Руководство Windows Server для защиты от уязвимостей бокового канала спекулятивного исполнения

Применимо к: Windows Server 2019Windows Server 2016Windows Server 2012 R2

Аннотация


Microsoft знает о новом публично раскрытом классе уязвимостей, которые называются «спекулятивными атаками бокового канала исполнения» и которые затрагивают многие современные процессоры, включая Intel, AMD, VIA и ARM.

Заметка Эта проблема также затрагивает другие операционные системы, такие как Android, Chrome, iOS и macOS. Поэтому мы советуем клиентам обращаться за советом к этим поставщикам.

Мы выпустили несколько обновлений, чтобы помочь уменьшить эти уязвимости. Мы также приняли меры для обеспечения безопасности наших облачных сервисов. Более подробная информация приведена в следующих разделах.

Мы еще не получили никакой информации, указывающей на то, что эти уязвимости были использованы для атак на клиентов. Мы тесно сотрудничаем с отраслевыми партнерами, включая производителей чипов, производителей оборудования и поставщиков приложений для защиты клиентов. Для получения всех доступных средств защиты необходимы прошивки (микрокод) и обновления программного обеспечения. Это включает в себя микрокод от oEMs устройств и, в некоторых случаях, обновления антивирусного программного обеспечения.

В этой статье рассматриваются следующие уязвимости:

Обновление Windows также обеспечит Internet Explorer и Edge смягчения. Мы будем продолжать совершенствовать эти меры по снижению уровня уязвимостей.

Чтобы узнать больше об этом классе уязвимостей, см.

ОБНОВЛЕНО 14 мая 2019 г. 14 мая 2019 года корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения, известных как Microarchitectural Data Sampling. Им были назначены следующие CVEs:

Важно Эти проблемы коснутся других систем, таких как Android, Chrome, iOS и MacOS. Мы советуем клиентам обратиться за советом к своим поставщикам.

Корпорация Майкрософт выпустила обновления, чтобы помочь уменьшить эти уязвимости. Для получения всех доступных средств защиты необходимы прошивки (микрокод) и обновления программного обеспечения. Это может включать микрокод с устройств OEMs. В некоторых случаях установка этих обновлений будет иметь влияние на производительность. Мы также приняли меры для обеспечения безопасности наших облачных сервисов. Мы настоятельно рекомендуем развернуть эти обновления.

Для получения дополнительной информации об этой проблеме ознакомьтесь со следующими рекомендациями по безопасности и используйте руководство по сценарию для определения действий, необходимых для смягчения угрозы:

Заметка Мы рекомендуем установить все последние обновления из Windows Update перед установкой любых обновлений микрокода.

UPDATED ON AUGUST 6, 2019 6 августа 2019 Intel опубликовала подробную информацию об уязвимости раскрытия информации о ядрах Windows. Эта уязвимость является вариантом уязвимости спекулятивного канона Spectre Variant 1 и была назначена CVE-2019-1125.

9 июля 2019 года мы выпустили обновления безопасности для операционной системы Windows, чтобы помочь смягчить эту проблему. Пожалуйста, обратите внимание, что мы сдерживали документирование этого смягчения публично до согласованного раскрытия информации промышленности во вторник, 6 августа 2019 года.

Клиенты с включенным обновлением Windows и применявшие обновления безопасности, выпущенные 9 июля 2019 года, защищены автоматически. Нет необходимости в дальнейшей конфигурации.

Обратите внимание, что эта уязвимость не требует обновления микрокода от производителя устройств (OEM).

Для получения дополнительной информации об этой уязвимости и применимых обновлениях см.

CVE-2019-1125 Уязвимость раскрытия информации Windows

Рекомендуемые действия


Клиенты должны принять следующие меры, чтобы защититься от уязвимостей:

  1. Применяйте все доступные обновления операционной системы Windows, включая ежемесячные обновления безопасности Windows.
  2. Примените применимое обновление прошивки (микрокод), которое предоставляется производителем устройства.
  3. Оцените риск для вашей среды на основе информации, которая предоставляется в Microsoft Security Advisories: ADV180002, ADV180012, ADV190013, и информации, представленной в этой статье Базы знаний.
  4. При необходимости примите меры, используя рекомендации и ключевую информацию реестра, которая содержится в настоящей статье базы знаний.

Заметка Surface клиенты будут получать обновление микрокода через обновление Windows. Список последних обновлений прошивки устройства Surface (микрокод) можно узнать в KB 4073065.

Настройки смягчения для Windows Server


Рекомендации по безопасности ADV180002,ADV180012и ADV190013 предоставляют информацию о риске, который представляют эти уязвимости.  Они также помогут выявить эти уязвимости и определить состояние смягчения последствий по умолчанию для систем Windows Server. В приведенной ниже таблице кратко излагаются требования к микрокоду процессора и состояние по умолчанию смягчения последствий на Сервере Windows.

Cve Требуется микрокод/прошивка процессора? Статус смягчения по умолчанию

CVE-2017-5753

Нет

Включено по умолчанию (без возможности отключить)

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации

CVE-2017-5715

Да

Отключен по умолчанию.

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации и этой статьи КБ для применимых параметров ключей реестра.

Заметка "Retpoline" включен по умолчанию для устройств под управлением Windows 10 1809 или более новый, если Spectre Variant 2 (CVE-2017-5715 ) включен. Для получения дополнительной информации, вокруг "Retpoline", следуйтеMitigating Spectre вариант 2 с Retpoline на блоге Windows.

CVE-2017-5754

Нет

Windows Server 2019: включен по умолчанию. Windows Server 2016 и ранее: Отключен по умолчанию.

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2018-3639

Intel: Да

AMD: Нет

Отключен по умолчанию. См ADV180012 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

CVE-2018-11091 Intel: Да

Windows Server 2019: включен по умолчанию. Windows Server 2016 и ранее: Отключен по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12126 Intel: Да

Windows Server 2019: включен по умолчанию. Windows Server 2016 и ранее: Отключен по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12127 Intel: Да

Windows Server 2019: включен по умолчанию. Windows Server 2016 и ранее: Отключен по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12130 Intel: Да

Windows Server 2019: включен по умолчанию. Windows Server 2016 и ранее: Отключен по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

Клиенты, которые хотят получить все доступные средства защиты от этих уязвимостей, должны внести изменения в ключевые элементы реестра, чтобы позволить эти меры по устранению последствий, которые отключены по умолчанию.

Включение этих мер может повлиять на производительность. Масштаб эффектов производительности зависит от нескольких факторов, таких как конкретный набор микросхем в физическом хосте и рабочие нагрузки. Мы рекомендуем клиентам оценить влияние на производительность для окружающей среды и внести необходимые коррективы.

Ваш сервер подвержен повышенному риску, если он находится в одной из следующих категорий:

  • Хосты Hyper-V - Требуется защита при атаках VM-to-VM и VM-to-host.
  • Удаленные хосты настольных служб (RDSH) — требуется защита от одного сеанса к другому или от атак сеанса к хостам.
  • Физические хосты или виртуальные машины, работающие с ненадежным кодом,такие как контейнеры или ненадежные расширения для базы данных, ненадежный веб-контент или рабочие нагрузки, которые работают с кодом из внешних источников. Они требуют защиты от ненадежных атак процесса к другому процессу или недоверчивых атак процесса к ядру.

Используйте следующие параметры ключей реестра, чтобы включить смягчение последствий на сервере и перезапустить систему для вхучивания изменений.

Заметка Включение мер по умолчанию может повлиять на производительность. Фактический эффект производительности зависит от нескольких факторов, таких как конкретный набор микросхем в устройстве и рабочие нагрузки.

Настройки реестра


Мы предоставляем следующую информацию реестра, чтобы смягчить меры, которые не включены по умолчанию, как описано в безопасности Рекомендации ADV180002, ADV180012, и ADV190013.

Кроме того, мы предоставляем настройки ключей реестра для пользователей, которые хотят отключить меры по смягчению последствий, связанных с CVE-2017-5715 и CVE-2017-5754 для клиентов Windows.

Важно Этот раздел, метод или задача содержит шаги, которые подскажут, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно следуете этим шагам. Для дополнительной защиты, резервное копирование реестра, прежде чем изменить его. Затем можно восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную базу и восстановить реестр, нажмите следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

322756 Создание резервной копии и восстановление реестра Windows

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)


Важное примечание Retpoline включен по умолчанию на Windows 10, версия 1809 серверов, если Spectre, Вариант 2 ( CVE-2017-5715 ) включен. Включение Retpoline в последнюю версию Windows 10 может повысить производительность на серверах под управлением Windows 10, версия 1809 для Spectre вариант 2, особенно на старых процессорах.

Для смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Заметка Настройка FeatureSettingsOverrideMask до 3 является точной как для настроек "включить", так и для "отключить". (Подробнее о ключах реестра читайте в разделе«Часто задаваемые вопросы».)

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2)


Отключить вариант 2: (CVE-2017-5715"Ветвь Целевой инъекции")смягчение:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Для включения варианта 2: (CVE-2017-5715"Ветвь целевой инъекции")смягчение:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Только процессоры AMD: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2)


По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715.  Для получения дополнительной информации смотрите #15 часто задаваемых вопросов в ADV180002.

Включите защиту от пользователя к ядру на процессорах AMD наряду с другими мерами защиты для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Управление смягчением для CVE-2018-3639 (Спекулятивный обход магазина), CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)



Для смягчения последствий для CVE-2018-3639 (Спекулятивный обход магазина), CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Для устранения смягчения последствий для CVE-2018-3639 (Спекулятивный обход магазина) и смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Только процессоры AMD: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2) и CVE 2018-3639 (Спекулятивный обход магазина)


По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715.  Для получения дополнительной информации смотрите #15 часто задаваемых вопросов в ADV180002.

Включить защиту от пользователя к ядру на процессорах AMD наряду с другими защиты для CVE 2017-5715 и защиты для CVE-2018-3639 (Спекулятивный обход магазина):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Управление выборкой микроархитектурных данных (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) вместе с Spectre CVE-2018-3639, а также неисправность терминала L1 (L1TF) - CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646


Для смягчения последствий для микроархитектурной выборки данных(CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) наряду с вариантами «Спектр»-2017-5753 и CVE-2017-5715» и Meltdown «CVE-2017-5754», в том числе спекулятивный магазин Обход отключать (SSBD) (CVE-2018-3639), а также L1 Терминал неисправности (L1TF) »CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646 без отключение Hyper-Threading:

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD /d 72/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY-LOCAL-MACHINE-SOFTWARE-Microsoft-Windows NT-Текущая Версия"-Виртуализация" /v MinVmVersionForPuBasedMitigations /t REG-S /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Для смягчения последствий для микроархитектурной выборки данных(CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) вместе с Spectre - CVE-2017-5753 и CVE-2017-5715 и Meltdown - CVE-2017-5754 - варианты, в том числе спекулятивный магазин Обход Отключаемый (SSBD) CVE-2018-3639, а также L1 Терминал неисправности (L1TF) - CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646 с отключением Hyper-Threading:

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD /d 8264/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY-LOCAL-MACHINE-SOFTWARE-Microsoft-Windows NT-Текущая Версия"-Виртуализация" /v MinVmVersionForPuBasedMitigations /t REG-S /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Отключить смягчение последствий для выборки микроархитектурных данных(CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) вместе с Spectre - CVE-2017-5753 и CVE-2017-5715 и Meltdown - CVE-2017-5754 - варианты, в том числе спекулятивный магазин Обход Отключаемый (SSBD) CVE-2018-3639, а также L1 Терминал неисправности (L1TF) - CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646:

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD/d 3/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Проверка включения средств защиты


Чтобы помочь клиентам проверить, включена ли защита, корпорация Майкрософт опубликовала скрипт PowerShell, который клиенты могут запускать в своих системах. Установите и запустите скрипт, запустив следующие команды.

Проверка PowerShell с помощью галереи PowerShell (Windows Server 2016 или WMF 5.0/5.1)

Установка модуля PowerShell:

PS> Install-Module SpeculationControl

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Проверка PowerShell с помощью загрузки из Technet (более ранние версии операционной системы и более ранние версии WMF)

Установите модуль PowerShell из Technet ScriptCenter:

  1. Перейти к https://aka.ms/SpeculationControlPS .
  2. Скачать SpeculationControl.zip в локальную папку.
  3. Извлеките содержимое в локальную папку. Например: C:ADV180002

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

Запустите PowerShell, а затем используйте предыдущий пример для копирования и запуска следующих команд:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Для подробного объяснения вывода сценария PowerShell, см. База знаний статьи 4074629 .

Типичные вопросы


Ссылки