Руководство windows для клиентов для ИТ-специалистов для защиты от спекулятивных уязвимостей бокового канала выполнения

Применимо к: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Аннотация


Microsoft знает о новом публично раскрытом классе уязвимостей, которые называются «спекулятивными атаками бокового канала исполнения» и которые затрагивают многие современные процессоры, включая Intel, AMD, VIA и ARM.

Примечание: Эта проблема также затрагивает другие операционные системы, такие как Android, Chrome, iOS и macOS. Поэтому мы советуем клиентам обращаться за советом к этим поставщикам.

Корпорация Майкрософт выпустила несколько обновлений, чтобы помочь смягчить эти уязвимости. Мы также приняли меры для обеспечения безопасности наших облачных сервисов. Более подробная информация приведена в следующих разделах.

Корпорация Майкрософт пока не получила никакой информации, указывающей на то, что эти уязвимости использовались для атак на клиентов. Корпорация Майкрософт тесно сотрудничает с отраслевыми партнерами, включая производителей чипов, производителей оборудования и поставщиков приложений для защиты клиентов. Для получения всех доступных средств защиты необходимы прошивки (микрокод) и обновления программного обеспечения. Это включает в себя микрокод от oEMs устройств и, в некоторых случаях, обновления антивирусного программного обеспечения.

В этой статье рассматриваются следующие уязвимости:

Обновление Windows также обеспечит Internet Explorer и Edge смягчения. Мы будем продолжать совершенствовать эти меры по снижению уровня уязвимостей.

Чтобы узнать больше об этом классе уязвимостей, см.

ОБНОВЛЕНИЕ 14 мая 2019 г.: 14 мая 2019 года корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения, известных как Microarchitectural Data Sampling. Им были назначены следующие CVEs:

Важно:Эти проблемы будут влиять на другие системы, такие как Android, Chrome, iOS и MacOS. Мы советуем клиентам обратиться за советом к своим поставщикам.

Корпорация Майкрософт выпустила обновления, чтобы помочь уменьшить эти уязвимости. Для получения всех доступных средств защиты необходимы прошивки (микрокод) и обновления программного обеспечения. Это может включать микрокод с устройств OEMs. В некоторых случаях установка этих обновлений будет иметь влияние на производительность. Мы также приняли меры для обеспечения безопасности наших облачных сервисов. Мы настоятельно рекомендуем развернуть эти обновления.

Для получения дополнительной информации об этой проблеме ознакомьтесь со следующими рекомендациями по безопасности и используйте руководство по сценарию для определения действий, необходимых для смягчения угрозы:

Заметка Мы рекомендуем установить все последние обновления из Windows Update перед установкой любых обновлений микрокода.

UPDATED ON AUGUST 6, 2019: 6 августа 2019 intel опубликовала подробную информацию об уязвимости раскрытия информации о ядрах Windows. Эта уязвимость является вариантом уязвимости спекулятивного канона Spectre Variant 1 и была назначена CVE-2019-1125.

9 июля 2019 года мы выпустили обновления безопасности для операционной системы Windows, чтобы помочь смягчить эту проблему. Пожалуйста, обратите внимание, что мы сдерживали документирование этого смягчения публично до согласованного раскрытия информации промышленности во вторник, 6 августа 2019 года.

Клиенты с включенным обновлением Windows и применявшие обновления безопасности, выпущенные 9 июля 2019 года, защищены автоматически. Нет необходимости в дальнейшей конфигурации.

Обратите внимание, что эта уязвимость не требует обновления микрокода от производителя устройств (OEM).

Для получения дополнительной информации об этой уязвимости и применимых обновлениях см. Уязвимость раскрытия информации о ядрах Windows

 

 

Рекомендуемые действия


Клиенты должны принять следующие меры, чтобы защититься от уязвимостей:

  1. Применяйте все доступные обновления операционной системы Windows, включая ежемесячные обновления безопасности Windows.
  2. Примените применимое обновление прошивки (микрокод), которое предоставляется производителем устройства.
  3. Оцените риск для вашей среды на основе информации, которая предоставляется в Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 и информации, представленной в настоящей статье Базы знаний.
  4. При необходимости примите меры, используя рекомендации и ключевую информацию реестра, которая содержится в настоящей статье базы знаний.

Примечание: Surface клиенты будут получать обновление микрокода через обновление Windows. Список последних доступных обновлений прошивки устройства Surface (микрокод) можно найти в KB 4073065.

Настройки смягчения для клиентов Windows


Рекомендации по безопасности ADV180002,ADV180012и ADV190013 предоставляют информацию о риске, который представляют эти уязвимости, и они помогают определить состояние смягчения последствий по умолчанию для клиентских систем Windows. В следующей таблице кратко излагаются требования к микрокоду процессора и состояние по умолчанию мер по смягчению последствий для клиентов Windows.

Cve

Требуется микрокод/прошивка процессора?

Статус смягчения по умолчанию

CVE-2017-5753

Нет

Включено по умолчанию (без возможности отключить)

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2017-5715

Да

Включено по умолчанию. Пользователи систем, основанных на процессорах AMD, должны видеть часто задаваемые вопросы #15 и пользователи процессоров ARM должны видеть #20 часто задаваемых вопросов на ADV180002 для дополнительных действий и этой статьи КБ для применимых параметров ключей реестра.

Примечание: "Retpoline" включен по умолчанию для устройств под управлением Windows 10 1809 или более новый, если Spectre Variant 2(CVE-2017-5715) включен. Для получения дополнительной информации, вокруг "Retpoline", следуйте указаниям вварианте Mitigating Spectre 2 с Retpoline на блоге Windows.

CVE-2017-5754

Нет

Включено по умолчанию

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2018-3639

Intel: Да AMD: Нет ARM: Да

Intel и AMD: отключены по умолчанию. См ADV180012 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

ARM: Включено по умолчанию без возможности отключить.

CVE-2018-11091 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12126 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12127 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12130 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

Примечание: Включение мер по умолчанию может повлиять на производительность. Фактический эффект производительности зависит от нескольких факторов, таких как конкретный набор микросхем в устройстве и рабочие нагрузки.

Настройки реестра


Мы предоставляем следующую информацию реестра, чтобы позволить смягчения, которые не включены по умолчанию, как это описано в security Advisories ADV180002 и ADV180012. Кроме того, мы предоставляем настройки ключей реестра для пользователей, которые хотят отключить меры по смягчению последствий, связанных с CVE-2017-5715 и CVE-2017-5754 для клиентов Windows.

Важно: Этот раздел, метод или задача содержит шаги, которые подскажут, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно следуете этим шагам. Для дополнительной защиты, резервное копирование реестра, прежде чем изменить его. Затем можно восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную базу и восстановить реестр, смотрите следующую статью в базе знаний Майкрософт:

Обратитесь к KB 322756 "Как создать резервную передачу и восстановить реестр в Windows"

 

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)


Важное примечание: Retpoline включен по умолчанию на Windows 10, версия 1809devices, если Spectre, Вариант 2 (CVE-2017-5715) включен. Включение Retpoline в последнюю версию Windows 10 может повысить производительность на устройствах под управлением Windows 10, версия 1809 для Spectre вариант 2, особенно на старых процессорах.

Для смягчения обязательств для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD/d 0/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD/d 3/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Примечание: Значение 3 точно для FeatureSettingsOverrideMask как для "включить" и "отключить" настройки. (См. раздел "Часто задаваемые вопросы" для получения более подробной информации о ключах реестра.)

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2)


Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2):

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD/d 1/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Для смягчения обязательств по CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD/d 0/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

AMD и ARM процессоры только: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2)


По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD и ARM. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715. Для получения дополнительной информации см. часто задаваемые вопросы #15 в ADV180002 для процессоров AMD и #20 часто задаваемых вопросов в ADV180002 для процессоров ARM.

Включите защиту от пользователя к ядру на процессорах AMD и ARM вместе с другими мерами защиты для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Управление смягчением для CVE-2018-3639 (Спекулятивный обход магазина), CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)


Для смягчения последствий для CVE-2018-3639 (спекулятивный обход магазина), смягчения обязательств для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Примечание: Процессоры AMD не уязвимы для CVE-2017-5754 (Meltdown). Этот ключ реестра используется в системах с процессорами AMD для смягчения обязательств для cVE-2017-5715 на процессорах AMD и смягчения для CVE-2018-3639.

Для устранения смягчения последствий для CVE-2018-3639 (Спекулятивный обход магазина) и смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Только процессоры AMD: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2) и CVE 2018-3639 (Спекулятивный обход магазина)


По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715.  Для получения дополнительной информации смотрите #15 часто задаваемых вопросов в ADV180002.

Включить защиту от пользователя к ядру на процессорах AMD вместе с другими защиты для CVE 2017-5715 и защиты для CVE-2018-3639 (Спекулятивный обход магазина):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Управление выборкой микроархитектурных данных (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) вместе с Spectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, в том числе спекулятивный магазин Обход отключаемый (SSBD) (CVE-2018-3639), а также неисправность терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646)


Для смягчения последствий для микроархитектурной выборки данных(CVE-2018-11091,CVE-2018-12126,CVE-2018-12127, CVE-2018-12130) вместе сSpectre (CVE-2017-5753 варианты CVE-2017-5715 и Meltdown (CVE-2017-5754), включая спекулятивный магазин Обход Отключаемый (SSBD) (CVE-2018-3639), а также L1 Терминал неисправности (L1TF) (CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646) без отключения Hyper-Threading:

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD /d 72/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY-LOCAL-MACHINE-SOFTWARE-Microsoft-Windows NT-Текущая Версия"-Виртуализация" /v MinVmVersionForPuBasedMitigations /t REG-S /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Для смягчения последствий для микроархитектурной выборки данных(CVE-2018-11091,CVE-2018-12126,CVE-2018-12127, CVE-2018-12130) вместе сSpectre (CVE-2017-5753 варианты CVE-2017-5715 и Meltdown (CVE-2017-5754), включая спекулятивный магазин Обход Отключаемый (SSBD) (CVE-2018-3639), а также неисправность терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) с отключением Hyper-Threading:

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD /d 8264/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY-LOCAL-MACHINE-SOFTWARE-Microsoft-Windows NT-Текущая Версия"-Виртуализация" /v MinVmVersionForPuBasedMitigations /t REG-S /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Отключить смягчение последствий для выборки микроархитектурных данных(CVE-2018-11091,CVE-2018-12126,CVE-2018-12127, CVE-2018-12130) вместе сSpectre (CVE-2017-5753 варианты CVE-2017-5715 и Meltdown (CVE-2017-5754), включая спекулятивный магазин Обход отключать (SSBD) (CVE-2018-3639), а также L1 Терминал неисправности (L1TF) (CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646):

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-CurrentControlSet/Control/Session Manager/Memory Management" /v FeatureSettingsOverride /t REG-DWORD/d 3/f

reg добавить "HKEY-LOCAL-MACHINE-SYSTEM-ТекущийКонтрольSet/Контроль/Сессия Менеджер -Управление памятью" /v FeatureSettingsOverrideМаск /t REG-DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Проверка включения средств защиты


Чтобы помочь клиентам проверить, включена ли защита, корпорация Майкрософт опубликовала скрипт PowerShell, который клиенты могут запускать в своих системах. Установите и запустите скрипт, запустив следующие команды.

Проверка PowerShell с помощью галереи PowerShell (Windows Server 2016 или WMF 5.0/5.1)

Установка модуля PowerShell:

ПСЗgt; Установка-Модуль СпекуляцияКонтроль

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

PS'gt;

Ps'gt; $SaveExecutionPolicy - Get-ExecutionPolicy

PS-gt; Установить-ИсполнениеПолитика RemoteSigned-Область Currentuser

ПСЗт; Импортно-модульный спекулятивный контроль

ПСЗтт; Получить-СпекуляцияControlSettings

PS-gt; - Перезаложить политику выполнения в исходное состояние

PS-gt; Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Проверка PowerShell с помощью загрузки из Technet (более ранние версии операционной системы и более ранние версии WMF)

Установите модуль PowerShell из Technet ScriptCenter:

Перейти к https://aka.ms/SpeculationControlPS

Скачать SpeculationControl.zip в локальную папку.

Извлеките содержимое в локальную папку, например C:ADV180002

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

Запустите PowerShell, затем (используя предыдущий пример) скопировать и запустить следующие команды:

PS'gt;

Ps'gt; $SaveExecutionPolicy - Get-ExecutionPolicy

PS-gt; Установить-ИсполнениеПолитика RemoteSigned-Область Currentuser

ПСЗтт; CD C:ADV180002 -Спекуляционный контроль

ПСЗтт; Импорт-Модуль .-СпекуляцияControl.psd1

ПСЗтт; Получить-СпекуляцияControlSettings

PS-gt; - Перезаложить политику выполнения в исходное состояние

PS-gt; Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Для подробного объяснения вывода сценария PowerShell, пожалуйста, смотрите статья Базы знаний 4074629.

Типичные вопросы