Orientação do Windows Server para se proteger contra vulnerabilidades de canal do lado do execução especulativos

Aplica-se a: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mais

Resumo


A Microsoft tem conhecimento de uma nova classe divulgada publicamente vulnerabilidades que são designadas por "ataques de canal de lado de execução especulativos" e que afectam vários processadores modernas incluindo Intel, AMD e ARM.

Nota Este problema também afecta outros sistemas operativos como, por exemplo, Android, Chrome, iOS e macOS. Por conseguinte, é informar os clientes a orientação dos fornecedores de procura.

A Microsoft lançou várias actualizações para ajudar a atenuar estas vulnerabilidades. Vamos também tomaram medidas para proteger os nossos serviços de nuvem. Consulte as secções seguintes para obter mais detalhes.

Microsoft ainda não recebeu quaisquer informações que indicassem que estas vulnerabilidades foram utilizadas para atacar clientes. Microsoft está a trabalhar intimamente com parceiros de indústria, incluindo o elaborador de chip, os OEMs de hardware e fornecedores de aplicações para proteger os clientes. Para obter todas as protecções disponíveis, o firmware (microcódigo) e software são necessárias actualizações. Isto inclui microcódigo de dispositivo OEM e, em alguns casos, actualiza para o software antivírus.

Este artigo aborda as seguintes vulnerabilidades:

Para mais informações sobre esta classe de vulnerabilidades, consulte ADV180002 e ADV180012.

A Microsoft fornece informações de contacto de outros fabricantes para o ajudar a localizar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante a exatidão destas informações de contacto de terceiros.

Acções recomendadas


Os clientes devem tomar as seguintes acções para ajudar a proteger contra as vulnerabilidades:

  1. Aplica todas as disponíveis Windows actualizações do sistema operativo, incluindo as actualizações de segurança mensais do Windows. Para obter detalhes sobre como activar estas actualizações, see Microsoft Knowledge Base artigo 4072699.
  2. Aplica actualizações de firmware aplicável (microcódigo) do fabricante do dispositivo (OEM).
  3. Avaliar o risco para o ambiente com base nas informações que está a avisos de segurança da MicrosoftADV180002eADV180012e no presente artigo de Base de dados de conhecimento.
  4. Executar acções conforme necessário, utilizando os avisos e informações da chave de registo que são fornecidas neste artigo da Base de dados de conhecimento.

Definições de atenuação para o Windows Server


ADV180002 e ADV180012 os avisos de segurança fornecem informações sobre os riscos apresentados por estas vulnerabilidades e identificam o estado predefinido do atenuações para sistemas Windows Server. O abaixo tabela resume o requisito de microcódigo de CPU e o estado predefinido das medidas de atenuação no Windows Server.

CVE Requer CPU microcódigo/firmware? Estado predefinido de atenuação

CVE-2017-5753

Não

Activado por predefinição (nenhuma opção para desactivar)

CVE-2017-5715

Sim

Desactivado por predefinição.

CVE-2017-5754

Não

Windows Server 2019: Activada por predefinição. Windows Server 2016 e versões anterior: desactivado por predefinição.

CVE-2018-3639

Intel: Sim

AMD: N

Desactivado por predefinição. Consulte ADV180012 para mais informações e este artigo BDC para as definições de chave de registo aplicável.

Os clientes que pretendam obter todas as protecções disponíveis contra estas vulnerabilidades tem de efectuar alterações de chave de registo para activar estes atenuações que estão desactivadas por predefinição.

Activar estes atenuações poderá afectar o desempenho. A escala dos efeitos desempenho depende de vários factores, tais como o chipset específico no anfitrião do físico e as cargas de trabalho que estão em execução. Recomendamos que os clientes avaliar os efeitos de desempenho para o seu ambiente e efectue os ajustes necessários.

O servidor é um risco acrescido caso se trate de uma das seguintes categorias:

  • Hyper-V aloja – requer protecção para ataques VM para VM e VM-anfitrião.
  • Anfitriões de serviços (RDSH)-ambiente de trabalho remotos exige uma protecção de uma sessão com outra sessão ou de ataques de anfitrião de sessões.
  • Anfitriões físicas ou máquinas virtuais que estejam a executar código não fidedigno, tal como contentores ou extensões que não considere fidedignas para base de dados, conteúdo da web não fidedignos ou cargas de trabalho que executa um código que é de origens externas. Estas requerem a protecção contra ataques de processo-para-outro-processo ou não fidedigno-processo-para-kernel não fidedignos.

Utilize as seguintes definições de chave de registo para activar as atenuações no servidor e reinicie o sistema para que as alterações entrem em vigor.

ImportanteNesta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

 

322756Como efectuar cópias de segurança e restaurar o registo no Windows

Gerir atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)


Para activar atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se se tratar de um anfitrião de Hyper-V e tiverem sido aplicadas as actualizações de firmware: Encerre totalmente todas as máquinas virtuais. Isto permite que a atenuação relacionados com firmware ser aplicada no anfitrião antes dos VMs são iniciados. Por conseguinte, os VMs são também actualizadas quando se está a ser reiniciados.

Reinicie o computador para que as alterações entrem em vigor.

Para desactivar atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações sejam implementadas.

Nota FeatureSettingsOverrideMask de definição para 3 é exacta para o "Activar" e "Desactivar" as definições. (Consulte a secção "Perguntas mais frequentes" para obter mais detalhes sobre chaves de registo.)

Gerir a medida atenuante para CVE-2017-5715 (espectro de variante 2)


Desactivar 2 variante: (CVE -2017 5715"Sucursais injecção de destino")atenuação:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Para activar 2 variante: (CVE-2017-5715"Injecção de destino do ramo") atenuação:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Processadores AMD apenas: activar a mitigação completa para o CVE-2017-5715 (espectro de variante 2)


Por predefinição, a protecção de kernel do utilizador para 2017-CVE-5715 está desactivada para CPU AMD. Medidas de atenuação receber protecções adicionais aos 2017-CVE-5715 tem de activar os clientes.  Para mais informações, consulte FAQ #15 no ADV180002.

Activar a protecção do utilizador para o kernel em processadores AMD juntamente com outras protecções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se se tratar de um anfitrião de Hyper-V e tiverem sido aplicadas as actualizações de firmware: Encerre totalmente todas as máquinas virtuais. Isto permite que a atenuação relacionados com firmware ser aplicada no anfitrião antes dos VMs são iniciados. Por conseguinte, os VMs são também actualizadas quando se está a ser reiniciados.

Reinicie o computador para que as alterações entrem em vigor.

Gerir atenuações para CVE-2018-3639 (especulativos ajustável de arquivo), 2017-CVE-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)



Para activar atenuações para CVE-2018-3639 (especulativos ajustável de arquivo), 2017-CVE-5715 (espectro de variante 2) e CVE-2017-5754 (ruína):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se se tratar de um anfitrião de Hyper-V e tiverem sido aplicadas as actualizações de firmware: Encerre totalmente todas as máquinas virtuais. Isto permite que a atenuação relacionados com firmware ser aplicada no anfitrião antes dos VMs são iniciados. Por conseguinte, os VMs são também actualizadas quando se está a ser reiniciados.

Reinicie o computador para que as alterações entrem em vigor.

Para desactivar atenuações para CVE-2018-3639 (especulativos ajustável de arquivo) e atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

 

Processadores AMD apenas: activar a mitigação completa para o CVE-2017-5715 (espectro de variante 2) e CVE 2018-3639 (especulativos ajustável de arquivo)


Por predefinição, a protecção do kernel do utilizador para 2017-CVE-5715 está desactivada para processadores AMD. Medidas de atenuação receber protecções adicionais aos 2017-CVE-5715 tem de activar os clientes.  Para mais informações, consulte FAQ #15 no ADV180002.

Activar protecção de utilizador para o kernel em processadores AMD juntamente com outras protecções para CVE 2017 5715 e protecções aos CVE-2018-3639 (especulativos ajustável de arquivo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se se tratar de um anfitrião de Hyper-V e tiverem sido aplicadas as actualizações de firmware:Encerrar totalmente todas as máquinas virtuais. Isto permite que a atenuação relacionados com firmware ser aplicada no anfitrião antes dos VMs são iniciados. Por conseguinte, os VMs também são actualizados quando que está a ser reiniciadas.

Reinicie o computador para que as alterações entrem em vigor.

Verificar se as protecções estão activadas


Para ajudar os clientes a verificar se as protecções estão activadas, a Microsoft publicou um script PowerShell que os clientes podem executar nos seus sistemas. Instale e execute o script, executando os seguintes comandos.

Verificação de PowerShell utilizando a Galeria de PowerShell (2016 de servidor do Windows ou WMF 5.0/5.1)

Instale o módulo de PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo de PowerShell para verificar se as protecções estão activadas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Do PowerShell verificação através da utilização de uma transferência a partir da Technet (anteriormente versões do sistema operativo e versões anteriores WMF)

Instale o módulo de PowerShell do ScriptCenter da Technet:

  1. Vá para https://aka.ms/SpeculationControlPS.
  2. Transferir o SpeculationControl.zip para uma pasta local.
  3. Extraia o conteúdo para uma pasta local. Por exemplo: C:\ADV180002

Execute o módulo de PowerShell para verificar se as protecções estão activadas:

Iniciar o PowerShell e, em seguida, utilize o exemplo anterior para copiar e execute os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Para obter uma explicação detalhada da saída do PowerShell script, consulte dados de conhecimento 4074629

Perguntas mais frequentes


Referências