Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Zmień datę

Dekrypcja zmian

20 kwietnia 2023 r.

  • Dodano informacje dotyczące rejestru MMIO

8 sierpnia 2023 r.

  • Usunięto zawartość dotyczącą CVE-2022-23816, ponieważ numer CVE nie jest nieużywany

  • Dodano "Błąd typu gałęzi" w sekcji "Luki w zabezpieczeniach"

  • Dodano więcej informacji do "CVE-2022-23825 | Błąd typu rozgałęzienia procesora AMD (BTC)" — sekcja rejestru

9 sierpnia 2023 r.

  • Zaktualizowano "CVE-2022-23825 | Błąd typu rozgałęzienia procesora AMD (BTC)" — sekcja rejestru

  • Dodano "CVE-2023-20569 | AmD CPU Return Address Predictor" to "Summary" section

  • Dodano "CVE-2023-20569 | AmD CPU Return Address Predictor" registry section

9 kwietnia 2024 r.

  • Dodano CVE-2022-0001 | Iniekcja historii gałęzi firmy Intel

16 kwietnia 2024 r.

  • Dodano sekcję "Włączanie wielu środków łagodzących"

Luki

Ten artykuł dotyczy następujących luk w zabezpieczeniach wykonywania spekulacyjnych:

Windows Update będzie również udostępniać środki zaradcze programów Internet Explorer i Edge. Będziemy nadal ulepszać te środki łagodzące luki w zabezpieczeniach tej klasy.

Aby dowiedzieć się więcej o tej klasie luk w zabezpieczeniach, zobacz

W dniu 14 maja 2019 r. firma Intel opublikowała informacje o nowej podklasie luk specjalizacyjnych dotyczących wykonywania w kanałach bocznych znanych jako próbkowanie danych mikroarchitekturalnych i udokumentowanych w ADV190013 | Próbkowanie danych mikroarchitektury. Przypisano im następujące CVE:

Ważne: Te problemy będą miały wpływ na inne systemy, takie jak Android, Chrome, iOS i MacOS. Zalecamy klientom uzyskanie wskazówek od tych dostawców.

Firma Microsoft wydała aktualizacje, które pomogą ograniczyć te luki w zabezpieczeniach. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są aktualizacje oprogramowania układowego (mikrokodu) i oprogramowania. Mogą to być mikrokod od OEM urządzeń. W niektórych przypadkach zainstalowanie tych aktualizacji będzie miało wpływ na wydajność. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze. Zdecydowanie zalecamy wdrożenie tych aktualizacji.

Aby uzyskać więcej informacji na temat tego problemu, zobacz poniższe porady dotyczące zabezpieczeń i użyj wytycznych opartych na scenariuszach w celu określenia działań niezbędnych do złagodzenia zagrożenia:

Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.

6 sierpnia 2019 r. firma Intel opublikowała szczegółowe informacje o luce w ujawnianiu informacji o jądrze systemu Windows. Ta luka jest wariantem luki Spectre( wariant 1 — wykonywanie spekulacyjne w kanałach bocznych) i została przypisana do cve-2019-1125.

W dniu 9 lipca 2019 r. opublikowano aktualizacje zabezpieczeń dla systemu operacyjnego Windows w celu złagodzenia tego problemu. Należy pamiętać, że wstrzymaliśmy publiczne dokumentowanie tego łagodzenia do czasu ujawnienia skoordynowanej branży we wtorek, 6 sierpnia 2019 r.

Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Nie ma potrzeby dalszej konfiguracji.

Uwaga: Ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).

Aby uzyskać więcej informacji o tej luki w zabezpieczeniach i odpowiednich aktualizacjach, zobacz Przewodnik aktualizacji zabezpieczeń firmy Microsoft:

W dniu 12 listopada 2019 r. firma Intel opublikowała poradę techniczną dotyczącą luk w zabezpieczeniach asynchronicznych (Transactional Synchronization Extensions) Intel TSX (Intel® TSX) związanych z przerwaniem transakcji przypisaną do cve-2019-11135. Firma Microsoft wydała aktualizacje pomagające ograniczyć tę lukę w zabezpieczeniach, a zabezpieczenia systemu operacyjnego są domyślnie włączone w systemie Windows Server 2019, ale domyślnie wyłączone dla Windows Server 2016 i wcześniejszych wersji systemu operacyjnego Windows Server.

W dniu 14 czerwca 2022 r. opublikowano ADV220002 | Wskazówki firmy Microsoft dotyczące luk w zabezpieczeniach danych MMIO procesora Intel oraz przypisane do nich następujące cve: 

Proponowane działania

Należy podjąć następujące działania w celu ochrony przed lukami w zabezpieczeniach:

  1. Zastosuj wszystkie dostępne aktualizacje systemu operacyjnego Windows, w tym comiesięczne aktualizacje zabezpieczeń systemu Windows.

  2. Zastosuj aktualizację oprogramowania układowego (mikrokodu) dostarczoną przez producenta urządzenia.

  3. Oprócz informacji zawartych w tym artykule baza wiedzy oceń zagrożenie dla środowiska na podstawie informacji zawartych w poradach firmy Microsoft dotyczących zabezpieczeń: ADV180002, ADV180012, ADV190013 i ADV220002.

  4. W razie potrzeby podejmij odpowiednie działania, korzystając z porad i informacji o kluczach rejestru zawartych w tym artykule baza wiedzy.

Uwaga: Klienci urządzeń Surface otrzymają aktualizację mikrokodu za pośrednictwem Windows Update. Aby uzyskać listę najnowszych aktualizacji oprogramowania układowego urządzenia Surface (mikrokod), zobacz KB4073065.

W dniu 12 lipca 2022 r. opublikowaliśmy CVE-2022-23825 | Błąd typu gałęzi procesora AMD , który opisuje, że aliasy w predyktorze gałęzi mogą powodować, że niektóre procesory AMD przewidują nieprawidłowy typ gałęzi. Ten problem może potencjalnie prowadzić do ujawnienia informacji.

Aby pomóc w ochronie przed tą luką w zabezpieczeniach, zalecamy zainstalowanie aktualizacji systemu Windows, które są datowane na lipiec 2022 r. lub później, a następnie podjęcie działań wymaganych przez CVE-2022-23825 i informacji o kluczach rejestru zawartych w tym artykule baza wiedzy.

Aby uzyskać więcej informacji, zobacz biuletyn zabezpieczeń AMD-SB-1037 .

W dniu 8 sierpnia 2023 r. opublikowaliśmy CVE-2023-20569 | Predyktor adresu zwrotnego (inception), który opisuje nowy spekulacyjny atak w kanale bocznym, który może prowadzić do spekulacyjnych egzekucji pod adresem kontrolowanym przez atakującego. Ten problem dotyczy niektórych procesorów AMD i może prowadzić do ujawnienia informacji.

Aby pomóc w ochronie przed tą luką w zabezpieczeniach, zalecamy zainstalowanie aktualizacji systemu Windows datowanych na sierpień 2023 r. lub później, a następnie podjęcie działań zgodnie z wymogami cve-2023-20569 i informacji klucza rejestru zawartych w tym artykule baza wiedzy.

Aby uzyskać więcej informacji, zobacz biuletyn zabezpieczeń AMD-SB-7005 .

W dniu 9 kwietnia 2024 r. opublikowaliśmy CVE-2022-0001 | Iniekcja historii rozgałęzień Firmy Intel, która opisuje iniekcję historii gałęzi (BHI), która jest określoną formą bti trybu wewnątrz trybu. Ta luka występuje, gdy osoba atakująca może manipulować historią gałęzi przed przejściem z użytkownika do trybu nadzoru (lub z VMX non-root/guest do trybu głównego). Ta manipulacja może spowodować, że pośredni predyktor gałęzi wybierze określony wpis predyktora dla gałęzi pośredniej, a gadżet ujawniania w przewidywanym celu będzie przejściowo wykonywany. Może to być możliwe, ponieważ odpowiednia historia gałęzi może zawierać gałęzie wykonane w poprzednich kontekstach zabezpieczeń, a w szczególności w innych trybach predyktora.

Ustawienia łagodzenia dla systemów Windows Server i Azure Stack HCI

Porady dotyczące bezpieczeństwa (ADVs) i CVE dostarczają informacji na temat ryzyka stwarzanego przez te luki. Ułatwiają one również identyfikowanie luk w zabezpieczeniach i określanie domyślnego stanu środków łagodzących dla systemów Windows Server. Poniższa tabela zawiera zestawienie wymagań mikrokodu PROCESORA i domyślnego stanu środków łagodzących w systemie Windows Server.

— Cve

Wymaga mikrokodu/oprogramowania układowego procesora?

Stan domyślny łagodzenia

CVE-2017-5753

Nie

Domyślnie włączone (brak opcji wyłączenia)

Dodatkowe informacje można znaleźć w ADV180002

CVE-2017-5715

Tak

Domyślnie wyłączone.

Dodatkowe informacje znajdziesz w ADV180002 , a w tym artykule z bazy wiedzy znajdziesz odpowiednie ustawienia klucza rejestru.

Uwaga Opcja "Retpoline" jest domyślnie włączona dla urządzeń z systemem Windows 10, wersja 1809 i nowszych, jeśli jest włączona opcja Spectre Variant 2 (CVE-2017-5715). Aby uzyskać więcej informacji na temat "Retpoline", obserwuj wpis na blogu Mitigating Spectre variant 2 with Retpoline w systemie Windows .

CVE-2017-5754

Nie

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone. Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.

Dodatkowe informacje można znaleźć w ADV180002 .

CVE-2018-3639

Intel: Tak

AMD: Nie

Domyślnie wyłączone. Aby uzyskać więcej informacji, zobacz ADV180012 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2018-11091

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone. Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.

Zobacz ADV190013 , aby uzyskać więcej informacji, a ten artykuł zawiera odpowiednie ustawienia klucza rejestru.

CVE-2018-12126

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone. Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.

Zobacz ADV190013 , aby uzyskać więcej informacji, a ten artykuł zawiera odpowiednie ustawienia klucza rejestru.

CVE-2018-12127

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone. Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.

Zobacz ADV190013 , aby uzyskać więcej informacji, a ten artykuł zawiera odpowiednie ustawienia klucza rejestru.

CVE-2018-12130

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone. Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.

Zobacz ADV190013 , aby uzyskać więcej informacji, a ten artykuł zawiera odpowiednie ustawienia klucza rejestru.

CVE-2019-11135

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone. Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.

Aby uzyskać więcej informacji, zobacz CVE-2019-11135, a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2022-21123 (część ADV220002 MMIO)

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone.  Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.* 

Aby uzyskać więcej informacji, zobacz CVE-2022-21123 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2022-21125 (część ADV220002 MMIO)

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone.  Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.* 

Aby uzyskać więcej informacji, zobacz CVE-2022-21125 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2022-21127 (część ADV220002 MMIO)

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone.  Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.* 

Aby uzyskać więcej informacji, zobacz CVE-2022-21127 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2022-21166 (część ADV220002 MMIO)

Intel: Tak

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: domyślnie włączone.  Windows Server 2016 i wcześniejsze: Domyślnie wyłączone.* 

Aby uzyskać więcej informacji, zobacz CVE-2022-21166 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2022-23825 (błąd typu gałęzi procesora AMD)

AMD: Nie

Aby uzyskać więcej informacji, zobacz CVE-2022-23825 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2023-20569 (Predyktor adresu zwrotnego procesora AMD)

AMD: Tak

Aby uzyskać więcej informacji, zobacz CVE-2023-20569, a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

CVE-2022-0001

Intel: Nie

Domyślnie wyłączone

Aby uzyskać więcej informacji, zobacz CVE-2022-0001 , a w tym artykule poszukaj odpowiednich ustawień klucza rejestru.

* Postępuj zgodnie ze wskazówkami dotyczącymi łagodzenia krachu poniżej.

Jeśli chcesz uzyskać wszystkie dostępne zabezpieczenia przed tymi lukami, musisz wprowadzić zmiany klucza rejestru, aby włączyć te środki łagodzące, które są domyślnie wyłączone.

Włączenie tych środków łagodzących może mieć wpływ na wydajność. Skala efektów wydajności zależy od wielu czynników, takich jak konkretny mikroukład hosta fizycznego i uruchomione obciążenia. Zalecamy ocenę wpływu działania środowiska na środowisko i wprowadzenie wszelkich niezbędnych zmian.

Serwer jest narażony na zwiększone ryzyko, jeśli znajduje się w jednej z następujących kategorii:

  • Hosty Hyper-V: wymaga ochrony przed atakami maszyn wirtualnych i maszyn wirtualnych do hosta.

  • Hosty usług pulpitu zdalnego (RDSH): wymaga ochrony od jednej sesji do innej sesji lub przed atakami typu sesja-host.

  • Hosty fizyczne lub maszyny wirtualne z niezaufanym kodem, takie jak kontenery lub niezaufane rozszerzenia bazy danych, niezaufana zawartość sieci Web lub obciążenia pracą uruchamiające kod pochodzący ze źródeł zewnętrznych. Wymagają one ochrony przed niezaufanym procesem do innego procesu lub niezaufanymi atakami typu "proces-to-jądra".

Użyj następujących ustawień klucza rejestru, aby włączyć środki łagodzące na serwerze, i uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Uwaga: Domyślnie włączenie wyłączonych środków łagodzących może mieć wpływ na wydajność. Rzeczywisty wpływ na wydajność zależy od wielu czynników, takich jak konkretny mikroukład urządzenia i uruchomione obciążenia.

Ustawienia rejestru

Udostępniamy następujące informacje rejestru, aby włączyć środki łagodzące, które nie są domyślnie włączone, jak opisano w poradach dotyczących zabezpieczeń (ADVs) i CVE. Ponadto udostępniamy ustawienia klucza rejestru dla użytkowników, którzy chcą wyłączyć środki łagodzące, jeśli mają zastosowanie w przypadku klientów systemu Windows.

WAŻNE Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające zmianę rejestru. Niepoprawna zmiana rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, przed zmianą rejestru utwórz kopię zapasową rejestru. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, zobacz następujący artykuł w bazie wiedzy Microsoft Knowledge Base:

KB322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

WAŻNEDomyślnie Retpoline jest skonfigurowany w następujący sposób, jeśli spectre, wariant 2 łagodzenia (CVE-2017-5715) jest włączony:

- Retpoline mitigation is enabled on Windows 10, wersja 1809 and later Windows versions.

- Retpoline mitigation is disabled on Windows Server 2019 and later Windows Server versions.

Aby uzyskać więcej informacji na temat konfiguracji Retpoline, zobacz Mitigating Spectre variant 2 with Retpoline on Windows.

  • Aby włączyć środki łagodzące dla CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) i CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu.

    Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

  • Aby wyłączyć środki łagodzące dla CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) i CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Uwaga: Ustawienie ustawienia FeatureSettingsOverrideMask na wartość 3 jest dokładne zarówno dla ustawień "włącz", jak i "wyłącz". (Aby uzyskać więcej szczegółowych informacji na temat kluczy rejestru, zobacz sekcję "Często zadawane pytania ").

Aby wyłączyć wariant 2: (CVE-2017-5715 | Łagodzenie iniekcji celu rozgałęzienia:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby włączyć wariant 2: (CVE-2017-5715 | Łagodzenie iniekcji celu rozgałęzienia:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Domyślnie dla procesorów AMD jest wyłączona ochrona od użytkownika do jądra cve-2017-5715. Klienci muszą włączyć środki łagodzące, aby uzyskać dodatkowe zabezpieczenia dla CVE-2017-5715.  Aby uzyskać więcej informacji, zobacz Często zadawane pytania nr 15 w ADV180002.

Włącz ochronę jądra użytkownika na procesorach AMD oraz inne zabezpieczenia cve 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu.

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby włączyć środki łagodzące dla CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu.

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby wyłączyć środki łagodzące dla CVE-2018-3639 (Speculative Store Bypass) ORAZ środki łagodzące dla CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Domyślnie dla procesorów AMD jest wyłączona ochrona od użytkownika do jądra cve-2017-5715. Klienci muszą włączyć środki łagodzące, aby uzyskać dodatkowe zabezpieczenia dla CVE-2017-5715.  Aby uzyskać więcej informacji, zobacz Często zadawane pytania nr 15 w ADV180002.

Włącz ochronę jądra użytkownika na procesorach AMD oraz inne zabezpieczenia CVE 2017-5715 i zabezpieczenia CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu.

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby włączyć środki łagodzące dla rozszerzeń intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) wraz z Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] warianty, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 oraz CVE-2022-21166), w tym speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ], a także błąd terminalu L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez wyłączania funkcji hyper-threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu.

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby włączyć środki łagodzące dla rozszerzeń intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) wraz z Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] warianty, w tym Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] oraz usterek terminalowych L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] z wyłączonym Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hyper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie Virtual Machines. Dzięki temu środki łagodzące związane z oprogramowaniem układowym będą stosowane na hostze przed uruchomieniem maszyn wirtualnych. W związku z tym maszyny wirtualne są również aktualizowane po ich ponownym uruchomieniu.

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby wyłączyć środki łagodzące dla rozszerzeń intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) wraz z Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] warianty, w tym Speculative Store Bypass Disable (SSBD) [CVE-2018-3639], jak również błąd terminalu L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie urządzenie, aby zmiany zostały wprowadzone.

Aby włączyć łagodzenie dla CVE-2022-23825 na procesorach AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Aby mieć pełną ochronę, klienci mogą również potrzebować wyłączyć Hyper-Threading (nazywane również funkcją jednoczesnego wielowątkowego (SMT)). Aby uzyskać wskazówki dotyczące ochrony urządzeń z systemem Windows, zobacz KB4073757.

Aby włączyć łagodzenie dla CVE-2023-20569 na procesorach AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Aby włączyć łagodzenie dla CVE-2022-0001 na procesorach Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Włączanie wielu środków łagodzących

Aby włączyć wiele środków łagodzących, należy dodać razem wartość REG_DWORD poszczególnych środków łagodzących.

Przykład:

Łagodzenie luki w zabezpieczeniach przerwania asynchronicznego transakcji, próbkowania danych mikroarchitekturalnych, Spectre, Meltdown, MMIO, speculative Store Bypass Disable (SSBD) i błędu terminalu L1 (L1TF) z wyłączoną Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

UWAGA 8264 (w postaci dziesiętnej) = 0x2048 (w szesnastce)

Aby włączyć BHI wraz z innymi istniejącymi ustawieniami, należy użyć operacji bitowej LUB bieżącej wartości z wartością 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 w postaci dziesiętnej) i stanie się ona 8 396 872(0x802048). Tak samo z FeatureSettingsOverrideMask.

Łagodzenie problemów z cve-2022-0001 na procesorach Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Połączone łagodzenie

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Łagodzenie luki w zabezpieczeniach przerwania asynchronicznego transakcji, próbkowania danych mikroarchitekturalnych, Spectre, Meltdown, MMIO, speculative Store Bypass Disable (SSBD) i błędu terminalu L1 (L1TF) z wyłączoną Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Łagodzenie problemów z cve-2022-0001 na procesorach Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Połączone łagodzenie

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Sprawdzanie, czy są włączone zabezpieczenia

Aby sprawdzić, czy zabezpieczenia są włączone, opublikowaliśmy skrypt programu PowerShell, który można uruchomić na swoich urządzeniach. Zainstaluj skrypt i uruchom go przy użyciu jednej z następujących metod.

Instalowanie modułu programu PowerShell:

PS> Install-Module SpeculationControl

Uruchom moduł programu PowerShell, aby sprawdzić, czy są włączone zabezpieczenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Zainstaluj moduł programu PowerShell z witryny Technet ScriptCenter:

  1. Przejdź do https://aka.ms/SpeculationControlPS .

  2. Pobierz SpeculationControl.zip do folderu lokalnego.

  3. Wyodrębnij zawartość do folderu lokalnego. Na przykład: C:\ADV180002

Uruchom moduł programu PowerShell, aby sprawdzić, czy są włączone zabezpieczenia:

Uruchom program PowerShell, a następnie użyj poprzedniego przykładu, aby skopiować i uruchomić następujące polecenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Aby uzyskać szczegółowe objaśnienie danych wyjściowych skryptu programu PowerShell, zobacz KB4074629

Często zadawane pytania

Aby uniknąć negatywnego wpływu na urządzenia klientów, aktualizacje zabezpieczeń systemu Windows wydane w styczniu i lutym 2018 r. nie były oferowane wszystkim klientom. Aby uzyskać szczegółowe informacje, zobacz KB407269 .

Mikrokod jest dostarczany za pośrednictwem aktualizacji oprogramowania układowego. Skonsultuj się z OEM w sprawie wersji oprogramowania układowego, która ma odpowiednią aktualizację dla Twojego komputera.

Istnieje wiele zmiennych wpływających na wydajność, począwszy od wersji systemu do uruchomionych obciążeń. W przypadku niektórych systemów efekt wydajności będzie znikomy. Dla innych będzie to znaczne.

Zalecamy dokonanie oceny wpływu wydajności na twoje systemy i dokonanie odpowiednich korekt.

Oprócz wskazówek w tym artykule dotyczących maszyn wirtualnych, należy skontaktować się z dostawcą usług, aby upewnić się, że hosty, które korzystają z maszyn wirtualnych są odpowiednio chronione.W przypadku maszyn wirtualnych z systemem Windows Server, które są uruchomione na platformie Azure, zobacz Wskazówki dotyczące ograniczania spekulacyjnych luk w zabezpieczeniach kanału bocznego na platformie Azure . Aby uzyskać wskazówki dotyczące korzystania z usługi Azure Update Management w celu ograniczenia tego problemu w maszynach wirtualnych gości, zobacz KB4077467.

Aktualizacje, które zostały wydane dla obrazów kontenera systemu Windows Server dla systemów Windows Server 2016 i Windows 10 w wersji 1709, obejmują środki łagodzące dla tego zestawu luk w zabezpieczeniach. Nie jest wymagana dodatkowa konfiguracja.Uwaga Nadal musisz upewnić się, że host, na którym są uruchomione te kontenery, jest skonfigurowany w celu włączenia odpowiednich środków łagodzących.

Nie, zlecenie instalacji nie ma znaczenia.

Tak, należy ponownie uruchomić komputer po aktualizacji oprogramowania układowego (mikrokodu), a następnie ponownie po aktualizacji systemu.

Oto szczegółowe informacje dotyczące kluczy rejestru:

FeatureSettingsOverride reprezentuje mapę bitową, która zastępuje ustawienie domyślne i kontroluje, które środki łagodzące zostaną wyłączone. Bit 0 steruje łagodzeniem, które odpowiada CVE-2017-5715. Bit 1 steruje łagodzeniem, które odpowiada CVE-2017-5754. Bity są ustawione na 0 , aby włączyć łagodzenia i do 1 , aby wyłączyć łagodzenia.

FeatureSettingsOverrideMask reprezentuje maskę mapy bitowej, która jest używana razem z FeatureSettingsOverride.  W takiej sytuacji użyjemy wartości 3 (reprezentowanej jako 11 w binarnym systemie liczbowym lub liczbowym o podstawie 2), aby wskazać dwa pierwsze bity odpowiadające dostępnym łagodzeniom. Ten klucz rejestru jest ustawiony na 3, aby włączyć lub wyłączyć środki łagodzące.

MinVmVersionForCpuBasedMitigations jest przeznaczony dla hostów Hyper-V. Ten klucz rejestru określa minimalną wersję maszyny wirtualnej, która jest wymagana do korzystania ze zaktualizowanych funkcji oprogramowania układowego (CVE-2017-5715). Ustaw wartość 1.0 , aby uwzględnić wszystkie wersje maszyn wirtualnych. Należy zauważyć, że ta wartość rejestru będzie ignorowana (łagodna) na hostach innych niż Hyper-V. Aby uzyskać więcej informacji, zobacz Chronienie maszyn wirtualnych gości przed CVE-2017-5715 (iniekcja celu rozgałęzienia).

Tak, nie ma żadnych skutków ubocznych, jeśli te ustawienia rejestru zostały zastosowane przed zainstalowaniem poprawek związanych ze styczniem 2018 r.

Zobacz szczegółowy opis danych wyjściowych skryptu w witrynie KB4074629: Understanding SpeculationControl PowerShell script output .

Tak, w przypadku hostów funkcji Hyper-V Windows Server 2016, które nie mają jeszcze dostępnej aktualizacji oprogramowania układowego, opublikowaliśmy alternatywne wskazówki, które mogą pomóc ograniczyć maszynę wirtualną do maszyny wirtualnej lub maszyny wirtualnej w celu hostowania ataków. Zobacz Alternatywne zabezpieczenia hostów funkcji Hyper-V Windows Server 2016 przed lukami specjatywnymi wykonywania w kanałach bocznych.

Aktualizacje tylko zabezpieczeń nie są skumulowane. W zależności od wersji systemu operacyjnego może być konieczne zainstalowanie kilku aktualizacji zabezpieczeń w celu zapewnienia pełnej ochrony. Ogólnie rzecz biorąc, klienci muszą zainstalować aktualizacje ze stycznia, lutego, marca i kwietnia 2018 r. Systemy z procesorami AMD wymagają dodatkowej aktualizacji, jak pokazano w poniższej tabeli:

Wersja systemu operacyjnego

Aktualizacja zabezpieczeń

Windows 8.1, Windows Server 2012 R2

KB4338815 — miesięczny pakiet zbiorczy aktualizacji

KB4338824 — tylko zabezpieczenia

Windows 7 z dodatek SP1, Windows Server 2008 R2 z dodatek SP1 lub Windows Server 2008 R2 z dodatek SP1 (instalacja server core)

KB4284826 — comiesięczny pakiet zbiorczy aktualizacji

KB4284867 — tylko zabezpieczenia

Windows Server 2008 z dodatkiem SP2

KB4340583 — aktualizacja zabezpieczeń

Zalecamy zainstalowanie aktualizacji samych zabezpieczeń w kolejności ich wydania.

Uwaga: We wcześniejszej wersji tego często zadawanych pytań błędnie stwierdzono, że aktualizacja samych zabezpieczeń z lutego zawierała poprawki zabezpieczeń, które zostały wydane w styczniu. W rzeczywistości tak nie jest.

Nie. Aktualizacja zabezpieczeń KB4078130 była konkretną poprawką zapobiegającą nieprzewidywalnym zachowaniom systemu, problemom z wydajnością i nieoczekiwanym ponownym uruchomieniom po zainstalowaniu mikrokodu. Stosowanie aktualizacji zabezpieczeń w klienckich systemach operacyjnych Windows umożliwia wszystkie trzy środki łagodzące. W systemach operacyjnych Windows Server po przeprowadzeniu odpowiednich testów nadal trzeba włączyć środki łagodzące. Aby uzyskać więcej informacji, zobacz KB4072698.

Ten problem został rozwiązany w KB4093118.

W lutym 2018 r. firma Intel ogłosiła zakończenie sprawdzania poprawności i rozpoczęcie wydawania mikrokodu dla nowszych platform procesora. Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu, które dotyczą Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Iniekcja celu rozgałęzienia). KB4093836 zawiera listę określonych artykułów baza wiedzy według wersji systemu Windows. Każdy artykuł z bazy wiedzy zawiera dostępne aktualizacje mikrokodu Intel według procesora CPU.

W dniu 11 stycznia 2018 , Intel zgłosił problemy w niedawno wydany mikrokod, który miał na celu rozwiązanie Spectre wariant 2 (CVE-2017-5715 | Iniekcja celu rozgałęzienia). W szczególności Intel zauważył, że ten mikrokod może powodować "wyższe niż oczekiwano ponowne uruchomienie i inne nieprzewidywalne zachowanie systemu" i że te scenariusze mogą powodować "utratę lub uszkodzenie danych." Naszym doświadczeniem jest to, że niestabilność systemu może spowodować utratę danych lub uszkodzenie w pewnych okolicznościach. 22 stycznia firma Intel zaleciła klientom zaprzestanie wdrażania bieżącej wersji mikrokodu na procesorach, których dotyczy problem, podczas gdy firma Intel przeprowadzi dodatkowe testy na zaktualizowanym rozwiązaniu. Rozumiemy, że Intel nadal bada potencjalny wpływ bieżącej wersji mikrokodu. Zachęcamy klientów do ciągłego przeglądania swoich wskazówek w celu informowania o swoich decyzjach.

Podczas gdy firma Intel testuje, aktualizuje i wdraża nowy mikrokod, udostępniamy aktualizację pozapasmową (OOB), KB4078130, która w szczególności wyłącza tylko ochronę przed CVE-2017-5715. W naszych testach znaleziono tę aktualizację, aby zapobiec opisanemu zachowaniu. Aby uzyskać pełną listę urządzeń, zobacz wskazówki firmy Intel dotyczące poprawek mikrokodu . Ta aktualizacja obejmuje windows 7 z dodatkiem Service Pack 1 (SP1), Windows 8.1 i wszystkie wersje Windows 10, zarówno klienta, jak i serwera. Jeśli korzystasz z urządzenia, którego dotyczy problem, tę aktualizację można zastosować, pobierając ją z witryny internetowej Wykaz usługi Microsoft Update. Zastosowanie tego ładunku wyłącza jedynie ochronę przed CVE-2017-5715.

W tej chwili nie ma żadnych znanych doniesień wskazujących, że to spectre wariant 2 (CVE-2017-5715 | Iniekcja celu rozgałęzienia) została użyta do ataku na klientów. Zalecamy, aby w razie potrzeby użytkownicy systemu Windows mogli ponownie wywrzeć środki zaradcze przeciw cve-2017-5715, gdy firma Intel zgłasza, że to nieprzewidywalne zachowanie systemu zostało rozwiązane dla Twojego urządzenia.

W lutym 2018 r. firma Intelogłosiła zakończenie sprawdzania poprawności i rozpoczęcie wydawania mikrokodu dla nowszych platform procesora. Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu związane z Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Iniekcja celu rozgałęzienia). KB4093836 zawiera listę określonych artykułów baza wiedzy według wersji systemu Windows. Na liście kb są dostępne aktualizacje mikrokodu Intel według procesora CPU.

Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń AMD i dokument oficjalny amd: wskazówki dotyczące architektury dotyczące pośredniej kontroli gałęzi. Są one dostępne w kanale oprogramowania układowego OEM.

Udostępniamy zatwierdzone przez Intel aktualizacje mikrokodu, które dotyczą Spectre Variant 2 (CVE-2017-5715 | Iniekcja celu rozgałęzienia). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).

Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu usługi Microsoft Update, jeśli nie została zainstalowana na urządzeniu przed uaktualnieniem systemu. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, Windows Server Update Services (WSUS) lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i instrukcje pobierania, zobacz KB4100347.

Zobacz sekcje "Zalecane akcje" i "Często zadawane   pytania" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.

Aby sprawdzić stan SSBD, zaktualizowano skrypt Get-SpeculationControlSettings PowerShell w celu wykrycia procesorów, których dotyczy problem, stanu aktualizacji systemu operacyjnego SSBD i stanu mikrokodu procesora, jeśli ma to zastosowanie. Aby uzyskać więcej informacji i uzyskać skrypt programu PowerShell, zobacz KB4074629.

W dniu 13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach, która obejmuje spekulacyjne wykonanie kanału bocznego, znanego jako Lazy FP State Restore. Aby uzyskać informacje na temat tej luki w zabezpieczeniach i zalecanych działaniach, zobacz ADV180016 porad dotyczących zabezpieczeń | Wskazówki firmy Microsoft dotyczące leniwego przywracania stanu FP .

Uwaga Nie ma żadnych wymaganych ustawień konfiguracji (rejestru) dla narzędzia Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) została ujawniona 10 lipca 2018 i przypisana CVE-2018-3693. Uważamy, że usługi BCBS należą do tej samej klasy luk co obejście sprawdzania granic (wariant 1). Obecnie nie znamy żadnych wystąpień usługi BCBS w naszym oprogramowaniu. Nadal jednak badamy tę klasę luk w zabezpieczeniach i w razie potrzeby będziemy współpracować z partnerami branżowymi w celu wydania środków łagodzących. Zachęcamy naukowców do zgłaszania wszelkich istotnych ustaleń do programu nagród Microsoft Speculative Execution Side Channel, w tym wszelkich możliwych do wykorzystania przypadków BCBS. Deweloperzy oprogramowania powinni zapoznać się ze wskazówkami dla deweloperów, które zostały zaktualizowane dla usługi BCBS, w witrynie C++ Developer Guidance for Speculative Execution Side Channels 

14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, przez które osoba atakująca może wyzwalać luki w zabezpieczeniach, w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach oraz szczegółowy wgląd w scenariusze, na które ma to wpływ, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:

Kroki wyłączania Hyper-Threading różnią się w zależności od producenta OEM i producenta OEM, ale na ogół są częścią narzędzi do konfiguracji i konfiguracji systemu BIOS lub oprogramowania układowego.

Klienci korzystający z 64-bitowych procesorów ARM powinni skontaktować się z producentem OEM urządzenia w celu uzyskania pomocy w zakresie oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 | Iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzeń, aby zostały zastosowane.

Aby uzyskać wskazówki dotyczące platformy Azure, zapoznaj się z tym artykułem: Wskazówki dotyczące łagodzenia luk w zabezpieczeniach spekulacyjnych w kanałach bocznych na platformie Azure.

Aby uzyskać więcej informacji na temat włączania Retpoline, zobacz nasz wpis na blogu: Mitigating Spectre variant 2 with Retpoline on Windows .

Aby uzyskać szczegółowe informacje na temat tej luki, zobacz Przewodnik po zabezpieczeniach firmy Microsoft: CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows.

Nie wiemy o żadnym przypadku tych luk w zabezpieczeniach w zakresie ujawniania informacji wpływających na infrastrukturę usług w chmurze.

Gdy tylko dowiedzieliśmy się o tym problemie, szybko pracowaliśmy nad jego rozwiązaniem i wydaniem aktualizacji. Zdecydowanie wierzymy w ścisłą współpracę zarówno z naukowcami, jak i partnerami branżowymi, aby zapewnić większe bezpieczeństwo klientom, i opublikowaliśmy szczegóły dopiero we wtorek, 6 sierpnia, zgodnie ze skoordynowanymi praktykami ujawniania luk w zabezpieczeniach.

Informacje pomocnicze

Produkty innych firm omówione w tym artykule są produkowane przez wytwórców niezależnych od Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych ani innych, co do wydajności i niezawodności tych produktów.

Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.