KB4072698: Navodila za Windows Server in Azure Stack HCI za zaščito pred ranljivostmi stranskega kanala na osnovi silicija in mikroarhitekturnim izvajanjem

Velja za
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Dnevnik sprememb
Spremenite datum Opis spremembe
20 aprila, 2023
  • Dodane informacije registra MMIO
8 avgusta, 2023
  • Odstranjena vsebina o CVE-2022-23816, saj se številka CVE ne uporablja
  • V razdelku »Ranljivosti« smo dodali »Zmeda vrste veje«
  • Dodanih več informacij v »CVE-2022-23825 | Razdelek registra AMD CPU Branch Confusion (BTC)«
9 avgusta, 2023
  • Posodobljena različica »CVE-2022-23825 | Razdelek registra AMD CPU Branch Confusion (BTC)«
  • Dodano »CVE-2023-20569 | Napovedovalnik naslova procesorja AMD «na razdelek »Povzetek«
  • Dodano je bilo »CVE-2023-20569 | Razdelek registra »AMD CPE Return Address Predictor«
9. april 2024
  • Dodano CVE-2022-0001 | Vstavljanje zgodovine podružnice Intel
16 aprila, 2024
  • Dodan je bil razdelek »Omogočanje več ublažitev posledic«

Povzetek

V tem članku najdete navodila za nov razred ranljivosti stranskega kanala v mikroarhitekturi in zaradi špekulativnega izvajanja, ki vplivajo na številne sodobne procesorje in operacijske sisteme. To vključuje Intel, AMD in ARM. Podrobnosti o teh ranljivostih na osnovi silicija so na voljo v naslednjih varnostnih svetovalcih (ADV) in CVE (Common Vulnerabilities and Exposures):

Pomembno

Te težave vplivajo tudi na druge operacijske sisteme, kot so Android, Chrome, iOS in MacOS. Strankam svetujemo, da nasvete poiščejo pri teh dobaviteljih.

Izdali smo več posodobitev, s katerimi smo ublažili te ranljivosti. Sprejeli smo tudi ukrepe za zaščito naših storitev v oblaku. Več podrobnosti je na voljo v spodnjih razdelkih.

Nismo še prejeli nobenih informacij o tem, da so bile te ranljivosti uporabljene za napade na uporabnike. Za zaščito strank tesno sodelujemo s partnerji v industrijski panogi, vključno z izdelovalci mikročipov, proizvajalci strojne opreme in prodajalci aplikacij. Če želite poskrbeti za vso razpoložljivo zaščito, so potrebne posodobitve vdelane programske opreme (mikrokoda) in programske opreme. To vključuje mikrokodo proizvajalcev strojne opreme in v nekaterih primerih posodobitve protivirusne programske opreme.

Ranljivosti

Špekulativna izvedba

Ta članek obravnava te ranljivosti zaradi špekulativnega izvajanja:

Windows Update bo zagotovil tudi ublažitve posledic za brskalnika Internet Explorer in Edge. Še naprej bomo izboljševali ublažitve posledic za ta razred ranljivosti.

Če želite izvedeti več o tem razredu ranljivosti, glejte

Ranljivost mikroarhitekturnega vzorčenja podatkov

Intel je 14. maja 2019 objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, znanih kot Microarchitectural Data Sampling in dokumentiranih v ADV190013 | Mikroarhitekturno vzorčenje podatkov. Dodeljeni so jim bili ti CVE-ji:

Pomembno

Te težave bodo vplivale na druge sisteme, kot so Android, Chrome, iOS in MacOS. Strankam svetujemo, da nasvete poiščejo pri teh dobaviteljih.

Microsoft je izdal posodobitve za ublažitev teh ranljivosti. Če želite poskrbeti za vso razpoložljivo zaščito, so potrebne posodobitve vdelane programske opreme (mikrokoda) in programske opreme. To lahko vključuje mikrokodo proizvajalcev strojne opreme naprave. V nekaterih primerih bo namestitev teh posodobitev vplivala na učinkovitost delovanja. Ukrepali smo tudi zato, da bi zavarovali naše storitve v oblaku. Močno priporočamo, da uvedete te posodobitve.

Če želite več informacij o tej težavi, glejte spodnje varnostne svetovalce in uporabite navodila na podlagi scenarijev, da določite ukrepe, potrebne za ublažitev grožnje:

Opomba

Priporočamo, da namestite vse najnovejše posodobitve iz storitve Windows Update, preden namestite posodobitve mikrokode.

Spectre, ranljivost različice 1

6. avgusta 2019 je Intel objavil podrobnosti o ranljivosti jedra sistema Windows glede razkritja informacij. Ta ranljivost je različica ranljivosti stranskega kanala zaradi špekulativnega izvajanja Spectre, različica 1 in ji je bila dodeljena CVE-2019-1125.

9. julija 2019 smo izdali varnostne posodobitve za operacijski sistem Windows, s katerimi smo ublažili to težavo. Upoštevajte, da smo zadržali javno dokumentiranje te ublažitve do usklajenega razkritja industrije v torek, 6. avgusta 2019.

Stranke, ki imajo omogočeno storitev Windows Update in so namestile varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Nadaljnja konfiguracija ni potrebna.

Opomba

Ta ranljivost ne zahteva posodobitve mikro kode proizvajalca vaše naprave (OEM).

Če želite več informacij o tej ranljivosti in ustreznih posodobitvah, glejte Vodnik po Microsoftovih varnostnih posodobitvah:

Ranljivost asinhrone prekinitve transakcije

Intel je 12. novembra 2019 objavil tehnično svetovanje glede ranljivosti zaradi asinhrone prekinitve transakcije transakcijske sinhronizacije razširitev Intel® (Intel TSX), ki ji je dodeljena CVE-2019-11135. Microsoft je izdal posodobitve, ki pomagajo ublažiti to ranljivost, zaščita operacijskega sistema pa je privzeto omogočena za sistem Windows Server 2019, v sistemu Windows Server 2016 in starejših izdajah operacijskega sistema Windows Server pa je privzeto onemogočena.

ranljivost MMIO za vzorčenje zastarelih podatkov

14. junija 2022 smo objavili ADV220002 | Microsoftova navodila glede ranljivosti procesorja MMIO in dodeljene te CVE-je:

Priporočena dejanja

Za zaščito pred ranljivostmi upoštevajte ta navodila:

  1. Uporabiti vse razpoložljive posodobitve operacijskega sistema Windows, vključno z mesečnimi varnostnimi posodobitvami sistema Windows.
  2. Uporabite veljavno posodobitev vdelane programske opreme (mikrokode), ki jo je zagotovil izdelovalec naprave.
  3. Ocenite tveganje za okolje na podlagi informacij, navedenih v Microsoftovih varnostnih svetovalih: ADV180002, ADV180012, ADV190013 in ADV220002 ter informacij, navedenih v tem zbirka znanja članku.
  4. Po potrebi ukrepajte tako, da uporabite svetovanje in informacije registrskega ključa, ki so na voljo v tem članku iz zbirka znanja.

Opomba

Stranke Surface bodo prejeli posodobitev mikro kode prek storitve Windows Update. Če si želite ogledati seznam najnovejših posodobitev vdelane programske opreme (mikrokoda) naprave Surface, glejte KB4073065.

Zamenjava vrste veje

12. julija 2022 smo objavili CVE-2022-23825 | Vrsta veje procesorja AMD Zmeda, ki opisuje, da lahko vzdevki v napovedovalcu veje povzročijo, da nekateri procesorji AMD predvidijo napačno vrsto veje. Ta težava lahko povzroči razkritje informacij.

Za zaščito pred to ranljivostjo priporočamo, da namestite posodobitve sistema Windows iz julija 2022 ali pozneje in nato ukrepate v skladu z zahtevami CVE-2022-23825 in informacijami o registrskem ključu, ki so na voljo v tem članku iz zbirka znanja.

Če želite več informacij, glejte varnostni bilten AMD-SB-1037 .

Napovedovalnik naslova pošiljatelja

8. avgusta 2023 smo objavili CVE-2023-20569 | Napovedovalnik povratnega naslova (znan tudi kot začetek), ki opisuje nov napad na špekulativni stranski kanal, ki lahko privede do špekulativne izvedbe na naslovu, ki ga nadzoruje napadalec. Ta težava vpliva na določene procesorje AMD in lahko povzroči razkritje informacij.

Če se želite zaščititi pred to ranljivostjo, priporočamo, da namestite posodobitve sistema Windows iz avgusta 2023 ali pozneje in nato ukrepate v skladu z zahtevami CVE-2023-20569 in informacijami o registrskem ključu, ki so na voljo v tem članku iz zbirka znanja.

Če želite več informacij, glejte varnostni bilten AMD-SB-7005 .

Branch History Injection

9. aprila 2024 smo objavili CVE-2022-0001 | Intelovo vstavljanje zgodovine veje , ki opisuje vstavljanje zgodovine veje (BHI), ki je posebna oblika ZTI znotraj načina. Do te ranljivosti pride, ko lahko napadalec spremeni zgodovino podružnice, preden preide iz načina uporabnika v nadzornika (ali iz načina VMX, ki ni korenski/gostujoči v korenski način). Zaradi te manipulacije lahko napovedovalec posredne veje izbere določen vnos napovedovalca za posredno vejo, pripomoček za razkritje v predvidenem cilju pa se začasno izvaja. Do tega je mogoče, ker lahko ustrezna zgodovina vej vsebuje veje, vzete v prejšnjih varnostnih kontekstih, zlasti druge načine napovedovalca.

Nastavitve ublažitve posledic za Windows Server in Azure Stack HCI

Varnostni svetovalci (ADV) in CVE zagotavljajo informacije zagotavljajo informacije o tveganju, ki ga predstavljajo te ranljivosti. Pomagajo vam tudi prepoznati ranljivosti in določiti privzeto stanje ublažitev posledic za sisteme Windows Server. V spodnji tabeli je povzetek zahteve mikrokode CPE in privzeto stanje ublažitev v Windows Server.

CVE Potrebujete mikrokodo/vdelano programsko opremo CPE? Privzeto stanje ublažitve posledic
CVE-2017-5753 Ne Privzeto omogočeno (ni možnosti za onemogočanje)
Dodatne informacije najdete v ADV180002
CVE-2017-5715 Da Privzeto onemogočeno.
Za dodatne informacije in v tem članku zbirke znanja o veljavnih nastavitvah registrskega ključa glejte ADV180002.
Opomba »Retpoline« je privzeto omogočen za naprave s sistemom Windows 10, različica 1809 ali novejša, če je omogočen Spectre Variant 2 (CVE-2017-5715). Če želite več informacij o »Retpoline«, sledite objavi v spletnem dnevniku Blažilni Spectre različica 2 z Retpoline v sistemu Windows .
CVE-2017-5754 Ne Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.
Dodatne informacije najdete v ADV180002 .
CVE-2018-3639 Intel: Da
AMD: Ne
Privzeto onemogočeno. Če želite več informacij, glejte ADV180012 za več informacij in v tem članku o ustreznih nastavitvah registrskega ključa.
CVE-2018-11091 Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.
Če želite več informacij, glejte ADV190013 in v tem članku o ustreznih nastavitvah registrskega ključa.
CVE-2018-12126 Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.
Če želite več informacij, glejte ADV190013 in v tem članku o ustreznih nastavitvah registrskega ključa.
CVE-2018-12127 Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.
Če želite več informacij, glejte ADV190013 in v tem članku o ustreznih nastavitvah registrskega ključa.
CVE-2018-12130 Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.
Če želite več informacij, glejte ADV190013 in v tem članku o ustreznih nastavitvah registrskega ključa.
CVE-2019-11135 Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.
Za več informacij in v tem članku glejte CVE-2019-11135 za uporabne nastavitve registrskega ključa.
CVE-2022-21123 (del storitve MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.*
Za več informacij in v tem članku glejte CVE-2022-21123 za uporabne nastavitve registrskega ključa.
CVE-2022-21125 (del MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.*
Za več informacij in v tem članku glejte CVE-2022-21125 za uporabne nastavitve registrskega ključa.
CVE-2022-21127 (del MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.*
Za več informacij in v tem članku glejte CVE-2022-21127 za uporabne nastavitve registrskega ključa.
CVE-2022-21166 (del MMIO ADV220002) Intel: Da Windows Server 2019, Windows Server 2022 in Azure Stack HCI: omogočeno privzeto.
Windows Server 2016 in starejše različice: privzeto onemogočeno.*
Za več informacij in v tem članku glejte CVE-2022-21166 za uporabne nastavitve registrskega ključa.
CVE-2022-23825 (zmeda vrste veje CPE-ja AMD) AMD: Ne Za več informacij in v tem članku glejte CVE-2022-23825 za uporabne nastavitve registrskega ključa.
CVE-2023-20569
(napovedovalec naslova povrata CPE-ja AMD)
AMD: Da Za več informacij in v tem članku glejte CVE-2023-20569 za ustrezne nastavitve registrskega ključa.
CVE-2022-0001 Intel: Ne Privzeto onemogočeno
Za več informacij in v tem članku glejte CVE-2022-0001 za uporabne nastavitve registrskega ključa.

Opomba

* Sledite spodnjim navodilom za ublažitev Meltdowna.

Če želite pridobiti vso razpoložljivo zaščito pred temi ranljivostmi, morate spremeniti registrski ključ, da omogočite te ublažitve, ki so privzeto onemogočene.

Če omogočite te ublažitve posledic, lahko to vpliva na učinkovitost delovanja. Obseg učinkov učinkovitosti delovanja je odvisen od več dejavnikov, na primer od določenega nabora vezij v fizičnem gostitelju in delovne obremenitve, ki se izvajajo. Priporočamo, da ocenite vplive učinkovitosti delovanja na okolje in izvedete vse potrebne prilagoditve.

Vaš strežnik je izpostavljen povečanemu tveganju, če spada v eno od teh kategorij:

  • Gostitelji tehnologije Hyper-V: zahteva zaščito za napade »VM-to-VM« in »VM-to-host«.
  • Gostitelji storitev oddaljenega namizja (RDSH): Zahteva zaščito od ene seje do druge ali pred napadi med sejami gostitelja.
  • Fizični gostitelji ali navidezni računalniki, v katerih se izvaja koda, ki ni zaupanja vredna, kot so vsebniki ali razširitve, ki zbirke podatkov niso zaupanja vredne, spletne vsebine, ki niso zaupanja vredne, ali delovne obremenitve, ki izvajajo kodo iz zunanjih virov. Ti zahtevajo zaščito pred napadi procesa v drug proces ali od procesa do jedra, ki ni vreden zaupanja.

Za ublažitev posledic v strežniku uporabite te nastavitve registrskega ključa in znova zaženite napravo, da bodo spremembe začele veljati.

Opomba

Omogočanje izklopljenih ublažitev posledic lahko privzeto vpliva na učinkovitost delovanja. Dejanski učinek učinkovitosti delovanja je odvisen od več dejavnikov, na primer od določenega nabora vezij v napravi in delovne obremenitve, ki se izvajajo.

Nastavitve registra

Za ublažitev posledic, ki privzeto niso omogočene, zagotavljamo te informacije o registru, kot je dokumentirano v storitvah ADV (Security Advisories) in CVE. Poleg tega so na voljo nastavitve registrskega ključa za uporabnike, ki želijo onemogočiti ublažitve posledic, ko so na voljo za odjemalce sistema Windows.

Opomba

  • POMEMBNO Ta razdelek, metoda ali opravilo vsebuje korake, v katerih je opisano, kako spremeniti register. Vendar lahko pride do resnih težav, če register spremenite nepravilno. Natančno upoštevajte navodila. Za dodatno zaščito ustvarite varnostno kopijo registra, preden ga spremenite. Če pride do težave, lahko register obnovite. Več informacij o varnostnem kopiranju in obnavljanju registra najdete v tem članku iz Microsoftove zbirke znanja:
  • KB322756 Varnostno kopiranje in obnovitev registra v sistemu Windows

Upravljanje ublažitev posledic CVE-2017-5715 (Spectre različica 2), CVE-2017-5754 (Meltdown) in CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Opomba

  • POMEMBNO Če je omogočen Spectre, ublažitev posledic različice 2 (CVE-2017-5715), je Retpoline privzeto konfigurirana tako:
    • Ublažitev posledic Retpoline je omogočena v sistemu Windows 10, različica 1809, in novejših različicah sistema Windows.
    • Ublažitev posledic Retpoline je onemogočena v sistemu Windows Server 2019 in novejših različicah Windows Server.
  • Če želite več informacij o konfiguraciji Retpoline, glejte Ublažitev posledic za Spectre različica 2 z Retpoline v sistemu Windows.
  • Omogočanje ublažitev posledic za CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) in CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Če gre za gostitelja tehnologije Hyper-V in so bile nameščene posodobitve vdelane programske opreme: Popolnoma zaustavite vse navidezne računalnike. To omogoča, da se ublažitev, povezana s vdelano programsko opremo, uporabi na gostitelju pred zagonom navideznih računalnikov. Zato so navidezni računalniki posodobljeni tudi, ko jih znova zaženete.
    Znova zaženite napravo, da uporabite spremembe.
  • Če želite onemogočiti ublažitev posledic CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) in CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Znova zaženite napravo, da uporabite spremembe.

Opomba

Nastavitev »FeatureSettingsOverrideMask« na 3 je natančna tako za nastavitve »omogoči« kot tudi za »onemogočanje«. (Če želite več podrobnosti o registrskih ključih, glejte razdelek »Pogosta vprašanja «.)

Upravljanje ublažitve za CVE-2017-5715 (Spectre različica 2)
Če želite onemogočiti 2. različico: (CVE-2017-5715 | Branch Target Injection) ublažitev posledic:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Znova zaženite napravo, da uporabite spremembe.
Omogočanje 2. različice: (CVE-2017-5715 | Branch Target Injection) ublažitev posledic:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Znova zaženite napravo, da uporabite spremembe.
Samo procesorji AMD: omogočite popolno ublažitev posledic za CVE-2017-5715 (Spectre različica 2)

Zaščita med uporabnikom in jedrom za CVE-2017-5715 je za procesorje AMD privzeto onemogočena. Stranke morajo omogočiti ublažitev, če želijo prejeti dodatno zaščito za CVE-2017-5715.  Če želite več informacij, glejte FAQ #15 v ADV180002.

Omogočite zaščito od uporabnika do jedra v procesorjih AMD skupaj z drugimi zaščitami za CVE 2017-5715:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Če gre za gostitelja tehnologije Hyper-V in so bile nameščene posodobitve vdelane programske opreme: Popolnoma zaustavite vse navidezne računalnike. To omogoča, da se ublažitev, povezana s vdelano programsko opremo, uporabi na gostitelju pred zagonom navideznih računalnikov. Zato so navidezni računalniki posodobljeni tudi, ko jih znova zaženete.
Znova zaženite napravo, da uporabite spremembe.
Upravljanje ublažitev posledic CVE-2018-3639 (obhod špekulativne trgovine), CVE-2017-5715 (Spectre različica 2) in CVE-2017-5754 (Meltdown)
Za omogočanje ublažitev posledic CVE-2018-3639 (obhod špekulativne trgovine), CVE-2017-5715 (Spectre različica 2) in CVE-2017-5754 (Meltdown):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Če gre za gostitelja tehnologije Hyper-V in so bile nameščene posodobitve vdelane programske opreme: Popolnoma zaustavite vse navidezne računalnike. To omogoča, da se ublažitev, povezana s vdelano programsko opremo, uporabi na gostitelju pred zagonom navideznih računalnikov. Zato so navidezni računalniki posodobljeni tudi, ko jih znova zaženete.
Znova zaženite napravo, da uporabite spremembe.
Onemogočanje ublažitev posledic CVE-2018-3639 (obhod špekulativne trgovine) IN ublažitev posledic za CVE-2017-5715 (Spectre različica 2) in CVE-2017-5754 (Meltdown)
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Znova zaženite napravo, da uporabite spremembe.
Samo procesorji AMD: omogočite popolno ublažitev za CVE-2017-5715 (Spectre Variant 2) in CVE 2018-3639 (obhod špekulativne trgovine)

Zaščita med uporabnikom in jedrom za CVE-2017-5715 je za procesorje AMD privzeto onemogočena. Stranke morajo omogočiti ublažitev, če želijo prejeti dodatno zaščito za CVE-2017-5715.  Če želite več informacij, glejte FAQ #15 v ADV180002.

Omogočite zaščito od uporabnika do jedra v procesorjih AMD skupaj z drugimi zaščitami za CVE 2017-5715 in zaščito za CVE-2018-3639 (obhod špekulativne trgovine):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Če gre za gostitelja tehnologije Hyper-V in so bile nameščene posodobitve vdelane programske opreme: Popolnoma zaustavite vse navidezne računalnike. To omogoča, da se ublažitev, povezana s vdelano programsko opremo, uporabi na gostitelju pred zagonom navideznih računalnikov. Zato so navidezni računalniki posodobljeni tudi, ko jih znova zaženete.
Znova zaženite napravo, da uporabite spremembe.
Upravljanje ranljivosti asinhrone prekinitve transakcije, mikroarhitekturnega vzorčenja podatkov, Spectre, meltdown, MMIO, onemogočanje obhoda špekulativnega shranjevanja (SSBD) in napaka terminala L1 (L1TF)
Za ublažitev posledic ranljivosti zaradi asinhrone prekinitve transakcije (CVE-2019-11135) in mikroarhitekturnega vzorčenja podatkov ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127,CVE-2018-12130 ) skupaj s grožnjami Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] variants, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21127, in CVE-2022-21166), vključno z onemogočanjem obhoda špekulativnega shranjevanja (SSBD) [CVE-2018-3639 ] in napako terminala L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 in CVE-2018-3646], ne da bi onemogočili Hyper-Threading:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Če gre za gostitelja tehnologije Hyper-V in so bile nameščene posodobitve vdelane programske opreme: Popolnoma zaustavite vse navidezne računalnike. To omogoča, da se ublažitev, povezana s vdelano programsko opremo, uporabi na gostitelju pred zagonom navideznih računalnikov. Zato so navidezni računalniki posodobljeni tudi, ko jih znova zaženete.
Znova zaženite napravo, da uporabite spremembe.
Za ublažitev posledic ranljivosti asinhrone prekinitve transakcije (CVE-2019-11135) in mikroarhitekturnega vzorčenja podatkov ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12126, CVE-2018-12127 , CVE-2018-12130) ter različic Spectre [CVE-2017-5753 & CVE-2017-5715] in Meltdown [CVE-2017-5754], vključno z onemogočanjem obhoda špekulativnega shranjevanja (SSBD) [CVE-2018-3639] kot tudi napako terminala L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 in CVE-2018-3646] z onemogočenimi Hyper-Threading:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Če gre za gostitelja tehnologije Hyper-V in so bile nameščene posodobitve vdelane programske opreme: Popolnoma zaustavite vse navidezne računalnike. To omogoča, da se ublažitev, povezana s vdelano programsko opremo, uporabi na gostitelju pred zagonom navideznih računalnikov. Zato so navidezni računalniki posodobljeni tudi, ko jih znova zaženete.
Znova zaženite napravo, da uporabite spremembe.
Onemogočanje ublažitev ranljivosti za asinhrono prekinitev transakcij Intel TSX (CVE-2019-11135) in mikroarhitekturno vzorčenje podatkov (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) skupaj z različicama Spectre [CVE-2017-5753 & CVE-2017-5715] in Meltdown [CVE-2017-5754], vključno s špekulativnim onemogočanjem obhoda trgovine (SSBD) [CVE-2018-3639] ] in napako terminala L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 in CVE-2018-3646]:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Znova zaženite napravo, da bodo spremembe začele veljati.
CVE-2022-23825 \| Zmeda vrste veje procesorja AMD (BTC)

Če želite omogočiti ublažitev za CVE-2022-23825 v procesorjih AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Da bi bile stranke popolnoma zaščitene, bodo morda morale onemogočiti tudi Hyper-Threading (znano tudi kot sočasno večnitnost (SMT)). Oglejte si KB4073757 za navodila za zaščito naprav s sistemom Windows.

CVE-2023-20569 \| Napovedovalec povratnega naslova procesorja AMD

Če želite omogočiti ublažitev za CVE-2023-20569 v procesorjih AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Vbrizgavanje zgodovine podružnice Intel

Če želite omogočiti ublažitev za CVE-2022-0001 v procesorjih Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Omogočanje več ublažitev

Če želite omogočiti več ublažitev, morate sešteti REG_DWORD vrednost vsake ublažitve.

Primer:


Ublažitev ranljivosti asinhronega prekinitve transakcije, vzorčenja mikroarhitekturnih podatkov, spektra, taljenja, MMIO, onemogočanja špekulativnega obhoda shrambe (SSBD) in napake terminala L1 (L1TF) z onemogočenim Hyper-Threading reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
OPOMBA 8264 (decimalno) = 0x2048 (šestnajstični)
Če želite omogočiti BHI skupaj z drugimi obstoječimi nastavitvami, boste morali uporabiti bitno OR trenutne vrednosti z 8.388.608 (0x800000).
0x800000 OR 0x2048(8264 v decimalki) in bo postal 8,396,872(0x802048). Enako velja za FeatureSettingsOverrideMask.
Ublažitev za CVE-2022-0001 na procesorjih Intel reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Kombinirano ublažitev reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Preverjanje, ali so zaščite omogočene

Za lažje preverjanje, ali so zaščite omogočene, smo objavili skript PowerShell, ki ga lahko zaženete v svojih napravah. Namestite in zaženite skript na enega od teh načinov.

1. način: Preverjanje PowerShell z galerijo PowerShell (Windows Server 2016 ali WMF 5.0/5.1)
Namestite modul PowerShell:
PS> Install-Module SpeculationControl
Zaženite modul PowerShell in preverite, ali so zaščite omogočene:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
2. način: Preverjanje PowerShell s prenosom iz Techneta (starejše različice operacijskega sistema in starejše različice WMF)
Namestite modul PowerShell iz Technet ScriptCenter:

  1. Pojdite na https://aka.ms/SpeculationControlPS .
  2. Prenesite SpeculationControl.zip v lokalno mapo.
  3. Razširite vsebino v lokalno mapo. Na primer: C:\ADV180002
Zaženite modul PowerShell in preverite, ali so zaščite omogočene:

Zaženite lupino PowerShell in nato v prejšnjem primeru kopirajte in zaženite te ukaze:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Če želite podrobno razlago izhoda skripta PowerShell, glejte KB4074629 .

Pogosta vprašanja

Niso mi ponudili varnostnih posodobitev sistema Windows, ki so bile izdane januarja in februarja 2018. Kaj naj storim?

Da bi preprečili škodljiv vpliv na naprave strank, varnostne posodobitve sistema Windows, ki so bile izdane januarja in februarja 2018, niso bile na voljo vsem strankam. Za podrobnosti glejte KB407269 .

Kako vem, ali imam pravilno različico mikrokode CPU?

Mikrokoda se dostavi s posodobitvijo vdelane programske opreme. Posvetujte se s proizvajalcem originalne opreme o različici strojne programske opreme, ki ima ustrezno posodobitev za vaš računalnik.

Kakšni so učinki ublažitve na uspešnost?

Obstaja več spremenljivk, ki vplivajo na učinkovitost delovanja, od različice sistema do delovnih obremenitev, ki se izvajajo. Za nekatere sisteme bo učinek zmogljivosti zanemarljiv. Za druge bo to precejšnje.

Priporočamo, da ocenite učinke na učinkovitost delovanja sistemov in po potrebi izvedete prilagoditve.

Windows Server uporabljam v gostujočem okolju ali oblaku drugega ponudnika. Kaj naj storim?

Poleg navodil v tem članku o navideznih računalnikih se obrnite na ponudnika storitev in se prepričajte, da so gostitelji, na katerih se izvajajo vaši navidezni računalniki, ustrezno zaščiteni.

Za navidezne računalnike s sistemom Windows Server, ki se izvajajo v storitvi Azure, glejte Navodila za ublažitev ranljivosti stranskega kanala špekulativnega izvajanja v storitvi Azure. Če želite navodila za uporabo Azure Update Management za ublažitev te težave na gostujočih virtualnih računalnikih, glejte KB4077467.

Ali obstajajo smernice za vsebnik Windows Server?

Posodobitve, ki so bile izdane za posnetke vsebnikov Windows Server za Windows Server 2016 in Windows 10, različica 1709, vključujejo ublažitve za ta nabor ranljivosti. Dodatna konfiguracija ni potrebna.

Opomba Še vedno se morate prepričati, da je gostitelj, na katerem se izvajajo ti vsebniki, konfiguriran tako, da omogoča ustrezne ublažitve.

Ali je treba posodobitve programske in strojne opreme namestiti v določenem vrstnem redu?

Ne, vrstni red namestitve ni pomemben.

Ali bo prišlo do več ponovnih zagonov?

Da, znova morate zagnati po posodobitvi vdelane programske opreme (mikrokode) in nato znova po posodobitvi sistema.

Ali lahko navedete več podrobnosti o registrskih ključih?

Tukaj so podrobnosti o registrskih ključih:

FeatureSettingsOverride predstavlja bitno sliko, ki preglasi privzeto nastavitev in nadzoruje, katere ublažitve bodo onemogočene. Bit 0 nadzoruje ublažitev, ki ustreza CVE-2017-5715. Bit 1 nadzoruje ublažitev, ki ustreza CVE-2017-5754. Biti so nastavljeni na 0 , da omogočite ublažitev, in na 1 , da onemogočite ublažitev.

FeatureSettingsOverrideMask predstavlja bitno masko, ki se uporablja skupaj s funkcijo FeatureSettingsOverride. V tem primeru uporabimo vrednost 3 (predstavljeno kot 11 v binarnem številskem sistemu ali številskem sistemu z osnovo 2), da označimo prva dva bita, ki ustrezata razpoložljivim ublažitvam. Ta registrski ključ je nastavljen na 3 , da omogočite ali onemogočite ublažitve.

MinVmVersionForCpuBasedMitigations je namenjen gostiteljem Hyper-V. Ta registrski ključ določa najmanjšo različico VM, ki jo potrebujete za uporabo posodobljenih zmogljivosti vdelane programske opreme (CVE-2017-5715). Nastavite to na 1.0, da zajamete vse različice VM. Upoštevajte, da bo ta vrednost registra prezrta (benigna) na gostiteljih, ki niso Hyper-V. Če želite več podrobnosti, glejte Zaščita gostujočih navideznih računalnikov pred CVE-2017-5715 (vbrizgavanje cilja veje).

Ali lahko pred namestitvijo posodobitve nastavim registrske ključe, nato pa namestim posodobitev in znova zaženem, da bodo spremembe začele veljati?

Da, ni stranskih učinkov, če so te nastavitve registra uporabljene pred namestitvijo popravkov, povezanih z januarjem 2018.

Ali lahko navedete več podrobnosti o izhodu skripta za preverjanje PowerShell?

Podroben opis izhoda skripta si oglejte na KB4074629: Razumevanje izhoda skripta PowerShell SpeculationControl .

Če posodobitev vdelane programske opreme (mikrokoda) še ni na voljo pri proizvajalcu strojne opreme, ali še vedno obstaja način za zaščito gostitelja Hyper-V?

Da, za gostitelje Windows Server 2016 Hyper-V, ki še nimajo na voljo posodobitve vdelane programske opreme, smo objavili alternativna navodila, ki lahko pomagajo ublažiti napade med VM ali VM za gostitelje. Glejte Alternativne zaščite za gostitelje Hyper-V sistema Windows Server 2016 pred ranljivostmi stranskega kanala špekulativnega izvajanja.

Če uporabljam vejo »Samo varnost«, katere posodobitve za varnost moram namestiti, da se zaščitim pred temi ranljivostmi?

Samo varnostne posodobitve niso zbirne. Za popolno zaščito boste morda morali namestiti več varnostnih posodobitev, odvisno od različice vašega operacijskega sistema. Stranke bodo morale namestiti posodobitve iz januarja, februarja, marca in aprila 2018. Sistemi s procesorji AMD potrebujejo dodatno posodobitev, kot je prikazano v spodnji tabeli:

Različica operacijskega sistema Varnostna posodobitev
Windows 8.1, Windows Server 2012 R2 KB4338815 – mesečni paket posodobitev
KB4338824– samo za varnost
Windows 7 s servisnim paketom SP1, Windows Server 2008 R2 s servisnim paketom SP1 ali Windows Server 2008 R2 s servisnim paketom SP1 (osnovna namestitev strežnika) KB4284826 – mesečni paket posodobitev
KB4284867 – samo varnost
Windows Server 2008 SP2 KB4340583 – varnostna posodobitev

Priporočamo, da namestite samo varnostne posodobitve v vrstnem redu, kot je izdaja.

Opomba

V prejšnji različici teh pogostih vprašanj je bilo napačno navedeno, da so v februarska samo varnostna posodobitev vključeni varnostni popravki, ki so bili izdani januarja. Pravzaprav ne.

Če uporabim katero od veljavnih varnostnih posodobitev, ali bodo te onemogočile zaščito za CVE-2017-5715 na enak način kot KB4078130 varnostne posodobitve?

Ne. Varnostna posodobitev KB4078130 je bila poseben popravek za preprečevanje nepredvidljivega vedenja sistema, težav z učinkovitostjo delovanja in nepričakovanih ponovnih zagonov po namestitvi mikrokode. Uporaba varnostnih posodobitev v odjemalskih operacijskih sistemih Windows omogoča vse tri ublažitve posledic. V operacijskih sistemih Windows Server morate po končanem ustreznem preskušanju še vedno omogočiti ublažitve posledic. Če želite več informacij, glejte KB4072698.

Znana težava: Nekateri uporabniki lahko po namestitvi varnostne posodobitve (KB 4088875) z dne 13. marca 2018 izgubijo težave z omrežno povezavo ali izgubijo nastavitve naslova IP

Ta težava je bila odpravljena v KB4093118.

Intel je zaznal težave s ponovnim zagonom, ki vključujejo mikrokodo v nekaterih starejših procesorjih. Kaj naj naredim?

Februarja 2018 je Intel objavil , da so zaključili preverjanja veljavnosti in začeli izdajati mikrokodo za novejše platforme CPU. Microsoft daje na voljo posodobitve mikro kode, preverjene s strani Intela, ki se nanašajo na grožnje Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Ciljno vstavljanje veje).  KB4093836 navaja določene zbirka znanja članke po različici sistema Windows. Vsak posamezen članek zbirke znanja vsebuje Intelove posodobitve mikro kode procesorja, ki so na voljo.

11. januarja 2018 je Intel poročal o težavah v nedavno izdani mikrokodi, ki je bila namenjena odpravi težave Spectre različica 2 (CVE-2017-5715 | Ciljno vstavljanje veje). Natančneje, Intel je opozoril, da lahko ta mikrokoda povzroči "višje od pričakovanih ponovnih zagonov in drugo nepredvidljivo vedenje sistema" in da lahko ti scenariji povzročijo "izgubo ali poškodbo podatkov". Po naših izkušnjah lahko nestabilnost sistema v nekaterih okoliščinah povzroči izgubo ali poškodbo podatkov. 22. januarja je Intel svojim strankam svetoval, naj prenehajo uvajati trenutno različico mikrokode v prizadetih procesorjih, dokler Intel ne izvede dodatnega testiranja na posodobljeni rešitvi. Zavedamo se, da Intel še naprej preiskuje potencialne učinke trenutne različice mikrokode. Uporabnike spodbujamo, da redno pregledujejo navodila in posledično lažje sprejemajo pametne odločitve.

Medtem ko Intel testira, posodablja in uvaja novo mikrokodo, dajemo na voljo posebno posodobitev (OOB) KB4078130, ki posebej onemogoča samo odpravljanje ranljivosti CVE-2017-5715. V našem preskušanju je bilo ugotovljeno, da ta posodobitev preprečuje opisano vedenje. Za celoten seznam naprav si oglejte Intelova navodila za revizijo mikrokode . Ta posodobitev pokriva Windows 7 s servisnim paketom SP1, Windows 8.1 in vse različice sistema Windows 10, tako odjemalske kot strežniške. Če uporabljate prizadeto napravo, lahko to posodobitev namestite tako, da jo prenesete s spletnega mesta Katalog Microsoft Update. Uporaba te koristne vsebine posebej onemogoča samo odpravljanje ranljivosti CVE-2017-5715.

Do tega trenutka ni znanih poročil, ki bi nakazovala, da je Spectre Variant 2 (CVE-2017-5715 | ciljnega vstavljanja veje) je bil uporabljen za napad na stranke. Priporočamo, da, ko je to primerno, uporabniki sistema Windows znova omogočijo odpravljanje ranljivosti CVE-2017-5715, ko bo Intel sporočil, da je to nepredvidljivo vedenje sistema za vašo napravo odpravljeno.

Slišal sem, da je Intel izdal posodobitve mikro kode. Kje jih lahko najdem?

Februarja 2018 je Intel objavil , da je zaključil preverjanje veljavnosti in začel izdajati mikrokodo za novejše platforme CPU. Microsoft daje na voljo posodobitve mikro kode, preverjene s strani Intela, ki so povezane z grožnjami Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Ciljno vstavljanje veje). KB4093836 navaja določene zbirka znanja članke po različici sistema Windows. Seznam posodobitev KB, ki so na voljo Intelove posodobitve mikro kode procesorja.

Za več informacij glejte Varnostne Posodobitve AMD in Informativni dokument AMD: Smernice za arhitekturo nadzora posredne podveje . Te so na voljo v kanalu vdelane programske opreme proizvajalca strojne opreme.

Uporabljam posodobitev sistema Windows 10 v aprilu 2018 (različica 1803). Ali je Intelova mikro koda na voljo za mojo napravo? Kje jo lahko najdem?

Dajemo na voljo posodobitve mikro kode, preverjene s strani Intel, ki zadevajo Spectre Variant 2 (CVE-2017-5715 | Ciljno vstavljanje veje). Za pridobitev najnovejših Intelovih posodobitev mikro kode prek storitve Windows Update morajo imeti stranke nameščeno Intelovo mikro kodo v napravah s sistemom Windows 10 pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803).

Posodobitev mikro kode je na voljo tudi neposredno v Katalogu Microsoft Update, če ni bila nameščena v napravi pred nadgradnjo sistema. Intelova mikro koda je na voljo prek storitve Windows Update, storitev Windows Server Update Services (WSUS) ali Kataloga Microsoft Update. Če želite več informacij in navodila za prenos, glejte KB4100347.

Kje najdem informacije o novih ranljivostih stranskega kanala zaradi špekulativnega izvajanja (obhod špekulativnega shranjevanja – CVE-2018-3639 in preberite nepooblaščen sistemski register – CVE-2018-3640)?

Če želite več informacij, glejte te vire:

Kje lahko najdem več informacij o podpori sistema Windows za onemogočanje obhoda špekulativnega shranjevanja (SSBD) v procesorjih Intel?

Glejte razdelka »Priporočena dejanja« in »Pogosta vprašanja « v ADV180012 | Microsoftova navodila za špekulativni obvod trgovine.

Kako ugotovim, ali je SSBD omogočen ali onemogočen?

Za preverjanje stanja SSBD je bil skript PowerShell Get-SpeculationControlSettings posodobljen tako, da zazna prizadete procesorje, stanje posodobitev operacijskega sistema SSBD in stanje mikrokode procesorja, če je na voljo. Če želite več informacij in kako pridobiti skript ogrodja PowerShell, glejte KB4074629.

Slišal sem za »Lazy FP State Restore« (CVE-2018-3665). Ali bo Microsoft izdal ublažitve posledic?

13. junija 2018 je bila objavljena dodatna ranljivost, ki vključuje stranski kanal špekulativne izvedbe, znana kot Lazy FP State Restore, ki ji je dodeljen CVE-2018-3665 . Če želite več informacij o tej ranljivosti in priporočenih ukrepih, glejte varnostni svetovalec ADV180016 | Microsoftova navodila za obnovitev stanja Lazy FP .

Opomba Za obnovitev FP z lenobno obnovitvijo niso zahtevane nobene nastavitve konfiguracije (registra).

Slišal sem, da je CVE-2018-3693 (Bounds Check Bypass Store) povezan s Spectre. Ali bo Microsoft izdal ublažitve posledic?

Bounds Check Bypass Store (BCBS) je bil razkrit 10. julija 2018 in dodeljen CVE-2018-3693. Menimo, da BCBS spada v isti razred ranljivosti kot obhod preverjanja mej (različica 1). Trenutno ne poznamo nobenih primerkov BCBS v naši programski opremi. Vendar nadaljujemo z raziskavami tega razreda ranljivosti in bomo po potrebi sodelovali s partnerji iz panoge pri izdaji ublažitev posledic. Raziskovalce spodbujamo, da posredujejo vse ustrezne ugotovitve v program nagrad Microsoft Speculative Execution Side Bounty Program, vključno z morebitnimi primerki BCBS, ki jih je mogoče izkoristiti. Razvijalci programske opreme naj pregledajo navodila za razvijalce, ki so bila posodobljena za BCBS na spletnem mestu C++ Navodila za razvijalce za stranske kanale špekulativnega izvajanja

Slišal sem, da je bila razkrita napaka terminala L1 (L1TF). Kje lahko najdem več informacij o njej in podpori sistema Windows zanj?

14. avgusta 2018 je bila objavljena napaka na terminalu L1 (L1TF), ki ji je bilo dodeljenih več CVE. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja se lahko uporabijo za branje vsebine pomnilnika prek zaupanja vredne meje in lahko v primeru izkoriščanja privedejo do razkritja informacij. Obstaja več vektorjev, s katerimi lahko napadalec sproži ranljivosti, odvisno od konfiguriranega okolja. L1TF vpliva na procesorje Intel® Core in Intel® Xeon®®.

Če želite več informacij o tej ranljivosti in podroben pregled scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k ublažitvi L1TF, glejte naslednje vire:

Kako v svoji napravi onemogočim Hyper-Threading za L1TF?

Koraki za onemogočanje Hyper-Threading se razlikujejo od proizvajalca strojne opreme do proizvajalca strojne opreme, vendar so običajno del orodij za nastavitev in konfiguracijo BIOS-a ali vdelane programske opreme.

Kje lahko dobim vdelano programsko opremo ARM64, ki ublaži grožnje CVE-2017-5715 \| Ciljno vbrizgavanje veje (Spectre Variant 2)?

Uporabniki, ki uporabljajo 64-bitne procesorje ARM, se morajo za podporo za vdelano programsko opremo obrniti na proizvajalca strojne opreme naprave, ker zaščite operacijskega sistema ARM64, ki blažijo CVE-2017-5715 | Ciljno vstavljanje veje (Spectre, različica 2) za začetek veljavnosti zahteva najnovejšo posodobitev vdelane programske opreme proizvajalcev strojne opreme.

Kje lahko najdem informacije o Intelovem razkritju glede mikroarhitekturnega vzorčenja podatkov (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Če želite več informacij, glejte te varnostne svetovalce

Kje najdem navodila za scenarije, s katerimi določim ukrepe, ki so potrebni za ublažitev ranljivosti mikroarhitekturnega vzorčenja podatkov?

Dodatna navodila so na voljo v razdelku Navodila za Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Kako v svoji napravi onemogočim Hyper-Threading za MDS?

Glejte navodila v navodilih za Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Kje najdem navodila za Azure?

Navodila za Azure najdete v tem članku: Navodila za preprečevanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja v storitvi Azure.

Kje lahko izvem več o omogočanju Retpoline v sistemu Windows 10, različica 1809?

Če želite več informacij o omogočanju Retpoline, glejte našo objavo v spletnem dnevniku: Ublažitev posledic za Spectre različica 2 z Retpoline v sistemu Windows .

Slišal sem, da obstaja različica ranljivosti stranskega kanala Spectre Variant 1 zaradi špekulativnega izvajanja. Kje najdem več informacij?

Za podrobnosti o tej ranljivosti glejte Microsoftov varnostni vodnik: CVE-2019-1125 | Ranljivost jedra sistema Windows glede razkritja informacij.

Ali CVE-2019-1125 \| Windows Kernel Information Disclosure Vulnerability vpliva na Microsoftove storitve v oblaku?

Ne poznamo nobenega primera te ranljivosti razkritja informacij, ki vpliva na našo infrastrukturo storitev v oblaku.

Če posodobitve za CVE-2019-1125 \| Windows Kernel Information Disclosure Vulnerability so bile izdane 9. julija 2019, zakaj so bile podrobnosti objavljene 6. avgusta 2019?

Takoj, ko smo izvedeli za to težavo, smo hitro ukrepali in izdali posodobitev. Trdno verjamemo v tesno partnerstvo z raziskovalci in industrijskimi partnerji, da bi stranke bolje zavarovali, podrobnosti pa smo objavili šele v torek, 6. avgusta, v skladu z usklajenimi praksami razkritja ranljivosti.

Kje najdem navodila na podlagi scenarijev za določitev ukrepov, potrebnih za ublažitev ranljivosti zaradi asinhrone prekinitve transakcije transakcije razširitev Intel (Intel TSX) (CVE-2019-11135)?

Dodatna navodila so na voljo v razdelku Navodila za Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja.

Ali moram onemogočiti ranljivost Hyper-Threading zaradi asinhrone prekinitve transakcije transakcijske sinhronizacije razširitev Intel (Intel TSX) (CVE-2019-11135) v moji napravi?

Dodatna navodila so na voljo v razdelku Navodila za Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja.

Ali obstaja način za onemogočanje zmogljivosti Intel Transactional Synchronization Extensions (Intel TSX)?

Dodatna navodila najdete v članku Navodila za onemogočanje zmogljivosti Intel Transactional Synchronization Extensions (Intel TSX).

Sklici

Zavrnitev odgovornosti glede informacij tretjih oseb

Izdelke neodvisnih proizvajalcev, opisane v tem članku, so izdelala od Microsofta neodvisna podjetja. Ne dajemo nobenih jamstev, implicitnih ali drugačnih, o učinkovitosti delovanju ali zanesljivosti teh izdelkov.

Zagotavljamo podatke za stik drugih ponudnikov za pomoč pri iskanju tehnične podpore. Ti podatki za stik se lahko spremenijo brez obvestila. Ne jamčimo za točnost teh podatkov za stik drugih ponudnikov.