Руководства для клиентов Windows для ИТ-специалистов для защиты от уязвимостей стороны канала Упреждающее исполнение команд

Применимо к: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Аннотация


Корпорации Майкрософт известно о новый класс уязвимостей, называются «Упреждающее исполнение команд стороны канала атак» и влияют на многих современных процессоров, в том числе Intel, AMD, VIA, о которой сообщалось в открытых источниках и ARM.

Примечание. Эта проблема также затрагивает другие операционные системы, например Android, хром, iOS и macOS. Таким образом мы рекомендуем клиентам получить консультацию в этих поставщиков.

Корпорация Майкрософт выпустила несколько обновлений для снижения уязвимости. Кроме того, мы предприняли меры для обеспечения безопасности облачным службам. Для получения дополнительных сведений см.

Корпорация Майкрософт еще не получала никакой информации для указания того, что эти уязвимости были использованы для атак на пользователей. Корпорация Майкрософт тесно сотрудничает с отраслевыми партнерами, включая производители микросхем, изготовители оборудования оборудования и поставщиков приложений для защиты клиентов. Чтобы получить все доступные средства защиты, встроенного по (микрокода) и программного обеспечения обновления являются обязательными. Это включает в себя микрокода из устройства ПВТ и, в некоторых случаях обновления для антивирусного программного обеспечения.

В этой статье устраняет следующие уязвимости:

Центр обновления Windows также предоставит снижения Internet Explorer и границей. Мы будет продолжать улучшать этих указаний по снижению опасности этот класс уязвимостей.

Дополнительные сведения об этом классе уязвимости см.

Обновление 14 мая 2019 г.: На 14 мая 2019 г. Корпорация Intel опубликованы сведения о новый подкласс называется Микроархитектуры выборки данныхуязвимостей стороны канала Упреждающее исполнение команд. Они были назначены следующие CVEs:

Внимание: эти проблемы будут влиять на других систем Android, хром, iOS и MacOS. Мы рекомендуем клиентам получить консультацию в их соответствующих поставщиков.

Корпорация Майкрософт выпустила обновления для снижения уязвимости. Чтобы получить все доступные средства защиты, встроенного по (микрокода) и программного обеспечения обновления являются обязательными. Это может быть микрокода с устройства ПВТ. В некоторых случаях при установке этих обновлений будет негативно повлиять на производительность. Мы также задействованы для защиты облачным службам. Настоятельно рекомендуется развертывание этих обновлений.

Дополнительные сведения об этой проблеме см. следующие рекомендации по безопасности и рекомендации на основе сценария используется для определения действия, необходимые для снижения угрозы.

Примечание Корпорация Майкрософт рекомендует установить все последние обновления из центра обновления Windows перед установкой любых обновлений микрокода.

UPDATED на 6 августа 2019:6 августа 2019 Intel выпустила подробные сведения об уязвимости ядра Windows. Эта уязвимость является вариантом стороны канала Spectre вариант 1 Упреждающее исполнение команд уязвимости и был назначен 1125-CVE-2019 г.

9 июля 2019 г. Корпорация Майкрософт выпустила обновления безопасности для операционной системы Windows, чтобы помочь уменьшить эту проблему. Пожалуйста Обратите внимание, что мы снова удерживаться документирования такой защиты открыто до раскрытия скоординированные отрасли на вторник, 6 августа 2019 г.

Клиенты, использующие Windows Update включены, а также безопасности автоматически защищены обновлений, выпущенных 9 июля 2019 г. Дальнейшая настройка не требуется.

Примечание.Этой уязвимости не требуется обновление микрокода вашей изготовителями оборудования (OEM).

Дополнительные сведения о данной уязвимости и необходимые обновления можно найти в руководстве обновление безопасности Microsoft: CVE-2019-1125 | Уязвимость раскрытия информации ядра Windows

 

 

Рекомендуемые действия


Клиентам следует предпринять следующие действия для защиты от уязвимостей:

  1. Примените все доступные Windows обновления операционной системы, включая обновления Windows.
  2. Обновления микропрограммного (микрокода), предоставленный изготовителем устройства.
  3. Оценка риска в среде на основе информации, предоставляемой на рекомендации по безопасности корпорации Майкрософт: ADV180002, ADV180012, ADV190013 и сведения, предоставленные в данной статье базы знаний Майкрософт.
  4. Действие при необходимости с помощью сведений из раздела реестра, приведенными в данной статье базы знаний и рекомендации.

Примечание. Поверхность клиенты получат обновление встроенного микрокода через Центр обновления Windows. Список последних обновлений встроенного по (микрокода) доступных устройств KB 4073065см.

Параметры для клиентов Windows


Рекомендации по безопасности, ADV180002, ADV180012и ADV190013 содержат сведения о риске, связанные с этими уязвимостями, и они помогают определить состояние снижения клиентских систем Windows по умолчанию. В следующей таблице перечислены требования микрокода Процессора и состояние по умолчанию по снижению опасности для клиентов Windows.

CVE

Микрокод Процессора и встроенного по требуется?

Статус по умолчанию по уменьшению

CVE-2017-5753

Нет

По умолчанию (параметр не отключить)

За дополнительной информацией обращайтесь к ADV180002 .

CVE-2017-5715

Да

По умолчанию включено. Пользователи систем на базе процессоров AMD должны видеть 15 часто задаваемые вопросы и пользователи процессоров ARM должны видеть 20 вопросов и Ответов на ADV180002 для дополнительных действий и эта статья БАЗЫ знаний для соответствующего раздела реестра.

Примечание. «Retpoline» включен по умолчанию для устройств под управлением Windows 10 1809 или более поздней версии, если включен Spectre варианта 2 (CVE 2017 г. 5715). Дополнительные сведения по «Retpoline», следовать указаниям, изложенным вблога , снижающие опасность уязвимости Spectre вариант 2 с Retpoline в Windows .

CVE-2017-5754

Нет

По умолчанию

За дополнительной информацией обращайтесь к ADV180002 .

CVE-2018-3639

Intel: Да AMD: нет ARM: Да

Intel и AMD: по умолчанию отключена. Дополнительные сведения и эта статья БАЗЫ знаний для соответствующего раздела реестра содержатся в разделе ADV180012 .

ARM: Включено по умолчанию без возможность отключения.

CVE-2018-11091 Intel: Да

По умолчанию включено.

Дополнительные сведения и эта статья БАЗЫ знаний для соответствующего раздела реестра содержатся в разделе ADV190013 .
CVE-2018-12126 Intel: Да

По умолчанию включено.

Дополнительные сведения и эта статья БАЗЫ знаний для соответствующего раздела реестра содержатся в разделе ADV190013 .
CVE-2018-12127 Intel: Да

По умолчанию включено.

Дополнительные сведения и эта статья БАЗЫ знаний для соответствующего раздела реестра содержатся в разделе ADV190013 .
CVE-2018-12130 Intel: Да

По умолчанию включено.

Дополнительные сведения и эта статья БАЗЫ знаний для соответствующего раздела реестра содержатся в разделе ADV190013 .

Примечание. Включение способы снижения опасности, отключенных по умолчанию может повлиять на производительность. Влияние Фактическая производительность зависит от нескольких факторов, таких как конкретный набор микросхем в устройство и рабочие нагрузки, выполняющиеся.

Параметры реестра


Мы предоставляем следующие данные реестра для включения способы снижения опасности, не включена по умолчанию, как описано в рекомендации по безопасности ADV180002 и ADV180012. Кроме того мы предоставляем параметры раздела реестра для пользователей, которым требуется отключить по снижению опасности, связанные с CVE 2017 г. 5715 и CVE 2017 г. 5754 для клиентов Windows.

Важно: Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Дополнительные сведения о том, как резервное копирование и восстановление реестра см в следующей статье базы знаний Майкрософт:

Обратитесь к КБ 322756 «Как резервное копирование и восстановление реестра Windows»

Управление средств преодоления CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)


Примечание: Retpoline включается по умолчанию на 10 Windows, версия 1809devices, если включены Spectre варианта 2 (CVE 2017 г. 5715). Включение Retpoline в последней версии Windows 10 может повысить производительность на устройствах под управлением Windows 10, версию 1809 Spectre варианта 2, особенно на старых процессоров.

Чтобы включить защиту от по умолчанию CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 0 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Чтобы отключить защиту от CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 3 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Примечание. Значение 3 точно FeatureSettingsOverrideMask «включить» и «отключить» параметры. (См. раздел «Вопросы и ответы» для получения дополнительных сведений о разделах реестра).

Управление по устранению рисков для CVE-2017 г-5715 (Spectre варианта 2)


Для отключенияфакторы, снижающие опасностьCVE 2017 г. 5715 (Spectre варианта 2):

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 1 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Для включения по умолчаниюфакторы, снижающие опасностьCVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown):

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 0 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Только для процессоров AMD и ARM: Включение полного устранения рисков для CVE-2017 г-5715 (Spectre варианта 2)


По умолчанию защита пользователя для ядра для CVE 2017 г. 5715 отключена для процессоров ARM и AMD. Пользователям необходимо включить по снижению получать дополнительные средства защиты для CVE-2017 г.-5715. Дополнительные сведения см 15 # часто задаваемые вопросы в ADV180002 для процессоров AMD и 20 вопросов и Ответов в ADV180002 для процессоров ARM.

Включить защиту пользователей для ядра процессоров AMD и ARM, а также другие средства защиты для CVE 2017 г. 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Управление средств преодоления CVE-2018-3639 (интеллектуальное хранилище обхода), CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)


Чтобы включить защиту от CVE-2018-3639 (интеллектуальное хранилище обхода), снижения по умолчанию для CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Примечание. Процессоры AMD не подвержены 5754 CVE 2017 г. (Meltdown). Этот раздел реестра для включения по умолчанию факторы, снижающие опасность CVE 2017 г. 5715 на процессорах AMD и устранения рисков для CVE-2018-3639 используется в системах с процессорами AMD.

Чтобы отключить защиту от CVE-2018-3639 (интеллектуальное хранилище обхода) * и * снижению опасности для CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Только в процессорах AMD: Включение полного устранения рисков для CVE-2017 г-5715 (Spectre варианта 2) и CVE 2018-3639 (интеллектуальное хранилище обхода)


По умолчанию защита пользователя для ядра для CVE 2017 г. 5715 отключена для процессоров AMD. Пользователям необходимо включить по снижению получать дополнительные средства защиты для CVE-2017 г.-5715.  Для получения дополнительных сведений см. вопросы и ответы по 15 в ADV180002.

Включение защиты пользователя для ядра для процессоров AMD, а также другие средства защиты для CVE 2017 г. 5715 и средства защиты для CVE-2018-3639 (интеллектуальное хранилище обхода):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Управление микроархитектуры выборки данных (CVE-2018-11091, CVE 2018 12126, CVE 2018 12127, CVE-2018-12130) и Spectre (CVE 2017 г. 5753 & CVE 2017 г. 5715) и варианты Meltdown (CVE-2017 г-5754), включая Интеллектуальное хранилище обхода отключен (SSBD) (CVE-2018-3639) а также неисправности L1 терминалов (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646)


Включить защиту от микроархитектуры выборки данных (CVE-2018-11091, , CVE 2018 12126CVE 2018 12127, CVE-2018-12130) и Spectre (CVE-2017 г-5753 & CVE 2017 г. 5715) и варианты Meltdown (CVE-2017 г-5754), включая Интеллектуальное хранилище обхода отключен (SSBD) (CVE-2018-3639), а также неисправности L1 терминалов (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без отключения Hyper-Threading:

Добавьте «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» /v FeatureSettingsOverride /t REG_DWORD /d 72 /f REG

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Если установлена функция Hyper-V, добавьте следующий параметр реестра:

REG добавить REG_SZ «NT\CurrentVersion\Virtualization параметру» /v MinVmVersionForCpuBasedMitigations /t /f /d «1.0»

Если это основное приложение Hyper-V и применения обновлений встроенного по: Полностью выключите все виртуальные машины. Это позволяет по снижению связанных с микропрограммы для применения на узле до запуска виртуальных машин. Таким образом виртуальные компьютеры также обновляются при их при перезагрузке.

Перезагрузите компьютер, чтобы изменения вступили в силу.

Включить защиту от микроархитектуры выборки данных (CVE-2018-11091, , CVE 2018 12126CVE 2018 12127, CVE-2018-12130) и Spectre (CVE-2017 г-5753 & CVE 2017 г. 5715) и варианты Meltdown (CVE-2017 г-5754), включая Интеллектуальное хранилище обхода отключен (SSBD) (CVE-2018-3639), а также неисправности L1 терминалов (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) с Hyper-Threading отключена:

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 8264 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Если установлена функция Hyper-V, добавьте следующий параметр реестра:

REG добавить REG_SZ «NT\CurrentVersion\Virtualization параметру» /v MinVmVersionForCpuBasedMitigations /t /f /d «1.0»

Если это основное приложение Hyper-V и применения обновлений встроенного по: Полностью выключите все виртуальные машины. Это позволяет по снижению связанных с микропрограммы для применения на узле до запуска виртуальных машин. Таким образом виртуальные компьютеры также обновляются при их при перезагрузке.

Перезагрузите компьютер, чтобы изменения вступили в силу.

Отключить защиту от микроархитектуры выборки данных (CVE-2018-11091, , CVE 2018 12126CVE 2018 12127, CVE-2018-12130) и Spectre (CVE-2017 г-5753 & CVE 2017 г. 5715) и варианты Meltdown (CVE-2017 г-5754), включая Интеллектуальное хранилище обхода отключен (SSBD) (CVE-2018-3639), а также неисправности L1 терминалов (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646):

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 3 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Проверка включения защиты


Чтобы помочь пользователям убедитесь, что включены средства защиты, корпорация Майкрософт опубликовала сценарий PowerShell, пользователи могут запускать в их системах. Установите и запустите сценарий, выполнив следующие команды.

Проверка PowerShell с помощью PowerShell галереи (Windows Server 2016 или WMF 5.0 и 5.1)

Установка модуля PowerShell:

PS > установить модуль SpeculationControl

Запустите модуль PowerShell, чтобы убедиться, что включены средства защиты:

PS > # Сохранить текущую политику выполнения, его можно сбросить

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-области Currentuser

PS > Import-Module SpeculationControl

PS > Get-SpeculationControlSettings

PS > # политика выполнения сбросить в исходное состояние

PS > Set-ExecutionPolicy $SaveExecutionPolicy-области Currentuser

Проверка PowerShell с помощью загрузки из Technet (более ранних версий операционной системы и более ранних версиях WMF)

Установка модуля PowerShell из Technet ScriptCenter:

Перейти к https://aka.ms/SpeculationControlPS

Загрузите SpeculationControl.zip в локальную папку.

Извлеките содержимое в локальную папку, например C:\ADV180002

Запустите модуль PowerShell, чтобы убедиться, что включены средства защиты:

Запустить PowerShell, затем (с помощью предыдущего примера) скопируйте и выполните следующие команды:

PS > # Сохранить текущую политику выполнения, его можно сбросить

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-области Currentuser

PS > C:\ADV180002\SpeculationControl компакт-диска

PS > Import-Module.\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # политика выполнения сбросить в исходное состояние

PS > Set-ExecutionPolicy $SaveExecutionPolicy-области Currentuser

Подробное описание выходных данных сценария PowerShell можно найти в статье базы знаний 4074629.

Типичные вопросы