Îndrumare Windows Server pentru a proteja împotriva vulnerabilitățile de canal de partea speculativ executarea

Se aplică la: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mai mult

Rezumat


Microsoft este conștient de o nouă clasă de făcut public de vulnerabilități care se numesc "speculativ executarea partea canal atacuri" și care afectează mai multe procesoare modern, inclusiv Intel, AMD și ARM.

Notă Această problemă afectează, de asemenea, alte sisteme de operare, cum ar fi Android, Chrome, iOS și macOS. De aceea, recomandăm clienților pentru a solicita îndrumare din aceste furnizori.

Microsoft a lansat mai multe actualizări pentru a diminua aceste vulnerabilităţi. De asemenea, am luat măsuri pentru a asigura serviciile cloud. Consultați următoarele secțiuni pentru mai multe detalii.

Microsoft a primit încă informații pentru a indica faptul că aceste vulnerabilităţi au fost utilizate pentru a ataca clienților. Microsoft colaborează strâns cu partenerii din domeniu inclusiv cip de decizie, OEM-uri hardware și furnizorii de aplicații pentru a proteja clienții. Pentru a obține toate protecții disponibile, firmware-ul (microcod) și software sunt necesare actualizări. Aceasta include microcod de dispozitiv OEM și, în unele cazuri, actualizări pentru software-ul antivirus.

Acest articol tratează vulnerabilități următoarele:

Pentru a afla mai multe despre această clasă de vulnerabilități, consultați ADV180002 și ADV180012.

Microsoft furnizează unor terţe persoane informaţiile de contact pentru a vă ajuta să găsiţi sprijin tehnic. Informaţiile de contact se pot schimba fără notificare prealabilă. Microsoft nu garantează exactitatea acestor informații de contact pentru terți.

Acțiunile recomandate


Clienții trebuie să efectuați următoarele acțiuni pentru a vă proteja împotriva vulnerabilităţile:

  1. Aplicați toate Windows sistem de operare actualizările disponibile, inclusiv actualizări lunare de securitate Windows. Pentru detalii despre cum se activează aceste actualizări, see 4072699 articolul de baza de cunoștințe Microsoft.
  2. Aplicați actualizările aplicabile firmware-ul (microcod) de la producătorul dispozitivului (OEM).
  3. Evaluarea riscului pentru mediul dvs. pe baza informațiilor în îndrumare de securitate MicrosoftADV180002șiADV180012și în acest articol din baza de cunoștințe.
  4. Acționeze după cum este necesar utilizând îndrumare şi informaţii cheie de registry care este furnizat în acest articol din baza de cunoștințe.

Diminuarea setările pentru Windows Server


Îndrumare de securitate ADV180002 și ADV180012 oferi informații despre riscul prezentat de aceste vulnerabilităţi și identificați stării implicite mitigations pentru sistemele Windows Server. Tabelul de mai jos prezintă succint cerinţa de microcod CPU și starea implicită mitigations pe Windows Server.

CVE Necesită microcod CPU/firmware-ul? Diminuarea implicit stare

CVE-2017-5753

Nu

Activat în mod implicit (nici o opţiune pentru a dezactiva)

CVE-2017-5715

Da

Dezactivat în mod implicit.

CVE-2017-5754

Nu

Windows Server 2019: Activat în mod implicit. Windows Server 2016 și versiuni anterioare: dezactivată în mod implicit.

CVE-2018-3639

Intel: Yes

AMD: No

Dezactivat în mod implicit. Vedeți ADV180012 pentru mai multe informații și acest articol KB pentru setările cheie registry aplicabile.

Clienții care doresc să obțineți toate disponibile protecții împotriva aceste vulnerabilităţi trebuie să vă modificărilor cheie de registry pentru a activa aceste mitigations care sunt dezactivate în mod implicit.

Activarea aceste mitigations poate afecta performanța. Scară de performanță efectele depinde de factori mai multe, cum ar fi chipset specifice în gazdei fizic și procesele de lucru care se execută. Vă recomandăm clienților evalua efectele de performanță pentru mediul lor și face toate modificările necesare.

Serverul este un risc crescut dacă este într-una dintre categoriile următoare:

  • Hyper-V găzduiește – necesită protecție pentru atacuri VM pentru VM şi VM la gazdă.
  • Remote Desktop Services Hosts (RDSH) – necesită protecție de la o sesiune la o altă sesiune sau la atacuri gazdă sesiune.
  • Gazde fizic sau mașinile virtuale care se execută de Cod de încredere, cum ar fi containerele sau extensii de încredere pentru baze de date, conţinut web de încredere sau de lucru care se execută codul care este din surse externe. Acestea necesită protecție la atacuri încredere proces-la-un alt proces sau încredere-proces-la-nucleu.

Utilizați următoarele setări de cheie de registry pentru a activa mitigations pe server și reporniți computerul pentru ca modificările să aibă efect.

ImportantAceastă secţiune, metodă sau activitate conţine paşi care vă indică modalități de modificare a registry. Țineți cont că pot apărea probleme grave dacă modificaţi incorect registry-ul. Prin urmare, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecţie suplimentară, faceți backup pentru registry înainte de a-l modifica. Apoi, puteți restabili registry-ul dacă apare o problemă. Pentru mai multe informații despre copierea de rezervă și restabilirea registry, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

 

322756Copierea de rezervă și restabilirea registry în Windows

Gestionarea mitigations pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (dezastru)


Pentru a activa mitigations pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (dezastru)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările firmware: Complet închide toate mașinile virtuale. Acest lucru permite afluxului legate de firmware-ul să se aplice gazdă înainte de SMS sunt pornite. De aceea, SMS sunt actualizate, de asemenea, atunci când acestea sunt repornit.

Reporniți computerul pentru ca modificările să aibă efect.

Pentru a dezactiva mitigations pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (dezastru)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți computerul pentru ca modificările să aibă efect.

Notă FeatureSettingsOverrideMask setarea la 3 sunt corecte pentru ambele "enable" și "disable" Setări. (Consultați secțiunea "FAQ" pentru mai multe detalii despre cheile de registry).

Gestionarea afluxului pentru CVE-2017-5715 (Spectre varianta 2)


Pentru a dezactiva varianta 2: (CVE -2017 5715"Filiala Target injectare")diminuarea:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți computerul pentru ca modificările să aibă efect.

Pentru a activa varianta 2: (CVE-2017-5715"Ramură Target injectare") afluxului:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți computerul pentru ca modificările să aibă efect.

Procesoarele AMD numai: activează afluxului completă pentru CVE-2017-5715 (Spectre varianta 2)


În mod implicit, utilizatorul la kernel protecție pentru CVE-2017-5715 este dezactivată pentru procesoarele AMD. Clienții trebuie să activați afluxului să primească protecții suplimentare pentru CVE-2017-5715.  Pentru mai multe informații, consultați întrebări frecvente despre #15 în ADV180002.

Permite utilizatorului pentru kernel protecție procesoarele AMD împreună cu alte protecții pentru 5715 CVE 2017:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările firmware: Complet închide toate mașinile virtuale. Acest lucru permite afluxului legate de firmware-ul să se aplice gazdă înainte de SMS sunt pornite. De aceea, SMS sunt actualizate, de asemenea, atunci când acestea sunt repornit.

Reporniți computerul pentru ca modificările să aibă efect.

Gestionarea mitigations pentru CVE-2018-3639 (Speculative magazin Bypass), CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (dezastru)



Pentru a activa mitigations pentru CVE-2018-3639 (Speculative magazin Bypass), CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (dezastru):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările firmware: Complet închide toate mașinile virtuale. Acest lucru permite afluxului legate de firmware-ul să se aplice gazdă înainte de SMS sunt pornite. De aceea, SMS sunt actualizate, de asemenea, atunci când acestea sunt repornit.

Reporniți computerul pentru ca modificările să aibă efect.

Pentru a dezactiva mitigations pentru CVE-2018-3639 (Speculative magazin Bypass) AND mitigations pentru CVE-2017-5715 (Spectre varianta 2) și CVE-2017-5754 (dezastru)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reporniți computerul pentru ca modificările să aibă efect.

 

Procesoarele AMD numai: activează afluxului completă pentru CVE-2017-5715 (Spectre varianta 2) și CVE 2018-3639 (Speculative magazin Bypass)


În mod implicit, utilizatorul la kernel protecție pentru CVE-2017-5715 este dezactivată pentru procesoarele AMD. Clienții trebuie să activați afluxului să primească protecții suplimentare pentru CVE-2017-5715.  Pentru mai multe informații, consultați întrebări frecvente despre #15 în ADV180002.

Activa utilizator la kernel protecție procesoarele AMD împreună cu alte protecții pentru 5715 CVE 2017 și protecții pentru CVE-2018-3639 (Speculative magazin Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Dacă aceasta este o gazdă Hyper-V și s-au aplicat actualizările firmware:Se închide complet toate mașinile virtuale. Acest lucru permite afluxului legate de firmware-ul să se aplice gazdă înainte de SMS sunt pornite. De aceea, SMS sunt actualizate, de asemenea, atunci când acestea sunt repornit.

Reporniți computerul pentru ca modificările să aibă efect.

Verificarea că protecții sunt activate


Pentru a ajuta clienții să verificați că sunt activate protecții, Microsoft a publicat un script PowerShell care clienții pot executa pe sistemele lor. Instalați și executați scriptul executând următoarele comenzi.

Verificarea PowerShell utilizând Galeria PowerShell (Windows Server 2016 sau WMF 5.0/5.1)

Instalați modulul PowerShell:

PS> Install-Module SpeculationControl

Executați modulul PowerShell pentru a verifica că protecții sunt activate:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificarea PowerShell utilizând o descărcare de la Technet (anterioare versiuni de sisteme de operare și versiunile anterioare WMF)

Instalați modulul PowerShell la Technet ScriptCenter:

  1. Accesați https://aka.ms/SpeculationControlPS.
  2. Descărcați SpeculationControl.zip într-un folder local.
  3. Extrageți conținutul într-un folder local. De exemplu: C:\ADV180002

Executați modulul PowerShell pentru a verifica că protecții sunt activate:

Porniți PowerShell, și apoi utilizați exemplul anterior să copiați și să executați următoarele comenzi:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Pentru explicații detaliate de ieșire scriptul PowerShell, consultați articol din baza de cunoștințe 4074629

Întrebări frecvente


Referințe