Windows Server wskazówki do ochrony przed usterkami kanału po stronie spekulacyjnych wykonanie

Dotyczy: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Więcej

Podsumowanie


Firma Microsoft zapoznała się z nową klasę publicznie luk w zabezpieczeniach, które są nazywane "ataków spekulacyjnych wykonanie kanału po stronie" i które wpływają na wiele nowoczesnych procesorów Intel, AMD i ARM.

Uwaga Ten problem dotyczy także innych systemów operacyjnych, takich jak Android, chrom, iOS i macOS. Dlatego zalecamy klientom, aby zasięgnąć porady od tych dostawców.

Firma Microsoft wydała kilka aktualizacji, aby pomóc w osłabianiu tych luk w zabezpieczeniach. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze. W następujących sekcjach szczegółowych.

Firma Microsoft jeszcze nie otrzymała żadnych informacji wskazujących, że luki te były używane do ataków na klientów. Microsoft ściśle współpracuje z partnerami przemysłu, w tym producentów układów, producenci sprzętu OEM i dostawców aplikacji dla ochrony odbiorców. Aby uzyskać wszystkie dostępne zabezpieczenia, oprogramowanie układowe (mikrokodu) i oprogramowania są wymagane aktualizacje. Obejmuje to mikrokodu od producentów OEM urządzenia i, w niektórych przypadkach aktualizacje oprogramowania antywirusowego.

Ten artykuł dotyczy następujących luk:

Aby dowiedzieć się więcej o tej klasie luk w zabezpieczeniach, zobacz ADV180002 i ADV180012.

Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.

Zalecane działania


Klienci powinni podjąć następujące czynności, aby pomóc w ochronie przed lukami:

  1. Zastosuj wszystkie dostępne aktualizacje systemu Windows systemu operacyjnego, łącznie z comiesięczne aktualizacje zabezpieczeń systemu Windows. Szczegółowe informacje na temat sposobu, aby włączyć te aktualizacje, see 4072699 artykułu z bazy wiedzy Microsoft.
  2. Zastosowanie aktualizacji oprogramowania układowego stosowane (mikrokodu) od producenta sprzętu (OEM).
  3. Ocena ryzyka dla środowiska na podstawie informacji znajdujących się w klasyfikatorów zabezpieczeń firmy MicrosoftADV180002iADV180012i w tym artykule bazy wiedzy Knowledge Base.
  4. Podjąć działania zgodnie z wymaganiami za pomocą klasyfikatory i informacje dotyczące kluczy rejestru, która jest dostępna w tym artykule bazy wiedzy Knowledge Base.

Ustawienia ograniczania dla systemu Windows Server


Klasyfikatory zabezpieczeń ADV180002 i ADV180012 zawierają informacje na temat ryzyka stwarzanego przez te luki i zidentyfikować stan domyślny czynników ograniczających zagrożenie dla systemów Windows Server. Poniższa tabela zawiera podsumowanie wymóg mikrokodu Procesora i domyślny stan czynników ograniczających zagrożenie w systemie Windows Server.

CVE Wymaga mikrokodu i oprogramowania układowego Procesora? Ograniczenia domyślnego stanu

CVE-2017-5753

Nie

Domyślnie (Brak opcji Wyłącz)

CVE-2017-5715

Tak

Domyślnie wyłączone.

CVE-2017-5754

Nie

Windows Server 2019: Włączone domyślnie. Windows Server 2016 i wcześniejszych: domyślnie wyłączone.

CVE-2018-3639

Intel: tak

AMD: nr

Domyślnie wyłączone. Zobacz ADV180012 uzyskać więcej informacji i niniejszego artykułu KB dla ustawienia kluczy rejestru.

Klienci, którzy chcą uzyskać wszystkie dostępne zabezpieczenia przed skutkami tych usterek należy wprowadzić zmiany klucza rejestru umożliwiające tych czynników ograniczających zagrożenie, które są domyślnie wyłączone.

Włączenie tych czynników ograniczających zagrożenie może wpłynąć na wydajność. Skala skutków wydajność zależy od wielu czynników, takich jak specyficzne chipset w hoście fizycznych i obciążeń, które są uruchomione. Firma Microsoft zaleca klientom oceny skutków działania dla ich środowiska i dokonać niezbędnych dostosowań.

Serwer jest zwiększone ryzyko, jeśli znajduje się w jednej z następujących kategorii:

  • Funkcji Hyper-V obsługuje – wymaga ochrony dla maszyn wirtualnych do maszyny Wirtualnej i maszyny Wirtualnej do hosta ataków.
  • Hostów zdalnych usług pulpitu (RDSH) — wymaga ochrony z jednej sesji do innej sesji lub ataki hosta sesji.
  • Hosty fizyczne lub maszyn wirtualnych, które są uruchomione niezaufanego kodu, takich jak pojemnikach lub niezaufanego rozszerzenia dla bazy danych zawartości sieci web niezaufanych lub obciążenia, które uruchomić kod, który jest ze źródeł zewnętrznych. Te wymagają ochrony przed atakami niezaufanych procesu na innym podstawowe lub niezaufane proces do jądro.

Użyj następujących ustawień klucza rejestru umożliwiające czynników ograniczających zagrożenie na serwerze i ponownie uruchomić system, aby zmiany zaczęły obowiązywać.

WażneNiniejszej sekcji, metodzie lub zadania zawiera kroki, które informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

 

322756Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows

Zarządzanie czynników ograniczających zagrożenie dla CVE-2017-5715 (widmo wariantu 2) i CVE-2017-5754 (Meltdown)


Aby włączyć czynników ograniczających zagrożenie dla CVE-2017-5715 (widmo wariantu 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeżeli po zastosowaniu aktualizacji oprogramowania układowego i jest to host funkcji Hyper-V: Całkowicie zamknięty wszystkich maszyn wirtualnych. Umożliwia to ograniczenie zagrożenia związane z oprogramowania układowego mają być stosowane na hoście zanim maszyny wirtualne są uruchamiane. W związku z tym VMs również są aktualizowane, gdy jest uruchomiony ponownie.

Uruchom ponownie komputer , aby zmiany zaczęły obowiązywać .

Aby wyłączyć technologię CVE-2017-5715 (widmo wariantu 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać .

Uwaga FeatureSettingsOverrideMask ustawienie 3 jest dokładne dla ustawienia "Włącz" i "Wyłącz". (Zobacz więcej szczegółów na temat kluczy rejestru można znaleźć w sekcji "często zadawane pytania").

Zarządzanie ograniczenia zagrożenia dla CVE-2017-5715 (widmo wariant 2)


Aby wyłączyć wariant 2: (CVE -2017-5715" "Oddział docelowy iniekcji ")ograniczenie zagrożenia:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby włączyć wariant 2: (CVE-2017-5715"Oddział docelowy iniekcji") łagodzenia:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Tylko procesory AMD: po pełnej migracji na CVE-2017-5715 (widmo wariant 2)


Domyślnie ochrona użytkownika do jądra dla CVE-2017-5715 jest wyłączona dla procesorów AMD. Klientów należy włączyć ograniczenia zagrożenia otrzymać dodatkowe zabezpieczenia dla CVE-2017-5715.  Aby uzyskać więcej informacji zobacz często zadawane pytania dotyczące nr 15 w ADV180002.

Włączyć ochronę użytkownika do jądra na procesory AMD, wraz z innymi ochronę CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeżeli po zastosowaniu aktualizacji oprogramowania układowego i jest to host funkcji Hyper-V: Całkowicie zamknięty wszystkich maszyn wirtualnych. Umożliwia to ograniczenie zagrożenia związane z oprogramowania układowego mają być stosowane na hoście zanim maszyny wirtualne są uruchamiane. W związku z tym VMs również są aktualizowane, gdy jest uruchomiony ponownie.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Zarządzanie czynników ograniczających zagrożenie dla CVE-2018-3639 (spekulacyjnych obejście sklepu), CVE-2017-5715 (widmo wariantu 2) i CVE-2017-5754 (Meltdown)



Aby włączyć czynników ograniczających zagrożenie dla CVE-2018-3639 (spekulacyjnych obejście sklepu), CVE-2017-5715 (widmo wariantu 2) i CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeżeli po zastosowaniu aktualizacji oprogramowania układowego i jest to host funkcji Hyper-V: Całkowicie zamknięty wszystkich maszyn wirtualnych. Umożliwia to ograniczenie zagrożenia związane z oprogramowania układowego mają być stosowane na hoście zanim maszyny wirtualne są uruchamiane. W związku z tym VMs również są aktualizowane, gdy jest uruchomiony ponownie.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby wyłączyć technologię dla CVE-2018-3639 (spekulacyjnych obejście sklepu) i czynników ograniczających zagrożenie dla CVE-2017-5715 (widmo wariantu 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

 

Tylko procesory AMD: po pełnej migracji na CVE-2017-5715 (widmo wariantu 2) i CVE 2018-3639 (spekulacyjnych obejście magazynu)


Domyślnie ochrona użytkownika do jądra dla CVE-2017-5715 jest wyłączone dla procesorów firmy AMD. Klientów należy włączyć ograniczenia zagrożenia otrzymać dodatkowe zabezpieczenia dla CVE-2017-5715.  Aby uzyskać więcej informacji zobacz często zadawane pytania dotyczące nr 15 w ADV180002.

Włączyć ochronę użytkownika do jądra na procesory AMD, wraz z innymi ochronę CVE 2017-5715 i zabezpieczenia dla CVE-2018-3639 (spekulacyjnych obejście sklepu):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeżeli po zastosowaniu aktualizacji oprogramowania układowego i jest to host funkcji Hyper-V:Całkowicie wyłączony wszystkich maszyn wirtualnych. Umożliwia to ograniczenie zagrożenia związane z oprogramowania układowego mają być stosowane na hoście zanim maszyny wirtualne są uruchamiane. W związku z tym maszyny wirtualne są również aktualizowany, gdy jest uruchomiony ponownie.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Weryfikowanie, że zabezpieczenia są włączone


Aby pomóc klientom, sprawdź, czy zabezpieczenia są włączone, firma Microsoft opublikowała skrypt programu PowerShell, który klienci mogą uruchamiać w ich systemach. Zainstaluj i uruchom skrypt, uruchamiając następujące polecenia.

PowerShell weryfikacji za pomocą galerii programu PowerShell (Windows Server 2016 lub WMF 5.0/5.1)

Zainstaluj moduł PowerShell:

PS> Install-Module SpeculationControl

Uruchom moduł PowerShell, aby zweryfikować, że zabezpieczenia są włączone:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Środowiska PowerShell weryfikacji za pomocą pobierania z witryny Technet (wcześniej wersji systemu operacyjnego i WMF wcześniejszych wersjach)

Zainstaluj moduł PowerShell z Centrum skryptów Technet:

  1. Przejdź do https://aka.ms/SpeculationControlPS.
  2. Pobierz SpeculationControl.zip do folderu lokalnego.
  3. Wyodrębnić jego zawartość do folderu lokalnego. Na przykład: C:\ADV180002

Uruchom moduł PowerShell, aby zweryfikować, że zabezpieczenia są włączone:

Uruchom program PowerShell, a następnie użyć poprzedniego przykładowego do kopiowania i uruchom następujące polecenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Aby uzyskać szczegółowy opis danych wyjściowych skryptu PowerShell, zobacz artykułu bazy wiedzy Knowledge Base 4074629

Często zadawane pytania


Informacje