KB4457951: рекомендации Windows по защите от уязвимостей спекулятивного выполнения на стороне канала

Получение и применение последних обновлений Windows

Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows. Таблицу затронутых продуктов можно просмотреть в рекомендациях по безопасности Майкрософт | 180018 ADV для L1TF, советы по безопасности | 190013 ADV для MDS, советы по безопасности | ADV220002 для MMIO и уязвимости системы безопасности | CVE-2019-11135 для уязвимости раскрытия информации ядра Windows.

Получение и применение последних обновлений микрокода или встроенного ПО

Помимо установки последних обновлений системы безопасности Windows, также может потребоваться обновление микрокода процессора или встроенного ПО. Мы рекомендуем получить и применить последнее обновление микрокода в соответствии с вашим устройством от изготовителя оборудования устройства. Дополнительные сведения об обновлениях микрокодов или встроенного ПО см. в следующих справочниках:

• KB4093836: сводка по Обновления Intel Microcode

• Статья сообщества demystifying Microcode Обновления для процессоров Intel и AMD

• Рекомендации по Центру безопасности продуктов Intel

• Безопасность продуктов AMD

Примечание. Если вы используете вложенную виртуализацию (включая запуск контейнеров Hyper-V на гостевой виртуальной машине), необходимо предоставить новые микрокоды гостевой виртуальной машине. Это может потребовать обновления конфигурации виртуальной машины до версии 8. Версия 8 включает просветления микрокода по умолчанию. Дополнительные сведения и необходимые действия см. в следующей статье Документация Майкрософт статьи:

Запуск Hyper-V на виртуальной машине с вложенной виртуализацией

Следует ли отключить hyper-threading (HT)?

Уязвимости L1TF и MDS создают риск того, что конфиденциальность виртуальных машин Hyper-V и секретов, поддерживаемых microsoft Virtualization Based Security (VBS), может быть скомпрометирована с помощью атаки на стороне канала. Если Hyper-Threading (HT) включен, границы безопасности, предоставляемые Hyper-V и VBS, ослабевают.

Основной планировщик Hyper-V (доступный начиная с Windows Server 2016 и Windows 10 версии 1607) устраняет векторы атак L1TF и MDS на виртуальные машины Hyper-V, но при этом позволяет Hyper-Threading оставаться включенными. Это обеспечивает минимальное влияние на производительность.

Основной планировщик Hyper-V не устраняет векторы атак L1TF или MDS с функциями безопасности, защищенными VBS. Уязвимости L1TF и MDS приводят к риску того, что конфиденциальность секретов VBS может быть скомпрометирована путем атаки по боковому каналу при включении Hyper-Threading (HT), что ослабляет границу безопасности, предоставляемую VBS. Даже при этом повышенном риске VBS по-прежнему предоставляет ценные преимущества безопасности и устраняет ряд атак с включенным протоколом HT. Поэтому рекомендуется продолжать использовать VBS в системах с поддержкой HT. Клиентам, которые хотят устранить потенциальный риск уязвимостей L1TF и MDS в отношении конфиденциальности VBS, следует рассмотреть возможность отключения HT, чтобы снизить этот дополнительный риск.

Клиенты, которые хотят устранить риск, связанный с уязвимостями L1TF и MDS, будь то конфиденциальность версий Hyper-V, предшествующих Windows Server 2016, или возможностей безопасности VBS, должны взвесить решение и рассмотреть возможность отключения HT, чтобы снизить риск. Как правило, это решение может основываться на следующих рекомендациях:

• Для Windows 10 версии 1607 Windows Server 2016 и более поздних систем, которые не работают под управлением Hyper-V и не используют функции безопасности, защищенные VBS, клиентам не следует отключать HT.

• Для Windows 10 версии 1607 Windows Server 2016 и более поздних систем, которые работают под управлением Hyper-V с основным планировщиком, но не используют функции безопасности, защищенные VBS, клиенты не должны отключать HT.

• Для Windows 10 версии 1511, Windows Server 2012 R2 и более ранних систем под управлением Hyper-V клиенты должны рассмотреть возможность отключения HT, чтобы снизить риск.

Действия, необходимые для отключения HT, отличаются от OEM к OEM. Однако они обычно являются частью средств настройки и настройки BIOS или встроенного ПО.

Корпорация Майкрософт также представила возможность отключения технологии Hyper-Threading с помощью параметра программного обеспечения, если невозможно или трудно отключить HT в средствах настройки и настройки BIOS или встроенного ПО. Параметр программного обеспечения для отключения HT является вторичным по отношению к параметру BIOS или встроенного ПО и отключен по умолчанию (это означает, что HT будет следовать параметрам BIOS или встроенного ПО). Дополнительные сведения об этом параметре и о том, как отключить HT с его помощью, см. в следующей статье:

4072698 Руководство по защите Windows Server от уязвимостей в боковом канале спекулятивного выполнения

По возможности рекомендуется отключить HT в BIOS или встроенном ПО для обеспечения максимальной гарантии отключения HT.

Примечание. Отключение hyper-threading приведет к сокращению ядер ЦП. Это может влиять на функции, для работы которых требуется минимальное количество ядер ЦП. Например, Защитник Windows Application Guard (WDAG).

Включите планировщик ядра Hyper-V и задайте для виртуальной машины число потоков оборудования на ядро равным 2.

Примечание. Эти действия по устранению рисков применяются только к Windows Server 2016 и Windows 10 версиям до версии 1809. Основной планировщик включен по умолчанию в Windows Server 2019 и Windows 10 версии 1809.

Использование основного планировщика — это двухэтапный процесс, который требует, чтобы сначала включить планировщик на узле Hyper-V, а затем настроить каждую виртуальную машину, чтобы воспользоваться его преимуществами, задав количество потоков оборудования на ядро в два (2).

Основной планировщик Hyper-V, представленный в Windows Server 2016 и Windows 10 версии 1607, является новой альтернативой классической логике планировщика. Основной планировщик обеспечивает снижение вариативности производительности для рабочих нагрузок на виртуальных машинах, работающих на узле Hyper-V с поддержкой HT.

Подробное описание основного планировщика Hyper-V и инструкции по его включению см. в следующей статье Центра ИТ-специалистов для Windows:

Общие сведения о типах планировщиков гипервизора Hyper-V и их использовании

Чтобы включить основной планировщик Hyper-V на Windows Server 2016 или Windows 10, введите следующую команду:

bcdedit /set HypervisorSchedulerType core

Затем решите, следует ли настроить количество аппаратных потоков конкретной виртуальной машины на ядро до двух (2). Если вы предоставляете сведения о том, что виртуальные процессоры являются гиперпотоками для гостевой виртуальной машины, вы включите планировщик в операционной системе виртуальной машины, а также рабочие нагрузки виртуальных машин, чтобы использовать HT в собственном планировании работы. Для этого введите следующую команду PowerShell, в которой <VMName> — это имя виртуальной машины:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

Включение мер по устранению рисков для рекомендаций CVE-2017-5715, CVE-2017-5754 и CVE-2019-11135

Примечание. Эти способы устранения рисков включены по умолчанию в клиентских операционных системах Windows Server 2019 и Windows.

Чтобы включить устранение рисков для рекомендаций CVE-2017-5715, CVE-2017-5754 и CVE-2019-11135, используйте инструкции из следующих статей:

4072698 руководство по Windows Server для защиты от уязвимостей спекулятивного выполнения в боковом канале

4073119 руководство по работе с клиентом Windows для ИТ-специалистов для защиты от уязвимостей спекулятивного выполнения на стороне канала

Примечание. Эти способы устранения рисков включают и автоматически включают защиту битов безопасного кадра страницы для ядра Windows, а также для устранения рисков, описанных в cve-2018-3620. Подробное описание защиты от битов безопасного кадра страницы см. в следующей статье блога о безопасности & defense:

Анализ и устранение неполадок терминала L1 (L1TF)