Pokyny na klienta systému Windows pre profesionálov z oblasti IT na ochranu proti špekulatívnym vykonania strane kanál chyby

Vzťahuje sa na: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Viac

Súhrn


Spoločnosť Microsoft si je vedomá verejne zverejnené nové triedy chyby, ktoré sa nazývajú "špekulatívne vykonania strane kanála útoky" a ktoré ovplyvňujú mnohé moderné procesory, vrátane Intel, AMD, VIA, a.

Poznámka: Tento problém ovplyvňuje aj ďalšie operačné systémy, ako robot, Chrome, iOS a v systéme Mac OS. Preto odporúčame zákazníkom požiadajte dodávateľov.

Spoločnosť Microsoft vydala niekoľko aktualizácií na zamedzenie týchto chýb. Prijali sme opatrenia na zabezpečenie našich služieb cloud. Nájdete v nasledujúcich častiach podrobnejšie.

Microsoft ešte nedostali žiadne informácie, ktoré naznačujú, že tieto chyby boli použité útok zákazníkov. Microsoft úzko spolupracuje s aktuálnymi partnerov čipové výrobcovia OEM hardvéru a dodávateľa aplikácie na ochranu zákazníkov. Získať firmvéru (microcode) k dispozícii ochrany a softvér sú potrebné aktualizácie. Obsahuje mikrokód OEM zariadenia a, v niektorých prípadoch aktualizácie antivírusového softvéru.

Tento článok sa zaoberá nasledujúce chyby:

Windows Update poskytne mitigations Internet Explorer a Edge. Budeme pokračovať na zlepšenie týchto mitigations proti tomu chyby.

Ďalšie informácie o tento druh chyby, nájdete

Aktualizované 14. mája 2019: 14. mája 2019 Intel uverejnila informáciu Nová podtrieda špekulatívne vykonania strane kanál chyby nazýva Microarchitectural vzorkovania údajov. Sú priradené tieto tzv:

Dôležité upozornenie: tieto otázky budú mať vplyv na iné systémy ako robot, Chrome, iOS a v systéme Mac OS. Odporúčame zákazníkom požiadajte svojho príslušného dodávateľa.

Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť tieto chyby. Získať firmvéru (microcode) k dispozícii ochrany a softvér sú potrebné aktualizácie. Táto chyba môže zahŕňať mikrokóde zariadenia OEM. V niektorých prípadoch Inštalácia aktualizácií budú mať vplyv na výkon. Budeme mať takisto pomáhal zabezpečenie našich služieb cloud. Dôrazne sa odporúča nasadenie aktualizácií.

Ďalšie informácie o tomto probléme nájdete nasledujúce odporúčanie zabezpečenia a použiť scenár procesorom sprievodca na určenie činností potrebných na zníženie ohrozenia:

 

Poznámka: Odporúčame vám nainštalovať všetky najnovšie aktualizácie zo služby Windows Update pred inštaláciou aktualizácie mikrokóde.

Odporúčané akcie


Zákazníci by mali vykonať nasledujúce akcie na ochranu proti chyby:

  1. Použiť všetky dostupné aktualizácie systému Windows operačný systém, vrátane mesačné aktualizácie zabezpečenia systému Windows.
  2. Aktualizácie použiteľné firmvér (microcode), poskytuje výrobca zariadenia.
  3. Vyhodnotiť riziká prostredia na základe informácií, ktoré je k dispozícii na Microsoft bezpečnostné správy: ADV180002, ADV180012, ADV190013 a informácie v tomto článku databázy Knowledge Base.
  4. Podniknúť potrebné upozornenia a kľúč databázy registry informácie, ktoré sú uvedené v článku databázy Knowledge Base.

Poznámka: Povrchové zákazníci získajú microcode aktualizácia prostredníctvom služby Windows update. Zoznam najnovších aktualizácií firmvéru (microcode) k dispozícii povrchové zariadenia nájdete KB 4073065.

Obmedzenie zahltenia nastavenia pre klientov so systémom Windows


Poradenstvo ohľadom zabezpečenia ADV180002a ADV180012ADV190013 poskytujú informácie o riziko, ktoré predstavuje podľa týchto chýb a umožňujú určiť predvolený stav mitigations klienta systému Windows. Nasledujúca tabuľka obsahuje požiadavku mikrokóde Procesor a predvolený stav mitigations Windows klientov.

CVE

Vyžaduje sa Procesor microcode alebo firmvér?

Zníženie predvoleného stavu

CVE-2017-5753

Nie

Predvolene (možnosť vypnúť)

Ďalšie informácie nájdete na ADV180002 .

CVE-2017-5715

Áno

V predvolenom nastavení povolená. Systémy založené na procesoroch AMD by nájdete najčastejšie otázky č. 15 a procesory ARM mali nájdete FAQ #20 ADV180002 ďalšie akcie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.

Poznámka: "Retpoline" je štandardne zariadení so systémom Windows 10 1809 alebo novšiu verziu, ak je povolené spektrum Variant 2 (CVE-2017-5715). Ďalšie informácie okolo "Retpoline", postupujte podľa pokynov vblogu zmierniť spektrum variant 2 Retpoline v systéme Windows .

CVE-2017-5754

Nie

V predvolenom nastavení povolená

Ďalšie informácie nájdete na ADV180002 .

CVE-2018-3639

Intel: Áno AMD: No ARM: Áno

Intel a AMD: v predvolenom nastavení vypnutá. Pozrite si ADV180012 ďalšie informácie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.

ARM: Predvolene bez možnosti vypnúť.

CVE-2018-11091 Intel: Áno

V predvolenom nastavení povolená.

Pozrite si ADV190013 ďalšie informácie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.
CVE-2018-12126 Intel: Áno

V predvolenom nastavení povolená.

Pozrite si ADV190013 ďalšie informácie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.
CVE-2018-12127 Intel: Áno

V predvolenom nastavení povolená.

Pozrite si ADV190013 ďalšie informácie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.
CVE-2018-12130 Intel: Áno

V predvolenom nastavení povolená.

Pozrite si ADV190013 ďalšie informácie a tento článok databázy KB pre príslušné databázy registry kľúč nastavenia.

Poznámka: Povolenie mitigations, ktoré sú v predvolenom nastavení môže ovplyvniť výkon. Vplyv skutočného výkonu závisí od viacerých faktorov, napríklad konkrétny chipset zariadenia a zaťaženie, ktoré používate.

Nastavenia databázy Registry


Poskytujeme tieto informácie o databáze registry povolenie mitigations, ktoré nie sú povolené na základe predvoleného nastavenia, ako je uvedené v upozornenia zabezpečenia ADV180002 a ADV180012. Okrem toho poskytujeme kľúčových nastavenia databázy registry pre používateľov, ktorí chcú zakázať mitigations týkajúce sa CVE-2017-5715 a CVE-2017-5754 pre klientov so systémom Windows.

Dôležité: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany zálohujte databázu Registry pred úpravou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registry, pozrite si nasledujúci článok v databáze Microsoft Knowledge Base:

Označovať KB 322756 "Ako zálohovať a obnoviť databázu registry v systéme Windows"

Správa mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)


Upozornenie: Retpoline je predvolene Windows 10, verzia 1809devices Ak spektrum, Variant 2 (CVE-2017-5715) je povolená. Povolenie Retpoline na najnovšiu verziu Windows 10 môže zvýšiť výkon v zariadeniach so systémom Windows 10, verzia 1809 spektrum variant 2, najmä na starších.

Ak chcete povoliť predvolené mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride/t REG_DWORD/f/d 0

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Reštartujte počítač pre zmeny prejavili.

Vypnutie mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride/t REG_DWORD/f/d 3

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Reštartujte počítač pre zmeny prejavili.

Poznámka: Hodnota 3 je presné pre FeatureSettingsOverrideMask "Povoliť" a "vypnúť" nastavenia. (Nájdete v časti "Najčastejšie otázky" Ďalšie informácie o kľúčoch databázy registry.)

Spravovať zníženie CVE 2017 5715 (spektrum Variant 2)


Vypnutiemitigations preCVE-2017-5715 (spektrum Variant 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Reštartujte počítač pre zmeny prejavili.

Povoliť predvolenémitigations preCVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride/t REG_DWORD/f/d 0

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Reštartujte počítač pre zmeny prejavili.

Procesory AMD a ARM: zapnúť úplné zníženie CVE 2017 5715 (spektrum Variant 2)


Štandardne vypnutá používateľa do jadra ochrany CVE-2017-5715 AMD a procesory ARM. Zákazníci musíte zapnúť zmiernenia prijímať ďalšie ochranu CVE-2017-5715. Ďalšie informácie nájdete FAQ #15 ADV180002 procesory AMD a FAQ #20 ADV180002 pre procesory ARM.

Zapnutie ochrany používateľov a jadra procesormi AMD a ARM spolu s ďalšie ochranu CVE 2017 5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

Správa mitigations CVE 2018 3639 (špekulatívny obchod Bypass), CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)


Zapnutie mitigations pre CVE 2018 3639 (špekulatívny obchod Bypass), predvolené mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy).

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

Poznámka: Procesory AMD nie sú náchylné na CVE 2017 5754 (krízy). Tento kľúč databázy registry sa používa predvolený mitigations pre CVE-2017-5715 procesory AMD a zníženie CVE-2018-3639 v systémoch s procesormi AMD.

Vypnutie mitigations pre CVE 2018 3639 (špekulatívny obchod Bypass) * a * mitigations CVE 2017 5715 (spektrum Variant 2) a CVE 2017 5754 (krízy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

Procesory AMD iba: zapnúť úplné zníženie CVE 2017 5715 (spektrum Variant 2) a CVE 2018-3639 (špekulatívny obchod Bypass)


Na základe predvoleného nastavenia ochrany používateľov a jadra CVE-2017-5715 vypnutá pre procesory AMD. Zákazníci musíte zapnúť zmiernenia prijímať ďalšie ochranu CVE-2017-5715.  Ďalšie informácie nájdete v časti FAQ #15 ADV180002.

Ochrana používateľov a jadra procesory AMD s ďalšie ochranu CVE 2017 5715 a ochranu CVE 2018 3639 (špekulatívny obchod Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte počítač pre zmeny prejavili.

Správa vzorkovania údajov Microarchitectural (CVE-2018-11091 CVE-2018-12126 CVE-2018-12127, CVE-2018-12130) spektrum (CVE-2017-5753 a CVE-2017-5715) a varianty krízy (CVE-2017-5754), vrátane špekulatívnych obchod Bypass vypnúť (SSBD) (CVE-2018-3639) aj L1 Terminal chyba (L1TF) (CVE-2018-3615 CVE-2018-3620 a CVE-2018-3646)


Povolenie mitigations Microarchitectural údajov vzorky (CVE-2018-11091; CVE-2018-12126; CVE-2018-12127; CVE-2018-12130) spolu s spektrum (CVE-2017-5753 & CVE-2017-5715) a kríza (CVE-2017-5754) varianty špekulatívny obchod Bypass vypnúť (SSBD) (CVE-2018-3639), ako aj L1 Terminal chyba (L1TF) (CVE-2018-3615 CVE-2018-3620 a CVE-2018-3646) bez vypnutia Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Ak je nainštalovaná súčasť Hyper-V, pridajte nasledovné nastavenie databázy registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations/t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a aktualizácií firmvéru: Úplne vypnúť všetky virtuálne počítače. To umožňuje zníženie týkajúce sa firmvér použije na hostiteľskom počítači pred začatím VM. Preto VM aktualizujú aj keď ste sa znova.

Reštartujte počítač pre zmeny prejavili.

Povolenie mitigations Microarchitectural údajov vzorky (CVE-2018-11091; CVE-2018-12126; CVE-2018-12127; CVE-2018-12130) spolu s spektrum (CVE-2017-5753 & CVE-2017-5715) a kríza (CVE-2017-5754) varianty špekulatívny obchod Bypass vypnúť (SSBD) (CVE-2018-3639), ako aj L1 Terminal chyba (L1TF) (CVE-2018-3615 CVE-2018-3620 a CVE-2018-3646) s Hyper-Threading vypnuté:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Ak je nainštalovaná súčasť Hyper-V, pridajte nasledovné nastavenie databázy registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations/t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a aktualizácií firmvéru: Úplne vypnúť všetky virtuálne počítače. To umožňuje zníženie týkajúce sa firmvér použije na hostiteľskom počítači pred začatím VM. Preto VM aktualizujú aj keď ste sa znova.

Reštartujte počítač pre zmeny prejavili.

Vypnutie mitigations Microarchitectural údajov vzorky (CVE-2018-11091; CVE-2018-12126; CVE-2018-12127; CVE-2018-12130) spolu s spektrum (CVE-2017-5753 & CVE-2017-5715) a kríza (CVE-2017-5754) varianty špekulatívny obchod Bypass vypnúť (SSBD) (CVE-2018-3639), ako aj L1 Terminal chyba (L1TF) (CVE-2018-3615 CVE-2018-3620 a CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride/t REG_DWORD/f/d 3

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask/t REG_DWORD/f/d 3

Reštartujte počítač pre zmeny prejavili.

Overenie, či sú povolené ochrany


Pre zákazníkov, overte, či je zapnutá ochrana, spoločnosť Microsoft vydala PowerShell skript, ktorý zákazníci môžete spustiť na svojich systémov. Nainštalujte a spustite skript spustením nasledujúcich príkazov.

PowerShell overovanie pomocou PowerShell galérie (Windows Server 2016 alebo WMF 5.0/5.1)

Nainštalujte PowerShell modul:

PS > nainštalovať modul SpeculationControl

Spustite modul PowerShell a overte, či sú povolené ochrany:

PS > # Uložiť súčasné vykonávanie sa môže obnoviť

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-rozsah aktuálny používateľ

PS > Import modul SpeculationControl

PS > Get-SpeculationControlSettings

PS > # vykonávanie obnoviť pôvodný stav

PS > Set-ExecutionPolicy $SaveExecutionPolicy-rozsah aktuálny používateľ

PowerShell overovanie pomocou prevzatie z Technet (staršej verzie operačného systému a verzie WMF)

Nainštalujte PowerShell modul z ScriptCenter na lokalite Technet:

Prejsť na https://aka.ms/SpeculationControlPS

Prevzatie SpeculationControl.zip do lokálneho priečinka.

Rozbaľte obsah do lokálneho priečinka, napríklad C:\ADV180002

Spustite modul PowerShell a overte, či sú povolené ochrany:

Spustite PowerShell, potom (pomocou v predchádzajúcom príklade) skopírujte a spustite nasledujúce príkazy:

PS > # Uložiť súčasné vykonávanie sa môže obnoviť

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-rozsah aktuálny používateľ

PS > CD C:\ADV180002\SpeculationControl

PS > Import modul.\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # vykonávanie obnoviť pôvodný stav

PS > Set-ExecutionPolicy $SaveExecutionPolicy-rozsah aktuálny používateľ

Podrobnejšie vysvetlenie výstup PowerShell skript, nájdete v článku databázy Knowledge Base 4074629.

Najčastejšie otázky