Vodič za Windows Server da zaštiti od špekulativnih pogubljenje stranu kanala ranjivosti

Primenjuje se na: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Više

Rezime


Microsoft je svestan javno otkrivene nova vrsta ranjivosti koje se nazivaju „spekulativna pogubljenje stranu kanala napade” i koje utiču na mnoge moderne procesore, uključujući Intel, AMD i ruku.

Napomena Ovaj problem utiče i na druge operativne sisteme, kao što je Android, hroma, iOS i macOS. Stoga, mi savetujete kupce da traži uputstva od te dobavljače.

Microsoft je objavio nekoliko ispravki da ublaži te ranjivosti. Takođe smo uzeli akciju da osigura naše usluge oblak. Pogledajte sledeće odeljke za više detalja.

Microsoft još nije primila nikakve informacije da biste naznačili da te ranjivosti koriste se da napadnu kupce. Microsoft blisko sarađuje sa industrijom partnerima, uključujući čip kreatore, OEM proizvođači hardvera i aplikacija za dobavljače zaštititi kupce. Da biste dobili sve dostupne zaštite, firmver (microcode) i softver ispravke su potrebne. Ovo uključuje microcode iz OEM proizvođači uređaja i, u nekim slučajevima, ažurira antivirusni softver.

Ovaj članak se odnosi na sledeće ranjivosti:

Da biste saznali više o ovoj klasi ranjivosti, pogledajte ADV180002 i ADV180012.

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača da pomogne pri pronalaženju tehničke podrške. Informacije za kontakt mogu promijeniti bez najave. Microsoft ne garantuje tačnost kontakt informacije nezavisnih proizvođača.

Preporučene radnje


Kupci trebalo sledeće radnje da biste zaštitili protiv ovih ranjivosti:

  1. Primeni sve dostupne Windows operativni sistem ispravke, uključujući mesečnu bezbednosne ispravke za Windows. Za detalje o Kako da biste omogućili ovo ažurira, see Microsoft baze znanja, članak 4072699.
  2. Primenite ispravke primenljivo firmvera (microcode) od proizvođača uređaja (OEM).
  3. Proveri rizik prema svojoj okolini, na osnovu informacija koje je u Microsoft bezbednosti savjeteADV180002iADV180012i u ovom članku baze znanja.
  4. Preduzme korake po potrebi koristeći savjete i ključne informacije o registratoru koje je navedeno u ovom članku baze znanja.

Omogućavanje zaštite na Windows serveru


Olakšice za CVE-2017-5753 su podrazumevano na Windows serveru, a ne postoji administratorska opcija dostupna da biste im onemogućili. Olakšice za ostale tri ranjivosti koje su opisane u ovom članku su podrazumevano onemogućeni. Kupci koji žele da biste dobili sve dostupne zaštite protiv ove ranjivosti mora napraviti ključne promene na omogućavanje ove olakšice.

Omogućavanje ove olakšice može da utiče na performanse. Skala performanse efekte zavisi od više faktora, kao što je određeni skup čipova u vaš fizički domaćin i radna opterećenja koje su pokrenute. Preporučujemo da kupci procenila performansi efekte za svoju okolinu i napraviti neke neophodne korekcije.

Vaš server je pod povećanim rizikom, ako je u jednom od sledećih kategorija:

  • Hyper-V domaćin – zahtijeva zaštitu za napade VM-VM i VM-domaćina.
  • Udaljene radne površine usluge domaćini (RDSH) – zahtijeva zaštitu od jedne sesije na drugu sesiju ili od napada da-host sesije.
  • Fizički domaćini ili virtuelne mašine koje su pokrenute nepouzdanog koda, kao što su kontejneri ili nepouzdani oznake tipa datoteke baze podataka, nepouzdanog web sadržaja ili radna opterećenja koje se pokreću kôd koji je iz spoljnih izvora. One zahtevaju zaštitu od nepouzdanog proces drugi proces ili nepouzdani-proces-da-jezgra napada.

Koristite sledeće ključne postavke registratora da biste omogućili olakšice na serveru, i ponovo pokrenite sistem da bi promene imale efekta.

Omogući olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)


VažnoOvaj odeljak, metod ili zadatak sadrži korake koji objašnjavaju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako pogrešno izmenite registrator. Stoga, uverite se da pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim, možete da vratite registrator ako dođe do problema. Za više informacija o tome kako da napravite rezervnu kopiju i vratiti registar, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

322756Kako izraditi sigurnosnu kopiju i vratiti registar u sustavu Windows

Da biste omogućili olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo su zatvorene domaćin Hyper-V, a ažuriranja firmvera: U potpunosti isključite sve virtuelne mašine. Ovo omogućava vezanim za firmver ublažavanje će se primijeniti na domaćin pre nego što su počeli sa VMs. Stoga, u VMs se ažuriraju kada su se ponovo ne pokrene.

Ponovo pokrenite server za promene imale efekta.

Da biste onemogućili olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenuti server da bi promjene stupile na snagu.

(Nemate promijeniti MinVmVersionForCpuBasedMitigations).

Napomene

Onemogući ublažavanje predviđenih za CVE-2017-5715 (spektra varijante 2)


Dok je Intel testira, ažurira i uputi novi microcode, nudimo nova opcija za napredne korisnike na pogođenim uređajima da biste ručno onemogućiti i omogućiti ublažavanje protiv spektra varijante 2 (CVE-2017-5715 – „Granu meta injekciju”) nezavisno kroz registar promene u postavkama.

Ako ste instalirali na microcode, ali želite da onemogućite na CVE-2017-5715 još više pospješuje zbog neočekivano ponovo pokreće ili problema stabilnosti sistema, koristite sledeće instrukcije.

Da biste onemogućili varijante 2: (CVE -2017-5715" "ogranak meta injekciju”) još više pospješuje:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Da biste omogućili varijante 2: (CVE-2017-5715„Granu meta injekciju”) još više pospješuje:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Napomena Disabling, kao i omogućavanje na ublažavanje varijante 2 kroz promene postavki registra zahteva administrativna prava i ponovno pokretanje.

Omogućite indirektne granu predviđanje barijeru (IBPB) za varijante 2 spektra na AMD procesora (CPU)


Neki AMD procesora (CPU) ponuditi opcija kontrole za indirektne granu da ublaže indirektne granu meta injekcije kroz mehanizam za indirektne granu predviđanje barijeru (IBPB). (Za više informacija, Vidi FAQ #15 uADV180002iAMD arhitektura smjernice oko kontrola indirektnih granu i AMD bezbednosnih ispravki.)

I prati uputstva za kontrolu IBPB pri prebacivanju iz konteksta korisnika da jezgra kontekst:

Da biste omogućili koristeći indirektne granu predviđanje barijeru (IBPB), kada se iz konteksta korisnika na kontekst jezgra:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Napomena Omogućavanje pomoću indirektne granu predviđanje barijeru (IBPB) kroz registar promene u postavkama zahteva administrativna prava i ponovno pokretanje.

Omogući olakšice za CVE-2018-3639 (spekulativni radnji bajpas), CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)



Da biste omogućili olakšice za CVE-2018-3639 (spekulativni radnji bajpas), CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Da biste onemogućili olakšice za CVE-2018-3639 (spekulativni radnji bajpas) i olakšice za CVE-2017-5715 (spektra varijante 2) i CVE-2017-5754 (otapanje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Napomena promjena registra zahteva administratorska prava, kao i ponovno pokretanje.

Provera da li su omogućeni zaštite


Da bi pomogao korisnicima, uverite se da odgovarajuće zaštite omoguće, Microsoft je objavila PowerShell skripti koje kupce možete da pokrenete na njihov sistem. Janstaliraj i pokreni skriptu pokretanjem sledeće komande.

Verifikacija PowerShell pomoću PowerShell galerije (Windows Server 2016 ili WMF 5.0/5.1.)

Instaliranje PowerShell modula:

PS> Install-Module SpeculationControl

Pokreni modul PowerShell da biste proverili da li su omogućeni zaštite:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verifikacija PowerShell pomoću preuzimanje sa Technet (ranije OS verzija/toku WMF verzije)

Instaliranje PowerShell modul sa Technet ScriptCenter:

  1. Idi u https://aka.ms/SpeculationControlPS.
  2. Preuzmite SpeculationControl.zip u lokalnu fasciklu.
  3. Izdvojte sadržaj u lokalnu fasciklu. Na primer: C:\ADV180002

Pokreni modul PowerShell da biste proverili da li su omogućeni zaštite:

Pokretanje PowerShell, a zatim koristite prethodnog primera za kopiranje i pokrenite sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detaljno objašnjenje izlazna vrednost PowerShell skriptu, potražite u članka baze znanja 4074629

Najčešće postavljana pitanja


Reference