Windows Server pokyny na ochranu proti špekulatívnym vykonania strane kanál chyby

Vzťahuje sa na: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Viac

Súhrn


Microsoft je vedomá verejne zverejnené nové triedy chyby, ktoré sa nazývajú "špekulatívne vykonania strane kanála útoky" a ktoré ovplyvňujú mnohé moderné procesory Intel, AMD a ARM.

Poznámka:  Tento problém ovplyvňuje aj ďalšie operačné systémy, ako robot, Chrome, iOS a v systéme Mac OS. Preto odporúčame zákazníkom požiadajte dodávateľov.

Spoločnosť Microsoft vydala niekoľko aktualizácií na zamedzenie týchto chýb. Prijali sme opatrenia na zabezpečenie našich služieb cloud. Nájdete v nasledujúcich častiach podrobnejšie.

Microsoft ešte nedostali žiadne informácie, ktoré naznačujú, že tieto chyby boli použité útok zákazníkov. Microsoft úzko spolupracuje s aktuálnymi partnerov čipové výrobcovia OEM hardvéru a dodávateľa aplikácie na ochranu zákazníkov. Získať firmvéru (microcode) k dispozícii ochrany a softvér sú potrebné aktualizácie. Obsahuje mikrokód OEM zariadenia a, v niektorých prípadoch aktualizácie antivírusového softvéru.

Tento článok sa zaoberá nasledujúce chyby:

Ďalšie informácie o tento druh chyby, pozrite si ADV180002 a ADV180012.

Na uľahčenie vyhľadania technickej podpory poskytuje spoločnosť Microsoft kontaktné informácie na iných výrobcov. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft neručí za správnosť týchto kontaktných informácií iných výrobcov.

Odporúčané akcie


Zákazníci by mali vykonať nasledujúce akcie na ochranu proti chyby:

  1. Použiť všetky dostupné aktualizácie systému Windows operačný systém, vrátane mesačné aktualizácie zabezpečenia systému Windows. Informácie o tom, ako povoliť tieto aktualizácie, see 4072699 článku Microsoft Knowledge Base.
  2. Použiť firmvéru (microcode) požiadať výrobcu zariadenia (OEM).
  3. Vyhodnotiť riziko pre vaše prostredie, na základe informácií v upozornenia zabezpečenia spoločnosti MicrosoftADV180002aADV180012v tomto článku databázy Knowledge Base.
  4. Podniknúť potrebné upozornenia a kľúč databázy registry informácie, ktoré je uvedené v článku databázy Knowledge Base.

Obmedzenie zahltenia nastavenia pre systém Windows Server


Upozornenia zabezpečenia ADV180002 a ADV180012 poskytnúť informácie o týchto chýb rizika a identifikácia predvolený stav mitigations pre systémy Windows Server. Tabuľke nižšie sú uvedené požiadavky mikrokóde Procesor a predvolený stav mitigations v systéme Windows Server.

CVE Vyžaduje sa Procesor microcode alebo firmvér? Zníženie predvoleného stavu

CVE-2017-5753

Nie

Predvolene (možnosť vypnúť)

CVE-2017-5715

Áno

Vypnuté na základe predvoleného nastavenia.

CVE-2017-5754

Nie

Windows Server 2019: V predvolenom nastavení povolená. Windows Server 2016 a staršie verzie: v predvolenom nastavení vypnutá.

CVE-2018-3639

Intel: Áno

AMD: No

Vypnuté na základe predvoleného nastavenia. Pozrite si ADV180012 ďalšie informácie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.

Zákazníci, ktorí chcú získať všetky dostupné ochrany proti tieto chyby sa kľúčových zmien databázy registry aby tieto mitigations, ktoré sú vypnuté.

Povolenie týchto mitigations môže ovplyvniť výkon. Rozsah účinkov výkonu závisí od viacerých faktorov, napríklad konkrétny chipset fyzického hostiteľa a zaťaženie, ktoré používate. Odporúčame zákazníkom posúdiť výkon svojho prostredia a vykonajte všetky potrebné úpravy.

Server je zvýšené riziko, ak je v niektorom z nasledujúcich kategórií:

  • Hyper-V hostiteľom – vyžaduje ochrana VM-VM a hostiteľom VM.
  • Remote Desktop služby Hosts (RDSH) – vyžaduje ochrana naraz do inej relácie alebo hostiteľa relácie útokom.
  • Fyzické počítače alebo virtuálne počítače, spustené nedôveryhodný kódu, napríklad kontajnerov alebo nedôveryhodné rozšírenie databázy, nedôveryhodný webového obsahu alebo zaťaženie, spustiť kód z externých zdrojov. Nevyžaduje ochranu pred útokmi, nedôveryhodný procesu na iný proces alebo nedôveryhodný-proces-k-jadra.

Použite nasledujúce nastavenia kľúča databázy registry umožniť mitigations na serveri a zmeny prejavili, reštartujte.

Dôležité upozornenie:Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany zálohujte databázu Registry pred úpravou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registry, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

 

322756Ako zálohovať a obnoviť databázu registry v systéme Windows

Správa mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)


Ak chcete povoliť mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a aktualizácií firmvéru: Úplne vypnúť všetky virtuálne počítače. To umožňuje zníženie týkajúce sa firmvér použije na hostiteľskom počítači pred začatím VM. Preto VM aktualizujú aj keď ste sa znova.

Reštartujte počítač zmeny prejavili .

Vypnutie mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartovať počítač, aby sa zmeny prejavili.

Poznámka: nastavenie FeatureSettingsOverrideMask 3 správnosť nastavení "Povoliť" aj "vypnúť". (Nájdete v časti "najčastejšie otázky" Ďalšie informácie o kľúčoch databázy registry.)

Spravovať zníženie CVE 2017 5715 (spektrum Variant 2)


Vypnutie Variant 2: (CVE -2017 5715"Pobočky Target vloženia")zníženie:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

Povolenie Variant 2: (CVE-2017-5715"Vloženia cieľový priečinok") zníženie:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

Procesory AMD iba: zapnúť úplné zníženie CVE 2017 5715 (spektrum Variant 2)


Na základe predvoleného nastavenia ochrany používateľov a jadra CVE-2017-5715 vypnutá pre procesory AMD. Zákazníci musíte zapnúť zmiernenia prijímať ďalšie ochranu CVE-2017-5715.  Ďalšie informácie nájdete v časti FAQ #15 ADV180002.

Zapnutie ochrany používateľov a jadra procesory AMD spolu s ďalšie ochranu CVE 2017 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a aktualizácií firmvéru: Úplne vypnúť všetky virtuálne počítače. To umožňuje zníženie týkajúce sa firmvér použije na hostiteľskom počítači pred začatím VM. Preto VM aktualizujú aj keď ste sa znova.

Reštartujte počítač pre zmeny prejavili.

Správa mitigations CVE 2018 3639 (špekulatívny obchod Bypass), CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)



Zapnutie mitigations CVE 2018 3639 (špekulatívny obchod Bypass), CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy).

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a aktualizácií firmvéru: Úplne vypnúť všetky virtuálne počítače. To umožňuje zníženie týkajúce sa firmvér použije na hostiteľskom počítači pred začatím VM. Preto VM aktualizujú aj keď ste sa znova.

Reštartujte počítač pre zmeny prejavili.

Vypnutie mitigations pre CVE 2018 3639 (špekulatívny obchod Bypass) a mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

 

Procesory AMD iba: zapnúť úplné zníženie CVE 2017 5715 (spektrum Variant 2) a CVE 2018-3639 (špekulatívny obchod Bypass)


Na základe predvoleného nastavenia ochrany používateľov a jadra CVE-2017-5715 vypnutá pre procesory AMD. Zákazníci musíte zapnúť zmiernenia prijímať ďalšie ochranu CVE-2017-5715.  Ďalšie informácie nájdete v časti FAQ #15 ADV180002.

Ochrana používateľov a jadra procesory AMD spolu s ďalšie ochranu CVE 2017 5715 a ochranu CVE 2018 3639 (špekulatívny obchod Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a aktualizácií firmvéru:Úplne vypnúť všetky virtuálne počítače. To umožňuje zníženie týkajúce sa firmvér použije na hostiteľskom počítači pred začatím VM. Preto aj VM aktualizujú pri ich ste reštartovať.

Reštartujte počítač pre zmeny prejavili.

Overenie, či sú povolené ochrany


Pre zákazníkov, overte, či je zapnutá ochrana, spoločnosť Microsoft vydala PowerShell skript, ktorý zákazníci môžete spustiť na svojich systémov. Nainštalujte a spustite skript spustením nasledujúcich príkazov.

PowerShell overovanie pomocou PowerShell galérie (Windows Server 2016 alebo WMF 5.0/5.1)

Nainštalujte PowerShell modul:

PS> Install-Module SpeculationControl

Spustite modul PowerShell a overte, či sú povolené ochrany:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell overovanie pomocou prevzatie z Technet (predtým verzie operačného systému a WMF starších verzií)

Nainštalujte PowerShell modul z ScriptCenter na lokalite Technet:

  1. Prejdite na https://aka.ms/SpeculationControlPS.
  2. Prevzatie SpeculationControl.zip do lokálneho priečinka.
  3. Rozbaľte obsah do priečinka. Príklad: C:\ADV180002

Spustite modul PowerShell a overte, či sú povolené ochrany:

Spustenie prostredia PowerShell, a potom použite v predchádzajúcom príklade skopírujte a spustite nasledujúce príkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobnejšie vysvetlenie výstup PowerShell skript, prečítajte článok databázy Knowledge Base 4074629

Najčastejšie otázky


Nie sú k dispozícii aktualizácie zabezpečenia Windows, ktoré boli vydané v januári a februári 2018 Čo mám robiť?

Zabrániť ovplyvnenia zariadenia zákazníka, Windows aktualizácie zabezpečenia, ktoré boli vydané do januára a februára 2018 sa neponúka všetkým zákazníkom. Podrobnosti nájdete v článku databázy Microsoft Knowledge Base 4072699.

Odkazy