Windows Server vägledning för att skydda mot säkerhetsproblem för spekulativ exekvering sida-kanal

Gäller för: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Mer

Sammanfattning


Microsoft är medvetet om en nya klass offentligt rapporterat säkerhetsproblem som kallas ”spekulativ exekvering sida kanal attacker” och som påverkar många moderna processorer, inklusive Intel, AMD och ARM.

Obs!  Det här problemet påverkar även andra operativsystem, Android, Chrome, iOS och macOS. Därför rekommenderar vi kunder att söka råd från dessa leverantörer.

Microsoft har gett ut flera uppdateringar för att minska säkerhetsproblemen. Vi har också vidtagit åtgärder för att skydda våra tjänster i molnet. Se följande avsnitt för mer information.

Microsoft har ännu inte fått någon information om du vill ange att dessa säkerhetsproblem har använts för kunder. Microsoft arbetar nära med branschpartners inklusive chip beslutsfattare, OEM-maskinvara och app leverantörer för att skydda kunder. Om du vill få alla tillgängliga skydd, inbyggd programvara (mikrokod) och programvara krävs uppdateringar. Detta inkluderar mikrokod från OEM-tillverkaren för enheten och, i vissa fall uppdaterar till antivirusprogram.

Den här artikeln åtgärdas följande problem:

Om du vill veta mer om den här klassen av säkerhetsproblem finns i ADV180002 och ADV180012.

Kontaktinformationen för andra företag i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.

Rekommenderade åtgärder


Kunder bör vidta följande åtgärder för att skydda mot säkerhetsproblem:

  1. Använda alla tillgängliga Windows operativsystemuppdateringar, inklusive de månatliga säkerhetsuppdateringarna för Windows. Mer information om hur du aktiverar dessa uppdateringar, see Microsoft Knowledge Base-artikel 4072699.
  2. Tillämpas gäller programvara (mikrokod) från enhetens tillverkare (OEM).
  3. Utvärdera risken för din miljö baserat på den information som finns på Microsofts säkerhetsrekommendationerADV180002 ochADV180012och i den här Knowledge Base-artikeln.
  4. Vidta åtgärder i enlighet med rekommendationerna och information om registernycklar som ingår i den här Knowledge Base-artikeln.

Riskreducerande inställningar för Windows Server


Säkerhetsrekommendationerna ADV180002 och ADV180012 ger information om risken att dessa problem och identifiera standardtillstånd mildrande åtgärder för Windows Server-System. Den sammanfattar behovet av CPU mikrokod och standardstatusen för mildrande åtgärder i Windows Server under tabellen.

CVE Kräver CPU mikrokod/firmware? Säkerhetsfunktionen standardstatus

CVE-2017-5753

Nej

Aktiverad som standard (inget alternativ för att inaktivera)

CVE-2017-5715

Ja

Inaktiverad som standard.

CVE-2017-5754

Nej

Windows Server 2019: Aktiverat som standard. Windows Server 2016 och tidigare: inaktiverat som standard.

CVE-2018-3639

Intel: Ja

AMD: Nej

Inaktiverad som standard. Se ADV180012 för mer information och KB-artikeln för tillämpliga registernyckelinställningar.

Kunder som vill få alla tillgängliga skydd mot dessa säkerhetsproblem måste ändra registret nyckel att dessa mildrande åtgärder som är inaktiverade som standard.

Aktivera dessa mildrande åtgärder kan påverka prestanda. Omfattningen av påverkan på prestanda beror på flera faktorer, t ex viss kretsuppsättning i din fysiska värd och arbetsbelastningar som körs. Vi rekommenderar att kunderna bedöma påverkan på prestanda för omgivningen och gör eventuella ändringar.

Servern är ökad risk om det är i någon av följande kategorier:

  • Hyper-V-värdar – kräver skydd för VM-VM och VM-till-värddator-attacker.
  • Remote Desktop Services-värdar (RDSH) – kräver skydd från en session till en annan session eller fjärrskrivbordssessioner till attacker.
  • Fysiska värdar eller virtuella datorer som kör obetrodd kodsom behållare eller obetrodda tillägg för databasen eller obetrodda webbinnehåll arbetsbelastningar som körs koden från externa källor. Dessa kräver skydd mot obetrodda--en annan-process eller inte betrodd-process-till-kernel-attacker.

Använd följande registernyckelinställningar för att aktivera mildrande åtgärder på servern och starta om datorn för att ändringarna ska börja gälla.

Viktigt Det här avsnittet, metod eller aktivitet innehåller instruktionerna om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

 

322756Hur du säkerhetskopierar och återställer registret i Windows

Hantera mildrande åtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (ska smälta)


Så här aktiverar du mildrande åtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (ska smälta)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Om det är en Hyper-V-värd och firmware-uppdateringar har installerats: Helt stänga alla virtuella datorer. Detta gör att firmware-relaterade minskning tillämpas på värddatorn innan VMs är igång. Därför uppdateras även de virtuella maskiner när de har startats om.

Starta om datorn för att ändringarna ska börja gälla.

Så här inaktiverar du mildrande åtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (ska smälta)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om datorn för att ändringarna ska börja gälla.

Observera FeatureSettingsOverrideMask inställningen till 3 är exakt för inställningarna ”aktivera” och ”inaktivera”. (Se avsnittet ”vanliga frågor” för mer information om registernycklar).

Hantera säkerhetsfunktionen för CVE-2017-5715 (Spectre Variant 2)


Att inaktivera Variant 2: (CVE -2017-5715Förgrenas Target Injection”)säkerhetsfunktionen:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om datorn för att ändringarna ska börja gälla.

Att aktivera Variant 2: (CVE-2017-5715”gren Target Injection”) riskreducerande:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om datorn för att ändringarna ska börja gälla.

AMD-processorer: aktivera fullständig säkerhetsfunktionen för CVE-2017-5715 (Spectre Variant 2)


Som standard inaktiveras användaren till kernel-skydd för CVE-2017-5715 för AMD-processorer. Kunder måste aktivera säkerhetsfunktionen att få ytterligare skydd för CVE-2017-5715.  Mer information finns i FAQ #15 i ADV180002.

Aktivera användar-kernel-skydd på AMD-processorer och andra skydd för 2017 CVE-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Om det är en Hyper-V-värd och firmware-uppdateringar har installerats: Helt stänga alla virtuella datorer. Detta gör att firmware-relaterade minskning tillämpas på värddatorn innan VMs är igång. Därför uppdateras även de virtuella maskiner när de har startats om.

Starta om datorn för att ändringarna ska börja gälla.

Hantera mildrande åtgärder för CVE-2018-3639 (spekulativ butiken kringgå), CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (ska smälta)



Så här aktiverar du mildrande åtgärder för CVE-2018-3639 (spekulativ butiken kringgå), CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (ska smälta):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Om det är en Hyper-V-värd och firmware-uppdateringar har installerats: Helt stänga alla virtuella datorer. Detta gör att firmware-relaterade minskning tillämpas på värddatorn innan VMs är igång. Därför uppdateras även de virtuella maskiner när de har startats om.

Starta om datorn för att ändringarna ska börja gälla.

Inaktivera mildrande åtgärder för CVE-2018-3639 (spekulativ butiken kringgå) och mildrande åtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (ska smälta)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om datorn för att ändringarna ska börja gälla.

 

AMD-processorer: aktivera fullständig säkerhetsfunktionen för CVE-2017-5715 (Spectre Variant 2) och 2018 CVE-3639 (spekulativ butiken sidomatning)


Som standard inaktiveras användaren till kernel-skydd för CVE-2017-5715 för AMD-processorer. Kunder måste aktivera säkerhetsfunktionen att få ytterligare skydd för CVE-2017-5715.  Mer information finns i FAQ #15 i ADV180002.

Aktivera användare till kernel-skydd på AMD-processorer och andra skydd för 2017 CVE-5715 och skydd för CVE-2018-3639 (spekulativ butiken kringgå):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Om det är en Hyper-V-värd och firmware-uppdateringar har installerats:Helt stänga av alla virtuella datorer. Detta gör att firmware-relaterade minskning tillämpas på värddatorn innan VMs är igång. Därför VMs uppdateras också när de har startats om.

Starta om datorn för att ändringarna ska börja gälla.

Verifiera att skydd är aktiverat


Microsoft har publicerat ett PowerShell-skript som kunder kan köra på sina datorer för att kunderna ska kontrollera att skydd är aktiverat. Installera och kör skriptet genom att köra följande kommandon.

PowerShell-kontroll med hjälp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installera PowerShell-modul:

PS> Install-Module SpeculationControl

Kör PowerShell-modul om du vill kontrollera att skydd är aktiverat:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-kontroll med hjälp av en hämtning från Technet (tidigare versioner av operativsystemet och versioner tidigare WMF)

Installera PowerShell-modul från Technet ScriptCenter:

  1. Gå till https://aka.ms/SpeculationControlPS.
  2. Hämta SpeculationControl.zip till en lokal mapp.
  3. Extrahera innehållet till en lokal mapp. Exempel: C:\ADV180002

Kör PowerShell-modul om du vill kontrollera att skydd är aktiverat:

Starta PowerShell och sedan använda föregående exempel att kopiera och kör följande kommandon:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

En detaljerad förklaring av produktionen av PowerShell-skript finns i 4074629 Knowledge Base-artikeln

Vanliga frågor och svar


Jag var erbjuds Windows-säkerhetsuppdateringar som gavs ut i januari och februari 2018. Vad ska jag göra?

För att undvika att negativt påverka kunden enheter kan erbjöds Windows-säkerhetsuppdateringar som gavs ut i januari och februari 2018 inte alla kunder. Mer information finns i Microsoft Knowledge Base-artikeln 4072699.

Referenser