Windows Client navodila za IT pros za zaščito pred ranljivostmi špekulativnih izvedbo strani-kanal

Velja za: Windows 10, version 1903, all editionsWindows 10, version 1809, all editionsWindows 10, version 1803, all editions

Povzetek


Mikroskop je svest od a nov javno razkrita sloj od ranljivost to ste oklic "špekulativni usmrtitev stranski-struga napad" ter to vplivati veliko Modern predelovalec vštevši celo število, AMD, pot, ter roka.

Opomba To vprašanje vpliva tudi na druge operacijske sisteme, kot so Android, Chrome, iOS in macOS. Zato svetujemo strankam, da poiščejo navodila od teh prodajalcev.

Izdali smo več posodobitev za pomoč pri blažitvi ranljivosti. Sprejeli smo tudi ukrepe za zaščito naših storitev v oblaku. Več podrobnosti najdete v spodnjih razdelkih.

Nismo še prejeli nobenih informacij, ki kažejo, da so bile te ranljivosti uporabljajo za napad strank. Tesno delamo z industrijskimi partnerji, vključno z oblikovalci čipov, strojno opremo strojne opreme in prodajalci aplikacij za zaščito kupcev. Da bi dobili vse razpoložljive zaščite, firmware (Mikrokod) in posodobitve programske opreme so potrebne. To vključuje Mikrokod proizvajalcev originalne opreme in v nekaterih primerih posodobitve protivirusne programske opreme.

Ta članek obravnava naslednje ranljivosti:

Windows Update bo zagotovil tudi Internet Explorer in Edge Mitigations. Še naprej bomo izboljšali te Mitigations proti temu razredu ranljivosti.

Če želite izvedeti več o tem razredu ranljivosti, glejte

Posodobljeno maja 14, 2019 On May 14, 2019, Intel objavljene informacije o novem podrazred špekulativnih izvedbo stranskih kanalov ranljivosti znan kot Microarchitectural Data vzorčenje. Ti so bili dodeljeni naslednje CVEs:

Pomembno Ta vprašanja bodo vplivala na druge sisteme, kot so Android, Chrome, iOS in MacOS. Svetujemo strankam, da poiščejo navodila od svojih prodajalcev.

Izdali smo posodobitve, ki pomagajo ublažiti ranljivosti. Da bi dobili vse razpoložljive zaščite, firmware (Mikrokod) in posodobitve programske opreme so potrebne. To lahko vključuje Mikrokod iz naprav OEM. V nekaterih primerih bo nameščanje teh posodobitev imelo učinek na uspešnost. Prav tako smo ravnali, da zavarujemo naše storitve v oblaku. Priporočamo uvajanje teh posodobitev.

Če želite več informacij o tej težavi, si oglejte naslednje varnostne nasvete in uporabite smernice, ki temeljijo na scenariju, za določitev potrebnih ukrepov za ublažitev grožnje:

Opomba Priporočamo, da pred namestitvijo vseh posodobitev Mikrokod namestite vse najnovejše posodobitve iz sistema Windows Update.

Updated avgusta 6, 2019 on avgust 6, 2019 Intel sprosti podrobnosti o Windows kernel informacije razkritje ranljivost. Ta ranljivost je različica Spectre variant 1 špekulativni izvedbo strani kanal ranljivost in je bila dodeljena CVE-2019-1125.

9. julija 2019 smo izdali varnostne posodobitve za operacijski sistem Windows, da bi ublažili to težavo. Prosimo, upoštevajte, da smo zadržali dokumentiranje to ublažitev javno do usklajenega razkritja industrije v torek, avgust 6, 2019.

Šega kdo življati okno modernizirati usposobiti ter življati praktičen varnost modernizirati izpust naprej julij 9, 2019 ste zavarovati automatically. Dodatna konfiguracija ni potrebna.

Opomba Ta ranljivost ne zahteva posodobitve Mikrokod proizvajalca naprave (OEM).

Če želite več informacij o tej ranljivosti in veljavnih posodobitvah, glejte vodnik za Microsoftovo varnostno posodobitev:

CVE-2019-1125 | Windows kernel informacije razkritje ranljivost.

Modernizirati naprej črka November 12, 2019 naprej november 12, 2019, celo število založnik a technical svetovalna okrog celo število® transakcijski synchronization razsežnost (celo število® TSX) transakcija Asynchronous prekinitev ranljivost, ki je dodeljena CVE-2019-11135. Mikroskop has izpust modernizirati v pomoč ublažiti to ranljivost ter OS zaščita ste usposobiti z ne izpolniti obveznosti zakaj okno varovanec OS naklada.

Priporočena dejanja


Stranke morajo sprejeti naslednje ukrepe za pomoč pri zaščiti pred ranljivosti:

  1. Uporabite vse razpoložljive posodobitve operacijskega sistema Windows, vključno z mesečnimi varnostnimi posodobitvami sistema Windows.
  2. Uporabite ustrezno posodobitev vdelane programske opreme (Mikrokod), ki jo zagotavlja izdelovalec naprave.
  3. Ocenite tveganje za vaše okolje na podlagi informacij, ki so na voljo v Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 in informacije, navedene v tem članku zbirke znanja.
  4. Ukrepite, kot je zahtevano, z uporabo informacij in registrskih ključev, ki so na voljo v tem članku zbirke znanja.

Opomba Surface kupci bodo prejeli posodobitev Mikrokod prek Windows Update. Če si želite ogledati seznam najnovejših razpoložljivih posodobitev strojne programske opreme Surface Device (Mikrokod), glejte KB 4073065.

Nastavitve ublažitve za odjemalce Windows


Varnost opozorila ADV180002, ADV180012, in ADV190013 zagotoviti informacije o tveganju, ki je posledica teh ranljivosti, in ti pomagajo prepoznati privzeto stanje Mitigations za Windows odjemalske sisteme. Spodnja tabela povzema zahtevo CPE Mikrokod in privzetim stanjem Mitigations na odjemalcih Windows.

Cve

Zahteva CPU Mikrokod/firmware?

Stanje privzetku ublažitve

CVE-2017-5753

Ne

Privzeto omogočeno (brez možnosti onemogočiti)

Prosimo, glejte ADV180002 za dodatne informacije.

CVE-2017-5715

Da

Privzeto omogočena. Uporabnik od sistem osnova naprej AMD predelovalec should zagledati FAQ #15 ter uporabnik od ARM predelovalec should zagledati FAQ #20 naprej ADV180002 zakaj dodaten dejanje ter to KB člen zakaj veljaven registracija zakleniti postavljanje.

Opomba "Retpoline" je privzeto omogočena za naprave z operacijskim sistemom Windows 10 1809 ali novejše, če je omogočena Spectre variant 2 (CVE-2017-5715). Za več informacij, okoli "retpoline", sledite navodilom vBlažilni Spectre variant 2 z retpoline na Windows blog post.

CVE-2017-5754

Ne

Privzeto omogočeno

Prosimo, glejte ADV180002 za dodatne informacije.

CVE-2018-3639

Intel: da AMD: ne ROKA: da

Intel in AMD: privzeto onemogočen. Zagledati ADV180012 zakaj več sporočilo ter to KB člen zakaj veljaven registracija zakleniti postavljanje.

ARM: omogočeno privzeto brez možnosti onemogočiti.

CVE-2018-11091 Intel: da

Privzeto omogočena.

Zagledati ADV190013 zakaj več sporočilo ter to KB člen zakaj veljaven registracija zakleniti postavljanje.
CVE-2018-12126 Intel: da

Privzeto omogočena.

Zagledati ADV190013 zakaj več sporočilo ter to KB člen zakaj veljaven registracija zakleniti postavljanje.
CVE-2018-12127 Intel: da

Privzeto omogočena.

Zagledati ADV190013 zakaj več sporočilo ter to KB člen zakaj veljaven registracija zakleniti postavljanje.
CVE-2018-12130 Intel: da

Privzeto omogočena.

Zagledati ADV190013 zakaj več sporočilo ter to KB člen zakaj veljaven registracija zakleniti postavljanje.
CVE-2019-11135 Intel: da

Privzeto omogočena.

Zagledati CVE-2019-11135 zakaj več sporočilo ter to KB člen zakaj veljaven registracija zakleniti postavljanje.

Opomba Omogočanje Mitigations, ki so izklopljena privzeto, lahko vpliva na učinkovitost delovanja. Dejanski učinek učinkovitosti je odvisen od več dejavnikov, kot so specifični čipov v napravi in delovne obremenitve, ki se izvajajo.

Nastavitve registra


Mi smo priskrbeti se sledeč registracija sporočilo v usposobiti Mitigations to ste ne usposobiti z ne izpolniti obveznosti, kot listina v varnost Advisories ADV180002 ter ADV180012. Dodaten, mi smo priskrbeti se registracija zakleniti postavljanje zakaj uporabnik kdo biti brez v onesposobiti Mitigations to ste soroden CVE-2017-5715 ter CVE-2017-5754 zakaj okno varovanci.

Pomembno Ta razdelek, metoda ali opravilo vsebuje korake, ki vam povedo, kako spremeniti register. Vendar pa lahko pride do resnih težav, če nepravilno spremenite register. Zato poskrbite, da boste skrbno sledili tem korakom. Če želite dodatno zaščito, varnostno vrnite register, preden ga spremenite. Nato lahko register obnovite, če pride do težave. Če želite več informacij o varnostno in obnovitvi registra, glejte ta članek v Microsoftovi zbirki znanja:

322756 kako varnostno in obnoviti registra v operacijskem sistemu Windows

Upravljanje Mitigations za CVE-2017-5715 (Spectre variant 2) in CVE-2017-5754 (Meltdown)


Pomembna Opomba Retpoline je usposobiti z ne izpolniti obveznosti naprej okno 10, prevod 1809 načrt če Spectre, varianta 2 (CVE-2017-5715) je usposobiti. Omogočanje Retpoline na najnovejšo različico sistema Windows 10 lahko poveča učinkovitost delovanja v napravah s sistemom Windows 10, različica 1809 za Spectre varianto 2, zlasti pri starejših procesorjih.

Da bi omogočili privzete Mitigations za CVE-2017-5715 (Spectre variant 2) in CVE-2017-5754 (Meltdown)

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Znova zaženite računalnik, da se spremembe uveljavite.

Če želite onemogočiti Mitigations za CVE-2017-5715 (Spectre variant 2) in CVE-2017-5754 (Meltdown)

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Znova zaženite računalnik, da se spremembe uveljavite.

Opomba Vrednost 3 je točna za Featuresettingsoverridemask tako za "omogoči" in "Onemogoči" nastavitve. (Za več podrobnosti o registrskih ključih glejte razdelek» pogosta vprašanja «.)

Upravljanje blažitev za CVE-2017-5715 (Spectre varianta 2)


Onemogočiti Mitigations za CVE-2017-5715 (Spectre varianta 2):

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Znova zaženite računalnik, da se spremembe uveljavite.

Da bi omogočili privzete Mitigations za CVE-2017-5715 (Spectre variant 2) in CVE-2017-5754 (Meltdown):

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Znova zaženite računalnik, da se spremembe uveljavite.

AMD in ARM procesorji samo: omogoči popolno ublažitev za CVE-2017-5715 (Spectre varianta 2)


Z ne izpolniti obveznosti, uporabnik-v-jedro varstvo zakaj CVE-2017-5715 je nesposoben zakaj AMD ter roka CPUs. Kupci morajo omogočiti ublažitev prejemati dodatne zaščite za CVE-2017-5715. Če želite več informacij, glejte Pogosta vprašanja #15 v ADV180002 za PROCESORJE AMD in pogosta vprašanja #20 v ADV180002 za procesorje Arm.

Usposobiti uporabnik-v-jedro varstvo naprej AMD ter roka predelovalec skupaj z drugi zaščita zakaj CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite računalnik, da se spremembe uveljavite.

Upravljanje Mitigations za CVE-2018-3639 (špekulativni Store bypass), CVE-2017-5715 (Spectre variant 2), in CVE-2017-5754 (Meltdown)


Da bi omogočili Mitigations za CVE-2018-3639 (špekulativni Store bypass), privzeti Mitigations za CVE-2017-5715 (Spectre variant 2) in CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite računalnik, da se spremembe uveljavite.

Opomba: AMD procesorji niso ranljivi za CVE-2017-5754 (Meltdown). To registracija zakleniti je že rabljen v sistem s AMD predelovalec v usposobiti ne izpolniti obveznosti Mitigations zakaj CVE-2017-5715 naprej AMD predelovalec ter ublažitev zakaj CVE-2018-3639.

Če želite onemogočiti Mitigations za CVE-2018-3639 (špekulativni Store bypass) * in * Mitigations za CVE-2017-5715 (Spectre variant 2) in CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite računalnik, da se spremembe uveljavite.

AMD procesorji samo: omogoči popolno ublažitev za CVE-2017-5715 (Spectre variant 2) in CVE 2018-3639 (špekulativni Store bypass)


Z ne izpolniti obveznosti, uporabnik-v-jedro varstvo zakaj CVE-2017-5715 je nesposoben zakaj AMD predelovalec. Kupci morajo omogočiti ublažitev prejemati dodatne zaščite za CVE-2017-5715.  Če želite več informacij, glejte Pogosta vprašanja #15 v ADV180002.

Usposobiti uporabnik-v-jedro varstvo naprej AMD predelovalec skupaj z drugi zaščita zakaj cve 2017-5715 ter zaščita zakaj CVE-2018-3639 (špekulativno trgovina bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite računalnik, da se spremembe uveljavite.

Jahalna šola celo število® transakcijski synchronization razsežnost (celo število® TSX) transakcija Asynchronous Prekini ranljivost (CVE-2019-11135) ter Microarchitectural novice vzor (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) skupaj z Spectre (CVE-2017-5753 & CVE-2017-5715) in Meltdown (CVE-2017-5754) variante, vključno špekulativne Store bypass onemogoči (SSBD) (CVE-2018-3639), kot tudi L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, in CVE-2018-3646)


V usposobiti Mitigations zakaj celo število® transakcijski synchronization razsežnost (celo število® TSX) transakcija Asynchronous prekiniti ranljivost(CVE-2019-11135) ter microarchitectural novice vzor (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) skupaj z Spectre (CVE-2017-5753 & CVE-2017-5715) in zlom (CVE-2017-5754) variante, vključno z špekulativne trgovina bypass onemogoči (ssbd) ( CVE-2018-3639) kot tudi L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, in CVE-2018-3646), ne da bi onemogočili Hyper-Threading:

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Če je nameščena funkcija Hyper-V, dodajte to nastavitev registra:

reg povečati "HKEY_LOCAL_MACHINE \Softwaremicrosoft\windows Ntcurrentversion\virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ črka d "1,0"/f

Če je to gostitelj Hyper-V in so bile uporabljene posodobitve vdelane programske opreme: Popolnoma zapreti vse Virtual Machines. To omogoča, da se v gostitelju uporabijo blažitev, povezana s strojno opremo, preden se začnejo izvajati VMs. Zato se VMs posodobijo tudi, ko ponovno zaženete.

Znova zaženite računalnik, da se spremembe uveljavite.

V usposobiti Mitigations zakaj celo število® transakcijski synchronization razsežnost (celo število® TSX) transakcija Asynchronous prekiniti ranljivost(CVE-2019-11135) ter microarchitectural novice vzor (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) skupaj z Spectre (CVE-2017-5753 & CVE-2017-5715) in zlom (CVE-2017-5754) variante, vključno z špekulativne trgovina bypass onemogoči (ssbd) ( CVE-2018-3639) kot tudi L1 semestralen napaka (L1TF) (CVE-2018-3615, CVE-2018-3620, ter CVE-2018-3646) s Hyper-Threading nesposoben:

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Če je nameščena funkcija Hyper-V, dodajte to nastavitev registra:

reg povečati "HKEY_LOCAL_MACHINE \Softwaremicrosoft\windows Ntcurrentversion\virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ črka d "1,0"/f

 

Če je to gostitelj Hyper-V in so bile uporabljene posodobitve vdelane programske opreme: Popolnoma zapreti vse Virtual Machines. To omogoča, da se v gostitelju uporabijo blažitev, povezana s strojno opremo, preden se začnejo izvajati VMs. Zato se VMs posodobijo tudi, ko ponovno zaženete.

Znova zaženite računalnik, da se spremembe uveljavite.

V onesposobiti Mitigations zakaj celo število® transakcijski synchronization razsežnost (celo število® TSX) posel Asynchronous prekiniti ranljivost(CVE-2019-11135) ter microarchitectural novice vzor (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) skupaj z Spectre (CVE-2017-5753 & CVE-2017-5715) in zlom (CVE-2017-5754) variante, vključno z špekulativne trgovina bypass onemogoči (ssbd) ( CVE-2018-3639) kot tudi L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, in CVE-2018-3646):

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg Dodaj "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\upravljanje pomnilnika"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Znova zaženite računalnik, da se spremembe uveljavite.

Preverjanje, ali so omogočene zaščite


Če želite strankam pomagati preveriti, ali so omogočene zaščite, smo objavili skript PowerShell, ki ga lahko kupci zaženemo v svojih sistemih. Namestite in zaženite skript tako, da zaženete naslednje ukaze.

PowerShell preverjanje z uporabo PowerShell Gallery (Windows Server 2016 ali WMF 5.0/5.1)

Namestite modul PowerShell:

PS > install-module Špekulationcontrol

Zaženite modul PowerShell, da preverite, ali so omogočene zaščite:

PS > # shranite trenutno politiko izvrševanja, tako da jo je mogoče ponastaviti

PS > $SaveExecutionPolicy = dobi-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-obseg Currentuser

PS > Import-module Špekulationcontrol

PS > Get-Špekulationcontrolsettings

PS > # Ponastavi politiko izvrševanja na izvirno stanje

PS > Set-ExecutionPolicy $SaveExecutionPolicy-obseg Currentuser

 

PowerShell preverjanje z uporabo prenesete iz TechNet (starejše različice operacijskega sistema in prejšnjih različic WMF)

Napeljati PowerShell merska enota s TechNet ScriptCenter:

Pojdi na https://aka.MS/SpeculationControlPS

Prenesite SpeculationControl. zip v lokalno mapo.

Izvleček vsebine v lokalno mapo, na primer C:\ADV180002

Zaženite modul PowerShell, da preverite, ali so omogočene zaščite:

Zaženite PowerShell, nato (z uporabo prejšnjega primera) kopirajte in zaženite naslednje ukaze:

PS > # shranite trenutno politiko izvrševanja, tako da jo je mogoče ponastaviti

PS > $SaveExecutionPolicy = dobi-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-obseg Currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > Import-module. \Speculationcontrol.psd1

PS > Get-Špekulationcontrolsettings

PS > # Ponastavi politiko izvrševanja na izvirno stanje

PS > Set-ExecutionPolicy $SaveExecutionPolicy-obseg Currentuser

Za podrobnejšo razlago rezultata skripta PowerShell si oglejte članek 4074629 v zbirki znanja.

Pogosta vprašanja