Windows navodila za zaščito pred ranljivosti špekulativnih izvedbo strani-kanal

Povzetek

Microsoft se zaveda novih različic razreda napada znan kot špekulativni izvedbo stranskih kanalov ranljivosti. Variante se imenujejo L1 terminal Fault (L1TF) in Mikroarhitekturno vzorčenje podatkov (MDS). Napadalec, ki lahko uspešno izkoristi L1TF ali MDS, lahko prebere privilegirane podatke v mejah zaupanja.

Posodobljeno maja 14, 2019: On May 14, 2019, Intel objavljene informacije o novem podrazred špekulativnih izvedbo stranskih kanalov ranljivosti znan kot Microarchitectural Data vzorčenje. Ti so bili dodeljeni naslednje CVEs:

POSODOBLJENO novembra 12, 2019: Novembra 12, 2019, Intel objavila tehnično svetovanje okoli Intel® transakcijski sinhronizacija Extensions (Intel® TSX) transakcija Asynchronous prekinite ranljivost, ki je dodeljena CVE-2019-11135. Microsoft je izdal posodobitve, ki pomagajo ublažiti to ranljivost. Upoštevajte naslednje:

  • Zaščita operacijskih sistemov je privzeto omogočena za nekatere izdaje operacijskega sistema Windows Server OS. Več informacij najdete v članku Microsoftove zbirke znanja 4072698 .

  • Zaščita operacijskih sistemov je privzeto omogočena za vse izdaje Windows Client OS. Več informacij najdete v članku Microsoftove zbirke znanja 4073119 .

Pregled ranljivosti

V okoljih, v katerih so viri v skupni rabi, kot so gosti za virtualizacijo, lahko napadalec, ki lahko zažene poljubno kodo na enem navideznem stroju, dostopa do informacij iz drugega navideznega stroja ali od samega gostitelja virtualizacije.

Ogroženi so tudi strežniške delovne obremenitve, kot so storitve Windows Server Remote Desktop Services (RDS) in bolj namenske vloge, kot so krmilniki domene imenika Active Directory. Napadalci, ki lahko vodijo poljubno kodo (ne glede na svojo raven privilegija) morda lahko dostop do operacijskega sistema ali delovne obremenitve skrivnosti, kot so šifriranje ključev, gesel in drugih občutljivih podatkov.

Okno varovanec pogonski sistem ste tudi v nevarnost, zlasti če oni prost dostop odpeti zbornik, vzvod virtualization osnova varnost zunanja oblika všeč biti okno zagovornik poverilen zaščita, ali raba vezaj-v teči stvaren stroj.

Opomba: Od this ranljivost vplivati celo število jedro predelovalec ter celo število Xeon predelovalec šele.

Pregled blažitve

V rešiti od this izdaja, mikroskop je ki dela skupaj z celo število v razvijati se software Mitigations ter smernica. Posodobitve programske opreme za pomoč pri ublažitvi ranljivosti so bile izdane. Če želite pridobiti vse razpoložljive zaščite, bodo morda potrebne posodobitve, ki bi lahko vključevale tudi Mikrokod iz naprav proizvajalcev originalne opreme.

V tem članku je opisano, kako ublažiti naslednje ranljivosti:

  • CVE-2018-3620-"L1 terminal Fault-OS, SMM"

  • CVE-2018-3646-"L1 terminal Fault-VMM"

  • CVE-2018-11091-"Microarhitekturno vzorčenje podatkov uncacheable pomnilnik (MDSUM)"

  • CVE-2018-12126-"Microarchitectural Store medpomnilnik podatkov vzorčenje (MSBDS)"

  • CVE-2018-12127-"Microarchitectural obremenitev Port Data vzorčenje (MLPDS)"

  • CVE-2018-12130-"Mikroarhitekturni polnilni blažilnik podatkov vzorčenje (MFBDS)"

  • CVE-2019-11135 – "okno stržen sporočilo Razkrij ranljivost"

Če želite izvedeti več o ranljivosti glej naslednje varnostne Advisories:

L1TF: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018

MDS: https://portal.MSRC.Microsoft.com/en-us/Security-Guidance/Advisory/adv190013

Windows kernel informacije razkritje ranljivost: https://portal.MSRC.Microsoft.com/en-us/Security-Guidance/Advisory/CVE-2019-11135

Določitev ukrepov, potrebnih za ublažitev grožnje

Naslednji oddelki vam lahko pomagajo prepoznati sisteme, na katere vplivajo ranljivosti L1TF in/ali MDS, ter vam pomagajo razumeti in ublažiti tveganja.

Potencialni učinek na uspešnost

V preskušanju, Microsoft je videl nekaj uspešnosti vpliva teh Mitigations, odvisno od konfiguracije sistema in ki Mitigations so potrebni.

Neki šega maj življati v onesposobiti hiper-navoje (tudi znana veličina kot istočasen multithreading ali SMT) v popolnoma ogovor nevarnost s L1TF ter MDS. Zavedajte se, da onemogočanje hiper-Threading lahko povzroči degradacijo zmogljivosti. Ta položaj velja za stranke, ki uporabljajo naslednje:

  • Različice Hyper-V, ki so starejše od Windows Server 2016 ali Windows 10 različica 1607 (posodobitev obletnice)

  • Virtualization-osnova varnost (vbs) zunanja oblika kot na primer poverilen zaščita ter načrt zaščita

  • Programska oprema, ki omogoča izvajanje nezaupanja vredne kode (na primer graditev avtomatizacijskega strežnika ali deljenega okolja za gostovanje IIS)

Vpliv se lahko razlikuje glede na strojno opremo in delovne obremenitve, ki se izvajajo v sistemu. Najpogostejši sistem konfiguracija je, da so hiper-Threading omogočeno. Zato je učinek vpliva na uporabnika ali skrbnika, ki je ob ukrepu onemogočiti hiper-Threading na sistemu.

Opomba: Če želite ugotoviti, ali vaš sistem uporablja varnostne funkcije, zaščitene z VBS, sledite tem korakom:

  1. V meniju Start vnesite msinfo32. Opomba: Odpre se okno sistemske informacije .

  2. V polje Najdi vnesite varnost.

  3. V desnem podoknu poiščite dve vrstici, ki sta izbrani na zaslonu, in preverite stolpec vrednosti , da vidite, ali je varnost na osnovi virtualizacije omogočena in katere storitve se izvajajo na virtualiziranih varnostnih storitvah.

    Sistem zavijati okno

Hyper-v jedro Scheduler zmanjšuje L1TF in MDS napad vektorji proti Hyper-v virtualnih strojev, medtem ko še vedno omogoča hiper-Threading ostati omogočeno. Osnovni razporejevalnik je na voljo na začetku s sistemom Windows Server 2016 in Windows 10 različice 1607. To zagotavlja minimalen učinek delovanja na virtualne stroje.

Jedro Tabela does ne ublažiti L1TF ali MDS napad vektorjev zoper VBS-zavarovati varnost zunanja oblika. Za več informacij, glejte blažitev C in naslednje virtualizacijo Blog članek:

https://aka.ms/hyperclear

Za podrobnejše informacije od Intel o vplivu na uspešnost, pojdite na naslednjo spletno stran Intel:

www.intel.com/securityfirst

Prepoznavanje prizadetih sistemov in potrebnih Mitigations

Diagram poteka na sliki 1 vam lahko pomaga prepoznati prizadete sisteme in določiti pravilen nabor dejanj.

Pomembno: Če uporabljate navidezne stroje, morate razmisliti in uporabiti diagram poteka v gostiteljih Hyper-V in vsak prizadeti gost VM posebej, ker lahko Mitigations veljajo za oboje. Natančneje, pri gostitelju Hyper-V koraki diagrama poteka zagotavljajo zaščito Inter-VM in zaščito znotraj gostitelja. Vendar, uporaba od this Mitigations v šele vezaj-V stanodajalec ni zadosten v priskrbeti se znotraj-VM varstvo. Če želite zagotoviti zaščito znotraj VM, morate uporabiti diagram poteka za vsak Windows VM. V večini primerov, to pomeni zagotoviti, da so registrski ključi nastavljena v VM.

Ko krmarite po diagramu poteka, se boste srečali z modrimi krogi, ki se preslikajo v dejanje ali vrsto dejanj, ki so potrebna za ublažitev L1TF napada vektorjev, ki so specifični za vaše sistemske konfiguracije. Vsak ukrep, ki ga naletite, je treba uporabiti. Ko naletite na zeleno črto, to kaže na neposredno pot do konca, in ni dodatnih korakih ublažitve.

Kratka razlaga vsake črke ublažitve je vključena v legendo na desni strani. Podrobna pojasnila za vsako ublažitev, ki vključujejo korak-po-korak namestitev in konfiguracija navodila so na voljo v "Mitigations" oddelek.

Diagram poteka

 

Mitigations

Pomembno: V spodnjem razdelku so opisani Mitigations, ki jih je treba uporabiti samo pod posebnimi pogoji, ki jih določa diagram poteka na sliki 1 v prejšnjem odseku. NE uporabite teh Mitigations, razen če diagram poteka kaže, da je potrebno posebno ublažitev.

Poleg posodobitev programske opreme in Mikrokod so lahko potrebne tudi ročne spremembe konfiguracije, ki omogočajo določene zaščite. Priporočamo tudi, da se stranke Enterprise registrirajo za varnostna obvestila mailer, da bodo opozorjena o spremembah vsebine. (Glejte Microsoftova obvestila o tehničnih varnostnih sporočilih.)

Blažitev A

Pridobite in uporabite najnovejše posodobitve sistema Windows

Uporabite vse razpoložljive posodobitve operacijskega sistema Windows, vključno z mesečnimi varnostnimi posodobitvami sistema Windows. Tabelo prizadetih izdelkov si lahko ogledate v Microsoftovem varnostnem svetovanju | ADV 180018 za L1TF, varnost svetovalni | ADV 190013 za MDS, in CVE-2019-11135 za Windows kernel informacije razkritje ranljivost.

Blažitev B

Pridobite in uporabite najnovejšo mikrokodo ali posodobitve vdelane programske opreme

Poleg nameščanja najnovejših varnostnih posodobitev sistema Windows je potrebna tudi posodobitev mikrokode procesorja. Namestitev teh posodobitev zagotavlja naprava OEM.

Opomba: Če vaš ' using ugnezden Virtualization (vštevši tekmovanje v teku Hyper-V posoda v a gost VM), vi morati odkrivati nov Mikrokod razsvettenments v gost VM. To bo morda zahtevalo nadgradnjo konfiguracije VM na različico 8. Različica 8 vključuje privzeto Mikrokod razsvetil. Če želite več informacij in zahtevane korake, si oglejte ta članek članek Microsoft docs:

Prost dostop vezaj-V v a stvaren stroj s ugnezden virtualization

Blažitev C

Should jaz onesposobiti hiper-Threading (HT)?

L1TF ter MDS ranljivost začeti nevarnost to tajnost od Hyper-V stvaren stroj ter tajnost to ste vzdrževalec z mikroskop virtualization osnova varnost (VBS) strjena lava obstati ogrožen z using a stranski-struga napad. Čas vezaj-Threading (HT) je usposobiti, varnost meja preskrbljen z oboje Hyper-V ter VBS ste oslabiti.

Vezaj-V jedro tabela (pri roki odhod s okno pomočnik 2016 ter okno 10 prevod 1607) ublažiti L1TF ter MDS napad vektorja zoper Hyper-V stvaren stroj prebiti še vedno omogučiti vezaj-Threading ostati usposobiti. To zagotavlja minimalen učinek delovanja.

Hyper-V Core Scheduler ne ublažijo L1TF ali MDS napad vektorjev proti VBS zaščitenih varnostnih funkcij. L1TF ter MDS ranljivost začeti nevarnost to tajnost od VBS tajnost strjena lava obstati ogrožen pot a stranski-struga napad čas vezaj-Threading (HT) je usposobiti, slabitev varnost meja preskrbljen z VBS. Sod s to povečati se nevarnost, vbs še vedno priskrbeti se dragocenosti varnost prid ter zmanjšuje a zbirka od napad s HT usposobiti. Zato priporočamo, da VBS še naprej uporabljajo na HT-usposobiti sistem. Šega kdo biti brez v odpraviti moćnosten nevarnost od L1TF ter MDS ranljivost naprej tajnost od VBS should imeti koga za kaj onesposobiti HT v ublažiti to dodaten nevarnost.

Šega kdo biti brez v odpraviti nevarnost to L1TF ter MDS ranljivost pozo, ali v tajnost od Hyper-V prevod to ste prej mimo okno pomočnik 2016 ali v VBS varnost capabilities, morati tehtati odložnost ter pretehtati onesposobiti HT v zmanjšanje tveganja. Na splošno lahko ta odločitev temelji na naslednjih smernicah:

  • Zakaj okno 10 prevod 1607, okno pomočnik 2016 ter več pravkar nastal sistem to ste ne tekmovanje V teku vezaj-V ter ste ne using VBS-zavarovati varnost zunanja oblika, šega should ne onesposobiti HT.

  • Zakaj okno 10 prevod 1607, okno pomočnik 2016 ter več pravkar nastal sistem to ste tekmovanje v teku vezaj-V s jedro tabela, šele ste ne using VBS-zavarovati varnost zunanja oblika, šega should ne onesposobiti HT.

  • Zakaj okno 10 prevod 1511, okno pomočnik 2012 R2 ter starejši sistem to ste tekmovanje V teku Hyper-V, šega morati imeti koga za kaj onesposobiti HT v ublažiti nevarnost.

Lestev to ste zahtevati v onesposobiti HT različen od OEM v OEM. Vendar, oni so tipičen del od BIOS ali firmware setup ter zunanja podoba rokodelsko orodje.

Mikroskop has tudi začeti zmožnost v onesposobiti Hyper-Threading Technology skozi a software postavljanje če ono je težek ali nemogoč v onesposobiti HT v vaš BIOS ali firmware setup ter zunanja podoba rokodelsko orodje. Software postavljanje v onesposobiti HT je drugoten v vaš BIOS ali firmware postavljanje ter je nesposoben z ne izpolniti obveznosti (kar pomeni HT hoteti slediti vaš BIOS ali firmware postavljanje). Če želite izvedeti več o tej nastavitvi in kako onemogočiti HT, ki ga uporabljate, glejte naslednji članek:

4072698 Windows Server navodila za zaščito pred ranljivostmi špekulativnih izvedbo strani-kanal

Čas mogoč, svoj ' priporočnik v onesposobiti HT v vaš BIOS ali firmware zakaj najmočnejši poroštvo to HT je nesposoben.

Opomba: Onemogočanje HyperThreading bo zmanjšalo CPU jedra. To lahko vpliva na funkcije, ki zahtevajo minimalno CPU jedra za delovanje. Na primer, Windows Defender Application Guard (WDAG).

Blažitev D

Usposobiti vezaj-V jedro tabela ter število enakih oseb VM železnina štetje na jedro v 2

Opomba: Ti koraki ublažitve veljajo samo za Windows Server 2016 in Windows 10 različice pred različico 1809. Osnovni razporejevalnik je privzeto omogočen v operacijskem sistemu Windows Server 2019 in Windows 10, različica 1809.

Using jedro tabela je a dva-tribuna proces to zahtevati vi v prvi usposobiti tabela naprej Hyper-V stanodajalec ter torej oblikovati vsakteri VM zavzeti ugodnost od tega z postavljanje svoj železnina sukanec število na jedro v dva (2).

Jedro razporejevalnik Hyper-V, ki je bil uveden v operacijskem sistemu Windows Server 2016 in Windows 10 različica 1607, je nova alternativa klasičnim Razporejevalnikom logike. Osnovni razporejevalnik ponuja zmanjšano variabilnost delovanja za delovne obremenitve znotraj VMs, ki se izvajajo v gostitelju z omogočeno funkcijo VT-Enabled.

Če želite podrobno razložiti jedro razporejevalnika Hyper-V in korake, ki jih omogočite, si oglejte ta članek o programu Windows IT Pro center:

Razumevanje in uporaba tipov razporejevalnika hipervizir Hyper-V

Če želite omogočiti osnovni razporejevalnik Hyper-V v operacijskem sistemu Windows Server 2016 ali Windows 10, vnesite ta ukaz:

bcdedit /set HypervisorSchedulerType core

Nato se odločite, ali želite konfigurirati določeno število navojev strojne opreme VM na jedro na dva (2). Če ste izpostavili dejstvo, da so virtualni procesorji hiper-navojem na gost virtualni stroj, omogočite razporejevalnik v operacijskem sistemu VM, in tudi VM delovne obremenitve, za uporabo HT v svojem delovnem urniku. Če želite to narediti, vnesite naslednji ukaz PowerShell, v katerem <vmname> je ime navideznega stroja:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

Blažitev E

Omogoči Mitigations za opozorila CVE-2017-5715, CVE-2017-5754, in CVE-2019-11135

Opomba: Te Mitigations so privzeto omogočena na Windows Server 2019 in Windows odjemalske operacijske sisteme.

Da bi omogočili Mitigations za opozorila CVE-2017-5715, CVE-2017-5754, in CVE-2019-11135, uporabite navodila v naslednjih členih:

4072698 Windows Server navodila za zaščito pred ranljivostmi špekulativnih izvedbo strani-kanal

4073119 Windows Client navodila za IT pros za zaščito pred ranljivostmi špekulativnih izvedbo strani-kanal

Opomba: Te Mitigations vključujejo in samodejno omogoči varno stran okvir bitov ublažitev za jedro sistema Windows in tudi za Mitigations, ki so opisani v CVE-2018-3620. Za podrobno obrazložitev varne strani okvirja bits ublažitev, glej naslednje varnostne raziskave & Defense Blog članek:

Analiza in ublažitev L1 terminal Fault (L1TF)

Izjava o omejitvi odgovornosti tretjih oseb

Izdelke drugih proizvajalcev, omenjene v tem članku, proizvajajo podjetja, neodvisna od Microsofta. Microsoft ne daje nobenih naznačenih ali drugačnih jamstev o delovanju ali zanesljivosti teh izdelkov.

Izjava o omejitvi odgovornosti tretjih oseb

Microsoft ponuja kontaktne podatke tretjih oseb, ki vam pomagajo najti dodatne informacije o tej temi. Te kontaktne informacije se lahko spremenijo brez predhodnega obvestila. Microsoft ne jamči za točnost podatkov za stik tretjih oseb.

Reference

Smernice za ublažitev ranljivosti stranskih kanalov špekulativne izvedbe v Azure

Ali potrebujete dodatno pomoč?

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridruži se Microsoftu programa Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×