ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้

คำแนะนำของ Windows Server เพื่อป้องกันช่องโหว่ด้านการดำเนินการ speculative

การดำเนินการที่แนะนำ

ลูกค้าควรดำเนินการต่อไปนี้เพื่อช่วยป้องกันช่องโหว่:

  1. ใช้โปรแกรมปรับปรุงระบบปฏิบัติการ Windows ทั้งหมดที่พร้อมใช้งานรวมถึงการปรับปรุงความปลอดภัยของ Windows รายเดือน

  2. ใช้การปรับปรุงเฟิร์มแวร์ (microcode) ที่เกี่ยวข้องที่มีให้โดยผู้ผลิตอุปกรณ์

  3. ประเมินความเสี่ยงต่อสภาพแวดล้อมของคุณตามข้อมูลที่ให้ไว้ใน Microsoft Security คำแนะนำ: ADV180002, ADV180012, ADV190013และข้อมูลที่ให้ไว้ในบทความฐานข้อมูลองค์ความรู้นี้

  4. ดำเนินการตามความจำเป็นโดยใช้ข้อมูลคีย์คำแนะนำและรีจิสทรีที่ระบุไว้ในบทความฐานข้อมูลองค์ความรู้นี้

ทราบ ลูกค้าพื้นผิวจะได้รับการปรับปรุง microcode ผ่านทาง Windows update สำหรับรายการการอัพเดตเฟิร์มแวร์ล่าสุดของอุปกรณ์ Surface (microcode) ดูKB ๔๐๗๓๐๖๕

การลดการตั้งค่าสำหรับ Windows Server

คำแนะนำด้านความปลอดภัยADV180002, ADV180012และADV190013ให้ข้อมูลเกี่ยวกับความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้  นอกจากนี้ยังช่วยคุณระบุช่องโหว่เหล่านี้และระบุสถานะเริ่มต้นของ mitigations สำหรับระบบ Windows Server ตารางด้านล่างสรุปความต้องการของ CPU microcode และสถานะเริ่มต้นของ mitigations บน Windows Server

CVE

ต้องการ microcode/เฟิร์มแวร์ของ CPU หรือไม่

ลดสถานะเริ่มต้น

CVE-2017-5753

ไม่ใช่

เปิดใช้งานโดยค่าเริ่มต้น (ไม่มีตัวเลือกในการปิดใช้งาน)

โปรดดูข้อมูลเพิ่มเติมที่ADV180002

CVE-2017-5715

ใช่

ปิดใช้งานโดยค่าเริ่มต้น

โปรดดูที่ADV180002สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

ทราบ "Retpoline" ถูกเปิดใช้งานโดยค่าเริ่มต้นสำหรับอุปกรณ์ที่ใช้ Windows ๑๐๑๘๐๙หรือใหม่กว่าถ้า2ตัวแปร Spectre ( CVE-2017-5715 ) ถูกเปิดใช้งาน สำหรับข้อมูลเพิ่มเติม, รอบ "Retpoline", ทำตามบรรเทาความแตกต่างของตัวแปร2กับ retpoline ใน Windowsบล็อกโพสต์.

CVE-2017-5754

ไม่ใช่

๒๐๑๙เซิร์ฟเวอร์ของ Windows: เปิดใช้งานโดยค่าเริ่มต้น Windows Server ๒๐๑๖และรุ่นก่อนหน้า: ปิดใช้งานโดยค่าเริ่มต้น

โปรดดูADV180002สำหรับข้อมูลเพิ่มเติม

CVE-2018-3639

อินเทล: ใช่

เอเอ็มดี: ไม่

ปิดใช้งานโดยค่าเริ่มต้น ดูADV180012สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

CVE-2018-11091

อินเทล: ใช่

๒๐๑๙เซิร์ฟเวอร์ของ Windows: เปิดใช้งานโดยค่าเริ่มต้น Windows Server ๒๐๑๖และรุ่นก่อนหน้า: ปิดใช้งานโดยค่าเริ่มต้น

ดูADV190013สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

CVE-2018-12126

อินเทล: ใช่

๒๐๑๙เซิร์ฟเวอร์ของ Windows: เปิดใช้งานโดยค่าเริ่มต้น Windows Server ๒๐๑๖และรุ่นก่อนหน้า: ปิดใช้งานโดยค่าเริ่มต้น

ดูADV190013สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

CVE-2018-12127

อินเทล: ใช่

๒๐๑๙เซิร์ฟเวอร์ของ Windows: เปิดใช้งานโดยค่าเริ่มต้น Windows Server ๒๐๑๖และรุ่นก่อนหน้า: ปิดใช้งานโดยค่าเริ่มต้น

ดูADV190013สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

CVE-2018-12130

อินเทล: ใช่

๒๐๑๙เซิร์ฟเวอร์ของ Windows: เปิดใช้งานโดยค่าเริ่มต้น Windows Server ๒๐๑๖และรุ่นก่อนหน้า: ปิดใช้งานโดยค่าเริ่มต้น

ดูADV190013สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

CVE-2019-11135

อินเทล: ใช่

๒๐๑๙เซิร์ฟเวอร์ของ Windows: เปิดใช้งานโดยค่าเริ่มต้น Windows Server ๒๐๑๖และรุ่นก่อนหน้า: ปิดใช้งานโดยค่าเริ่มต้น

ดูCVE-2019-11135สำหรับข้อมูลเพิ่มเติมและบทความ KB นี้สำหรับการตั้งค่ารีจิสทรีคีย์ที่ใช้ได้

ลูกค้าที่ต้องการขอรับการป้องกันที่มีอยู่ทั้งหมดกับช่องโหว่เหล่านี้ต้องทำการเปลี่ยนแปลงรีจิสทรีคีย์เพื่อเปิดใช้งาน mitigations เหล่านี้ที่ถูกปิดใช้งานโดยค่าเริ่มต้น

การเปิดใช้งาน mitigations เหล่านี้อาจมีผลต่อประสิทธิภาพ สเกลของผลกระทบประสิทธิภาพขึ้นอยู่กับหลายปัจจัยเช่นชิปเซ็ตเฉพาะในโฮสต์ฟิสิคัลของคุณและเวิร์กโหลดที่กำลังทำงานอยู่ เราขอแนะนำให้ลูกค้าประเมินผลการดำเนินงานสำหรับสภาพแวดล้อมของพวกเขาและทำการปรับเปลี่ยนใดๆที่จำเป็น

เซิร์ฟเวอร์ของคุณมีความเสี่ยงที่เพิ่มขึ้นหากอยู่ในหนึ่งในประเภทต่อไปนี้:

  • โฮสต์ hyper-v –ต้องมีการป้องกันสำหรับการโจมตี VM ถึง VM และ VM เป็นโฮสต์

  • โฮสต์บริการเดสก์ท็อประยะไกล (RDSH) –ต้องการการป้องกันจากเซสชันหนึ่งไปยังเซสชันอื่นหรือจากการโจมตีแบบเซสชันต่อโฮสต์

  • โฮสต์ทางกายภาพหรือเครื่องเสมือนที่กำลังเรียกใช้โค้ดที่ไม่น่าเชื่อถือเช่นคอนเทนเนอร์หรือส่วนขยายที่ไม่น่าเชื่อถือสำหรับฐานข้อมูลเนื้อหาเว็บที่ไม่น่าเชื่อถือหรือปริมาณงานที่เรียกใช้โค้ดที่มาจากแหล่งภายนอก สิ่งเหล่านี้ต้องการการป้องกันจากการโจมตีที่ไม่น่าเชื่อถือกระบวนการอื่นหรือไม่น่าเชื่อถือ-ไปยังเคอร์เนล

ใช้การตั้งค่ารีจิสทรีคีย์ต่อไปนี้เพื่อเปิดใช้งาน mitigations บนเซิร์ฟเวอร์และเริ่มระบบใหม่สำหรับการเปลี่ยนแปลงมีผลบังคับใช้

ทราบ การเปิดใช้งาน mitigations ที่ถูกปิดโดยค่าเริ่มต้นอาจมีผลต่อประสิทธิภาพ ผลการดำเนินงานที่เกิดขึ้นจริงขึ้นอยู่กับหลายปัจจัยเช่นชิปเซ็ตเฉพาะในอุปกรณ์และเวิร์กโหลดที่กำลังทำงาน

การตั้งค่ารีจิสทรี

เราจะให้ข้อมูลรีจิสทรีต่อไปนี้เพื่อเปิดใช้งาน mitigations ที่ไม่ได้เปิดใช้งานโดยค่าเริ่มต้นตามที่บันทึกไว้ในคำแนะนำด้านความปลอดภัยADV180002, ADV180012และADV190013

นอกจากนี้เราจะให้การตั้งค่าคีย์รีจิสทรีสำหรับผู้ใช้ที่ต้องการปิดใช้งาน mitigations ที่เกี่ยวข้องกับ CVE-2017-5715 และ CVE-2017-5754 สำหรับไคลเอนต์ Windows

สำคัญ ส่วนวิธีการหรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตามปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นโปรดตรวจสอบให้แน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติมให้สำรองรีจิสทรีก่อนที่จะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีถ้าเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองและคืนค่ารีจิสทรีให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

๓๒๒๗๕๖วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows

จัดการ mitigations สำหรับ CVE-2017-5715 (ตัวแปร Spectre 2) และ CVE-2017-5754 (ละลาย)

หมายเหตุสำคัญ Retpoline ถูกเปิดใช้งานโดยค่าเริ่มต้นบน Windows 10 รุ่น๑๘๐๙เซิร์ฟเวอร์ถ้า Spectre ตัวแปร 2 ( CVE-2017-5715 ) ถูกเปิดใช้งาน การเปิดใช้งาน Retpoline ในรุ่นล่าสุดของ Windows 10 อาจเพิ่มประสิทธิภาพการทำงานบนเซิร์ฟเวอร์ที่ใช้ Windows 10 รุ่น๑๘๐๙สำหรับตัวแปร Spectre 2 โดยเฉพาะอย่างยิ่งในโปรเซสเซอร์รุ่นเก่า

การเปิดใช้งาน mitigations สำหรับ CVE-2017-5715 (ตัวแปร Spectre 2) และ CVE-2017-5754 (พักนี้)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

ถ้ามีการติดตั้งคุณลักษณะ Hyper-V เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

ถ้านี่เป็นโฮสต์ hyper-v และมีการใช้การปรับปรุงเฟิร์มแวร์: ปิดเครื่องเสมือนทั้งหมด ซึ่งช่วยให้การลดที่เกี่ยวข้องกับเฟิร์มแวร์ที่จะใช้บนโฮสต์ก่อนที่ VMs จะเริ่มทำงาน ดังนั้น VMs จะได้รับการปรับปรุงเมื่อพวกเขากำลังเริ่มต้นใหม่

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

การปิดใช้งาน mitigations สำหรับ CVE-2017-5715 (ตัวแปร Spectre 2) และ CVE-2017-5754 (พักนี้)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

ทราบ การตั้งค่าฟีเจอร์ต่างๆที่มีความถูกต้องสำหรับทั้งการตั้งค่า "เปิดใช้งาน" และ "ปิดใช้งาน" (ดูส่วน "FAQ " สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์)

จัดการการลดสำหรับ CVE-2017-5715 (ตัวแปร Spectre 2)

การปิดใช้งานตัวแปร 2: (CVE-2017-5715 "การฉีดเป้าหมายสาขา")ลด:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

การเปิดใช้งานตัวแปร 2: (CVE-2017-5715 "การฉีดเป้าหมายสาขา")ลด:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

ตัวประมวลผล AMD เท่านั้น: เปิดใช้งานการลดเต็มรูปแบบสำหรับ CVE-2017-5715 (2 ตัวแปร Spectre)

โดยค่าเริ่มต้นการป้องกันผู้ใช้-เคอร์เนลสำหรับ CVE-2017-5715 ถูกปิดใช้งานสำหรับซีพียู AMD ลูกค้าต้องเปิดใช้งานการลดเพื่อรับการป้องกันเพิ่มเติมสำหรับ CVE-2017-5715  สำหรับข้อมูลเพิ่มเติมโปรดดูที่คำถามที่พบบ่อย #15 ใน ADV180002

เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD พร้อมกับการป้องกันอื่นๆสำหรับ CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

ถ้ามีการติดตั้งคุณลักษณะ Hyper-V เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

ถ้านี่เป็นโฮสต์ hyper-v และมีการใช้การปรับปรุงเฟิร์มแวร์: ปิดเครื่องเสมือนทั้งหมด ซึ่งช่วยให้การลดที่เกี่ยวข้องกับเฟิร์มแวร์ที่จะใช้บนโฮสต์ก่อนที่ VMs จะเริ่มทำงาน ดังนั้น VMs จะได้รับการปรับปรุงเมื่อพวกเขากำลังเริ่มต้นใหม่

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

จัดการ mitigations สำหรับ CVE-2018-3639 (ข้ามร้านค้า Speculative), CVE-2017-5715 (ตัวแปร Spectre 2), และ CVE-2017-5754 (พักนี้)

เพื่อเปิดใช้งาน mitigations สำหรับ CVE-2018-3639 (ข้ามร้านค้า Speculative), CVE-2017-5715 (ตัวแปร Spectre 2), และ CVE-2017-5754 (spectre):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

ถ้ามีการติดตั้งคุณลักษณะ Hyper-V เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

ถ้านี่เป็นโฮสต์ hyper-v และมีการใช้การปรับปรุงเฟิร์มแวร์: ปิดเครื่องเสมือนทั้งหมด ซึ่งช่วยให้การลดที่เกี่ยวข้องกับเฟิร์มแวร์ที่จะใช้บนโฮสต์ก่อนที่ VMs จะเริ่มทำงาน ดังนั้น VMs จะได้รับการปรับปรุงเมื่อพวกเขากำลังเริ่มต้นใหม่

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

การปิดการใช้งาน mitigations สำหรับ CVE-2018-3639 (ข้ามร้านค้าเก็งกำไร) และ mitigations สำหรับ CVE-2017-5715 (ตัวแปร Spectre 2) และ CVE-2017-5754 (พักนี้)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

ตัวประมวลผล AMD เท่านั้น: เปิดใช้งานการลดเต็มรูปแบบสำหรับ CVE-2017-5715 (2 ตัวแปร Spectre) และ CVE 2018-3639 (ข้ามร้านค้า Speculative)

โดยค่าเริ่มต้นการป้องกันผู้ใช้-เคอร์เนลสำหรับ CVE-2017-5715 ถูกปิดใช้งานสำหรับตัวประมวลผล AMD ลูกค้าต้องเปิดใช้งานการลดเพื่อรับการป้องกันเพิ่มเติมสำหรับ CVE-2017-5715  สำหรับข้อมูลเพิ่มเติมโปรดดูที่คำถามที่พบบ่อย #15 ในADV180002

เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD พร้อมกับการป้องกันอื่นๆสำหรับ cve 2017-5715 และการป้องกันสำหรับ cve-2018-3639 (ข้ามร้านค้า Speculative):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

ถ้ามีการติดตั้งคุณลักษณะ Hyper-V เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

ถ้านี่เป็นโฮสต์ hyper-v และมีการใช้การปรับปรุงเฟิร์มแวร์: ปิดเครื่องเสมือนทั้งหมด ซึ่งช่วยให้การลดที่เกี่ยวข้องกับเฟิร์มแวร์ที่จะใช้บนโฮสต์ก่อนที่ VMs จะเริ่มทำงาน ดังนั้น VMs จะได้รับการปรับปรุงเมื่อพวกเขากำลังเริ่มต้นใหม่

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

จัดการส่วนขยายการซิงโครไนส์ธุรกรรม® Intel (Intel® TSX) ธุรกรรมการยกเลิกช่องโหว่ (CVE-2019-11135) และการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมไมโคร (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) พร้อมกับ Spectre [CVE-2017-5753 & CVE-2017-5715] และการ [CVE-2017-5754] สายพันธุ์รวมทั้ง Speculative เก็บข้ามปิดการใช้งาน (SSBD) [CVE-2018-3639] รวมทั้งความผิดพลาด L1 เทอร์มินัล (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646]

เพื่อเปิดใช้งาน mitigations สำหรับ Intel®ทรานแซคชันส่วนขยายการซิงโครนัส (intel® TSX) ธุรกรรมการยกเลิกช่องโหว่ (cve-2019-11135) และ microarchitectural การสุ่มตัวอย่าง (cve-2018-11091,cve-2018-12126,cve-2018-12127,cve-2018-12130) พร้อมกับ Spectre [cve-2017-5753 & CVE-2017-5715] และตัวแปร [cve-2017-5754] เก็บข้ามปิดการใช้งาน (SSBD) [CVE-2018-3639] เช่นเดียวกับ L1 เทอร์มินัลข้อบกพร่อง (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646] โดยไม่ปิดการใช้งานไฮเปอร์เธรด:

reg เพิ่ม "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory การจัดการ"/v ฟีเจอร์การตั้งเวลาเดินทาง/t REG_DWORD/v ๗๒/a

reg add "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory การจัดการ"/v ฟีเจอร์การตั้งค ... REG_DWORD/d 3/f

ถ้ามีการติดตั้งคุณลักษณะ Hyper-V เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg _ การเพิ่ม "HKEY_LOCAL_MACHINE \Na\nin\ca\atan\a การจำลองเสมือน"/v MinVmVersionForCpuBasedMitigations REG_SZ/d "๑.๐"/f 2

ถ้านี่เป็นโฮสต์ hyper-v และมีการใช้การปรับปรุงเฟิร์มแวร์: ปิดเครื่องเสมือนทั้งหมด ซึ่งช่วยให้การลดที่เกี่ยวข้องกับเฟิร์มแวร์ที่จะใช้บนโฮสต์ก่อนที่ VMs จะเริ่มทำงาน ดังนั้น VMs จะได้รับการปรับปรุงเมื่อพวกเขากำลังเริ่มต้นใหม่

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

เพื่อเปิดใช้งาน mitigations สำหรับ Intel®ทรานแซคชันส่วนขยายการซิงโครนัส (Intel® TSX) ธุรกรรมการยกเลิกช่องโหว่ (cve-2019-11135) และไมโครการสุ่มตัวอย่างข้อมูลสถาปัตยกรรม ( cve-2018-11091 , cve-2018-12126 , cve-2018-12127 , cve-2018-12130 ) พร้อมกับ Spectre [cve-2017-5753 & CVE-2017-5715] และตัวแปร [cve-2017-5754] Speculative เก็บข้ามปิดการใช้งาน (SSBD) [CVE-2018-3639] เช่นเดียวกับ L1 เทอร์มินัลข้อบกพร่อง (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646] กับไฮเปอร์เธรดที่ปิดใช้งาน:

reg เพิ่ม "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory การจัดการ"/v ฟีเจอร์การตั้งเวลาเดินทาง/t REG_DWORD/v ๘๒๖๔/a

reg add "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory การจัดการ"/v ฟีเจอร์การตั้งค ... REG_DWORD/d 3/f

ถ้ามีการติดตั้งคุณลักษณะ Hyper-V เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg _ การเพิ่ม "HKEY_LOCAL_MACHINE \Na\nin\ca\atan\a การจำลองเสมือน"/v MinVmVersionForCpuBasedMitigations REG_SZ/d "๑.๐"/f 2

ถ้านี่เป็นโฮสต์ hyper-v และมีการใช้การปรับปรุงเฟิร์มแวร์: ปิดเครื่องเสมือนทั้งหมด ซึ่งช่วยให้การลดที่เกี่ยวข้องกับเฟิร์มแวร์ที่จะใช้บนโฮสต์ก่อนที่ VMs จะเริ่มทำงาน ดังนั้น VMs จะได้รับการปรับปรุงเมื่อพวกเขากำลังเริ่มต้นใหม่

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

การปิดใช้งาน mitigations สำหรับ Intel®ทรานแซคชันส่วนขยายการซิงโครนัส (intel® TSX) ธุรกรรมการยกเลิกช่องโหว่ (cve-2019-11135) และ microarchitectural การสุ่มตัวอย่าง ( cve-2018-11091,cve-2018-12126,cve-2018-12127,cve-2018-12130) พร้อมกับ Spectre [cve-2017-5753 & CVE-2017-5715] และตัวแปร [cve-2017-5754] Speculative เก็บข้ามปิดการใช้งาน (SSBD) [CVE-2018-3639] เช่นเดียวกับ L1 เทอร์มินัลข้อบกพร่อง (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646]:

reg เพิ่ม "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory การจัดการ"/v การตั้งคทง/t REG_DWORD/v 3/1/2

reg add "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory การจัดการ"/v ฟีเจอร์การตั้งค ... REG_DWORD/d 3/f

เริ่มการทำงานของคอมพิวเตอร์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

การตรวจสอบว่ามีการเปิดใช้งานป้องกัน

เพื่อช่วยให้ลูกค้าตรวจสอบว่ามีการเปิดใช้งานป้องกันไว้ Microsoft ได้เผยแพร่สคริปต์ของ PowerShell ที่ลูกค้าสามารถทำงานบนระบบของตนได้ ติดตั้งและเรียกใช้สคริปต์โดยการเรียกใช้คำสั่งต่อไปนี้

การตรวจสอบ PowerShell โดยใช้แกลเลอรีของ PowerShell (Windows Server ๒๐๑๖หรือ WMF 5.0/5.1)

ติดตั้งโมดูล PowerShell:

PS> Install-Module SpeculationControl

เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานป้องกัน:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

การตรวจสอบของ PowerShell โดยใช้การดาวน์โหลดจาก Technet (รุ่นของระบบปฏิบัติการก่อนหน้านี้และรุ่น WMF ก่อนหน้านี้)

ติดตั้งโมดูล PowerShell จากตัวเขียนของ Technet:

  1. ไปที่https://aka.ms/SpeculationControlPS

  2. ดาวน์โหลดตัวควบคุม .zip ไปยังโฟลเดอร์ภายในเครื่อง

  3. แยกเนื้อหาไปยังโฟลเดอร์ภายในเครื่อง ตัวอย่างเช่น: C:\ADV180002

เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานป้องกัน:

เริ่มการทำงานของ PowerShell และจากนั้นใช้ตัวอย่างก่อนหน้านี้เพื่อคัดลอกและเรียกใช้คำสั่งต่อไปนี้:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

สำหรับคำอธิบายโดยละเอียดของผลลัพธ์ของสคริปต์ของ PowerShell ดูบทความฐานข้อมูลองค์ความรู้๔๐๗๔๖๒๙

คำถามที่ถามบ่อย

การปรับปรุงความปลอดภัยของ Windows ที่ถูกนำออกใช้ในเดือนมกราคมและกุมภาพันธ์๒๐๑๘ไม่ได้นำเสนอให้กับลูกค้าทั้งหมด สำหรับรายละเอียดโปรดดูบทความฐานความรู้ของ Microsoft ๔๐๗๒๖๙๙

ไมโครโค้ดจะถูกส่งผ่านการอัปเดตเฟิร์มแวร์ ปรึกษา OEM เกี่ยวกับเวอร์ชั่นเฟิร์มแวร์ที่มีการปรับปรุงที่เหมาะสมสำหรับคอมพิวเตอร์ของคุณ

มีหลายตัวแปรที่มีผลต่อประสิทธิภาพการทำงานตั้งแต่รุ่นของระบบไปยังเวิร์กโหลดที่กำลังทำงานอยู่ สำหรับบางระบบผลการดำเนินงานจะเล็กน้อย สำหรับคนอื่นๆก็จะมีมาก

เราขอแนะนำให้คุณประเมินผลกระทบด้านประสิทธิภาพในระบบของคุณและทำการปรับตามความจำเป็น

นอกเหนือจากคำแนะนำที่อยู่ในบทความนี้เกี่ยวกับเครื่องเสมือนคุณควรติดต่อผู้ให้บริการของคุณเพื่อให้แน่ใจว่าโฮสต์ที่กำลังเรียกใช้เครื่องเสมือนของคุณได้รับการป้องกันอย่างเพียงพอ สำหรับเครื่องเสมือน Windows Server ที่กำลังทำงานใน Azure ดูคำแนะนำสำหรับการลดช่องโหว่ของช่องทางด้านการดำเนินการเก็งกำไรใน Azure สำหรับคำแนะนำในการใช้การจัดการการปรับปรุง Azure เพื่อลดปัญหานี้บน VMs ของผู้เยี่ยมชมบทความฐานความรู้ของ Microsoft ๔๐๗๗๔๖๗

โปรแกรมปรับปรุงที่ถูกนำออกใช้สำหรับ Windows Server รูปภาพคอนเทนเนอร์สำหรับ Windows Server ๒๐๑๖และ Windows 10 รุ่น๑๗๐๙รวมถึง mitigations สำหรับชุดของช่องโหว่นี้ ไม่จำเป็นต้องมีการกำหนดค่าเพิ่มเติม ทราบ คุณยังคงต้องตรวจสอบให้แน่ใจว่าโฮสต์ที่มีการเรียกใช้คอนเทนเนอร์เหล่านี้ถูกกำหนดค่าให้เปิดใช้งาน mitigations ที่เหมาะสม

ไม่มีลำดับการติดตั้งไม่สำคัญ

ใช่คุณต้องเริ่มการทำงานหลังจากที่มีการปรับปรุงเฟิร์มแวร์ (microcode) และจากนั้นอีกครั้งหลังจากการปรับปรุงระบบ

ต่อไปนี้เป็นรายละเอียดสำหรับรีจิสทรีคีย์:

ฟีเจอร์การตั้งค่าเป็นตัวแทนบิตแมปซึ่งจะแทนที่การเริ่มต้นและการควบคุมซึ่ง mitigations จะถูกปิดใช้งาน บิต0ควบคุมการลดที่สอดคล้องกับ CVE-2017-5715 บิต 1 ควบคุมการลดที่สอดคล้องกับ CVE-2017-5754 บิตถูกตั้งค่าเป็น0เพื่อเปิดใช้งานการลดและ1เพื่อปิดใช้งานการลด

ฟีเจอร์การทำงานของการทำเครื่องหมายที่ใช้ร่วมกับฟีเจอร์การเดินรถ ในสถานการณ์เช่นนี้เราใช้ค่า3 (แสดงเป็น11ในตัวเลขไบนารีหรือฐานตัวเลข2ระบบ) เพื่อระบุสองบิตแรกที่สอดคล้องกับ mitigations ที่มีอยู่ คีย์รีจิสทรีนี้ถูกตั้งค่าเป็น3ทั้งเพื่อเปิดใช้งานหรือปิดใช้งาน mitigations

ไม่มีการจัดให้มีสำหรับโฮสต์ hyper-v. รีจิสทรีคีย์นี้กำหนดรุ่นต่ำสุด VM ที่จำเป็นสำหรับคุณในการใช้ความสามารถของเฟิร์มแวร์ที่ปรับปรุงแล้ว (CVE-2017-5715) ตั้งค่านี้เป็น๑.๐เพื่อครอบคลุมรุ่น VM ทั้งหมด โปรดสังเกตว่าค่ารีจิสทรีนี้จะถูกละเว้น (ไม่เป็นอันตราย) บนโฮสต์ที่ไม่ใช่ Hyper-v สำหรับรายละเอียดเพิ่มเติมโปรดดูที่การปกป้องเครื่องเสมือน guest จาก CVE-2017-5715 (การฉีดเป้าหมายสาขา)

ใช่ไม่มีผลข้างเคียงถ้ามีใช้การตั้งค่ารีจิสทรีเหล่านี้ก่อนที่จะติดตั้งการแก้ไขที่เกี่ยวข้องกับ๒๐๑๘มกราคม

ดูคำอธิบายโดยละเอียดของการส่งออกสคริปต์ในการทำความเข้าใจ SpeculationControlSettings PowerShell เอาท์พุทสคริปต์

ใช่สำหรับ Windows Server ๒๐๑๖โฮสต์ Hyper-v ที่ยังไม่ได้มีการปรับปรุงเฟิร์มแวร์ที่พร้อมใช้งานเราได้เผยแพร่คำแนะนำทางเลือกที่สามารถช่วยลด VM เพื่อ VM หรือ VM การโจมตีโฮสต์ ดูการป้องกันทางเลือกสำหรับ Windows Server ๒๐๑๖โฮสต์ hyper-v กับช่องโหว่ด้านช่องทางการดำเนินการเก็งกำไร

การปรับปรุงความปลอดภัยเท่านั้นจะไม่สะสม ทั้งนี้ขึ้นอยู่กับรุ่นของระบบปฏิบัติการของคุณคุณอาจจำเป็นต้องติดตั้งโปรแกรมปรับปรุงความปลอดภัยหลายสำหรับการป้องกันอย่างสมบูรณ์ โดยทั่วไปลูกค้าจะต้องติดตั้งการปรับปรุงเดือนมกราคมกุมภาพันธ์มีนาคมและเมษายน๒๐๑๘ ระบบที่มีตัวประมวลผล AMD จำเป็นต้องมีการปรับปรุงเพิ่มเติมดังที่แสดงในตารางต่อไปนี้:

รุ่นของระบบปฏิบัติการ

ปรับปรุงความปลอดภัย

หน้าต่าง๘.๑, Windows Server ๒๐๑๒ R2

๔๓๓๘๘๑๕-ค่าสะสมรายเดือน

๔๓๓๘๘๒๔-ความปลอดภัยเท่านั้น

Windows 7 SP1, Windows Server ๒๐๐๘ R2 SP1 หรือ Windows Server ๒๐๐๘ R2 SP1 (การติดตั้งเซิร์ฟเวอร์หลัก)

๔๒๘๔๘๒๖-ค่าสะสมรายเดือน

๔๒๘๔๘๖๗-ความปลอดภัยเท่านั้น

Windows Server 2008 SP2

๔๓๔๐๕๘๓-ปรับปรุงความปลอดภัย

เราขอแนะนำให้คุณติดตั้งการปรับปรุงความปลอดภัยเท่านั้นในลำดับของการนำออกใช้

หมาย เหตุ รุ่นก่อนหน้าของคำถามที่พบบ่อยนี้ไม่ถูกต้องระบุว่าความปลอดภัยกุมภาพันธ์เท่านั้นปรับปรุงรวมการแก้ไขความปลอดภัยที่ถูกนำออกใช้ในเดือนมกราคม ในความเป็นจริงมันไม่ได้

ไม่ใช่ การปรับปรุงความปลอดภัย KB ๔๐๗๘๑๓๐เป็นการแก้ไขเฉพาะเพื่อป้องกันไม่ให้พฤติกรรมระบบที่ไม่คาดคิดปัญหาประสิทธิภาพการทำงานและเริ่มต้นใหม่หลังจากการติดตั้งของ microcode การใช้การปรับปรุงความปลอดภัยบนระบบปฏิบัติการไคลเอ็นต์ Windows ช่วยให้ทั้งสาม mitigations ในระบบปฏิบัติการ Windows Server คุณยังต้องเปิดใช้งาน mitigations หลังจากที่คุณทำการทดสอบที่เหมาะสม สำหรับข้อมูลเพิ่มเติมให้ดูบทความฐานความรู้ของ Microsoft ๔๐๗๒๖๙๘

ปัญหานี้ได้รับการแก้ไขในKB ๔๐๙๓๑๑๘

ในเดือนกุมภาพันธ์๒๐๑๘, Intelประกาศว่าพวกเขาได้เสร็จสิ้นการตรวจสอบของพวกเขาและเริ่มที่จะปล่อย microcode สำหรับแพลตฟอร์ม CPU ใหม่กว่า Microsoft กำลังทำการปรับปรุง microcode ที่ตรวจสอบ Intel ที่มีอยู่ที่เกี่ยวข้องกับตัวแปร spectre 2 ตัวแปร Spectre 2 (CVE-2017-5715 – "การแทรกเป้าหมายสาขา") KB ๔๐๙๓๘๓๖รายการบทความฐานข้อมูลองค์ความรู้เฉพาะเจาะจงโดย Windows รุ่น บทความ KB เฉพาะแต่ละรายการประกอบด้วยการปรับปรุง microcode Intel ที่พร้อมใช้งานโดย CPU

11 มกราคม๒๐๑๘ อินเทลรายงานปัญหาใน microcode ที่นำออกใช้ล่าสุดซึ่งหมายถึงที่อยู่ตัวแปร spectre 2 (CVE-2017-5715 – "การแทรกเป้าหมายสาขา") โดยเฉพาะ Intel ตั้งข้อสังเกตว่า microcode นี้อาจทำให้เกิด "สูงกว่าที่คาดไว้และลักษณะการทำงานของระบบที่คาดเดาไม่ได้" และสถานการณ์เหล่านี้อาจทำให้เกิด "ข้อมูลสูญหายหรือความเสียหาย" ประสบการณ์ของเราคือว่าความไม่มีเสถียรภาพของระบบอาจทำให้ข้อมูลสูญหายหรือความเสียหายในบางกรณี เมื่อวันที่22มกราคม Intel แนะนำให้ลูกค้าหยุดการปรับใช้รุ่น microcode ปัจจุบันบนตัวประมวลผลที่ได้รับผลกระทบในขณะที่ Intel ทำการทดสอบเพิ่มเติมบนโซลูชันที่มีการปรับปรุง เราเข้าใจว่า Intel กำลังดำเนินการต่อเพื่อตรวจสอบผลกระทบของ microcode รุ่นปัจจุบันที่อาจเกิดขึ้น เราสนับสนุนให้ลูกค้าทบทวนคำแนะนำของพวกเขาอย่างต่อเนื่องเพื่อแจ้งการตัดสินใจของพวกเขา

ในขณะที่การทดสอบ Intel, การปรับปรุงและการจัดวาง microcode ใหม่เราจะทำให้พร้อมใช้งานการปรับปรุงออกของแถบ (OOB) KB ๔๐๗๘๑๓๐ที่ปิดเฉพาะเฉพาะการลดกับ CVE-2017-5715 ในการทดสอบของเราโปรแกรมปรับปรุงนี้ได้รับการตรวจพบเพื่อป้องกันไม่ให้ลักษณะการทำงานที่อธิบาย สำหรับรายการอุปกรณ์ทั้งหมดให้ดูคำแนะนำในการปรับปรุง Microcode จาก Intel โปรแกรมปรับปรุงนี้ครอบคลุม Windows 7 Service Pack 1 (SP1), Windows ๘.๑และรุ่นทั้งหมดของ Windows 10 ทั้งไคลเอนต์และเซิร์ฟเวอร์ ถ้าคุณกำลังเรียกใช้อุปกรณ์ที่ได้รับผลกระทบการปรับปรุงนี้สามารถใช้ได้โดยการดาวน์โหลดจากเว็บไซต์ Microsoft Update แคตาล็อก การใช้งานของเพย์โหลดนี้เฉพาะปิดใช้งานเฉพาะการลดกับ CVE-2017-5715

ในขณะนี้, ไม่มีรายงานที่รู้จักที่บ่งชี้ว่าตัวแปร Spectre 2 (CVE-2017-5715 – "การฉีดเป้าหมายสาขา") ถูกใช้ในการโจมตีลูกค้า. เราขอแนะนำว่าเมื่อเหมาะสมผู้ใช้ Windows จะเปิดใช้งานการลดระดับของ CVE-2017-5715 เมื่อ Intel รายงานว่าลักษณะการทำงานระบบที่ไม่คาดเดานี้ได้รับการแก้ไขสำหรับอุปกรณ์ของคุณ

ในเดือนกุมภาพันธ์๒๐๑๘, Intelประกาศว่าพวกเขาได้เสร็จสิ้นการตรวจสอบของพวกเขาและเริ่มที่จะปล่อย microcode สำหรับแพลตฟอร์ม CPU ใหม่กว่า Microsoft กำลังทำการปรับปรุง microcode ที่ตรวจสอบแล้วที่มีอยู่ของ Intel ที่เกี่ยวข้องกับตัวแปร spectre 2 ตัวแตกต่าง 2 (CVE-2017-5715 – "การแทรกเป้าหมายสาขา") KB ๔๐๙๓๘๓๖รายการบทความฐานข้อมูลองค์ความรู้เฉพาะเจาะจงโดย Windows รุ่น รายการ KBs ที่พร้อมใช้งานการปรับปรุง microcode Intel โดย CPU

สำหรับข้อมูลเพิ่มเติมโปรดดูที่การปรับปรุงความปลอดภัย amdและเอกสารข้อมูลAmd: แนวทางสถาปัตยกรรมรอบการควบคุมสาขาทางอ้อม สิ่งเหล่านี้จะพร้อมใช้งานจากช่องเฟิร์มแวร์ของ OEM

เรากำลังทำให้การปรับปรุง microcode ที่ตรวจสอบแล้วของ Intel ที่เกี่ยวข้องกับตัวแปร Spectre 2 (CVE-2017-5715 – "การฉีดเป้าหมายสาขา") เมื่อต้องการรับการปรับปรุง microcode Intel ล่าสุดผ่านทาง Windows Update ลูกค้าต้องติดตั้ง Intel microcode บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows 10 ก่อนที่จะปรับรุ่นเป็น Windows 10 เมษายน๒๐๑๘ปรับปรุง (รุ่น๑๘๐๓)

การปรับปรุง microcode ยังสามารถใช้ได้โดยตรงจาก Microsoft ปรับปรุงแค็ตตาล็อกถ้าไม่ได้ติดตั้งบนอุปกรณ์ก่อนที่จะปรับรุ่นระบบ อินเทอร์เน็ต microcode จะพร้อมใช้งานผ่านทาง Windows Update, Windows Server ปรับปรุงบริการ (WSUS), หรือแค็ตตาล็อก Microsoft Update สำหรับข้อมูลเพิ่มเติมและคำแนะนำในการดาวน์โหลดโปรดดูKB ๔๑๐๐๓๔๗

ดูส่วน "การดำเนินการที่แนะนำ" และ "  FAQ" ของADV180012 คำแนะนำของ Microsoft สำหรับการข้ามร้านค้าเก็งกำไร

เมื่อต้องการตรวจสอบสถานะของ SSBD สคริปต์SpeculationControlSettingsPowerShell ได้รับการปรับปรุงเพื่อตรวจหาตัวประมวลผลที่ได้รับผลกระทบสถานะของการปรับปรุงระบบปฏิบัติการ ssbd และสถานะของ microcode ตัวประมวลผลถ้าเกี่ยวข้อง สำหรับข้อมูลเพิ่มเติมและเพื่อขอรับสคริปต์ของ PowerShell ดูKB ๔๐๗๔๖๒๙

ในวันที่13มิถุนายน๒๐๑๘มีช่องโหว่เพิ่มเติมที่เกี่ยวข้องกับการดำเนินการเก็งกำไรด้านข้างที่เรียกว่าการคืนค่าสถานะขี้เกียจ FPถูกประกาศและกำหนดCVE-2018-3665 สำหรับข้อมูลเกี่ยวกับช่องโหว่นี้และการดำเนินการที่แนะนำให้ดูที่ ADV180016 ที่ปรึกษาด้านความปลอดภัยคำแนะนำของ Microsoft สำหรับการคืนค่ารัฐ FP ขี้เกียจ

ทราบ ไม่มีการตั้งค่าการกำหนดค่า (รีจิสทรี) ที่จำเป็นสำหรับการเรียกคืนของขี้เกียจเรียกคืน FP

ขอบเขตตรวจสอบร้านบายพาส (BCBS) ถูกเปิดเผยในวันที่10กรกฎาคม๒๐๑๘และได้รับมอบหมายCVE-2018-3693 เราพิจารณา BCBS เป็นสมาชิกของชั้นของช่องโหว่เดียวกันเป็นขอบเขตตรวจสอบข้าม (ตัวแปร 1) ขณะนี้เราไม่ตระหนักถึงอินสแตนซ์ใดๆของ BCBS ในซอฟต์แวร์ของเรา. อย่างไรก็ตาม, เรากำลังดำเนินการวิจัยช่องโหว่นี้และจะทำงานร่วมกับคู่ค้าอุตสาหกรรมเพื่อปลดปล่อย mitigations ตามความจำเป็น. เราสนับสนุนให้นักวิจัยส่งผลการค้นพบที่เกี่ยวข้องกับโปรแกรมของ Microsoft Speculative การดำเนินการทางด้านข้างของโครงการรวมถึงอินสแตนซ์ exploitable ใดๆของ bcbs นักพัฒนาซอฟต์แวร์ควรตรวจสอบคำแนะนำสำหรับนักพัฒนาที่ได้รับการปรับปรุงสำหรับ BCBS ที่คำแนะนำสำหรับนักพัฒนา c ++ สำหรับช่องทางด้านการดำเนินการเก็งกำไร

บน14สิงหาคม๒๐๑๘, L1 เทอร์มินัลข้อบกพร่อง (L1TF)ถูกประกาศและได้รับมอบหมายหลาย cves ช่องโหว่ด้านการดำเนินการเก็งกำไรใหม่เหล่านี้สามารถใช้ในการอ่านเนื้อหาของหน่วยความจำในขอบเขตที่เชื่อถือได้และหากสามารถนำไปสู่การเปิดเผยข้อมูลได้ มีหลายเวกเตอร์ที่ผู้โจมตีอาจก่อให้เกิดช่องโหว่ได้ขึ้นอยู่กับสภาพแวดล้อมที่กำหนดค่าไว้ L1TF มีผลต่อตัวประมวลผล®หลักของ Intel®และโปรเซสเซอร์ Intel® Xeon®

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และมุมมองรายละเอียดของสถานการณ์จำลองที่ได้รับผลกระทบรวมถึงวิธีการของ Microsoft เพื่อบรรเทา L1TF ดูทรัพยากรต่อไปนี้:

ขั้นตอนการปิดการใช้งานไฮเปอร์เธรดที่แตกต่างจาก OEM ไปยัง OEM แต่โดยทั่วไปเป็นส่วนหนึ่งของ BIOS หรือการตั้งค่าเฟิร์มแวร์และเครื่องมือการกำหนดค่า

ลูกค้าที่ใช้ตัวประมวลผล ARM ๖๔-bit ควรติดต่อกับอุปกรณ์ OEM สำหรับการสนับสนุนเฟิร์มแวร์เนื่องจากระบบปฏิบัติการแบบใช้งาน ARM64 ซึ่งช่วยลดCVE-2017-5715 -การแทรกเป้าหมายสาขา (Spectre ตัวแปร 2) จำเป็นต้องมีการอัปเดตเฟิร์มแวร์ล่าสุดจากอุปกรณ์ oem ที่มีผลบังคับใช้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งาน Retpoline โปรดดูที่โพสต์บล็อกของเรา:บรรเทาตัวแปร Spectre 2 กับ Retpoline บน Windows

สำหรับรายละเอียดเกี่ยวกับช่องโหว่นี้โปรดดูคู่มือความปลอดภัยของ Microsoft: CVE-2019-1125 ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows

เราไม่ทราบถึงอินสแตนซ์ใดๆของช่องโหว่การเปิดเผยข้อมูลนี้ส่งผลกระทบต่อโครงสร้างพื้นฐานบริการคลาวด์ของเรา

ทันทีที่เราตระหนักถึงปัญหานี้เราทำงานได้อย่างรวดเร็วเพื่อที่อยู่และปล่อยการปรับปรุง เราเชื่อมั่นในความร่วมมืออย่างใกล้ชิดกับทั้งนักวิจัยและคู่ค้าในอุตสาหกรรมเพื่อทำให้ลูกค้ามีความปลอดภัยมากขึ้นและไม่เผยแพร่รายละเอียดจนถึงวันอังคาร6สิงหาคมสอดคล้องกับแนวทางปฏิบัติในการเปิดเผยช่องโหว่ที่ประสานงาน

อ้างอิง

การจำกัดความรับผิดต่อข้อมูลของบุคคลที่สาม

ผลิตภัณฑ์ของบริษัทอื่นที่มีการกล่าวถึงในบทความนี้ ผลิตโดยบริษัทต่างๆ ที่ไม่เกี่ยวข้องกับ Microsoft Microsoft ไม่รับประกัน ทั้งโดยนัยหรืออย่างอื่นใด เกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ขยายทักษะของคุณ
สำรวจการฝึกอบรม
รับฟีเจอร์ใหม่ก่อนใคร
เข้าร่วม Microsoft Insider

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ

ขอขอบคุณสำหรับคำติชมของคุณ! เราคิดว่าอาจเป็นประโยชน์ที่จะให้คุณได้ติดต่อกับหนึ่งในตัวแทนฝ่ายสนับสนุน Office ของเรา

×