Wskazówki dotyczące systemu Windows Server w celu ochrony przed luk kanału po stronie spekulacyjnych wykonanie

Dotyczy: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Podsumowanie


Firma Microsoft zapoznał się z nową klasę publicznie luk w zabezpieczeniach, które są nazywane "ataki kanału po stronie spekulacyjnych wykonanie" i które wpływają na wiele nowoczesnych procesorów, w tym Intel, AMD, VIA i ARM.

Uwaga Ten problem dotyczy również innych systemów operacyjnych, takich jak Android, Chrome, iOS i macOS. Dlatego zalecamy klientom zasięganie wskazówek od tych dostawców.

Firma Microsoft wydała kilka aktualizacji, aby pomóc złagodzić te luki. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze. Zobacz następujące sekcje, aby uzyskać więcej informacji.

Firma Microsoft nie otrzymała jeszcze żadnych informacji wskazujących, że luki te zostały użyte do ataku na klientów. Firma Microsoft ściśle współpracuje z partnerami branżowymi, w tym z producentami chipów, sprzętu OEM i dostawcami aplikacji w celu ochrony klientów. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są oprogramowanie układowe (mikrokod) i aktualizacje oprogramowania. Obejmuje to mikrokodu od producentów OEM urządzenia i, w niektórych przypadkach, aktualizacje oprogramowania antywirusowego.

Ten artykuł dotyczy następujących luk w zabezpieczeniach:

Windows Update zapewni również program Internet Explorer i ograniczenia ograniczające zagrożenie. Będziemy nadal ulepszać te czynniki ograniczające zagrożenie w odniesieniu do tej klasy luk w zabezpieczeniach.

Aby dowiedzieć się więcej na temat tej klasy luk w zabezpieczeniach, zobacz

Zaktualizowano w dniu 14 maja 2019: 14 maja 2019, Intel opublikowane informacje o nowej podklasy spekulacyjnych wykonanie po stronie kanału luk w zabezpieczeniach znany jako mikroarchitektury danych próbkowania. Przypisano im następujące CVEs:

Ważne: Te problemy będą miały wpływ na inne systemy, takie jak Android, Chrome, iOS i MacOS. Doradzamy klientom zasięganie wskazówek od odpowiednich sprzedawców.

Firma Microsoft wydała aktualizacje, aby pomóc w ograniczeniu tych luk w zabezpieczeniach. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są oprogramowanie układowe (mikrokod) i aktualizacje oprogramowania. Może to obejmować mikrokodu od producentów OEM urządzenia. W niektórych przypadkach zainstalowanie tych aktualizacji będzie miało wpływ na wydajność. Mamy również działał w celu zabezpieczenia naszych usług w chmurze. Zdecydowanie zaleca się wdrażanie tych aktualizacji.

Aby uzyskać więcej informacji na temat tego problemu zobacz następujący Poradnik zabezpieczeń i użyj oparte na scenariuszach wskazówki do określenia działań niezbędnych do złagodzenia zagrożenia:

Uwaga Zaleca się zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem aktualizacji mikrokodu.

UPdated 6 sierpnia 2019:6 sierpnia 2019 firma Intel wydała szczegółowe informacje na temat luki w zabezpieczeniach jądra systemu Windows umożliwiającej ujawnienie informacji. Ta luka jest wariantem usterki kanału po stronie spekulatywnej wykonanie Spektre Variant 1 i został przypisany CVE-2019-1125.

9 lipca 2019 opublikowaliśmy aktualizacje zabezpieczeń dla systemu operacyjnego Windows, aby pomóc w złagodzeniu tego problemu. Należy pamiętać, że odbyło się z powrotem dokumentowanie tego łagodzenia publicznie do skoordynowanego ujawnienia przemysłu we wtorek, 6 sierpnia 2019.

Klienci, którzy mają włączoną funkcję Windows Update i zastosował aktualizacje zabezpieczeń wydane 9 lipca 2019 są chronione automatycznie. Nie ma potrzeby dalszej konfiguracji.

UwagaTa luka w zabezpieczeniach nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i odpowiednich aktualizacji, zobacz Podręcznik aktualizacji zabezpieczeń firmy Microsoft:CVE-2019-1125 | Luka w zabezpieczeniach jądra systemu Windows umożliwiająca ujawnienie informacji

Zalecane działania


Klienci powinni podjąć następujące działania, aby pomóc w ochronie przed lukami:

  1. Zastosuj wszystkie dostępne aktualizacje systemu operacyjnego Windows, w tym miesięczne aktualizacje zabezpieczeń systemu Windows.
  2. Zastosuj odpowiednią aktualizację oprogramowania układowego (mikrokodu) dostarczonego przez producenta urządzenia.
  3. Ocena ryzyka dla środowiska na podstawie informacji podanych w Klasyfikatory zabezpieczeń firmy Microsoft: ADV180002, Wadv180012, ADV190013oraz informacje zawarte w tym artykule z bazy wiedzy Knowledge Base.
  4. Podejmij działania zgodnie z wymaganiami, korzystając z porad i informacji o kluczu rejestru podanych w tym artykule z bazy wiedzy Knowledge Base.

Uwaga Klienci Surface otrzymają aktualizację mikrokodu za pośrednictwem aktualizacji systemu Windows. Aby uzyskać listę najnowszych aktualizacji oprogramowania układowego urządzenia Surface (mikrokodu), zobacz KB 4073065 w.

Ustawienia łagodzenia dla systemu Windows Server


Klasyfikatory zabezpieczeń ADV180002, Wadv180012I ADV190013dostarczają informacji o ryzyku stwarzanym przez te luki.  Ułatwiają one również identyfikowanie tych luk w zabezpieczeniach i identyfikowanie domyślnego stanu czynników ograniczających zagrożenie dla systemów Windows Server. Poniższa tabela podsumowuje wymóg mikrokodu procesora CPU i domyślnego stanu czynników ograniczających zagrożenie w systemie Windows Server.

— cveWymaga mikrokodu CPU/firmware?Stan domyślny łagodzenia

CVE-2017-5753

Nie

Domyślnie włączone (Brak opcji wyłączenia)

Zapoznaj się z ADV180002dodatkowe informacje

CVE-2017-5715

Tak

Domyślnie wyłączone.

Zapoznaj się z ADV180002Aby uzyskać dodatkowe informacje i ten artykuł KB dla odpowiednich ustawień kluczy rejestru.

Uwaga: "Retpoline" jest domyślnie włączona dla urządzeń z systemem Windows 10 1809 lub nowszy, jeśli Spectre Variant 2 (CVE-2017-5715) jest włączona. Aby uzyskać więcej informacji, wokół "Retpoline", wykonajŁagodzenia Spectre wariant 2 z Retpoline w systemie WindowsBlogu.

CVE-2017-5754

Nie

Windows Server 2019: domyślnie włączone. Windows Server 2016 i starsze wersje: domyślnie wyłączone.

Zapoznaj się z ADV180002Aby uzyskać dodatkowe informacje.

CVE-2018-3639

Intel: tak

AMD: nie

Domyślnie wyłączone. Zobacz wadv180012 Aby uzyskać więcej informacji i ten artykuł KB dla odpowiednich ustawień klucza rejestru.

CVE-2018-11091Intel: tak

Windows Server 2019: domyślnie włączone. Windows Server 2016 i starsze wersje: domyślnie wyłączone.

Zobacz ADV190013Aby uzyskać więcej informacji i ten artykuł KB dla odpowiednich ustawień klucza rejestru.
CVE-2018-12126Intel: tak

Windows Server 2019: domyślnie włączone. Windows Server 2016 i starsze wersje: domyślnie wyłączone.

Zobacz ADV190013Aby uzyskać więcej informacji i ten artykuł KB dla odpowiednich ustawień klucza rejestru.
CVE-2018-12127Intel: tak

Windows Server 2019: domyślnie włączone. Windows Server 2016 i starsze wersje: domyślnie wyłączone.

Zobacz ADV190013Aby uzyskać więcej informacji i ten artykuł KB dla odpowiednich ustawień klucza rejestru.
CVE-2018-12130Intel: tak

Windows Server 2019: domyślnie włączone. Windows Server 2016 i starsze wersje: domyślnie wyłączone.

Zobacz ADV190013Aby uzyskać więcej informacji i ten artykuł KB dla odpowiednich ustawień klucza rejestru.

Klienci, którzy chcą uzyskać wszystkie dostępne zabezpieczenia przed tymi lukami, muszą wprowadzić zmiany w kluczu rejestru, aby włączyć te czynniki ograniczające zagrożenie, które są domyślnie wyłączone.

Włączenie tych czynników ograniczających zagrożenie może wpłynąć na wydajność. Skala efektów wydajności zależy od wielu czynników, takich jak określony Chipset w hoście fizycznym i uruchomionych obciążeń. Zaleca się, aby klienci ocenić efekty wydajności dla swojego środowiska i dokonać niezbędnych korekt.

Serwer jest narażony na zwiększone ryzyko, jeśli jest w jednej z następujących kategorii:

  • Hosty funkcji Hyper-V — wymaga ochrony przed atakami VM-to-VM i VM-to-host.
  • Hosty usług pulpitu zdalnego (RDSH) — wymaga ochrony z jednej sesji do innej sesji lub z ataków typu sesja-host.
  • Hosty fizyczne lub maszyny wirtualne z uruchomionym niezaufanym kodem, takie jak kontenery lub niezaufane rozszerzenia dla bazy danych, niezaufanej zawartości sieci Web lub obciążeń uruchamiają kod, który jest z zewnętrznych źródeł. Wymagają one ochrony przed atakami niezaufanymi proces do innego procesu lub niezaufany proces do jądra.

Użyj następujących ustawień klucza rejestru, aby włączyć środki zaradczy na serwerze, a następnie uruchom ponownie system, aby zmiany zostały wprowadzone.

Uwaga Włączanie czynników ograniczających zagrożenie, które są wyłączone przez domyślne może wpłynąć na wydajność. Rzeczywisty efekt wydajności zależy od wielu czynników, takich jak określony Chipset w urządzeniu i uruchomionych obciążeń.

Ustawienia rejestru


Firma zapewnia następujące informacje rejestru, aby włączyć środki zaradcze, które nie są domyślnie włączone, zgodnie z opisem w klasyfikacje zabezpieczeń ADV180002, Wadv180012I ADV190013.

Ponadto zapewniamy ustawienia kluczy rejestru dla użytkowników, którzy chcą wyłączyć czynniki ograniczające zagrożenie, które są związane z CVE-2017-5715 i CVE-2017-5754 dla klientów systemu Windows.

Ważne Ta sekcja, metoda lub zadanie zawiera kroki, które informują, jak zmodyfikować rejestr. Jednak Niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, wykonaj następujące kroki ostrożnie. Aby uzyskać dodatkową ochronę, należy wykonać kopię zapasową rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji dotyczących sposobu kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows

 
 

Zarządzanie ograniczeniami ryzyka dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)


Ważna Uwaga: Retpoline jest domyślnie włączona w systemie Windows 10, wersja 1809 serwerów, jeśli Spectre, wariant 2 (CVE-2017-5715) jest włączona. Włączanie Retpoline w najnowszej wersji systemu Windows 10 może zwiększyć wydajność na serwerach z systemem Windows 10, wersja 1809 dla Spectre wariant 2, szczególnie w starszych procesorów.

Aby włączyć czynniki ograniczające zagrożenie dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli jest zainstalowana funkcja Hyper-V, Dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host funkcji Hyper-V i zostały zastosowane aktualizacje oprogramowania układowego: Całkowicie Zamknij wszystkie maszyny wirtualne. Dzięki temu środki zaradcze związane z oprogramowaniem układowym mają być stosowane na hoście przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Aby wyłączyć czynniki ograniczające zagrożenie w przypadku luki CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Uwaga Ustawienie FeatureSettingsOverrideMask na 3 jest dokładne zarówno dla "Enable" i "Disable" Ustawienia. (Zobacz "FAQ", aby uzyskać więcej informacji o kluczach rejestru.)

Zarządzanie łagodzeniem zagrożenia CVE-2017-5715 (Spectre Variant 2)


Aby wyłączyć wariant 2: (CVE-2017-5715"oddział docelowy iniekcji") łagodzenia:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Aby włączyć wariant 2: (CVE-2017-5715"oddział docelowy iniekcji") łagodzenia:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Tylko procesory AMD: Włącz pełne środki zaradcze dla CVE-2017-5715 (Spectre Variant 2)


Domyślnie Ochrona użytkownika do jądra dla CVE-2017-5715 jest wyłączona dla procesorów AMD. Klienci muszą włączyć środki zaradcze, aby uzyskać dodatkowe zabezpieczenia dla CVE-2017-5715.  Aby uzyskać więcej informacji, zobacz FAQ #15 w ADV180002.

Włącz ochronę użytkownika do jądra na PROCESORACH AMD wraz z innymi zabezpieczeniami dla CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli jest zainstalowana funkcja Hyper-V, Dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host funkcji Hyper-V i zostały zastosowane aktualizacje oprogramowania układowego: Całkowicie Zamknij wszystkie maszyny wirtualne. Dzięki temu środki zaradcze związane z oprogramowaniem układowym mają być stosowane na hoście przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Zarządzanie ograniczeniami ryzyka dla CVE-2018-3639 (spekulacyjne obejście magazynu), CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)



Aby włączyć środki ograniczające zagrożenie dla luki CVE-2018-3639 (obejście spekulacyjne magazynu), CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli jest zainstalowana funkcja Hyper-V, Dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host funkcji Hyper-V i zostały zastosowane aktualizacje oprogramowania układowego: Całkowicie Zamknij wszystkie maszyny wirtualne. Dzięki temu środki zaradcze związane z oprogramowaniem układowym mają być stosowane na hoście przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Aby wyłączyć środki zaradczy dla CVE-2018-3639 (spekulacyjne obejście magazynu) i czynniki ograniczające zagrożenie dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Tylko procesory AMD: Włącz pełne środki zaradcze dla CVE-2017-5715 (Spectre Variant 2) i CVE 2018-3639 (Bypass magazynu spekulacyjnego)


Domyślnie Ochrona przez użytkownika do jądra dla CVE-2017-5715 jest wyłączona dla procesorów AMD. Klienci muszą włączyć środki zaradcze, aby uzyskać dodatkowe zabezpieczenia dla CVE-2017-5715.  Aby uzyskać więcej informacji, zobacz FAQ #15 w ADV180002.

Włącz ochronę użytkownika do jądra na PROCESORACH AMD wraz z innymi zabezpieczeniami dla 2017-5715 CVE i zabezpieczeniami dla CVE-2018-3639 (obejście spekulacyjne magazynu):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli jest zainstalowana funkcja Hyper-V, Dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host funkcji Hyper-V i zostały zastosowane aktualizacje oprogramowania układowego: Całkowicie Zamknij wszystkie maszyny wirtualne. Dzięki temu środki zaradcze związane z oprogramowaniem układowym mają być stosowane na hoście przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Zarządzanie próbkowaniem danych Mikroarchitektonicznych (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) wraz ze Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] warianty, w tym spekulacyjnych Wyłącz pomijanie magazynu (SSBD) [CVE-2018-3639], jak również L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]


Aby włączyć metody ograniczające zagrożenie dla próbkowania danych mikroarchitektonicznych (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) wraz z Spectre [CVE-2017-5753 & CVE-2017-5715] i warianty Meltdown [CVE-2017-5754], w tym spekulacyjne wyłączanie pomijania magazynu (SSBD) [CVE-2018-3639], jak również L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez wyłączania funkcji Hyper-Threading:

reg dodać "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg dodać "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jeśli jest zainstalowana funkcja Hyper-V, Dodaj następujące ustawienie rejestru:

reg Dodaj "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v Minvmversionforcpubasedłagodzenie/t REG_SZ/d "1,0"/f

Jeśli jest to host funkcji Hyper-V i zostały zastosowane aktualizacje oprogramowania układowego: Całkowicie Zamknij wszystkie maszyny wirtualne. Dzięki temu środki zaradcze związane z oprogramowaniem układowym mają być stosowane na hoście przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Aby włączyć metody ograniczające zagrożenie dla próbkowania danych mikroarchitektonicznych (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) wraz z Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] wariantów, w tym spekulacyjnych Wyłącz pomijanie magazynu (SSBD) [CVE-2018-3639] oraz L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] z funkcją Hyper-Threading wyłączone:

reg dodać "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg dodać "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jeśli jest zainstalowana funkcja Hyper-V, Dodaj następujące ustawienie rejestru:

reg Dodaj "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v Minvmversionforcpubasedłagodzenie/t REG_SZ/d "1,0"/f

Jeśli jest to host funkcji Hyper-V i zostały zastosowane aktualizacje oprogramowania układowego: Całkowicie Zamknij wszystkie maszyny wirtualne. Dzięki temu środki zaradcze związane z oprogramowaniem układowym mają być stosowane na hoście przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Aby wyłączyć czynniki ograniczające zagrożenie dla próbkowania danych mikroarchitektonicznych (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) wraz z Spectre [CVE-2017-5753 & CVE-2017-5715] oraz warianty Meltdown [CVE-2017-5754], takie jak spekulacyjne wyłączanie pomijania magazynu (SSBD) [CVE-2018-3639], jak również L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]:

reg dodać "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg dodać "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Uruchom ponownie komputer, aby zmiany zostały uwzględnione.

Sprawdzanie, czy są włączone zabezpieczenia


Aby ułatwić klientom sprawdzenie, czy są włączone zabezpieczenia, firma Microsoft opublikowała skrypt programu PowerShell, który klienci mogą uruchamiać w swoich systemach. Zainstaluj i uruchom skrypt, uruchamiając następujące polecenia.

Weryfikacja programu PowerShell przy użyciu galerii programu PowerShell (Windows Server 2016 lub WMF 5.0/5.1)

Zainstaluj moduł programu PowerShell:

PS> Install-Module SpeculationControl

Uruchom moduł programu PowerShell, aby sprawdzić, czy są włączone zabezpieczenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Weryfikacja programu PowerShell przy użyciu pobierania z witryny TechNet (wcześniejszych wersji systemu operacyjnego i wcześniejszych wersji WMF)

Zainstaluj moduł programu PowerShell z witryny TechNet ScriptCenter:

  1. Przejdź do https://aka.MS/SpeculationControlPS.
  2. Pobierz Spekulationcontrol. zip do folderu lokalnego.
  3. Wyodrębnij zawartość do folderu lokalnego. Na przykład: C:\ADV180002

Uruchom moduł programu PowerShell, aby sprawdzić, czy są włączone zabezpieczenia:

Uruchom program PowerShell, a następnie użyj poprzedniego przykładu, aby skopiować i uruchomić następujące polecenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Szczegółowe wyjaśnienie danych wyjściowych skryptu programu PowerShell, zobacz artykuł bazy wiedzy Knowledge base 4074629.

Często zadawane pytania


Informacje