Windows Server navodila za zaščito pred ranljivostmi špekulativne izvedbo strani-kanal

Velja za: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Več

Povzetek


Microsoft se zaveda nov razred javno razkriti ranljivosti, ki se imenujejo "špekulativni izvedbo strani-kanal napade" in ki vpliva na veliko sodobnih procesorjev Intel, AMD in roko.

Opomba To vpliva tudi druge operacijske sisteme, kot Android, Chrome, iOS in macOS. Zato svetujemo strankam, da se posvetujete s tiste prodajalce.

Microsoft je izdal več posodobitev, da pomaga ublažiti te ranljivosti. Sprejeli smo tudi ukrepanje za zagotovitev naše storitve oblak. Glej v nadaljevanju za več podrobnosti.

Microsoft še ni prejela nobenih informacij kažejo, da so bile ranljivosti za napad stranke. Microsoft je tesno sodeluje s partnerji industrije, vključno z odkrušek tvorec izdelovalci strojne opreme in prodajalci app za zaščito odjemalcev. Dobiti vse na voljo zaščite, firmware (Mikrokod) in programske opreme so potrebne posodobitve. To vključuje Mikrokod s OEMs naprave in, v nekaterih primerih, posodobitve protivirusne programske opreme.

Ta članek obravnava naslednje ranljivosti:

Če želite izvedeti več o tem razredu ranljivosti, glej ADV180002 in ADV180012.

Za pomoč pri iskanju tehnične podpore vam Microsoft ponuja podatke za stik z neodvisnimi ponudniki. Ti podatki o stikih se lahko spremenijo brez poprejšnjega obvestila. Microsoft ne jamči, da so ti podatki o neodvisnih ponudnikih točni.

Priporočena dejanja


Stranke naj sprejme naslednje ukrepe za zaščito proti ranljivosti:

  1. Uporabi vse razpoložljive posodobitve operacijskega sistema Windows, vključno z mesečna okno varnost modernizirati. Za podrobnosti o tem, Kako da bi se te posodobitve, see 4072699 na članek v zbirki znanja Microsoft.
  2. Uporabljajo primerno (Mikrokod) posodobitve izdelovalca naprave (OEM).
  3. Ocenite tveganje v svojem okolju, na podlagi informacij, ki je v Microsoft varnost opozorilaADV180002inADV180012in v tem članku iz zbirke znanja.
  4. Ukrepati po potrebi z uporabo opozorila in registrski ključne informacije, ki je na voljo v tem članku iz zbirke znanja.

Omogočanje zaščite na Windows Server


Mitigations za CVE-2017-5753 so privzeto omogočen na Windows Server, in ni na voljo v onesposobiti jih skrbnik možnosti. Privzeto so onemogočene Mitigations za druge tri ranljivosti, ki so opisane v tem članku. Uporabniki, ki želijo pridobiti vse razpoložljive zaščite proti te ranljivosti mora registracija zakleniti spreminjajo omogočajo teh mitigations.

Omogočanje teh mitigations lahko vpliva na učinkovitost delovanja. Lestvici uspešnosti učinkov je odvisna od več dejavnikov, kot so posebne čipov v fizičnega gostitelja in delovne obremenitve, ki se izvajajo. Priporočamo, da uporabniki ocenijo uspešnost učinke za svoje okolje in izvesti vse potrebne prilagoditve.

Vaš strežnik je povečano tveganje, če je v eni od naslednjih kategorij:

  • Vezaj-V gosti-zahteva varstvo za VM-VM in VM-gostitelj napade.
  • Oddaljenega namizja storitve gostitelji (RDSH)-zahteva varstvo iz ene seje drugo sejo ali seje do gostitelja napadi.
  • Fizično gostiteljev ali virtualnih strojev, ki se izvajajo zaupanja nevredno kodo, kot so posode ali odpeti razširitve za zbirke podatkov, ni mogoče zaupati spletne vsebine ali delovne obremenitve, ki delujejo kodo, ki je iz zunanjih virov. Ti zahtevajo zaščito pred odpeti proces-da-drugi-proces ali odpeti-proces-za-jedro napadov.

Uporabite naslednje ključne nastavitve registra omogočiti mitigations na strežniku, in znova zaženite sistem zakaj sprememba obnesti.

Omogoči mitigations CVE-2017-5715 (spekter variante 2) in CVE-2017-5754 (zlom)


PomembnoTa odsek, metoda ali naloga vsebuje ukrepe, ki povedo, kako v ublažiti registracija. Vendar pa lahko nastanejo resne težave, če nepravilno spremenite register. Zato poskrbite, da sledite korakom previdno. Za dodatno zaščito, varnostno kopijo registra, preden ga spremenite. Potem, lahko obnovite register, če pride do težave. Če želite več informacij o kopiranju in obnavljanju registra, kliknite naslednjo številko članka iz Microsoftove zbirke znanja:

322756Kako varnostno kopiranje in obnovitev registra v operacijskem sistemu Windows

Omogočiti mitigations CVE-2017-5715 (spekter variante 2) in CVE-2017-5754 (zlom)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Če to je gostitelj Hyper-V in firmware posodobitve uporabljene: Popolnoma zapreti vse virtualne stroje. To omogoča firmware povezanih ublažitev, da uporabijo v gostitelju, preden so začeli v VMs. Zato SSP tudi posodobijo, ko ste ponovno.

Znova zaženite strežnik za spremembe začele veljati.

V onesposobiti mitigations CVE-2017-5715 (spekter variante 2) in CVE-2017-5754 (zlom)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite strežnik za spremembe začele veljati.

(Ne moraš spremeniti MinVmVersionForCpuBasedMitigations.)

Zapiski

Onesposobiti zmanjšanje CVE-2017-5715 (spekter varianta 2)


Medtem ko Intel testi, posodobitve in razvije nove Mikrokod, ponujamo novo možnost za napredne uporabnike na prizadetih naprav ročno onemogočiti in omogočajo blažitev proti Spectre variante 2 (CVE-2017-5715-"Podružnica cilj vbrizgavanja") neodvisno skozi spremembe nastavitev registra.

Če ste namestili na Mikrokod, vendar želite onemogočiti CVE-2017-5715 ublažitev zaradi nepričakovano znova zažene ali težav s stabilnostjo sistema, sledite spodnjim navodilom.

v onesposobiti varianta 2: (CVE -2017-5715 - "veja cilj injekcijo") zmanjšanje:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Omogočiti varianta 2: (CVE-2017-5715 - "Podružnica cilj vbrizgavanja") zmanjšanje:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Opomba onemogočanjem in omogočajo blažitev variante 2 skozi spremembe nastavitev registra zahteva skrbniške pravice in ponovno zagnati.

Omogoči posredna podružnica napoved pregrade (IBPB) za spekter variante 2 na AMD procesorji (CPU)


Nekateri AMD procesorji (CPU) ponujajo posredna podružnica pregled zunanja oblika za ublažitev posredna podružnica cilj injekcije skozi mehanizem posredna podružnica napoved pregrade (IBPB). (Za več informacij, glejte Pogosta vprašanja o #15 vADV180002inAMD arhitekturne smernice okrog posredna podružnica pregled in AMD varnostne posodobitve.)

, Sledite tem navodilom za nadzor IBPB pri prehodu iz konteksta uporabnika do jedra kontekst:

Če želite omogočiti uporabo posredna podružnica napoved pregrade (IBPB), ko preklopite iz konteksta uporabnika v kontekstu jedra:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Opomba omogoča s pomočjo posredna podružnica napoved pregrade (IBPB) skozi registracija spremembe nastavitev zahteva skrbniške pravice in ponovno zagnati.

Omogoči mitigations CVE-2018-3639 (špekulativne trgovina Bypass), CVE-2017-5715 (spekter variante 2) in CVE-2017-5754 (zlom)



Omogočiti mitigations CVE-2018-3639 (špekulativne trgovina Bypass), CVE-2017-5715 (spekter variante 2) in CVE-2017-5754 (zlom):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

V onesposobiti mitigations za CVE-2018-3639 (špekulativne trgovina Bypass) in mitigations CVE-2017-5715 (spekter variante 2) in CVE-2017-5754 (zlom)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Opomba spremembe registra zahteva skrbniške pravice in ponovno zagnati.

Preverjanje, da so omogočeni zaščite


Za pomoč strankam, preveri, da so ustrezne zaščite omogočena, mikroskop has založnik skript PowerShell, da stranke lahko deluje na svoje sisteme. Semnamesti in prost dostop scenarij z tekmovanje v teku sledeč zapoved.

PowerShell preverjanje z uporabo PowerShell galerija (Windows Server 2016 ali WMF 5.0/5.1)

Namestiti modul PowerShell:

PS> Install-Module SpeculationControl

Zagnati PowerShell modul za preverjanje, da so omogočeni zaščite:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell preverjanje z uporabo prenesete s Technet (prej OS različice/Earlier WMF različice)

Namestiti modul PowerShell iz Technet ScriptCenter:

  1. Pojdite na https://aka.ms/SpeculationControlPS.
  2. Travnato gričevje SpeculationControl.zip v lokalno mapo.
  3. Izvleček vsebino v lokalno mapo. Na primer: C:\ADV180002

Zagnati PowerShell modul za preverjanje, da so omogočeni zaščite:

Zagnati PowerShell, in nato uporabite prejšnji primer ulitek ter prost dostop sledeč zapoved:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Za podrobnejšo razlago proizvodnje skript PowerShell, glejte znanost osnova člen 4074629

Pogosta vprašanja


Ni bila ponujena Windows varnostne posodobitve, ki so bili izdani januarja in februarja 2018. Kaj naj naredim?

Izognete zoževanje kupca naprave, varnostne posodobitve za Windows, ki so bili izdani januarja in februarja 2018 ne bodo ponudili vse stranke. Podrobnosti najdete v članku Microsoftove zbirke znanja 4072699.

Reference