Руководства для клиентов Windows для ИТ-специалистов для защиты от уязвимостей стороны канала Упреждающее исполнение команд

Применимо к: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Больше

Аннотация


Корпорации Майкрософт известно о новый класс открытых источниках уязвимостей, называются «Упреждающее исполнение команд стороны канала атак» и влияют на многих современных процессоров, включая ARM, AMD и Intel.

Примечание. Эта проблема также затрагивает другие операционные системы, например Android, хром, iOS и macOS. Таким образом мы рекомендуем клиентам получить консультацию в этих поставщиков.

Корпорация Майкрософт выпустила несколько обновлений для снижения уязвимости. Кроме того, мы предприняли меры для обеспечения безопасности облачным службам. Для получения дополнительных сведений см.

Корпорация Майкрософт еще не получала никакой информации для указания того, что эти уязвимости были использованы для атак на пользователей. Корпорация Майкрософт тесно сотрудничает с отраслевыми партнерами, включая производители микросхем, изготовители оборудования оборудования и поставщиков приложений для защиты клиентов. Чтобы получить все доступные средства защиты, встроенного по (микрокода) и программного обеспечения обновления являются обязательными. Это включает в себя микрокода из устройства ПВТ и, в некоторых случаях обновления для антивирусного программного обеспечения.

В этой статье устраняет следующие уязвимости:

Центр обновления Windows также предоставит снижения Internet Explorer и границей. Мы будет продолжать улучшать этих указаний по снижению опасности этот класс уязвимостей.

Дополнительные сведения об этом классе уязвимостей, приведены в ADV180002 и ADV180012.

Рекомендуемые действия


Клиентам следует предпринять следующие действия для защиты от уязвимостей:

  1. Примените все доступные Windows обновления операционной системы, включая обновления Windows.
  2. Обновления микропрограммного (микрокода), предоставленный изготовителем устройства.
  3. Оценка риска в среде на основе информации, предоставляемой на рекомендации по безопасности корпорации МайкрософтADV180002иADV180012и в статье базы знаний Майкрософт.
  4. Действие при необходимости с помощью сведений из раздела реестра, приведенными в данной статье базы знаний и рекомендации.

Примечание.Поверхности клиенты получат обновление встроенного микрокода через Центр обновления Windows. Список доступных устройств обновления встроенного по (микрокода), см. 4073065 КБ.

Параметры для клиентов Windows


Рекомендации по безопасностиADV180002иADV180012предоставляют сведения о риске, связанные с этими уязвимостями, и они помогают определить состояние снижения клиентских систем Windows по умолчанию. В следующей таблице перечислены требования микрокода Процессора и состояние по умолчанию по снижению опасности для клиентов Windows.

CVE

Микрокод Процессора требуется/Firmware?

Статус по умолчанию по уменьшению

CVE-2017-5753

Нет

По умолчанию (параметр не отключить)

CVE-2017-5715

Да

Включен по умолчанию. Пользователи систем на базе процессоров AMD должны видеть 15 часто задаваемые вопросы и пользователи процессоров ARM должны видеть 20 вопросов и Ответов на ADV180002для дополнительных действий и Этот статья БАЗЫ знаний для соответствующего раздела реестра.

CVE-2017-5754

Нет

По умолчанию

CVE-2018-3639

Intel: Да AMD: нет ARM: Да

Intel и AMD: по умолчанию отключена. Просмотреть ADV180012 для получения дополнительных сведений и эта статья БАЗЫ знаний для соответствующего раздела реестра.

ARM: по умолчанию без возможность отключения.

Примечание. Включение способы снижения опасности, отключенных по умолчанию может повлиять на производительность. Влияние Фактическая производительность зависит от нескольких факторов, таких как конкретный набор микросхем в устройство и рабочие нагрузки, выполняющиеся.

Параметры реестра


Мы предоставляем следующие данные реестра для включения способы снижения опасности, которые не включены по умолчанию, как описано в рекомендации по безопасностиADV180002иADV180012.Кроме того, мы предоставляем параметры раздела реестра для пользователей, которым требуется отключить по снижению опасности, связанные с CVE 2017 г. 5715 и CVE 2017 г. 5754 для клиентов Windows.

Важно.Этот раздел, метод или задачу включены действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Дополнительные сведения о том, как резервное копирование и восстановление реестра см в следующей статье базы знаний Майкрософт:

322756Как резервное копирование и восстановление реестра Windows

Управление средств преодоления CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)


Чтобы включить защиту от по умолчанию CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 0 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Чтобы отключить защиту от CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 3 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Примечание.Значение 3 точно FeatureSettingsOverrideMask «включить» и «отключить» параметры. (См. раздел «Вопросы и ответы» для получения дополнительных сведений о разделах реестра.)

Управление по устранению рисков для CVE-2017 г-5715 (Spectre варианта 2)


Для отключенияфакторы, снижающие опасностьCVE 2017 г. 5715 (Spectre варианта 2):

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 1 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Для включения по умолчаниюфакторы, снижающие опасностьCVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown):

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverride /v /t REG_DWORD /d 0 /f

REG добавить «Управление Manager\Memory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session» FeatureSettingsOverrideMask /v /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Только для процессоров AMD и ARM: Включение полного устранения рисков для CVE-2017 г-5715 (Spectre варианта 2)


По умолчанию защита пользователя для ядра для CVE 2017 г. 5715 отключена для процессоров ARM и AMD. Пользователям необходимо включить по снижению получать дополнительные средства защиты для CVE-2017 г.-5715. Дополнительные сведения см 15 # часто задаваемые вопросы в ADV180002 для процессоров AMD и 20 вопросов и Ответов в ADV180002 для процессоров ARM.

Включить защиту пользователей для ядра процессоров AMD и ARM, а также другие средства защиты для CVE 2017 г. 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Управление средств преодоления CVE-2018-3639 (интеллектуальное хранилище обхода), CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)


Чтобы включить защиту от CVE-2018-3639 (интеллектуальное хранилище обхода), снижения по умолчанию для CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Примечание: процессоры AMD не подвержены 5754 CVE 2017 г. (Meltdown). Этот раздел реестра для включения по умолчанию факторы, снижающие опасность CVE 2017 г. 5715 на процессорах AMD и устранения рисков для CVE-2018-3639 используется в системах с процессорами AMD.

Чтобы отключить защиту от CVE-2018-3639 (интеллектуальное хранилище обхода)* и *снижению опасности для CVE-2017 г-5715 (Spectre варианта 2) и 5754 CVE 2017 г. (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Только в процессорах AMD: Включение полного устранения рисков для CVE-2017 г-5715 (Spectre варианта 2) и CVE 2018-3639 (интеллектуальное хранилище обхода)


По умолчанию защита пользователя для ядра для CVE 2017 г. 5715 отключена для процессоров AMD. Пользователям необходимо включить по снижению получать дополнительные средства защиты для CVE-2017 г.-5715.  Для получения дополнительных сведений см. вопросы и ответы по 15 в ADV180002.

Включение защиты пользователя для ядра для процессоров AMD, а также другие средства защиты для CVE 2017 г. 5715 и средства защиты для CVE-2018-3639 (интеллектуальное хранилище обхода):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Проверка включения защиты


Чтобы помочь пользователям убедитесь, что включены средства защиты, корпорация Майкрософт опубликовала сценарий PowerShell, пользователи могут запускать в их системах. Установите и запустите сценарий, выполнив следующие команды.

Проверка PowerShell с помощью PowerShell галереи (Windows Server 2016 или WMF 5.0 и 5.1)

Установка модуля PowerShell:

PS > установить модуль SpeculationControl

Запустите модуль PowerShell, чтобы убедиться, что включены средства защиты:

PS > # Сохранить текущую политику выполнения, его можно сбросить

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-области Currentuser

PS > Import-Module SpeculationControl

PS > Get-SpeculationControlSettings

PS > # политика выполнения сбросить в исходное состояние

PS > Set-ExecutionPolicy $SaveExecutionPolicy-области Currentuser

Проверка PowerShell с помощью загрузки из Technet (более ранних версий операционной системы и более ранних версиях WMF)

Установка модуля PowerShell из Technet ScriptCenter:

Последовательно выберите пункты https://aka.ms/SpeculationControlPS

Загрузите SpeculationControl.zip в локальную папку.

Извлеките содержимое в локальную папку, например C:\ADV180002

Запустите модуль PowerShell, чтобы убедиться, что включены средства защиты:

Запустить PowerShell, затем (с помощью предыдущего примера) скопируйте и выполните следующие команды:

PS > # Сохранить текущую политику выполнения, его можно сбросить

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-области Currentuser

PS > C:\ADV180002\SpeculationControl компакт-диска

PS > Import-Module.\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # политика выполнения сбросить в исходное состояние

PS > Set-ExecutionPolicy $SaveExecutionPolicy-область Currentuser

Подробное описание выходных данных сценария PowerShell, можно найти в . в статье базы знаний 4074629

Типичные вопросы