Vodič za Windows Server da zaštiti od špekulativnih pogubljenje stranu kanala ranjivosti

Primenjuje se na: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Više

Rezime


Microsoft je svestan javno otkrivene nova vrsta ranjivosti koje se nazivaju „spekulativna pogubljenje stranu kanala napade” i koje utiču na mnoge moderne procesore, uključujući Intel, AMD i ruku.

Napomena Ovaj problem utiče i na druge operativne sisteme, kao što je Android, hroma, iOS i macOS. Stoga, mi savetujete kupce da traži uputstva od te dobavljače.

Microsoft je objavio nekoliko ispravki da ublaži te ranjivosti. Takođe smo uzeli akciju da osigura naše usluge oblak. Pogledajte sledeće odeljke za više detalja.

Microsoft još nije primila nikakve informacije da biste naznačili da te ranjivosti koriste se da napadnu kupce. Microsoft blisko sarađuje sa industrijom partnerima, uključujući čip kreatore, OEM proizvođači hardvera i aplikacija za dobavljače zaštititi kupce. Da biste dobili sve dostupne zaštite, firmver (microcode) i softver ispravke su potrebne. Ovo uključuje microcode iz OEM proizvođači uređaja i, u nekim slučajevima, ažurira antivirusni softver.

Ovaj članak se odnosi na sledeće ranjivosti:

Da biste saznali više o ovoj klasi ranjivosti, pogledajte ADV180002 i ADV180012.

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača da pomogne pri pronalaženju tehničke podrške. Informacije za kontakt mogu promijeniti bez najave. Microsoft ne garantuje tačnost kontakt informacije nezavisnih proizvođača.

Preporučene radnje


Kupci trebali uzeti sledeće radnje da biste zaštitili protiv ranjivosti koju je uzrokovao:

  1. Primeni sve dostupne Windows operativni sistem ispravke, uključujući mesečnu bezbednosne ispravke za Windows. Za detalje o Kako da biste omogućili ovo ažurira, see Microsoft baze znanja, članak 4072699.
  2. Primenite ispravke primenljivo firmvera (microcode) od proizvođača uređaja (OEM).
  3. Proveri rizik prema svojoj okolini, na osnovu informacija koje je u Microsoft bezbednosti savjeteADV180002iADV180012i u ovom članku baze znanja.
  4. Preduzme korake po potrebi koristeći savjete i ključne informacije o registratoru koje je navedeno u ovom članku baze znanja.

Još više pospješuje postavke za Windows Server


Sigurnost savjete, ADV180002 i ADV180012 pružati informacije o rizika koje predstavljaju te ranjivosti i identifikuju podrazumevanog stanja olakšice za sisteme Windows Server. Na ispod tabele rezimira sa zahtevima CPU microcode i podrazumevani status olakšice na Windows serveru.

CVE Zahtijeva CPU microcode/firmver? Još više pospješuje podrazumevani status

CVE-2017-5753

Ne

Omogućen po podrazumevanoj vrednosti (nema opciju za onemogućavanje)

CVE-2017-5715

Da

Podrazumevano je onemogućen.

CVE-2017-5754

Ne

Windows Server 2019: Podrazumevano. Windows Server 2016 i ranije: podrazumevano onemogućen.

CVE-2018-3639

Intel: da

AMD: ne

Podrazumevano je onemogućen. Pogledajte ADV180012 za više informacija i ovaj članak u bazi znanja za ključne postavke primenljivo registratora.

Kupci koji žele da biste dobili sve dostupne zaštite protiv ovih ranjivosti mora izmene registratora ključa da biste omogućili ove olakšice koje su podrazumevano onemogućeni.

Omogućavanje ove olakšice može da utiče na performanse. Skala performanse efekte zavisi od više faktora, kao što je određeni skup čipova u vaš fizički domaćin i radna opterećenja koje su pokrenute. Preporučujemo da kupci procenila performansi efekte za svoju okolinu i napraviti neke neophodne korekcije.

Vaš server je pod povećanim rizikom, ako je u jednom od sledećih kategorija:

  • Hyper-V domaćin – zahtijeva zaštitu za napade VM-VM i VM-domaćina.
  • Udaljene radne površine usluge domaćini (RDSH) – zahtijeva zaštitu od jedne sesije na drugu sesiju ili od napada da-host sesije.
  • Fizički domaćini ili virtuelne mašine koje su pokrenute nepouzdanog koda, kao što su kontejneri ili nepouzdani oznake tipa datoteke baze podataka, nepouzdanog web sadržaja ili radna opterećenja koje se pokreću kôd koji je iz spoljnih izvora. One zahtevaju zaštitu od nepouzdanog proces drugi proces ili nepouzdani-proces-da-jezgra napada.

Koristite sledeće ključne postavke registratora da biste omogućili olakšice na serveru, i ponovo pokrenite sistem da bi promene imale efekta.

VažnoOvaj odeljak, metod ili zadatak sadrži korake koji objašnjavaju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako pogrešno izmenite registrator. Stoga, uverite se da pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim, možete da vratite registrator ako dođe do problema. Za više informacija o tome kako da napravite rezervnu kopiju i vratiti registar, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

 

322756Kako izraditi sigurnosnu kopiju i vratiti registar u sustavu Windows

Upravljanje olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)


Da biste omogućili olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin Hyper-V i ažuriranja firmvera su zatvorene: U potpunosti isključite sve virtuelne mašine. Ovo omogućava vezanim za firmver ublažavanje će se primijeniti na domaćin pre nego što su počeli sa VMs. Stoga, u VMs se ažuriraju kada su se ponovo ne pokrene.

Ponovo pokrenite računar da bi promene imale efekta.

Da biste onemogućili olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenuti računar da bi promene stupile.

Napomena postavka FeatureSettingsOverrideMask na 3 je precizno za „omogući” i „Onemogući” postavke. (Pogledajte odeljakFAQ” za više detalja o ključeve registratora).

Upravljanje ublažavanje za CVE-2017-5715 (spektra varijante 2)


Da biste onemogućili varijante 2: (CVE -2017-5715" "Granaju meta injekciju”)još više pospješuje:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promene imale efekta.

Da biste omogućili varijante 2: (CVE-2017-5715„Granu meta injekciju”) još više pospješuje:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promene imale efekta.

AMD procesore samo: omogućiti punu ublažavanje predviđenih za CVE-2017-5715 (spektra varijante 2)


Po podrazumevanim postavkama, zaštitu korisnika da jezgra za CVE-2017-5715 je onemogućen za AMD procesori. Kupci morate omogućiti ublažavanje da primite dodatne zaštite za CVE-2017-5715.  Za više informacija, pogledajte najčešća pitanja o #15 u ADV180002.

Omogući zaštitu korisnika da jezgra na AMD procesorima, kao i druge vrste zaštite za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin Hyper-V i ažuriranja firmvera su zatvorene: U potpunosti isključite sve virtuelne mašine. Ovo omogućava vezanim za firmver ublažavanje će se primijeniti na domaćin pre nego što su počeli sa VMs. Stoga, u VMs se ažuriraju kada su se ponovo ne pokrene.

Ponovo pokrenite računalo da bi promene imale efekta.

Upravljanje olakšice za CVE-2018-3639 (spekulativni radnji bajpas), CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)



Da biste omogućili olakšice za CVE-2018-3639 (spekulativni radnji bajpas), CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin Hyper-V i ažuriranja firmvera su zatvorene: U potpunosti isključite sve virtuelne mašine. Ovo omogućava vezanim za firmver ublažavanje će se primijeniti na domaćin pre nego što su počeli sa VMs. Stoga, u VMs se ažuriraju kada su se ponovo ne pokrene.

Ponovo pokrenite računalo da bi promene imale efekta.

Da biste onemogućili olakšice za CVE-2018-3639 (spekulativni radnji bajpas) i olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite računalo da bi promene imale efekta.

 

AMD procesore samo: omogućiti punu ublažavanje predviđenih za CVE-2017-5715 (spektra varijante 2) i CVE 2018-3639 (bajpas spekulativni skladišta)


Po podrazumevanim postavkama, zaštitu korisnika da jezgra za CVE-2017-5715 je onemogućen za AMD procesore. Kupci morate omogućiti ublažavanje da primite dodatne zaštite za CVE-2017-5715.  Za više informacija, pogledajte najčešća pitanja o #15 u ADV180002.

Omogući zaštitu korisnika da jezgra na AMD procesorima, kao i druge vrste zaštite za CVE 2017-5715 i zaštitu za CVE-2018-3639 (spekulativni radnji bajpas):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je domaćin Hyper-V i ažuriranja firmvera su zatvorene:Je u potpunosti isključite sve virtuelne mašine. Ovo omogućava vezanim za firmver ublažavanje će se primijeniti na domaćin pre nego što su počeli sa VMs. Stoga, u VMs se ažuriraju kada su se ponovo pokrene.

Ponovo pokrenite računalo da bi promene imale efekta.

Provera da li su omogućeni zaštite


Da bi pomogao korisnicima da proverite da li su omogućeni zaštite, Microsoft je objavio PowerShell skripti koje kupce možete da pokrenete na njihov sistem. Instaliranje i pokretanje skripti pokretanjem sledeće komande.

Verifikacija PowerShell pomoću PowerShell galerije (Windows Server 2016 ili WMF 5.0/5.1.)

Instaliranje PowerShell modula:

PS> Install-Module SpeculationControl

Pokreni modul PowerShell da biste proverili da li su omogućeni zaštite:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell verifikacije pomoću preuzimanje sa Technet (toku verzije operativnih sistema i WMF ranijim verzijama)

Instaliranje PowerShell modul sa Technet ScriptCenter:

  1. Idi u https://aka.ms/SpeculationControlPS.
  2. Preuzmite SpeculationControl.zip u lokalnu fasciklu.
  3. Izdvojte sadržaj u lokalnu fasciklu. Na primer: C:\ADV180002

Pokreni modul PowerShell da biste proverili da li su omogućeni zaštite:

Pokretanje PowerShell, a zatim koristite prethodnog primera za kopiranje i pokrenite sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detaljno objašnjenje izlazna vrednost PowerShell skriptu, potražite u članka baze znanja 4074629

Najčešće postavljana pitanja


Reference