Zalecane działania

Klienci powinni podjąć następujące działania w celu ochrony przed luki w zabezpieczeniach:

  1. Stosowanie wszystkich dostępnych Windows systemu operacyjnego, w tym comiesięcznych Windows aktualizacji zabezpieczeń.

  2. Zastosuj aktualizację oprogramowania układowego (mikrokodu) dostarczaną przez producenta urządzenia.

  3. Oceń zagrożenie dla środowiska na podstawie informacji podanych w poradach firmy Microsoft dotyczących zabezpieczeń: ADV180002,ADV180012,ADV190013i informacjach podanych w tym artykule z bazy wiedzy.

  4. W razie potrzeby podejmiesz działania, korzystając z porad i informacji o kluczach rejestru podanych w tym artykule z bazy wiedzy.

UwagaKlienci urządzenia Surface otrzymają aktualizację mikrokodu za pośrednictwem Windows urządzenia. Aby uzyskać listę najnowszych aktualizacji oprogramowania układowego (mikrokodu) urządzenia Surface, zobacz bazy wiedzy 4073065.

Ograniczenie Ustawienia dla Windows Server

W poradach dotyczących zabezpieczeń (ADV180002,ADV180012i ADV190013) są podane informacje dotyczące ryzyka związanego z tymi lukami.  Ułatwiają one również zidentyfikowanie tych luk i ustalenie domyślnego stanu środków zaradczych w przypadku Windows Serwera. W poniższej tabeli podsumowano wymaganie mikrokodu PROCESORA i domyślny stan środków zaradczych na Windows Serwera.

CVE

Wymaga mikrokodu procesora/oprogramowania układowego?

Mitigation Default status

CVE-2017-5753

Nie

Domyślnie włączone (brak opcji wyłączenia)

Aby uzyskać dodatkowe informacje, zobacz ADV180002.

CVE-2017-5715

Tak

Domyślnie wyłączone.

Dodatkowe informacje oraz ten artykuł z bazy wiedzy znajdziesz w artykule ADV180002, aby uzyskać odpowiednie ustawienia klucza rejestru.

Uwaga Funkcja "Retpoline" jest domyślnie włączona dla urządzeń z systemem Windows 10 1809 lub nowszą, jeśli jest włączona funkcja Spectre Variant 2 (CVE-2017-5715).Aby uzyskać więcej informacji, na temat "Retpoline", skorzystaj z zasad ograniczania wariantu 2 z Retpoline w Windows wpisie w blogu.

CVE-2017-5754

Nie

Windows Server 2019, Windows Server 2022: Domyślnie włączone.
Windows Server 2016 i starsze: Domyślnie wyłączone.

Aby uzyskać dodatkowe informacje, zobacz ADV180002.

CVE-2018-3639

Intel: Tak

AMD: Nie

Domyślnie wyłączone. Aby uzyskać więcej informacji, zobacz ADV180012 i ten artykuł z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru.

CVE-2018-11091

Intel: Tak

Windows Server 2019, Windows Server 2022: Domyślnie włączone.
Windows Server 2016 i starsze: Domyślnie wyłączone.

Aby uzyskać więcej informacji, zobacz ADV190013 i ten artykuł z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru.

CVE-2018-12126

Intel: Tak

Windows Server 2019, Windows Server 2022: Domyślnie włączone.
Windows Server 2016 i starsze: Domyślnie wyłączone.

Aby uzyskać więcej informacji, zobacz ADV190013 i ten artykuł z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru.

CVE-2018-12127

Intel: Tak

Windows Server 2019, Windows Server 2022: Domyślnie włączone.
Windows Server 2016 i starsze: Domyślnie wyłączone.

Aby uzyskać więcej informacji, zobacz ADV190013 i ten artykuł z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru.

CVE-2018-12130

Intel: Tak

Windows Server 2019, Windows Server 2022: Domyślnie włączone.
Windows Server 2016 i starsze: Domyślnie wyłączone.

Aby uzyskać więcej informacji, zobacz ADV190013 i ten artykuł z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru.

CVE-2019-11135

Intel: Tak

Windows Server 2019, Windows Server 2022: Domyślnie włączone.
Windows Server 2016 i starsze: Domyślnie wyłączone.

Zobacz CVE-2019-11135, aby uzyskać więcej informacji, oraz w tym artykule z bazy wiedzy, aby uzyskać odpowiednie ustawienia klucza rejestru.

Klienci, którzy chcą uzyskać wszystkie dostępne zabezpieczenia przed tymi lukami, muszą wprowadzić zmiany klucza rejestru, aby umożliwić takie środki zaradcze, które są domyślnie wyłączone.

Włączenie tych środków zaradczych może wpłynąć na wydajność. Skala efektów wydajności zależy od wielu czynników, na przykład od konkretnego hosta fizycznego i uruchomionych obciążeń. Zalecamy, aby klienci oceniali skutki wydajności dla swojego środowiska i dostosowywują swoje niezbędne zmiany.

Serwer jest podwyższonego ryzyka, jeśli należy do jednej z następujących kategorii:

  • Hosty hiper-V — wymaga ochrony przed atakami maszyny wirtualnej na maszyny wirtualnej i maszyny wirtualnej na hosta.

  • Hosty usług pulpitu zdalnego (RDSH) — wymaga ochrony z jednej sesji do drugiej lub przed atakami typu "od sesji do hosta".

  • Hosty fizyczne lub maszyny wirtualne z kodem niezaufanymi, takimi jak kontenery lub niezaufane rozszerzenia bazy danych, niezaufana zawartość sieci Web lub obciążenia, które uruchamiają kod ze źródeł zewnętrznych. Wymagają one ochrony przed niezaufanymi procesami na inny proces lub przed niezaufanymi atakami typu proces-to-kernel.

Użyj poniższych ustawień klucza rejestru, aby włączyć środki zaradcze na serwerze, i uruchom ponownie system, aby zmiany zaczęły obowiązywać.

UwagaWłączanie domyślnie wyłączonych środków zaradczych może wpłynąć na wydajność. Rzeczywisty efekt wydajności zależy od wielu czynników, na przykład od konkretnej wersji urządzenia i uruchomionych obciążeń.

Ustawienia rejestru

Udostępniamy następujące informacje rejestru, aby umożliwić środki zaradcze, które nie są domyślnie włączone, zgodnie z dokumentem w poradach dotyczących zabezpieczeń ADV180002,ADV180012i ADV190013.

Ponadto udostępniamy ustawienia klucza rejestru użytkownikom, którzy chcą wyłączyć środki zaradcze związane z kodami CVE-2017-5715 i CVE-2017-5754 dla Windows klienckich.

Ważne W tej sekcji, metodzie lub zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Zarządzanie środki zaradcze dla CVE-2017-5715 (wariant 2 specyfikatora 2) i CVE-2017-5754 (nasypanie)

Ważna uwaga Funkcja Retpoline jest domyślnie włączona na Windows 10, wersja 1809, jeśli funkcja Spectre, wariant 2 (CVE-2017-5715) jest włączony. Włączenie Retpoline w najnowszej wersji programu Windows 10 może zwiększyć wydajność na serwerach z Windows 10, wersja 1809 dla wariantu Spectre 2, szczególnie w przypadku starszych procesorów.

Aby włączyć środki zaradcze dla CVE-2017-5715 (wariant spectre 2) i CVE-2017-5754 (nasypanie)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hiper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie maszyny wirtualne. Umożliwia to zastosowanie na hoście wpływu związanego z oprogramowaniem układowym przed rozpoczęciem maszyny wirtualnej. Dlatego maszyny wirtualne są także aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby wyłączyć środki zaradcze dla cve-2017-5715 (wariant 2 specyfiki 2) i CVE-2017-5754 (nasypanie)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.


Uwaga Ustawienie FeatureSettingsOverrideMask na 3 jest prawidłowe zarówno w przypadku ustawień "enable" jak i "disable". (Zobacz sekcję"Często zadawane pytania", aby uzyskać więcej informacji o kluczach rejestru).

Zarządzaj środki zaradcze dla cve-2017-5715 (wariant spectre 2)

Aby wyłączyć wariant 2: (CVE-2017-5715"Inicjał docelowy gałęzi") mazaradczy:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby włączyć wariant 2: (CVE-2017-5715"Inicjał docelowy gałęzi") mazaradczy:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Tylko procesory AMD: Włącz pełne ograniczenie dla cve-2017-5715 (wariant spectre 2)

Domyślnie ochrona od użytkownika do kernela dla CVE-2017-5715 jest wyłączona dla procesorów AMD. Klienci muszą włączyć środki zaradcze, aby otrzymać dodatkową ochronę dla cve-2017-5715.  Aby uzyskać więcej informacji, zobacz Często zadawane pytania #15 w programie ADV180002.

Włącz ochronę między użytkownikami i kernelami procesorów AMD wraz z innymi zabezpieczeniami dla CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hiper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie maszyny wirtualne. Umożliwia to zastosowanie na hoście wpływu związanego z oprogramowaniem układowym przed rozpoczęciem maszyny wirtualnej. Dlatego maszyny wirtualne są także aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Zarządzaj środki zaradcze dla CVE-2018-3639 (obejście magazynu przykładowego), CVE-2017-5715 (wariant spectre 2) i CVE-2017-5754 (Stopnie)

Aby włączyć środki zaradcze dla CVE-2018-3639 (obejście magazynu 8-wymierowego), CVE-2017-5715 (wariant spectre 2) i CVE-2017-5754 (stopnie):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hiper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie maszyny wirtualne. Umożliwia to zastosowanie na hoście wpływu związanego z oprogramowaniem układowym przed rozpoczęciem maszyny wirtualnej. Dlatego maszyny wirtualne są także aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby wyłączyć środki zaradcze dla CVE-2018-3639 (Obejście magazynu skojarzeń) ORAZ środki zaradcze dla CVE-2017-5715 (wariant spectre 2) i CVE-2017-5754 (stopnienie)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Tylko procesory AMD: Włącz pełne ograniczenie dla kodów CVE-2017-5715 (wariant 2 specyfikatora 2) i CVE 2018-3639 (ten obejście).

Domyślnie ochrona od użytkownika do kernela cve-2017-5715 jest wyłączona dla procesorów AMD. Klienci muszą włączyć środki zaradcze, aby otrzymać dodatkową ochronę dla cve-2017-5715.  Aby uzyskać więcej informacji, zobacz Często zadawane pytania #15 w programie ADV180002.

Włączanie ochrony przed przedzmierowym przez użytkownika na procesorach AMD wraz z innymi zabezpieczeniami dla cve 2017-5715 i ochrony dla CVE-2018-3639 (obejście magazynu przykładowego):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hiper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie maszyny wirtualne. Umożliwia to zastosowanie na hoście wpływu związanego z oprogramowaniem układowym przed rozpoczęciem maszyny wirtualnej. Dlatego maszyny wirtualne są także aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Zarządzaj lukami w zabezpieczeniach firmy Intel® Transactional Synchronization Extensions (Intel® TSX) Asynchroniczne synchronizacje transakcji (CVE-2019-11135) i Próbkowanie danych w mikroarchitektach (CVE-2018-11091). WARIANTY CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) wraz ze spectre [ CVE-2017-5753 & CVE-2017-5715 ] i Napomniane [ CVE-2017-5754 ] warianty, w tym Wyłączenie obejścia magazynu adresowego (SSBD) [ CVE-2018-3639 ] oraz błąd terminalu L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646 ]

Aby włączyć środki zaradcze dla rozszerzeń do synchronizacji transakcji firmy Intel® (Intel® TSX) dla luk w zabezpieczeniach asynchronicznych dla transakcjiCVE-2019-11135i próbkowania danych mikroarchiecturalowych(CVE-2018-11091,CVE-2018-12126,CVE -2018-12127,CVE-2018-12130) wraz ze wariantamiSpectre [CVE-2017-5753 & CVE-2017-5715] i Stopenie [CVE-2017-5754] wariantów, w tym Wyłączenie obejścia magazynu tylko dla tych osób (SSBD) [CVE-2018-3639 ] oraz błąd terminalu L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez wyłączania obsługi hiperwątkowania:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hiper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie maszyny wirtualne. Umożliwia to zastosowanie na hoście wpływu związanego z oprogramowaniem układowym przed rozpoczęciem maszyny wirtualnej. Dlatego maszyny wirtualne są także aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby włączyć środki zaradcze dla rozszerzeń do synchronizacji transakcji firmy Intel® (Intel® TSX) asynchroniczne luki w zabezpieczeniach transakcja(CVE-2019-11135)i próbkowanie danych mikroarchiecturalowych(CVE-2018-11091,CVE-2018-12126, CV Warianty CVE-2018-12127, CVE-2018-12130) wraz zewariantami Spectre [ CVE-2017-5753 & CVE-2017-5715 ] i Stopki [ CVE-2017-5754 ] wariantów, w tym Wyłączenie obejścia sklepu z adresami (SSBD) [ CVE-2018-3639 ] oraz błąd terminalu L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646 ] z wyłączonymi Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jeśli funkcja Hyper-V jest zainstalowana, dodaj następujące ustawienie rejestru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jeśli jest to host Hiper-V i zastosowano aktualizacje oprogramowania układowego: Całkowicie zamknij wszystkie maszyny wirtualne. Umożliwia to zastosowanie na hoście wpływu związanego z oprogramowaniem układowym przed rozpoczęciem maszyny wirtualnej. Dlatego maszyny wirtualne są także aktualizowane po ponownym uruchomieniu.

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Aby wyłączyć środki zaradcze dla rozszerzeń do synchronizacji transakcji firmy Intel® (Intel® TSX) dla luk w zabezpieczeniach asynchronicznych dla transakcji(CVE-2019-11135)i próbkowania danych mikroarchiecturalowych(CVE-2018-11091,CVE-2018-12126,CVE -2018-12127, CVE-2018-12130) wraz ze wariantamiSpectre [ CVE-2017-5753 & CVE-2017-5715 ] i Stopenie [ CVE-2017-5754 ] wariantów, w tym Wyłączenie obejścia magazynu tylko dla tych osób (SSBD) [ CVE-2018-3639 ] oraz błąd terminalu L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Uruchom ponownie komputer, aby zmiany zaczęły obowiązywać.

Sprawdzanie, czy włączono ochronę

Aby ułatwić klientom sprawdzanie, czy włączono ochronę, firma Microsoft opublikowała skrypt programu PowerShell, który klienci mogą uruchamiać w swoich systemach. Zainstaluj i uruchom skrypt, uruchamiając następujące polecenia.

Weryfikacja za pomocą programu PowerShell przy użyciu galerii programu PowerShell (Windows Server 2016 lub WMF 5.0/5.1)

Zainstaluj moduł programu PowerShell:

PS> Install-Module SpeculationControl

Uruchom moduł programu PowerShell, aby sprawdzić, czy włączono ochronę:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Weryfikacja za pomocą programu PowerShell przy użyciu pliku do pobrania z firmy Technet (starsze wersje systemu operacyjnego i wcześniejsze wersje WMF)

Zainstaluj moduł programu PowerShell z technet ScriptCenter:

  1. Przejdź do https://aka.ms/SpeculationControlPS .

  2. Pobierz SpeculationControl.zip do folderu lokalnego.

  3. Wyodrębnianie zawartości do folderu lokalnego. Na przykład: C:\ADV180002

Uruchom moduł programu PowerShell, aby sprawdzić, czy włączono ochronę:

Uruchom program PowerShell, a następnie użyj poprzedniego przykładu, aby skopiować i uruchomić następujące polecenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Aby uzyskać szczegółowe objaśnienie wyników skryptu programu PowerShell, zobacz artykuł z bazy wiedzy w 4074629. 

Często zadawane pytania

Aby uniknąć negatywnego wpływu na urządzenia klientów, aktualizacje zabezpieczeń Windows, które opublikowano w styczniu i lutym 2018 r., nie były oferowane dla wszystkich klientów. Aby uzyskać szczegółowe informacje, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072699.

Mikrokod jest dostarczany za pośrednictwem aktualizacji oprogramowania układowego. Skonsultuj się z OEM w sprawie wersji oprogramowania układowego, która zawiera odpowiednią aktualizację dla Twojego komputera.

Istnieje wiele zmiennych, które wpływają na wydajność, począwszy od wersji systemu do uruchomionych obciążeń. W przypadku niektórych systemów efekt wydajności będzie nieznaczny. W przypadku innych będzie to znacznie.

Zalecamy ocenę wpływu wydajności na systemy i w razie potrzeby dostosowanie wydajności.

Oprócz wskazówek z tego artykułu dotyczących maszyn wirtualnych należy skontaktować się z programem usługodawca, aby upewnić się, że hosty, które uruchamiają Twoje maszyny wirtualne, są odpowiedniej ochrony.

Aby Windows maszyn wirtualnych programu Server uruchomionych na platformie Azure, zobacz Wskazówki dotyczące ograniczania ryzyka związanego z wykonywaniem w kanale pobocznym na platformie Azure. Aby uzyskać wskazówki dotyczące używania usługi Azure Update Management w celu zminimalizowania tego problemu przy użyciu maszyn wirtualnych gościa, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4077467.

Aktualizacje, które zostały wydane dla obrazów kontenerów programu Windows Server dla programu Windows Server 2016 i Windows 10 w wersji 1709, zawierają środki zaradcze dla tego zestawu luk. Dodatkowa konfiguracja nie jest wymagana.

Uwaga Nadal musisz upewnić się, że host, na którym są uruchomione te kontenery, jest skonfigurowany w celu włączenia odpowiednich środków zaradczych.

Nie, zlecenie instalacji nie ma znaczenia.

Tak, należy ponownie uruchomić oprogramowanie układowe po aktualizacji oprogramowania układowego (mikrokodu), a następnie ponownie po aktualizacji systemu.

Oto szczegółowe informacje dotyczące kluczy rejestru:

FeatureSettingsOverride reprezentuje mapę bitową, która zastępuje ustawienie domyślne i określa, które środki zaradcze zostaną wyłączone. Bit 0 steruje środki zaradczem odpowiadającym wartości CVE-2017-5715. Bit 1 steruje ograniczeniem odpowiadającym wartości CVE-2017-5754. Bity są ustawione na 0, aby włączyć środki zaradcze i 1, aby wyłączyć środki zaradcze.

FeatureSettingsOverrideMask reprezentuje maskę mapy bitowej używaną razem z funkcją FeatureSettingsOverride. W takiej sytuacji użyjemy wartości 3 (reprezentowanej jako 11 w systemie liczbowym dwójkowym lub systemie liczbowym o podstawie 2), aby wskazać pierwsze dwa bity odpowiadające dostępnym środki zaradcze. Ten klucz rejestru jest ustawiony na 3, aby włączyć lub wyłączyć środki zaradcze.

MinVmVersionForCpuBasedMitigations jest dla hostów hyper-V. Ten klucz rejestru definiuje minimalną wersję maszyny wirtualnej wymaganą do korzystania ze zaktualizowanych funkcji oprogramowania układowego (CVE-2017-5715). Ustaw wartość 1,0, aby pokrywała wszystkie wersje maszyny wirtualnej. Należy zauważyć, że ta wartość rejestru jest ignorowana (ignorować) na hostach innych niż hosty hyper-V. Aby uzyskać więcej szczegółowych informacji, zobacz Chronienie maszyn wirtualnych gościa z cve-2017-5715 (branch target injection) ( Chronienie maszyn wirtualnych gościa).

Tak, nie ma efektów ubocznych, jeśli te ustawienia rejestru zostały zastosowane przed zainstalowaniem poprawek związanych ze stycznia 2018 r.

Aby uzyskać szczegółowy opis wyników skryptu, zobacz Opis Get-SpeculationControlSettings skryptu programu PowerShell.

Tak, dla hostów Windows Server 2016 Hyper-V, które nie mają jeszcze dostępnej aktualizacji oprogramowania układowego, opublikowaliśmy alternatywne wskazówki, które mogą pomóc zminimalizować maszyny wirtualnej do maszyny wirtualnej lub maszyny wirtualnej do hostowania ataków. Zobacz Alternatywne zabezpieczenia dla hostów Windows Server 2016 hyper-V w przypadku tych luk w zabezpieczeniach w bocznym kanale wykonywania.

Aktualizacje tylko zabezpieczeń nie są skumulowane. W zależności od wersji systemu operacyjnego może być konieczne zainstalowanie kilku aktualizacji zabezpieczeń w celu pełnej ochrony. Na ogół klienci będą musieli zainstalować aktualizacje ze stycznia, lutego, marca i kwietnia 2018 r. Systemy z procesorami AMD wymagają dodatkowej aktualizacji, jak pokazano w poniższej tabeli:

Wersja systemu operacyjnego

Aktualizacja zabezpieczeń

Windows 8.1, Windows Server 2012 R2

4338815 — comiesięczne zb.

4338824 — tylko zabezpieczenia

Windows 7 z dodatkiem SP1, Windows Server 2008 R2 z dodatkiem SP1 lub Windows Server 2008 R2 SP1 (instalacja podstawowe funkcje serwera)

4284826 — comiesięczny raport zbiorczy

4284867 — tylko zabezpieczenia

Windows Server 2008 SP2

4340583 — aktualizacja zabezpieczeń

Zalecamy zainstalowanie aktualizacji tylko zabezpieczeń zgodnie z kolejnością ich wydania.

Uwaga   We wcześniejszej wersji tego zestawu często zadawanych pytań pomylino, że aktualizacja tylko zabezpieczeń z lutego zawiera poprawki zabezpieczeń wydane w styczniu. W rzeczywistości tak nie jest.

Nie. Aktualizacja kb 4078130 stanowiła konkretną poprawkę zapobiegającą nieprzewidywalnym zachowaniom systemowym, problemom z wydajnością i nieoczekiwanym ponownym uruchomieniom po zainstalowaniu mikrokodu. Stosowanie aktualizacji zabezpieczeń na Windows operacyjnych klienta umożliwia zastosowanie wszystkich trzech środków zaradczych. Na Windows operacyjnych programu Server nadal musisz włączyć środki zaradcze po odpowiednim przetestowaniu. Aby uzyskać więcej informacji, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072698.

Ten problem został rozwiązany w artykule KB 4093118.

W lutym 2018 r. firma Intel ogłosiła, że ukończyła sprawdzanie poprawności i rozpoczęła wypuszczenie mikrokodu dla nowych platform procesora. Firma Microsoft aktualizuje mikrokod firmy Intel, które mogą oznaczać spectre variant 2 (CVE-2017-5715 — "Branch Target Injection"). Baza wiedzy 4093836 zawiera listę konkretnych artykułów z bazy wiedzy według Windows wersji. Każdy konkretny artykuł z bazy wiedzy zawiera dostępne aktualizacje mikrokodu Intela udostępniane przez procesor.

11 stycznia 2018 r.Firma Intel zgłosiła problemy dotyczące niedawno wydanego mikrokodu przeznaczonego dla wariantu spectre 2 (CVE-2017-5715 — "Branch Target Injection"). W szczególności firma Intel zauważyła, że ten mikrokod może powodować"większe niż oczekiwano ponowne uruchomienie i inne nieprzewidywalne zachowanie systemu" oraz że takie scenariusze mogą powodować utratę lub uszkodzeniedanych. " Z naszego doświadczenia wynika, że stabilność systemu może w pewnych okolicznościach spowodować utratę lub uszkodzenie danych. 22 stycznia firma Intel zaleciła klientom zaprzestanie wdrażania bieżącej wersji mikrokodu na procesorach, których dotyczy problem, podczas gdy firma Intel przeprowadza dodatkowe testowanie zaktualizowanego rozwiązania. Rozumiemy, że firma Intel kontynuuje badanie potencjalnego efektu bieżącej wersji mikrokodu. Zachęcamy klientów do ciągłego przeglądania ich wskazówek w celu informowania ich o podejmowanych decyzjach.

Podczas gdy firma Intel testuje, aktualizuje i wdraża nowy mikrokod, pracujemy nad wprowadzeniem aktualizacji out-of-band (OOB), KB 4078130 , która w szczególności wyłącza tylko środki zaradcze względem CVE-2017-5715. W testach znaleziono tę aktualizację, aby zapobiec opisanemu zachowaniu. Pełną listę urządzeń można znaleźć w wytycznych firmy Intel dotyczących poprawek mikrokodu. Ta aktualizacja obejmuje Windows Service Pack 1 (SP1), Windows 8.1 i wszystkie wersje pakietu Windows 10, zarówno klientów, jak i serwerów. Jeśli używasz urządzenia, którego dotyczy problem, tę aktualizację można zastosować, pobierając ją z witryny internetowej wykazu usługi Microsoft Update. Zastosowanie tego obciążenia wyłącza konkretnie tylko ograniczenie dla cve-2017-5715.

Obecnie nie ma żadnych znanych raportów wskazujących, że ten wariant specyfikatora 2 (CVE-2017-5715 — "Branch Target Injection") został użyty do ataków na klientów. Jeśli to konieczne, zalecamy, aby w razie Windows użytkownicy ponownie wywrzeli na użytkownikach środki zaradcze CVE-2017-5715, gdy firma Intel zgłasza, że to nieprzewidywalne zachowanie systemu zostało rozwiązane dla Twojego urządzenia.

W lutym 2018 r. firmaIntel ogłosiła, że zakończyła sprawdzanie poprawności i rozpoczęła wypuszczenie mikrokodu dla nowych platform procesorów. Firma Microsoft publikuje aktualizacje mikrokodu weryfikowane przez firmę Intel, które są związane z wariantem specyfikatora 2 typu spectre o numerze 2 (CVE-2017-5715 — "Inicjał docelowy gałęzi"). Baza wiedzy 4093836 zawiera listę konkretnych artykułów z bazy wiedzy według Windows wersji. Na liście KB są dostępne aktualizacje mikrokodu Intel przez procesor.

Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń FIRMY AMD i AMD Whitepaper: wskazówki dotyczące architektury dotyczące pośredniej kontroli gałęzi. Są one dostępne w kanale oprogramowania układowego OEM.

Pracujemy nad wprowadzeniem aktualizacji mikrokodu weryfikowanych przez firmę Intel, które mogą oznaczać spectre variant 2 (CVE-2017-5715 — "Branch Target Injection"— "Branch Target Injection " — "Gałąź docelowa " ). Aby uzyskać najnowsze aktualizacje mikrokodu Firmy Intel za pośrednictwem usługi Windows Update, klienci muszą mieć zainstalowany mikrokod Firmy Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnieniem do wersji Windows 10 z kwietnia 2018 r. (wersja 1803).

Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu usługi Microsoft Update, jeśli nie została zainstalowana na urządzeniu przed uaktualnieniem systemu. Mikrokod firmy Intel jest dostępny za pośrednictwem usługi Windows Update, Windows Server Update Services (WSUS) lub katalogu usługi Microsoft Update. Aby uzyskać więcej informacji i instrukcje dotyczące pobierania, zobacz artykuł z bazy 4100347.

Zobacz sekcje "Zalecane akcje" i "Często zadawane pytania" w artykule  ADV180012 | Wskazówki firmy Microsoft dotyczące obejścia sklepu tylko dla osób.

W celu zweryfikowania stanu SSBD zaktualizowano skrypt Get-ProcessorionControlSettings programu PowerShell w celu wykrycia procesorów, stanu aktualizacji systemu operacyjnego SSBD oraz stanu mikrokodu procesora (jeśli ma to zastosowanie). Aby uzyskać więcej informacji i uzyskać skrypt programu PowerShell, zobacz Artykuł 4074629 KB.

13 czerwca 2018 r. została zapowiedziane i przypisano CVE-2018-3665 dodatkową lukę, która obejmuje wykonywanie w kanale pobocznym, nazywane przywracaniem stanu fp w programie Lazy. Aby uzyskać informacje na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz poradę dla zabezpieczeń (ADV180016) | Wskazówki firmy Microsoft dotyczące przywracania stanu bazy danych FP w programie Microsoft .

Uwaga 16. Nie ma żadnych wymaganych ustawień konfiguracji (rejestru) dla lazy Restore FP Restore.

Magazyn obejść (BCBS, Bounds Check Bypass Store) został ujawniany 10 lipca 2018 r. i przypisano cve-2018-3693. Uważamy, że BCBS należy do tej samej klasy luk, co obejście sprawdzania granic (wariant 1). Obecnie nie wiemy o żadnym wystąpieniu usługi BCBS w oprogramowaniu. Nadal jednak badamy klasę luk w zabezpieczeniach i współpracujemy z partnerami branżowymi, aby w razie potrzeby zwolnić środki zaradcze. Zachęcamy do przesyłania wszelkich istotnych wniosków do Programu bocznego wykonywania firmy Microsoft, w tym także wszystkich czynów BKPW, które można wykorzystać. Deweloperzy oprogramowania powinni zapoznać się ze wskazówkami dla deweloperów, które zostały zaktualizowane dla usług BCBS w c++ Wskazówki dla deweloperów dotyczące kanałów poboczych wykonywania w języku C++ .

14 sierpnia 2018 r. został ogłoszony błąd terminalu L1 (L1TF) i przypisano wiele list cvEs. Te nowe luki w zabezpieczeniach w ramach realizacji w kanale bocznym można wykorzystać do odczytania zawartości pamięci na zaufanej granicy i, jeśli zostanie to wykorzystane, prowadzić do ujawnienia informacji. Istnieje wiele wektorów, dzięki którym atakujący mogą wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core® oraz Intel® Xeon®.

Aby uzyskać więcej informacji na temat tej luki i szczegółowy widok scenariuszy, których to dotyczy, w tym podejście firmy Microsoft do ograniczania formatu L1TF, zobacz następujące zasoby:

Kroki wyłączania tego Hyper-Threading od producenta OEM i producenta OEM są ogólnie częścią narzędzi do konfigurowania oprogramowania układowego i konfiguracji oprogramowania układowego.

Klienci korzystający z procesorów ARM 64-bitowych powinni skontaktować się z producentem OEM urządzenia w celu obsługi oprogramowania układowego, ponieważ ochrona systemu operacyjnego ARM64 w celu zmniejszenia ryzyka związanego z cvE-2017-5715 — w celu wymuszeniu docelowego gałęzi (spectre, wariant 2) należy użyć najnowszej aktualizacji oprogramowania układowego od OEM urządzenia.

Dalsze wskazówki można znaleźć w Windows w celu ochrony przed lukami w zabezpieczeniach w bocznym kanale wykonywania

Należy zapoznać się ze wskazówkami w Windows w celu ochrony przed lukami w zabezpieczeniach w bocznym kanale wykonywania

Aby uzyskać wskazówki dotyczące platformy Azure, zobacz ten artykuł: Wskazówki dotyczące ograniczania ryzyka związanego z wykonywaniem w kanale pobocznym na platformie Azure.

Aby uzyskać więcej informacji na temat włączania funkcji Retpoline, zobacz nasz wpis w blogu: Ograniczanie specyfikatora o wariant 2 z Retpoline na Windows .

Aby uzyskać szczegółowe informacje na temat tej luki, zobacz Przewodnik po zabezpieczeniach firmy Microsoft: CVE-2019-1125 | Windows informacji (Kernel Information Disclosure Vulnerability).

Nie wiemy o żadnym wystąpieniu tej luki w ujawnianiu tych informacji, które wpływa na naszą infrastrukturę usług w chmurze.

Gdy tylko uświadomiliśmy sobie ten problem, szybko pracowaliśmy nad jego rozwiązaniami i wydaniem aktualizacji. Zdecydowanie jesteśmy zdania, że ściśle współpracujemy zarówno z partnerami branżowymi, jak i z partnerami branżowymi, aby zapewnić bezpieczeństwo klientów, i nie publikowaliśmy szczegółowych informacji do wtorku 6 sierpnia, zgodnie ze skoordynowanymi praktykami w zakresie ujawniania luk w zabezpieczeniach.

Dalsze wskazówki można znaleźć w Windows ochrony przed zagrożeniami w bocznym kanale wykonywania.

Dalsze wskazówki można znaleźć w Windows ochrony przed zagrożeniami w bocznym kanale wykonywania.

Dalsze wskazówki można znaleźć w wskazówki dotyczące wyłączania funkcji rozszerzeń Intel® Transactional Synchronization Extensions (Intel® TSX).

Zastrzeżenie dotyczące innych firm

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, w odniesieniu do wydajności lub niezawodności tych produktów.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość tłumaczenia?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×