Руководство по Windows Server для защиты от уязвимостей стороны канала Упреждающее исполнение команд

Применимо к: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Больше

Аннотация


Корпорации Майкрософт известно о новый класс открытых источниках уязвимостей, называются «Упреждающее исполнение команд стороны канала атак» и влияют на многих современных процессоров, включая ARM, AMD и Intel.

Примечание. Эта проблема также затрагивает другие операционные системы, например Android, хром, iOS и macOS. Таким образом мы рекомендуем клиентам получить консультацию в этих поставщиков.

Корпорация Майкрософт выпустила несколько обновлений для снижения уязвимости. Кроме того, мы предприняли меры для обеспечения безопасности облачным службам. Для получения дополнительных сведений см.

Корпорация Майкрософт еще не получала никакой информации для указания использования данных уязвимостей для атак на пользователей. Корпорация Майкрософт тесно сотрудничает с отраслевыми партнерами, включая производители микросхем, изготовители оборудования оборудования и поставщиков приложений для защиты клиентов. Чтобы получить все доступные средства защиты, встроенного по (микрокода) и программного обеспечения обновления являются обязательными. Это включает в себя микрокода из устройства ПВТ и, в некоторых случаях обновления для антивирусного программного обеспечения.

В этой статье устраняет следующие уязвимости:

Дополнительные сведения об этом классе уязвимостей, приведены в ADV180002 и ADV180012.

Контактные данные сторонних компаний предоставляются с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Рекомендуемые действия


Клиентам следует предпринять следующие действия для защиты от уязвимостей:

  1. Примените все доступные Windows обновления операционной системы, включая обновления Windows. Дополнительные сведения о как включить эти обновления, see статье 4072699 базы знаний Майкрософт.
  2. Примените обновления микропрограммного (микрокода) изготовителями оборудования (OEM).
  3. Оценка риска в среде на основе данных в рекомендациях по безопасности корпорации МайкрософтADV180002иADV180012и в статье базы знаний Майкрософт.
  4. Действие при необходимости с помощью сведений из раздела реестра, описанное в статье базы знаний Майкрософт и рекомендации.

Параметры для Windows Server


Рекомендации по безопасности, ADV180002 и ADV180012 содержат информацию о риски, связанные с этими уязвимостями и определить состояние по умолчанию сдерживания для систем Windows Server. Приведенной ниже таблице перечислены требования микрокода Процессора и статус по умолчанию, применяемых на сервере Windows.

CVE Микрокод Процессора и встроенного по требуется? Статус по умолчанию по уменьшению

CVE-2017-5753

Нет

По умолчанию (параметр не отключить)

CVE-2017-5715

Да

Отключено по умолчанию.

CVE-2017-5754

Нет

Windows Server 2019: Включена по умолчанию. Windows Server 2016 и более ранних версий: по умолчанию отключена.

CVE-2018-3639

Intel: Да

AMD: нет

Отключено по умолчанию. Дополнительные сведения и эта статья БАЗЫ знаний для соответствующего раздела реестра содержатся в разделе ADV180012 .

Пользователям, желающим получить все доступные средства защиты от этих уязвимостей необходимо внести изменения ключа реестра для включения эти способы снижения опасности, которые по умолчанию отключены.

Включение этих снижения может повлиять на производительность. Масштаб влияние на производительность зависит от нескольких факторов, таких как конкретный набор микросхем в вашем физическом узле и рабочие нагрузки, выполняющиеся. Мы рекомендуем клиентам оценить влияние на производительность для своей среды и внесите необходимые исправления.

Сервер находится в повышенному риску, если он находится в одной из следующих категорий:

  • Hyper-V размещает – требует защиты для атаки виртуальной Машины с узла и виртуальной Машины на виртуальную Машину.
  • Удаленного рабочего стола служб узлов (RDSH) – требует защиты от одного сеанса к другому сеансу или узла сеансов атак.
  • Физические узлы или виртуальные машины, которые выполняются недоверенного кода, например контейнеров или ненадежных расширений для базы данных, рабочие нагрузки, запускающие код из внешних источников или ненадежного веб-содержимого. Для этого требуется защиту от атак, ненадежный процесс другой процесс или ненадежных процесса для ядра.

Использовать следующие параметры раздела реестра для включения на сервере по снижению опасности и перезагрузите систему, чтобы изменения вступили в силу.

Важно.Этот раздел, метод или задачу включены действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Дополнительные сведения о резервном копировании и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:

 

322756Как резервное копирование и восстановление реестра Windows

Управление средств преодоления CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)


Чтобы включить защиту от CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это основное приложение Hyper-V и применения обновлений встроенного по: Полностью выключите все виртуальные машины. Это позволяет по снижению связанных с микропрограммы для применения на узле до запуска виртуальных машин. Таким образом виртуальные компьютеры также обновляются при их при перезагрузке.

Перезагрузите компьютер для изменения вступили в силу .

Чтобы отключить защиту от CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузить компьютер, чтобы изменения вступили в силу .

Примечание точные параметры «включить» и «отключить» для параметра FeatureSettingsOverrideMask 3 . (См. раздел «часто задаваемые вопросы» для получения дополнительных сведений о разделах реестра).

Управление по снижению для CVE-2017 г-5715 (Spectre варианта 2)


Для отключения варианта 2: (CVE -5715 2017 г."Ветвь, внедрение»)по уменьшению:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Включение варианта 2: (CVE 2017 г. 5715«Введения целевой ветви») по уменьшению:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Только в процессорах AMD: Включение полного устранения рисков для CVE-2017 г-5715 (Spectre варианта 2)


По умолчанию защита пользователя для ядра для CVE 2017 г. 5715 отключена для процессоров AMD. Пользователям необходимо включить по снижению получать дополнительные средства защиты для CVE-2017 г.-5715.  Для получения дополнительных сведений см. вопросы и ответы по 15 в ADV180002.

Включить защиту пользователей для ядра для процессоров AMD и другие средства защиты для CVE 2017 г. 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это основное приложение Hyper-V и применения обновлений встроенного по: Полностью выключите все виртуальные машины. Это позволяет по снижению связанных с микропрограммы для применения на узле до запуска виртуальных машин. Таким образом виртуальные компьютеры также обновляются при их при перезагрузке.

Перезагрузите компьютер, чтобы изменения вступили в силу.

Управление средств преодоления CVE-2018-3639 (интеллектуальное хранилище обхода), CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)



Чтобы включить защиту от CVE-2018-3639 (интеллектуальное хранилище обхода), CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это основное приложение Hyper-V и применения обновлений встроенного по: Полностью выключите все виртуальные машины. Это позволяет по снижению связанных с микропрограммы для применения на узле до запуска виртуальных машин. Таким образом виртуальные компьютеры также обновляются при их при перезагрузке.

Перезагрузите компьютер, чтобы изменения вступили в силу.

Чтобы отключить защиту от CVE-2018-3639 (интеллектуальное хранилище обхода) и снижению опасности для CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

 

Только в процессорах AMD: Включение полного устранения рисков для CVE-2017 г-5715 (Spectre варианта 2) и CVE 2018-3639 (интеллектуальное хранилище обхода)


По умолчанию защита пользователя для ядра для CVE 2017 г. 5715 отключена для процессоров AMD. Пользователям необходимо включить по снижению получать дополнительные средства защиты для CVE-2017 г.-5715.  Для получения дополнительных сведений см. вопросы и ответы по 15 в ADV180002.

Включить защиту пользователей для ядра процессоров AMD и другие средства защиты для CVE 2017 г. 5715 и средства защиты для CVE-2018-3639 (интеллектуальное хранилище обхода):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это основное приложение Hyper-V и применения обновлений встроенного по:Полностью завершить работу всех виртуальных машин. Это позволяет по снижению связанных с микропрограммы для применения на узле до запуска виртуальных машин. Таким образом, виртуальные компьютеры также обновляются при их работе перезагрузки.

Перезагрузите компьютер, чтобы изменения вступили в силу.

Проверка включения защиты


Чтобы помочь пользователям убедитесь, что включены средства защиты, корпорация Майкрософт опубликовала сценарий PowerShell, пользователи могут запускать в их системах. Установите и запустите сценарий, выполнив следующие команды.

Проверка PowerShell с помощью PowerShell галереи (Windows Server 2016 или WMF 5.0 и 5.1)

Установка модуля PowerShell:

PS> Install-Module SpeculationControl

Запустите модуль PowerShell, чтобы убедиться, что включены средства защиты:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Проверки PowerShell с помощью загрузки из Technet (ранее версий операционной системы и версий более ранних WMF)

Установка модуля PowerShell из Technet ScriptCenter:

  1. Перейдите к https://aka.ms/SpeculationControlPS.
  2. Загрузите SpeculationControl.zip в локальную папку.
  3. Извлеките содержимое в локальную папку. Например: C:\ADV180002

Запустите модуль PowerShell, чтобы убедиться, что включены средства защиты:

Запустите PowerShell и затем использовать предыдущий пример для копирования и выполните следующие команды:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Подробное описание выходных данных сценария PowerShell, увидеть в статье базы знаний 4074629

Типичные вопросы


Мне не предлагаются обновления безопасности Windows, выпущенные в январе и феврале 2018. Что мне делать?

Во избежание негативного воздействия на устройствах пользователей, обновления безопасности Windows, выпущенные в январе и феврале 2018 не распространялись всем клиентам. Дополнительные сведения см в статье базы знаний Майкрософт 4072699.

Ссылки