingsproblemen

Op 14 mei 2019 heeft Intel informatie gepubliceerd over een nieuwe subklasse van speculatieve beveiligingsproblemen in het zijkanaal van de uitvoering, bekend als Microarchitectural Data Sampling en gedocumenteerd in ADV190013 | Microarchitecturale gegevenssampling. Aan deze cv's zijn de volgende CVE's toegewezen:

Belangrijk: Deze problemen zijn van invloed op andere systemen, zoals Android, Chrome, iOS en MacOS. We raden klanten aan om hulp te vragen bij deze leveranciers.

Microsoft heeft updates uitgebracht om deze beveiligingsproblemen te verhelpen. Voor alle beschikbare beveiligingen zijn firmware (microcode) en software-updates vereist. Dit kan microcode van apparaat-OEM's omvatten. In sommige gevallen heeft het installeren van deze updates invloed op de prestaties. We hebben ook gehandeld om onze cloudservices te beveiligen. We raden u ten zeerste aan deze updates te implementeren.

Zie voor meer informatie over dit probleem de volgende beveiligingsadvies en gebruik op scenario's gebaseerde richtlijnen om te bepalen welke acties nodig zijn om de bedreiging te verhelpen:

Opmerking: U wordt aangeraden alle meest recente updates van Windows Update te installeren voordat u microcode-updates installeert.

Op 6 augustus 2019 heeft Intel details uitgebracht over een beveiligingslek bij het vrijgeven van informatie over Windows-kernelinformatie. Dit beveiligingsprobleem is een variant van de spectre variant 1 speculatieve uitvoering side-channel beveiligingsprobleem en is toegewezen CVE-2019-1125.

Op 9 juli 2019 hebben we beveiligingsupdates voor het Windows-besturingssysteem uitgebracht om dit probleem te verhelpen. Houd er rekening mee dat we deze beperking openbaar hebben blijven documenteren tot de gecoördineerde openbaarmaking van de bedrijfstak op dinsdag 6 augustus 2019.

Klanten die Windows Update hebben ingeschakeld en de beveiligingsupdates hebben toegepast die op 9 juli 2019 zijn uitgebracht, worden automatisch beveiligd. Er is geen verdere configuratie nodig.

Opmerking: Voor dit beveiligingsprobleem is geen microcode-update van de fabrikant van uw apparaat (OEM) vereist.

Zie de Microsoft-handleiding voor beveiligingsupdates voor meer informatie over dit beveiligingsprobleem en de toepasselijke updates:

Op 12 november 2019 heeft Intel een technisch advies gepubliceerd over Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is toegewezen CVE-2019-11135. Microsoft heeft updates uitgebracht om dit beveiligingsprobleem te verhelpen. De besturingssysteembeveiligingen zijn standaard ingeschakeld voor Windows Server 2019, maar standaard uitgeschakeld voor Windows Server 2016 en eerdere edities van het Windows Server-besturingssysteem.

Op 14 juni 2022 hebben we ADV220002 gepubliceerd | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs: 

Aanbevolen acties

U moet de volgende acties uitvoeren om u te beschermen tegen de beveiligingsproblemen:

  1. Pas alle beschikbare Windows-besturingssysteemupdates toe, inclusief de maandelijkse Windows-beveiligingsupdates.

  2. Pas de toepasselijke firmware-update (microcode) toe die wordt geleverd door de fabrikant van het apparaat.

  3. Evalueer het risico voor uw omgeving op basis van de informatie die wordt verstrekt op Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 en ADV220002, naast de informatie in dit Knowledge Base artikel.

  4. Voer indien nodig actie uit met behulp van de adviezen en registersleutelgegevens die in dit Knowledge Base artikel worden verstrekt.

Opmerking: Surface-klanten ontvangen een microcode-update via Windows Update. Zie KB4073065 voor een lijst met de meest recente updates voor Surface-apparaatfirmware (microcode).

Risicobeperkingsinstellingen voor Windows Server en Azure Stack HCI

Beveiligingsadviezen ADV180002, ADV180012, ADV190013 en ADV220002 bieden informatie over het risico dat wordt veroorzaakt door deze beveiligingsproblemen. Ze helpen u ook bij het identificeren van de beveiligingsproblemen en het identificeren van de standaardstatus van oplossingen voor Windows Server-systemen. De onderstaande tabel bevat een overzicht van de vereiste CPU-microcode en de standaardstatus van de oplossingen op Windows Server.

CVE

Vereist CPU-microcode/firmware?

Standaardstatus voor risicobeperking

CVE-2017-5753

Nee

Standaard ingeschakeld (geen optie om uit te schakelen)

Raadpleeg ADV180002 voor meer informatie

CVE-2017-5715

Ja

Standaard uitgeschakeld.

Raadpleeg ADV180002 voor meer informatie en dit KB-artikel voor de toepasselijke registersleutelinstellingen.

Opmerking 'Retpoline' is standaard ingeschakeld voor apparaten met Windows 10 1809 of nieuwer als Spectre Variant 2 (CVE-2017-5715) is ingeschakeld. Voor meer informatie over 'Retpoline' volgt u Mitigating Spectre variant 2 with Retpoline in Windows blog post.

CVE-2017-5754

Nee

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.

Raadpleeg ADV180002 voor meer informatie.

CVE-2018-3639

Intel: Ja

AMD: Nee

Standaard uitgeschakeld. Zie ADV180012 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.

CVE-2018-11091

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.

CVE-2018-12126

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.

CVE-2018-12127

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.

CVE-2018-12130

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie ADV190013 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.

CVE-2019-11135

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld.
Windows Server 2016 en eerder: standaard uitgeschakeld.

Zie CVE-2019-11135 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.

CVE-2022-21123 (onderdeel van MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld. 
Windows Server 2016 en eerder: standaard uitgeschakeld.* 

Zie CVE-2022-21123 voor meer informatie en dit artikel voor de toepasselijke registersleutelinstellingen.

CVE-2022-21125 (onderdeel van MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld. 
Windows Server 2016 en eerder: standaard uitgeschakeld.* 

Zie CVE-2022-21125 voor meer informatie.

CVE-2022-21127 (onderdeel van MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld. 
Windows Server 2016 en eerder: standaard uitgeschakeld.* 

Zie CVE-2022-21127 voor meer informatie.

CVE-2022-21166 (onderdeel van MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 en Azure Stack HCI: standaard ingeschakeld. 
Windows Server 2016 en eerder: standaard uitgeschakeld.* 

Zie CVE-2022-21166 voor meer informatie.

CVE-2022-23825 (verwarring bij AMD CPU-vertakking)

AMD: Nee

Zie CVE-2022-23825 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.

CVE-2022-23816 (verwarring bij AMD CPU-vertakkingstype)

AMD: Nee

Zie CVE-2022-23816 voor meer informatie en dit artikel voor toepasselijke registersleutelinstellingen.

*Volg de onderstaande richtlijnen voor risicobeperking voor Meltdown.

Als u alle beschikbare beveiligingen tegen deze beveiligingsproblemen wilt verkrijgen, moet u wijzigingen in de registersleutel aanbrengen om deze oplossingen in te schakelen die standaard zijn uitgeschakeld.

Het inschakelen van deze oplossingen kan van invloed zijn op de prestaties. De schaal van de prestatie-effecten is afhankelijk van meerdere factoren, zoals de specifieke chipset in uw fysieke host en de workloads die worden uitgevoerd. We raden u aan om de prestatie-effecten voor uw omgeving te beoordelen en de benodigde aanpassingen aan te brengen.

Uw server heeft een verhoogd risico als deze zich in een van de volgende categorieën bevindt:

  • Hyper-V-hosts: vereist beveiliging voor VM-naar-VM- en VM-naar-host-aanvallen.

  • Extern bureaublad-serviceshosts (RDSH): vereist beveiliging van de ene sessie naar een andere sessie of van sessie-naar-host-aanvallen.

  • Fysieke hosts of virtuele machines waarop niet-vertrouwde code wordt uitgevoerd, zoals containers of niet-vertrouwde extensies voor database, niet-vertrouwde webinhoud of workloads waarop code wordt uitgevoerd die afkomstig is van externe bronnen. Deze vereisen bescherming tegen niet-vertrouwde process-to-another-process- of niet-vertrouwde proces-naar-kernel-aanvallen.

Gebruik de volgende registersleutelinstellingen om de oplossingen op de server in te schakelen en start het apparaat opnieuw op om de wijzigingen door te voeren.

Opmerking: Standaard kan het inschakelen van uitschakeling van risicobeperking invloed hebben op de prestaties. Het werkelijke prestatie-effect is afhankelijk van meerdere factoren, zoals de specifieke chipset op het apparaat en de workloads die worden uitgevoerd.

Registerinstellingen

Belangrijk: We bieden de volgende registergegevens om oplossingen in te schakelen die niet standaard zijn ingeschakeld, zoals beschreven in Beveiligingsadviezen ADV180002, ADV180012, ADV190013 en ADV220002.

Daarnaast bieden we registersleutelinstellingen als u de oplossingen wilt uitschakelen die betrekking hebben op CVE-2017-5715 en CVE-2017-5754 voor Windows-clients.

Belangrijk: Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Voor meer informatie over het maken van back-ups en het herstellen van het register, klikt u op het volgende artikelnummer om het artikel te bekijken in microsoft Knowledge Base:

322756 Een back-up maken van het register en het register herstellen in Windows

Belangrijk: Retpoline is standaard ingeschakeld op Windows 10 versie 1809 servers als Spectre, Variant 2 (CVE-2017-5715) is ingeschakeld. Het inschakelen van Retpoline op de nieuwste versie van Windows 10 kan de prestaties verbeteren op servers met Windows 10 versie 1809 voor Spectre variant 2, met name op oudere processors.

Oplossingen inschakelen voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Oplossingen uitschakelen voor CVE-2017-5715 (Spectre variant 2) en CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Opmerking: Het instellen van FeatureSettingsOverrideMask op 3 is nauwkeurig voor zowel de instellingen 'inschakelen' als 'uitschakelen'. (Zie de sectie Veelgestelde vragen voor meer informatie over registersleutels.)

Om variant 2 uit te schakelen: (CVE-2017-5715  "Branch Target Injection")-beperking:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Om variant 2 in te schakelen: (CVE-2017-5715  "Branch Target Injection")-beperking:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Standaard is beveiliging tussen gebruikers en kernels voor CVE-2017-5715 uitgeschakeld voor AMD-CPU's. Klanten moeten de beperking inschakelen om extra beveiliging te ontvangen voor CVE-2017-5715.  Zie veelgestelde vragen #15 in ADV180002 voor meer informatie.

Gebruikers-naar-kernelbeveiliging inschakelen op AMD-processors, samen met andere beveiligingen voor CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Om oplossingen in te schakelen voor CVE-2018-3639 (Speculatieve Store Bypass), CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Oplossingen uitschakelen voor CVE-2018-3639 (Speculatieve Store Bypass) EN oplossingen voor CVE-2017-5715 (Spectre Variant 2) en CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Standaard is beveiliging tussen gebruikers en kernels voor CVE-2017-5715 uitgeschakeld voor AMD-processors. Klanten moeten de beperking inschakelen om extra beveiliging te ontvangen voor CVE-2017-5715.  Zie veelgestelde vragen #15 in ADV180002 voor meer informatie.

Gebruikers-naar-kernelbeveiliging inschakelen op AMD-processors, samen met andere beveiligingen voor CVE 2017-5715 en beveiligingen voor CVE-2018-3639 (speculatieve store overslaan):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Oplossingen inschakelen voor Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) samen met Spectre [CVE-2017-5753 & CVE-2017-5715] en Meltdown [CVE-2017-5754] varianten, waaronder Speculatieve Store Bypass Disable (SSBD) [CVE-2018-3639 ] als evenals L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646] zonder hyperthreading uit te schakelen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Oplossingen inschakelen voor Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) samen met Spectre [ CVE-2017-5753 & CVE-2017-5715 ] en Meltdown [ CVE-2017-5754 ] varianten, waaronder Speculatieve Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as evenals L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646 ] met Hyper-Threading uitgeschakeld:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Als de Hyper-V-functie is geïnstalleerd, voegt u de volgende registerinstelling toe:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Als dit een Hyper-V-host is en de firmware-updates zijn toegepast: Sluit alle Virtual Machines volledig af. Hierdoor kan de firmwaregerelateerde beperking worden toegepast op de host voordat de VM's worden gestart. Daarom worden de VM's ook bijgewerkt wanneer ze opnieuw worden opgestart.

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Oplossingen uitschakelen voor Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) en Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) samen met Spectre [ CVE-2017-5753 & CVE-2017-5715 ] en Meltdown [ CVE-2017-5754 ] varianten, waaronder Speculatieve Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as evenals L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start het apparaat opnieuw op om de wijzigingen door te voeren.

Gebruikers-naar-kernelbeveiliging inschakelen op AMD-processors:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Om volledig beveiligd te zijn, moeten klanten mogelijk ook Hyper-Threading uitschakelen (ook wel bekend als gelijktijdige multithreading (SMT)). Raadpleeg KB4073757voor hulp bij het beveiligen van Windows-apparaten.

Controleren of beveiliging is ingeschakeld

Om te controleren of beveiliging is ingeschakeld, hebben we een PowerShell-script gepubliceerd dat u op uw apparaten kunt uitvoeren. Installeer en voer het script uit met behulp van een van de volgende methoden.

Installeer de PowerShell-module:

PS> Install-Module SpeculationControl

Voer de PowerShell-module uit om te controleren of beveiligingen zijn ingeschakeld:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installeer de PowerShell-module vanuit Technet ScriptCenter:

  1. Ga naar https://aka.ms/SpeculationControlPS .

  2. Download SpeculationControl.zip naar een lokale map.

  3. Pak de inhoud uit naar een lokale map. Bijvoorbeeld: C:\ADV180002

Voer de PowerShell-module uit om te controleren of beveiligingen zijn ingeschakeld:

Start PowerShell en gebruik vervolgens het vorige voorbeeld om de volgende opdrachten te kopiëren en uit te voeren:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Zie KB4074629 voor een gedetailleerde uitleg van de uitvoer van het PowerShell-script. 

Veelgestelde vragen

Om negatieve gevolgen voor apparaten van klanten te voorkomen, zijn de Windows-beveiligingsupdates die in januari en februari 2018 zijn uitgebracht, niet aan alle klanten aangeboden. Zie KB407269 voor meer informatie.

De microcode wordt geleverd via een firmware-update. Raadpleeg uw OEM over de firmwareversie die de juiste update voor uw computer heeft.

Er zijn meerdere variabelen die van invloed zijn op de prestaties, variërend van de systeemversie tot de workloads die worden uitgevoerd. Voor sommige systemen is het prestatie-effect verwaarloosbaar. Voor anderen zal het aanzienlijk zijn.

We raden u aan om de prestatie-effecten op uw systemen te beoordelen en waar nodig aanpassingen aan te brengen.

Naast de richtlijnen in dit artikel met betrekking tot virtuele machines, moet u contact opnemen met uw serviceprovider om ervoor te zorgen dat de hosts waarop uw virtuele machines worden uitgevoerd, voldoende zijn beveiligd.

Voor virtuele Windows Server-machines die worden uitgevoerd in Azure, raadpleegt u Richtlijnen voor het beperken van speculatieve beveiligingsproblemen aan de zijkant van het uitvoerkanaal in Azure . Zie KB4077467 voor hulp bij het gebruik van Azure Updatebeheer om dit probleem op gast-VM's te verhelpen.

De updates die zijn uitgebracht voor Windows Server-containerinstallatiekopieën voor Windows Server 2016 en Windows 10, versie 1709, bevatten de oplossingen voor deze set beveiligingsproblemen. Er is geen aanvullende configuratie vereist.

Opmerking U moet er nog steeds voor zorgen dat de host waarop deze containers worden uitgevoerd, is geconfigureerd om de juiste oplossingen in te schakelen.

Nee, de installatievolgorde maakt niet uit.

Ja, u moet opnieuw opstarten na de firmware-update (microcode) en vervolgens opnieuw na de systeemupdate.

Hier vindt u de details voor de registersleutels:

FeatureSettingsOverride vertegenwoordigt een bitmap die de standaardinstelling overschrijft en bepaalt welke beperkingen worden uitgeschakeld. Bit 0 bepaalt de beperking die overeenkomt met CVE-2017-5715. Bit 1 bepaalt de beperking die overeenkomt met CVE-2017-5754. De bits worden ingesteld op 0 om de beperking in te schakelen en op 1 om de beperking uit te schakelen.

FeatureSettingsOverrideMask vertegenwoordigt een bitmapmasker dat samen met FeatureSettingsOverride wordt gebruikt.  In deze situatie gebruiken we de waarde 3 (weergegeven als 11 in het binaire getal of het grondtal 2-getal) om de eerste twee bits aan te geven die overeenkomen met de beschikbare oplossingen. Deze registersleutel is ingesteld op 3 om de risicobeperking in of uit te schakelen.

MinVmVersionForCpuBasedMitigations is voor Hyper-V-hosts. Deze registersleutel definieert de minimale VM-versie die u nodig hebt om de bijgewerkte firmwaremogelijkheden (CVE-2017-5715) te gebruiken. Stel dit in op 1.0 voor alle VM-versies. U ziet dat deze registerwaarde wordt genegeerd (goedaardig) op niet-Hyper-V-hosts. Zie Virtuele gastmachines beveiligen tegen CVE-2017-5715 (vertakkingsdoelinjectie) voor meer informatie.

Ja, er zijn geen bijwerkingen als deze registerinstellingen worden toegepast vóór de installatie van de oplossingen die betrekking hebben op januari 2018.

Zie een gedetailleerde beschrijving van de scriptuitvoer op KB4074629: Understanding SpeculationControl PowerShell script output .

Ja, voor Windows Server 2016 Hyper-V-hosts waarvoor de firmware-update nog niet beschikbaar is, hebben we alternatieve richtlijnen gepubliceerd waarmee u de VM naar VM of VM voor hostaanvallen kunt beperken. Zie Alternatieve beveiligingen voor Windows Server 2016 Hyper-V-hosts tegen speculatieve beveiligingsproblemen aan de zijkant van het kanaal.

Alleen-beveiligingsupdates zijn niet cumulatief. Afhankelijk van de versie van uw besturingssysteem moet u mogelijk verschillende beveiligingsupdates installeren voor volledige beveiliging. Over het algemeen moeten klanten de updates van januari, februari, maart en april 2018 installeren. Systemen met AMD-processors hebben een extra update nodig, zoals wordt weergegeven in de volgende tabel:

Versie van het besturingssysteem

Beveiligingsupdate

Windows 8.1, Windows Server 2012 R2

KB4338815 - Maandelijks samenvouwen

KB4338824 - Alleen beveiliging

Windows 7 SP1, Windows Server 2008 R2 SP1 of Windows Server 2008 R2 SP1 (Server Core-installatie)

KB4284826 - Maandelijks samenvouwen

KB4284867 - Alleen beveiliging

Windows Server 2008 SP2

KB4340583 - Beveiligingsupdate

U wordt aangeraden de alleen-beveiligingsupdates te installeren in de volgorde van release.

Opmerking: In een eerdere versie van deze veelgestelde vragen werd ten onrechte vermeld dat de security-only update van februari de beveiligingsoplossingen bevat die in januari zijn uitgebracht. In feite is dat niet zo.

Nee. Beveiligingsupdate KB4078130 was een specifieke oplossing om onvoorspelbaar systeemgedrag, prestatieproblemen en onverwachte herstarts na de installatie van microcode te voorkomen. Het toepassen van de beveiligingsupdates op Windows-clientbesturingssystemen maakt alle drie de oplossingen mogelijk. Op Windows Server-besturingssystemen moet u de oplossingen nog steeds inschakelen nadat u de juiste tests hebt gedaan. Zie KB4072698 voor meer informatie.

Dit probleem is opgelost in KB4093118.

In februari 2018 kondigde Intel aan dat ze hun validaties hadden voltooid en begonnen met het uitbrengen van microcode voor nieuwere CPU-platforms. Microsoft stelt met Intel gevalideerde microcode-updates beschikbaar die betrekking hebben op Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Vertakkingsdoelinjectie). KB4093836 bevat specifieke Knowledge Base artikelen per Windows-versie. Elk specifiek KB-artikel bevat de beschikbare Intel-microcode-updates per CPU.

Op 11 januari 2018 meldde Intel problemen in onlangs uitgebrachte microcode die bedoeld was om Spectre-variant 2 (CVE-2017-5715 | Vertakkingsdoelinjectie). Intel heeft met name opgemerkt dat deze microcode kan leiden tot 'hoger dan verwacht opnieuw opstarten en ander onvoorspelbaar systeemgedrag' en dat deze scenario's 'gegevensverlies of beschadiging kunnen veroorzaken." Onze ervaring is dat instabiliteit van het systeem in sommige omstandigheden kan leiden tot gegevensverlies of beschadiging. Op 22 januari heeft Intel aanbevolen dat klanten stoppen met het implementeren van de huidige microcodeversie op de betrokken processors, terwijl Intel aanvullende tests uitvoert op de bijgewerkte oplossing. We begrijpen dat Intel het mogelijke effect van de huidige microcodeversie blijft onderzoeken. We raden klanten aan om hun richtlijnen doorlopend te bekijken om hun beslissingen te informeren.

Hoewel Intel nieuwe microcode test, bijwerkt en implementeert, maken we een out-of-band -update (OOB) beschikbaar, KB4078130, waarmee alleen de beperking tegen CVE-2017-5715 wordt uitgeschakeld. In onze tests is vastgesteld dat deze update het beschreven gedrag voorkomt. Zie de richtlijnen voor microcoderevisies van Intel voor de volledige lijst met apparaten. Deze update heeft betrekking op Windows 7 Service Pack 1 (SP1), Windows 8.1 en alle versies van Windows 10, zowel client als server. Als u een betrokken apparaat gebruikt, kan deze update worden toegepast door deze te downloaden van de microsoft Update Catalog-website. Met de toepassing van deze nettolading wordt alleen de beperking voor CVE-2017-5715 uitgeschakeld.

Vanaf dit moment zijn er geen bekende rapporten die aangeven dat deze Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") is gebruikt om klanten aan te vallen. Het is raadzaam dat Windows-gebruikers, indien van toepassing, de beperking tegen CVE-2017-5715 opnieuw uitvoeren wanneer Intel meldt dat dit onvoorspelbare systeemgedrag is opgelost voor uw apparaat.

In februari 2018heeft Intel aangekondigd dat ze hun validaties hebben voltooid en begonnen met het uitbrengen van microcode voor nieuwere CPU-platforms. Microsoft maakt met Intel gevalideerde microcode-updates beschikbaar die zijn gerelateerd aan Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Vertakkingsdoelinjectie). KB4093836 bevat specifieke Knowledge Base artikelen per Windows-versie. De KB's bevatten beschikbare Intel-microcode-updates per CPU.

Zie voor meer informatie AMD Security Updates en AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Deze zijn beschikbaar via het OEM-firmwarekanaal.

We stellen met Intel gevalideerde microcode-updates beschikbaar die betrekking hebben op Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). Klanten moeten Intel-microcode hebben geïnstalleerd op apparaten met een Windows 10 besturingssysteem voordat ze upgraden naar de Windows 10 update van april 2018 (versie 1803) om de nieuwste Intel-microcode-updates te krijgen via Windows Update.

De microcode-update is ook rechtstreeks beschikbaar vanuit de Microsoft Update-catalogus als deze niet op het apparaat is geïnstalleerd voordat u het systeem bijwerkt. Intel-microcode is beschikbaar via Windows Update, Windows Server Update Services (WSUS) of de Microsoft Update Catalog. Zie KB4100347 voor meer informatie en downloadinstructies.

Zie de secties 'Aanbevolen acties' en 'Veelgestelde vragen' van  ADV180012 | Microsoft-richtlijnen voor het overslaan van speculatieve winkels.

Om de status van SSBD te controleren, is het PowerShell-script Get-SpeculatieControlSettings bijgewerkt om de betrokken processors, de status van de updates van het SSBD-besturingssysteem en de status van de processormicrocode te detecteren, indien van toepassing. Zie KB4074629 voor meer informatie en om het PowerShell-script te verkrijgen.

Op 13 juni 2018 werd een extra beveiligingsprobleem aangekondigd dat speculatieve uitvoering van side-channels omvat, bekend als Lazy FP State Restore, en cve-2018-3665 toegewezen. Zie de ADV180016-| voor informatie over dit beveiligingsprobleem en aanbevolen acties Microsoft Guidance for Lazy FP State Restore .

Opmerking  Er zijn geen vereiste configuratie-instellingen (register) voor Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) is bekendgemaakt op 10 juli 2018 en toegewezen CVE-2018-3693. We beschouwen BCBS als behoren tot dezelfde klasse van beveiligingsproblemen als Bypass van grenzen controleren (variant 1). We zijn momenteel niet op de hoogte van instanties van BCBS in onze software. We gaan echter verder met het onderzoeken van deze klasse beveiligingsproblemen en werken samen met partners in de branche om zo nodig oplossingen vrij te geven. We raden onderzoekers aan om alle relevante bevindingen in te dienen bij het Microsoft Speculative Execution Side Channel-premieprogramma, inclusief alle exploiteerbare exemplaren van BCBS. Softwareontwikkelaars moeten de richtlijnen voor ontwikkelaars bekijken die zijn bijgewerkt voor BCBS bij C++ Developer Guidance for Speculative Execution Side Channels 

Op 14 augustus 2018 werd L1 Terminal Fault (L1TF) aangekondigd en meerdere CVE's toegewezen. Deze nieuwe speculatieve beveiligingsproblemen aan de zijkant van het kanaal kunnen worden gebruikt om de inhoud van het geheugen over een vertrouwde grens te lezen en, indien misbruikt, tot openbaarmaking van informatie leiden. Er zijn meerdere vectoren waarmee een aanvaller de beveiligingsproblemen kan activeren, afhankelijk van de geconfigureerde omgeving. L1TF is van invloed op Intel® Core-processors® en Intel® Xeon-processors®.

Zie de volgende bronnen voor meer informatie over dit beveiligingsprobleem en een gedetailleerde weergave van de getroffen scenario's, waaronder de aanpak van Microsoft voor het beperken van L1TF:

De stappen voor het uitschakelen van Hyper-Threading verschillen van OEM tot OEM, maar maken over het algemeen deel uit van de BIOS- of firmware-installatie- en configuratiehulpprogramma's.

Klanten die 64-bits ARM-processors gebruiken, moeten contact opnemen met de OEM van het apparaat voor firmwareondersteuning, omdat de ARM64-besturingssysteembeveiligingen CVE-2017-5715 | Voor vertakkingsdoelinjectie (Spectre, variant 2) moet de meest recente firmware-update van apparaat-OEM's van kracht worden.

Raadpleeg voor meer informatie over retpoline inschakelen onze blogpost: Mitigating Spectre variant 2 with Retpoline on Windows .

Zie de Microsoft-beveiligingshandleiding voor meer informatie over dit beveiligingsprobleem: CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability.

We zijn niet op de hoogte van een instantie van dit beveiligingsprobleem met betrekking tot de openbaarmaking van informatie die van invloed is op onze cloudservice-infrastructuur.

Zodra we op de hoogte zijn van dit probleem, hebben we snel gewerkt om het probleem op te lossen en een update uit te brengen. We geloven sterk in nauwe samenwerkingen met zowel onderzoekers als partners in de branche om klanten veiliger te maken en hebben pas dinsdag 6 augustus details gepubliceerd, in overeenstemming met gecoördineerde procedures voor het vrijgeven van beveiligingsproblemen.

Verwijzingen

We verstrekken contactgegevens van derden om u te helpen bij het vinden van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Wij garanderen niet de nauwkeurigheid van deze contactgegevens van derden.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×