Руководство windows для клиентов для ИТ-специалистов для защиты от спекулятивных уязвимостей бокового канала выполнения

Применимо к: Windows 10, version 1903Windows 10, version 1809Windows 10, version 1803

Аннотация


Microsoft знает о новом публично раскрытом классе уязвимостей, которые называются «спекулятивными атаками бокового канала исполнения» и которые затрагивают многие современные процессоры, включая Intel, AMD, VIA и ARM.

Заметка Эта проблема также затрагивает другие операционные системы, такие как Android, Chrome, iOS и macOS. Поэтому мы советуем клиентам обращаться за советом к этим поставщикам.

Мы выпустили несколько обновлений, чтобы помочь уменьшить эти уязвимости. Мы также приняли меры для обеспечения безопасности наших облачных сервисов. Более подробная информация приведена в следующих разделах.

Мы еще не получили никакой информации, указывающей на то, что эти уязвимости были использованы для атак на клиентов. Мы тесно сотрудничаем с отраслевыми партнерами, включая производителей чипов, производителей оборудования и поставщиков приложений для защиты клиентов. Для получения всех доступных средств защиты необходимы прошивки (микрокод) и обновления программного обеспечения. Это включает в себя микрокод от oEMs устройств и, в некоторых случаях, обновления антивирусного программного обеспечения.

В этой статье рассматриваются следующие уязвимости:

Обновление Windows также обеспечит Internet Explorer и Edge смягчения. Мы будем продолжать совершенствовать эти меры по снижению уровня уязвимостей.

Чтобы узнать больше об этом классе уязвимостей, см.

ОБНОВЛЕНО 14 мая 2019 г. 14 мая 2019 года корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения, известных как Microarchitectural Data Sampling. Им были назначены следующие CVEs:

Важно Эти проблемы коснутся других систем, таких как Android, Chrome, iOS и MacOS. Мы советуем клиентам обратиться за советом к своим поставщикам.

Мы выпустили обновления, чтобы помочь уменьшить эти уязвимости. Для получения всех доступных средств защиты необходимы прошивки (микрокод) и обновления программного обеспечения. Это может включать микрокод с устройств OEMs. В некоторых случаях установка этих обновлений будет иметь влияние на производительность. Мы также приняли меры для обеспечения безопасности наших облачных сервисов. Мы настоятельно рекомендуем развернуть эти обновления.

Для получения дополнительной информации об этой проблеме ознакомьтесь со следующими рекомендациями по безопасности и используйте руководство по сценарию для определения действий, необходимых для смягчения угрозы:

Заметка Мы рекомендуем установить все последние обновления из Windows Update перед установкой любых обновлений микрокода.

UPDATED ON AUGUST 6, 2019 6 августа 2019 Intel опубликовала подробную информацию об уязвимости раскрытия информации о ядрах Windows. Эта уязвимость является вариантом уязвимости спекулятивного канона Spectre Variant 1 и была назначена CVE-2019-1125.

9 июля 2019 года мы выпустили обновления безопасности для операционной системы Windows, чтобы помочь смягчить эту проблему. Пожалуйста, обратите внимание, что мы сдерживали документирование этого смягчения публично до согласованного раскрытия информации промышленности во вторник, 6 августа 2019 года.

Клиенты с включенным обновлением Windows и применявшие обновления безопасности, выпущенные 9 июля 2019 года, защищены автоматически. Нет необходимости в дальнейшей конфигурации.

Обратите внимание, что эта уязвимость не требует обновления микрокода от производителя устройств (OEM).

Для получения дополнительной информации об этой уязвимости и применимых обновлениях см.

CVE-2019-1125 Уязвимость раскрытия информации о ядрах Windows.

ОБНОВЛЕНО НА NOVEMBER 12, 2019 12 ноября 2019, Intel опубликовала техническое консультирование по Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость abort, которая назначена CVE-2019-11135. Корпорация Майкрософт выпустила обновления, чтобы помочь смягчить эту уязвимость и защиты ОС включенпой для Windows Client OS Editions.

Рекомендуемые действия


Клиенты должны принять следующие меры, чтобы защититься от уязвимостей:

  1. Применяйте все доступные обновления операционной системы Windows, включая ежемесячные обновления безопасности Windows.
  2. Примените применимое обновление прошивки (микрокод), которое предоставляется производителем устройства.
  3. Оцените риск для вашей среды на основе информации, которая предоставляется в Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 и информации, представленной в настоящей статье Базы знаний.
  4. При необходимости примите меры, используя рекомендации и ключевую информацию реестра, которая содержится в настоящей статье базы знаний.

Заметка Surface клиенты будут получать обновление микрокода через обновление Windows. Список последних доступных обновлений прошивки устройства Surface (микрокод) можно найти в KB 4073065.

Настройки смягчения для клиентов Windows


Рекомендации по безопасности ADV180002,ADV180012и ADV190013 предоставляют информацию о риске, который представляют эти уязвимости, и они помогают определить состояние смягчения последствий по умолчанию для клиентских систем Windows. В следующей таблице кратко излагаются требования к микрокоду процессора и состояние по умолчанию мер по смягчению последствий для клиентов Windows.

Cve

Требуется микрокод/прошивка процессора?

Статус смягчения по умолчанию

CVE-2017-5753

Нет

Включено по умолчанию (без возможности отключить)

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2017-5715

Да

Включено по умолчанию. Пользователи систем, основанных на процессорах AMD, должны видеть часто задаваемые вопросы #15 и пользователи процессоров ARM должны видеть #20 часто задаваемых вопросов на ADV180002 для дополнительных действий и этой статьи КБ для применимых параметров ключей реестра.

Заметка "Retpoline" включен по умолчанию для устройств под управлением Windows 10 1809 или более новый, если Spectre Variant 2(CVE-2017-5715) включен. Для получения дополнительной информации, вокруг "Retpoline", следуйте указаниям вварианте Mitigating Spectre 2 с Retpoline на блоге Windows.

CVE-2017-5754

Нет

Включено по умолчанию

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2018-3639

Intel: Да AMD: Нет ARM: Да

Intel и AMD: отключены по умолчанию. См ADV180012 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

ARM: Включено по умолчанию без возможности отключить.

CVE-2018-11091 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12126 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12127 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2018-12130 Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.
CVE-2019-11135 Intel: Да

Включено по умолчанию.

Более подробную информацию можно узнать на CVE-2019-11135, а также о соответствующих настройках ключей реестра.

Заметка Включение мер по умолчанию может повлиять на производительность. Фактический эффект производительности зависит от нескольких факторов, таких как конкретный набор микросхем в устройстве и рабочие нагрузки.

Настройки реестра


Мы предоставляем следующую информацию реестра, чтобы позволить смягчения, которые не включены по умолчанию, как это описано в security Advisories ADV180002 и ADV180012. Кроме того, мы предоставляем настройки ключей реестра для пользователей, которые хотят отключить меры по смягчению последствий, связанных с CVE-2017-5715 и CVE-2017-5754 для клиентов Windows.

Важно Этот раздел, метод или задача содержит шаги, которые подскажут, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно следуете этим шагам. Для дополнительной защиты, резервное копирование реестра, прежде чем изменить его. Затем можно восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную базу и восстановить реестр, смотрите следующую статью в базе знаний Майкрософт:

322756 Как создать резервную часть и восстановить реестр в Windows

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)


Важное примечание Retpoline включен по умолчанию на Windows 10, версия 1809 устройств, если Spectre, Вариант 2 (CVE-2017-5715) включен. Включение Retpoline в последнюю версию Windows 10 может повысить производительность на устройствах под управлением Windows 10, версия 1809 для Spectre вариант 2, особенно на старых процессорах.

Для смягчения обязательств для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 3/f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Заметка Значение 3 точно для FeatureSettingsOverrideMask как для "включить" и "отключить" настройки. (См. раздел "Часто задаваемые вопросы" для получения более подробной информации о ключах реестра.)

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2)


Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2):

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 1/f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Для смягчения обязательств по CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

AMD и ARM процессоры только: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2)


По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD и ARM. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715. Для получения дополнительной информации см. часто задаваемые вопросы #15 в ADV180002 для процессоров AMD и #20 часто задаваемых вопросов в ADV180002 для процессоров ARM.

Включите защиту от пользователя к ядру на процессорах AMD и ARM вместе с другими мерами защиты для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Управление смягчением для CVE-2018-3639 (Спекулятивный обход магазина), CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)


Для смягчения последствий для CVE-2018-3639 (спекулятивный обход магазина), смягчения обязательств для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Примечание: Процессоры AMD не уязвимы для CVE-2017-5754 (Meltdown). Этот ключ реестра используется в системах с процессорами AMD для смягчения обязательств для cVE-2017-5715 на процессорах AMD и смягчения для CVE-2018-3639.

Для устранения смягчения последствий для CVE-2018-3639 (Спекулятивный обход магазина) и смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Только процессоры AMD: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2) и CVE 2018-3639 (Спекулятивный обход магазина)


По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715.  Для получения дополнительной информации смотрите #15 часто задаваемых вопросов в ADV180002.

Включить защиту от пользователя к ядру на процессорах AMD вместе с другими защиты для CVE 2017-5715 и защиты для CVE-2018-3639 (Спекулятивный обход магазина):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Управление Intel® Транзакционные расширения синхронизации (Intel® TSX) Уязвимость транзакций Asynchronous Abort (CVE-2019-11135) и микроархитектурная выборка данных (CVE-2018-11091, CVE-2018-12126, CVE-2018-1212 Спектр (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, включая спекулятивный магазин Обход отключать (SSBD) (CVE-2018-3639), а также L1 Терминал неисправности (L1TF) (CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646)


Для смягчения последствий для Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость abort(CVE-2019-11135)и микроархитектурная выборка данных(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127,CVE-2018-12130) вместе сSpectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, втомли Спекулятивный магазин Обход Отключительный (SSBD) ( CVE-2018-3639), а также L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без отключения Hyper-Threading:

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY_LOCAL_MACHINE»-"ПРОНИОРТА"Microsoft-Windows NT-Текущая Версия/Виртуализация" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Для смягчения последствий для Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость abort(CVE-2019-11135)и микроархитектурная выборка данных(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127,CVE-2018-12130) вместе сSpectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, втомли Спекулятивный магазин Обход Отключительный (SSBD) ( CVE-2018-3639), а также L1 Терминал неисправности (L1TF) (CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646) с гипер-поток отключен:

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY_LOCAL_MACHINE»-"ПРОНИОРТА"Microsoft-Windows NT-Текущая Версия/Виртуализация" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Чтобы отключить смягчение последствий для Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость прерывания(CVE-2019-11135)и микроархитектурная выборка данных (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127,CVE-2018-12130) вместе сSpectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, втомли Спекулятивный магазин Обход Отключительный (SSBD) ( CVE-2018-3639), а также неисправность терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646):

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 3/f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Проверка включения средств защиты


Чтобы помочь клиентам проверить, включена ли защита, мы опубликовали скрипт PowerShell, который клиенты могут запускать в своих системах. Установите и запустите скрипт, запустив следующие команды.

Проверка PowerShell с помощью галереи PowerShell (Windows Server 2016 или WMF 5.0/5.1)

Установка модуля PowerShell:

ПСЗgt; Установка-Модуль СпекуляцияКонтроль

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

PS'gt;

Ps'gt; $SaveExecutionPolicy - Get-ExecutionPolicy

PS-gt; Установить-ИсполнениеПолитика RemoteSigned-Область Currentuser

ПСЗт; Импортно-модульный спекулятивный контроль

ПСЗтт; Получить-СпекуляцияControlSettings

PS-gt; - Перезаложить политику выполнения в исходное состояние

PS-gt; Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Проверка PowerShell с помощью загрузки из Technet (более ранние версии операционной системы и более ранние версии WMF)

Установите модуль PowerShell из Technet ScriptCenter:

Перейти к https://aka.ms/SpeculationControlPS

Скачать SpeculationControl.zip в локальную папку.

Извлеките содержимое в локальную папку, например C:ADV180002

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

Запустите PowerShell, затем (используя предыдущий пример) скопировать и запустить следующие команды:

PS'gt;

Ps'gt; $SaveExecutionPolicy - Get-ExecutionPolicy

PS-gt; Установить-ИсполнениеПолитика RemoteSigned-Область Currentuser

ПСЗтт; CD C:ADV180002 -Спекуляционный контроль

ПСЗтт; Импорт-Модуль .-СпекуляцияControl.psd1

ПСЗтт; Получить-СпекуляцияControlSettings

PS-gt; - Перезаложить политику выполнения в исходное состояние

PS-gt; Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Для подробного объяснения вывода сценария PowerShell, пожалуйста, смотрите статья Базы знаний 4074629.

Типичные вопросы