Spekülatif yürütme yan kanal güvenlik açıklarına karşı korumak için Windows Server Kılavuzu

Şunlar için geçerlidir: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Daha fazla

Özet


"Spekülatif yürütme yan kanal saldırıları" adı verilir ve, Intel ve AMD ARM dahil olmak üzere birçok modern işlemciler etkileyen güvenlik açıklarının genel olarak duyurulan yeni sınıf bilmektedir.

Not Bu sorun ayrıca, Android, krom, IOS ve macOS gibi diğer işletim sistemleri etkiler. Bu nedenle, kılavuzu bu satıcıların arama müşterilere bildirmek.

Microsoft, bu güvenlik açıklarının etkisini azaltır yardımcı olacak birkaç güncelleştirme yayımladı. Biz de bizim bulut Hizmetleri güvenliğini sağlamak için işlem. Daha fazla bilgi için aşağıdaki bölümlere bakın.

Microsoft, bu güvenlik açıklarının müşterilere saldırmak amacıyla kullanılmış olduğunu belirtmek için herhangi bir bilgi henüz almadı. Microsoft, müşterilerimizi korumamız için yonga mekanizmaları, donanım OEM'ler ve app satıcıları gibi endüstri ortakları ile yakından çalışmaktadır. Tüm kullanılabilir korumalar, üretici yazılımı (mikro kodları) ve yazılım almak için güncelleştirmeler gereklidir. Buna cihaz OEM'lerinin mikro kodları ve bazı durumlarda virüsten koruma yazılımlarının güncelleştirilmesi dahildir.

Bu makalede, aşağıdaki güvenlik açıklarını giderir:

Bu güvenlik açıklarının sınıfı hakkında daha fazla bilgi için bkz: ADV180002 ve ADV180012.

Microsoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.

Önerilen eylemler


Müşteriler bu güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz:

  1. Aylık Windows Güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmeleri uygulayın. Bunları etkinleştirmek için güncelleştirmelerinin nasıl see Microsoft Bilgi Bankası makalesi 4072699hakkında ayrıntılı bilgi için.
  2. Aygıt üreticisinden (OEM) (mikro kodları) uygun Bellenim güncelleştirmeleri uygulayın.
  3. Microsoft Güvenlik Danışma olan bilgilere dayalı olarak ortamınız için riski değerlendirADV180002veADV180012ve bu Bilgi Bankası makalesindeki.
  4. Gerektiği gibi eylem danışma ve bu Bilgi Bankası makalesinde sağlanan kayıt defteri anahtarı bilgilerini kullanarak yapın.

Windows Server'da korumaları etkinleştirme


CVE 2017 5753 için Azaltıcı Etkenler Windows Server'da varsayılan olarak etkin değildir ve bunları devre dışı bırakmak için yönetici seçeneği yoktur. Bu makalede anlatılan diğer üç güvenlik açığı için bir azaltıcı etken, varsayılan olarak devre dışıdır. Bu güvenlik açıkları gereken kayıt defteri anahtarı değişiklik yapma karşı kullanılabilir tüm korumaları elde etmek isteyen müşteriler bu azalmalar etkinleştirin.

Bu azalmalar etkinleştirme performansı etkileyebilir. Performans üzerindeki etkileri Ölçek gibi fiziksel bir konağı ve çalışmakta olan iş yüklerini belirli yonga kümesi birden fazla etkene bağlıdır. Müşterilerin kendi ortamı için performans etkilerini değerlendirmek ve gerekli ayarlamaları yapın öneririz.

Aşağıdaki kategorilerden birini ise sunucunuz daha yüksek risk altındadır:

  • Hyper-V barındıran – için VM VM ve VM ana saldırıları koruması gerektirir.
  • Uzak Masaüstü Hizmetleri ana (RDSH) – bir oturumdan başka bir oturuma veya oturum ana bilgisayarı saldırılara karşı koruma gerektirir.
  • Fiziksel ana bilgisayara veya Güvenilmeyen kod, kapsayıcı veya veritabanı, güvenilmeyen web içeriği veya dış kaynaklardan gelen kodu çalıştırmak iş yükleri için güvenilir olmayan uzantıları gibi çalışan sanal makineler. Bu işlem başka bir-işleme veya güvenilmeyen-işlem-için-çekirdek güvenilmeyen saldırılarına karşı koruma gerektirir.

Değişikliklerin etkili olması sistemi yeniden başlatın ve aşağıdaki kayıt defteri anahtarı ayarlarını Azaltıcı sunucuda etkinleştirmek için kullanın.

Etkinleştirme CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler


ÖnemliBu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Yedekleme ve geri yükleme kayıt defteri hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

322756Ve Windows kayıt defterini geri yükleme

CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler etkinleştirmek için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana ve bellenim güncelleştirmelerini uygulamış olan varsa: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması için sunucuyu yeniden başlatın.

CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için sunucuyu yeniden başlatın.

(MinVmVersionForCpuBasedMitigations değiştirmek zorunda değil.)

Not

Devre dışı CVE 2017 5715 (Spectre varyant 2) için Azaltıcı Etkenler


Intel sınar, güncelleştirmeleri ve yeni mikro kodları dağıtır, ancak etkilenen aygıtlarda el ile devre dışı bırakmak ve Spectre varyant 2 (CVE-2017-5715 – "Dalı hedef ekleme") karşı etkenlerden bağımsız olarak aracılığıyla etkinleştirmek için İleri düzey kullanıcılar için yeni bir seçenek sunan kayıt defteri değişiklikleri ayarlama.

Mikro kodları yüklü ancak CVE 2017 5715 etkenlerden beklenmeyen şekilde yeniden başlamaları veya sistem kararlılık sorunları nedeniyle devre dışı bırakmak istiyorsanız, aşağıdaki yönergeleri kullanın.

Değişken 2 devre dışı bırakmak için: (CVE -5715 2017"Dal hedef ekleme") azaltma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişken 2 etkinleştirmek için: (CVE 2017 5715"Dalı hedef ekleme") azaltma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Not devre dıı bırakmak ve varyant 2 etkenlerden aracılığıyla kayıt defteri ayarı değişikliklerini etkinleştirme yönetim hakları ve yeniden başlatma gerektirir.

Dolaylı şube öngörü bariyer (IBPB) Spectre için varyant 2 AMD işlemci (CPU) etkinleştirin.


Bazı AMD işlemci (CPU) dolaylı şube öngörü bariyer (IBPB) bir mekanizma aracılığıyla dolaylı dalı hedef eklemelerini etkisini azaltmak için bir dolaylı şube denetim özelliği sunar. (Daha fazla bilgi için bkz: sık sorulan sorular # 15'teADV180002veDolaylı şube denetimi etrafında AMD Mimari Kılavuzu ve AMD güvenlik güncelleştirmelerini.)

İçin kullanıcı bağlamı geçerken IBPB denetlemek için aşağıdaki yönergeleri izleyin çekirdek İçerik:

Çekirdek bağlamı için kullanıcı bağlamında geçtiğinizde dolaylı şube öngörü bariyer (IBPB) kullanarak etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Not kullanarak etkinleştirme Dolaylı şube öngörü bariyer (IBPB) kayıt defteri değişiklikleri yönetici hakları ve yeniden başlatma gerektirir.

Etkinleştirme CVE-2018-3639 (Spekülatif deposu atlama), CVE-2017-5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler



CVE-2018-3639 (Spekülatif deposu atlama), CVE-2017-5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

CVE-2018-3639 (Spekülatif deposu atlama) için Azaltıcı Etkenler devre dışı bırakmak için CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) ve Azaltıcı Etkenler

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Not Bu kayıt defteri değişiklikleri yönetici hakları ve yeniden başlatma gerektirir.

Korumalar etkin olduğunu doğrulama


Uygun korumalar etkinleştirdiğinizden emin olun müşterilere yardımcı olmak için Microsoft, müşterilerin, sistemlerinde çalışabilir bir PowerShell komut dosyası yayınladı. BenYükle ve aşağıdaki komutları çalıştırarak komut dosyasını çalıştırın.

PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanarak PowerShell doğrulama

PowerShell modül yükleyin:

PS> Install-Module SpeculationControl

Korumalar etkin olduğunu doğrulamak için PowerShell modül çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet (önceki işletim sistemi sürümleri/önceki WMF sürümler) sunucudan indirme kullanarak PowerShell doğrulama

PowerShell modül Technet Uzatmalar yükleyin:

  1. Https://aka.ms/SpeculationControlPSiçin gidin.
  2. SpeculationControl.zip yerel bir klasöre yükleyin.
  3. İçeriği yerel bir klasöre ayıklayın. Örneğin: C:\ADV180002

Korumalar etkin olduğunu doğrulamak için PowerShell modül çalıştırın:

PowerShell başlatmak ve önceki örneği kopyalayın ve aşağıdaki komutları çalıştırmak için kullanın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell komut dosyası hakkında ayrıntılı bilgi için bkz: 4074629 Bilgi Bankası makalesi

Sık sorulan sorular


Başvurular