Vodič za Windows Server za zaštitu od špekulativnih ranjivosti od strane kanala

Primenjuje se na: Windows Server 2019Windows Server 2016Windows Server 2012 R2

Rezime


Microsoft je upoznat sa novim javnim brojem ranjivih ranjivosti koje se nazivaju "spekulativni napadi koji se odnose na kanale" i koji utiču na mnoge moderne procesore, uključujući informacije o Intel, AMD, VIA i ARM.

Belešku Ovo pitanje utiče i na druge operativne sisteme, kao što su android, Chrome, iOS i macOS. Zato savetujemo kupcima da traže smernice od tih dobavljača.

Oslobodili smo nekoliko ispravki koje pomažu da se ublaže ove ranjivosti. Takođe smo preduzeli akciju da obezbedimo naše usluge u oblaku. Više detalja potražite u sledećim odeljcima.

Još uvek nismo dobili nikakve informacije koje ukazuju na to da su se ove ranjivosti koristile za napade na klijente. Blisko sarađujemo sa industrijskim partnerima, uključujući proizvođača Chip, hardverske proizvođače i dobavljače aplikacija kako bi zaštitili kupce. Da biste dobili sve dostupne zaštitu, firmver (mikrokôd) i softverske ispravke su neophodni. Ovo uključuje mikrokôd uređaja OEM proizvođača i u nekim slučajevima ispravke antivirusnog programa.

Ovaj članak rešava sledeće ranjivosti:

Windows Update će takođe obezbediti ublažavanje Internet Explorera i ivica. Nastavićemo da unapređujemo ove ublažavanje u odnosu na ovu klasu ranjivosti.

Da biste saznali više o ovoj klasi ranjivosti, pogledajte odeljak

Ažurirano 14. maj 2019 Od 14 maja 2019, Intel je objavio informacije o novoj potklasa spekulativnih ranjivosti sa Side-kanalom poznatim kao Mikroarhitektonsko uzorkovanje podataka. Njima su dodeljeni sledeći covi:

Važnim Ova pitanja će uticati na druge sisteme kao što su android, hrom, iOS i MacOS. Savetujemo klijentima da traže smernice od svojih dobavljača.

Microsoft je objavio ispravke da bi pomogao u ublažavanju ovih ranjivosti. Da biste dobili sve dostupne zaštitu, firmver (mikrokôd) i softverske ispravke su neophodni. Ovo može da sadrži mikrokôd uređaja od OEM proizvođača. U nekim slučajevima, instaliranje ovih ispravki imaće uticaj na performanse. Takođe smo reagovali da obezbedimo naše usluge u oblaku. Preporučujemo primenu ovih ispravki.

Više informacija o ovom problemu potražite u sledećem bezbednosnom savetodavnu i koristite smernice zasnovane na scenariju da biste utvrdili potrebne radnje za ublažavanje pretnje:

Belešku Preporučujemo da instalirate sve najnovije ispravke sa Windows Update pre nego što instalirate bilo kakve ispravke mikrokôda.

Upod 6 avgusta, 2019 , 2019 Intel je objavio detalje o podložnosti otkrivanja informacija o jezgru operativnog sistema Windows. Ova ranjivost je varijanta spektra varijabilnog tipa 1 spekulativni ranjivost i dodjeljena je cve-2019-1125.

9 jula 2019 smo objavili bezbednosne ispravke za operativni sistem Windows da bismo lakše ublažili ovaj problem. Molimo vas da obratite pažnju na to da smo javno održali dokumentovanje ovog ublažavanje sve dok se u utorak ne otkrije koordinirano industrijom, 2019.

Korisnici koji imaju omogućenu Windows Update i primenili bezbednosne ispravke objavljene 9 jula, 2019 su automatski zaštićeni. Nema potrebne konfiguracije.

Imajte na umu da ova ranjivost ne zahteva ažuriranje mikrokôda od proizvođača uređaja (OEM).

Za više informacija o ovoj ranjivosti i primenljivim ispravkama pogledajte Vodič za Microsoft bezbednosne ispravke:

CVE-2019-1125 | Ranjivosti Windows jezgra informacija o jezgru

Ažurirano November 12, 2019 , 2019, Intel je objavio tehnički savet oko Intel® transakcijski proširenja (Intel® CX) transakcija asinhrono prekidanje ranjivosti koja je dodeljena cve-2019-11135. Microsoft je objavio ispravke da bi pomogao da se ublaži ova ranjivost, a zaštita OS je podrazumevano omogućena za Windows Server 2019, ali je podrazumevano onemogućena za Windows Server 2016 i starije verzije Windows Server OS.

Preporučene radnje


Korisnici bi trebalo da preduzmu sledeće radnje da bi doprineli zaštiti od ranjivosti:

  1. Primenite sve dostupne ispravke za operativni sistem Windows, uključujući i mesečne bezbednosne ispravke za Windows.
  2. Primenite ispravku za primenljive firmver (mikrocode) koju obezbeđuje proizvođač uređaja.
  3. Procenite rizik po životnu sredinu na osnovu informacija koje su obezbeđene u Microsoft bezbednosnim savetima: ADV180002, ADV180012, ADV190013i informacijama koje su obezbeđene u ovom članku baze znanja.
  4. Preduzeti radnju kao što je potrebno korišćenjem informacija o savjetima i ključu registratora koje su obezbeđene u ovom članku baze znanja.

Belešku Surface klijenti će primati ažuriranje mikrokôda putem usluga Windows Update. Za listu najnovijih ispravki od firmvera (mikrocode) uređaja, pogledajte KB 4073065.

Postavke za ublažavanje za Windows Server


Bezbednosni savetnici ADV180002, ADV180012i ADV190013 pružaju informacije o riziku koji se donose ovim ranjivih tačaka.  One vam takođe pomažu da identifikujete ove ranjivosti i identifikujete podrazumevano stanje za ublažavanje sistema sistema Windows Server. U donjoj tabeli se rezimira potreba CPU mikrokoda i podrazumevani status ubrzanja na Windows serveru.

CVE Zahteva CPU mikrokôd/firmver? Podrazumevani status za ublažavanje

CVE-2017-5753

Ne

Podrazumevano omogućena (nema opcije za onemogućavanje)

Pogledajte ADV180002 za dodatne informacije

CVE-2017-5715

Da

Podrazumevano onemogućena.

Pogledajte ADV180002 za dodatne informacije i ovaj članak u kB za primenljive postavke ključa registratora.

Belešku "Retpoline" su podrazumevano omogućeni za uređaje koji rade pod operativnim sistemom Windows 10 1809 ili novije ako je omogućena varijanta spektra 2 ( cve-2017-5715 ). Za više informacija, oko "retpoline", slediteolakšavajuće spektra tipa 2 sa retpolinom na Windows blog blogu.

CVE-2017-5754

Ne

Windows Server 2019: podrazumevano omogućen. Windows Server 2016 i stariji: podrazumevano je onemogućen.

Pogledajte ADV180002 za dodatne informacije.

CVE-2018-3639

Intel: da

AMD: ne

Podrazumevano onemogućena. Pogledajte ADV180012 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.

CVE-2018-11091 Intel: da

Windows Server 2019: podrazumevano omogućen. Windows Server 2016 i stariji: podrazumevano je onemogućen.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2018-12126 Intel: da

Windows Server 2019: podrazumevano omogućen. Windows Server 2016 i stariji: podrazumevano je onemogućen.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2018-12127 Intel: da

Windows Server 2019: podrazumevano omogućen. Windows Server 2016 i stariji: podrazumevano je onemogućen.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2018-12130 Intel: da

Windows Server 2019: podrazumevano omogućen. Windows Server 2016 i stariji: podrazumevano je onemogućen.

Pogledajte ADV190013 za više informacija i ovaj članak u kB za primenljive postavke ključa registratora.
CVE-2019-11135 Intel: da

Windows Server 2019: podrazumevano omogućen. Windows Server 2016 i stariji: podrazumevano je onemogućen.

Pogledajte cve-2019-11135 za više informacija i ovaj članak u bazi znanja za primenljive postavke ključa registratora.

Korisnici koji žele da dobiju svu dostupnu zaštitu od ovih ranjivosti moraju da naprave promene ključa registratora da bi omogućio ove ublažavanje vrednosti koje su podrazumevano onemogućene.

Omogućavanje ovih uticaja može da utiče na performanse. Skala efekata performansi zavisi od više faktora, kao što su specifični skup čipova u vašem fizičkom domaćinu i radnim opterećenjima koje su pokrenute. Preporučujemo da klijenti procene efekte učinka za svoje okruženje i da naprave sve neophodne korekcije.

Vaš server je u većoj opasnosti ako se nalazi u jednoj od sledećih kategorija:

  • Hyper-V domaćin – zahteva zaštitu od VM-a i VM-a do domaćina.
  • Usluge udaljene radne površine (RDSH) – zahtevaju zaštitu od jedne sesije do druge sesije ili od napada na hostovanje sesije.
  • Fizičke hosts ili virtuelne mašine koje pokreću nepouzdani kôd, kao što su kontejneri i nepouzdane ekstenzije za bazu podataka, nepouzdani Veb sadržaj ili radna opterećenja koja pokreću kôd koji je iz spoljnih izvora. Ova zahteva zaštitu od nepouzdanog do drugog procesa ili od nepouzdanog napada.

Koristite sledeće postavke ključa registratora da biste omogućili ublažavanje na serveru i ponovo pokrenite sistem da bi promene stupile na snagu.

Belešku Omogućavanje ubrzanja koje su isključene po podrazumevanoj vrednosti može da utiče na performanse. Stvarni efekat performansi zavisi od više faktora, kao što su specifični skup čipova u uređaju i radne opterećenja koje su pokrenute.

Postavke registratora


Obezbeđujemo sledeće informacije o registratoru da bismo omogućili ublažavanje podataka koje su podrazumevano omogućene, kao što je dokumentovano u bezbednosnim savjetima ADV180002, ADV180012i ADV190013.

Pored toga, obezbeđujemo postavke ključa registratora za korisnike koji žele da onemoguće ublažavanje, koja su povezana sa CVE-2017-5715 i CVE-2017-5754 za klijente operativnog sistema Windows.

Važnim Ovaj odeljak, metod ili zadatak sadrži korake koji vam govore kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako nepravilno izmenite registrator. Zato se uverite da ste pažljivo sledili ove korake. Za dodatnu zaštitu, napravite rezervnu kopiju registratora pre nego što ga izmenite. U tom slučaju možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o pravljenju rezervne kopije i vraćanju registratora u prethodno stanje kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

322756 pravljenje rezervne kopije i Vraćanje registratora u prethodno stanje u operativnom sistemu Windows

Upravljanje ublažavanje podataka CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kraza)


Važna beleška Retpoline su po podrazumevanoj vrednosti omogućeni u operativnom sistemu Windows 10, verzija 1809 servera ako je moguće da je spektra, varijanta 2 ( cve-2017-5715 ) omogućena. Omogućavanje Retpoline na najnovijoj verziji operativnog sistema Windows 10 može poboljšati performanse na serverima koji rade pod operativnim sistemom Windows 10, verzija 1809 za spektar varijante 2, posebno na starijim procesorima.

Omogućavanje ubrzanja za CVE-2017-5715 (spektar varijanti 2) i CVE-2017-5754 (Kraza)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Onemogućavanje ubrzanja za CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kraza)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Belešku Podešavanje FeatureSettingsOverrideMask na 3 je precizno za postavke "Omogući" i "Onemogući". (Pogledajte odeljak "FAQ " za više detalja o ključevima registratora.)

Upravljanje ublažavanje za CVE-2017-5715 (spektar varijante 2)


Dabiste onemogućili varijaciju 2: (cve-2017-5715»  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Za Omogućivanje varijante 2: (cve-2017-5715"   

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Samo AMD procesori: omogući punu ublažavanje CVE-2017-5715 (spektar varijanti 2)


Po podrazumevanoj vrednosti, zaštita od korisnika do jezgra za CVE-2017-5715 je onemogućena za AMD CPU. Korisnici moraju da omoguće da se ta ublažavanje za dobijanje dodatne zaštite za CVE-2017-5715.  Više informacija potražite u članku najčešća pitanja #15 u ADV180002.

Omogućite zaštitu od korisnika do jezgra na AMD procesorima zajedno sa drugim zaštitom za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Upravljajte ublažavanje za CVE-2018-3639 (Špekulativni premošćavanja u prodavnici), CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kras)



Da biste omogućili ublažavanje CVE-2018-3639 (Špekulativni premošćavanja u prodavnici), CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kras):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Da biste onemogućili ublažavanje CVE-2018-3639 (Špekulativni premošćavanja skladišta) i ublažavanje za CVE-2017-5715 (spektra varijanta 2) i CVE-2017-5754 (Kras)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računar da bi promene stupile na snagu.

Samo AMD procesori: omogući punu ublažavanje za CVE-2017-5715 (spektar varijanta 2) i CVE 2018-3639 (za Špekulativni premošćavanje u prodavnici)


Po podrazumevanoj vrednosti, zaštita od korisnika do jezgra za CVE-2017-5715 je onemogućena za AMD procesore. Korisnici moraju da omoguće da se ta ublažavanje za dobijanje dodatne zaštite za CVE-2017-5715.  Više informacija potražite u članku najčešća pitanja #15 u ADV180002.

Omogućite zaštitu od korisnika do jezgra na AMD procesorima zajedno sa drugim zaštitom za cve 2017-5715 i zaštitu za cve-2018-3639 (Špekulativni premošćavanja u prodavnici):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Upravljanje® Intel informacijama o transakciji (Intel® CX) transakcija asinhrono prekidanje ranjivosti (CVE-2019-11135) i Mikroarhitektonsko uzorkovanje podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zajedno sa Spektra [CVE-2017-5753 & CVE-2017-5715] i slom [CVE-2017-5754] varijanti, uključujući špekulativno zaobilaženje prodavnice Onemogući (SSBD) [CVE-2018-3639] kao i L1 Terminal (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]


Da biste omogućili ublažavanje informacija za informacije o Intel® transakcijskih proširenja (Intel® CX) transakcija Asinhrona prekid ranjivosti (cve-2019-11135) i mikroarhitektonsko uzorkovanje podataka (cve-2018-11091,cve-2018-12126,cve-2018-12127,cve-2018-12130) zajedno sa spektra [cve-2017-5753 & cve-2017-5715] i slom [cve-2017-5754] varijanti, uključujući špekulativne Uskladišti zaobilaženje Onemogući (SSBD) [CVE-2018-3639] kao i L1 Terminal (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućavanja Hyper-one:

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

Reg Add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtuelizacija"/v Minvmversionnasilno Pubasedonacije/t REG_SZ/d "1,0"/f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Da biste omogućili ublažavanje informacija za informacije o Intel® transakcijskih proširenja (Intel® CX) transakcija Asinhrona prekid ranjivosti (cve-2019-11135) i mikroarhitektonsko uzorkovanje podataka (cve-2018-11091,cve-2018-12126,cve-2018-12127,cve-2018-12130) zajedno sa spektra [cve-2017-5753 & cve-2017-5715] i slom [cve-2017-5754] varijanti, uključujući Spekulativno skladište je onemogućeno (SSBD) [CVE-2018-3639] kao i L1 Terminal (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] sa onemogućenom Hiperčitanje:

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

Reg Add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtuelizacija"/v Minvmversionnasilno Pubasedonacije/t REG_SZ/d "1,0"/f

Ako se radi o Hyper-V domaćinu, a ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. Ovo omogućava da se na domaćinu primeni mogućnost za ublažavanje firmvera pre nego što se pokrene VMs. Zbog toga se VMs ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite računar da bi promene stupile na snagu.

Da biste onemogućili ublažavanje informacija za Intel® transakcijske ekstenzije sinhronizacije (Intel® CX) transakcija Asinhrona prekid ranjivosti (cve-2019-11135) i mikroarhitektonsko uzorkovanje podataka (cve-2018-11091,cve-2018-12126,cve-2018-12127,cve-2018-12130) zajedno sa spektra [cve-2017-5753 & cve-2017-5715] i slom [cve-2017-5754] varijanti, uključujući Špekulativno Spremište za zaobilaženje (SSBD) [CVE-2018-3639] kao i L1 terminal za kvar (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]:

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

Reg Add "HKEY_LOCAL_MACHINE \System\currentcontrolset\kontrola\upravljanje sesijom"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ponovo pokrenite računar da bi promene stupile na snagu.

Potvrđivanje da je zaštita omogućena


Da bi pomogao korisnicima da provere da li su zaštite omogućene, Microsoft je objavio skript za PowerShell koji korisnici mogu da pokrenu na svojim sistemima. Instalirajte i pokrenite skriptu pokretanjem sledećih komandi.

Provera funkcije PowerShell korišćenjem galerije PowerShell (Windows Server 2016 ili WMF 5.0/5.1)

Instaliraj modul PowerShell:

PS> Install-Module SpeculationControl

Pokrenite modul PowerShell da biste proverili da li su zaštite omogućene:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Provera funkcije PowerShell pomoću preuzimanja sa lokacije technet (starije verzije operativnog sistema i starije WMF verzije)

Instaliraj modul PowerShell iz technet skripte:

  1. Posetite lokaciju https://aka.MS/SpeculationControlPS .
  2. Preuzmite Špekulationcontrol. zip u lokalnu fasciklu.
  3. Izdvojite sadržaj u lokalnu fasciklu. Na primer: C:\ADV180002

Pokrenite modul PowerShell da biste proverili da li su zaštite omogućene:

Pokrenite PowerShell, a zatim koristite prethodni primer da biste kopirali i pokrenuli sledeće komande:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Za detaljnije objašnjenje o izlazu iz PowerShell skripte pogledajte članak u bazi znanja 4074629 .

Najčešće postavljana pitanja