Spekülatif yürütme yan kanal güvenlik açıklarına karşı korumak için Windows Server Kılavuzu

Şunlar için geçerlidir: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard

Özet


Microsoft, "Spekülatif yürütme yan kanal saldırıları" olarak adlandırılan ve Intel, AMD, VIA, dahil olmak üzere birçok modern işlemciler etkileyen güvenlik açıklarının genel olarak duyurulan yeni sınıf farkında ve ARM.

Not: Bu sorun ayrıca, Android, krom, IOS ve macOS gibi diğer işletim sistemleri etkiler. Bu nedenle, kılavuzu bu satıcıların arama müşterilere bildirmek.

Microsoft, bu güvenlik açıklarının etkisini azaltır yardımcı olacak birkaç güncelleştirme yayımladı. Biz de bizim bulut Hizmetleri güvenliğini sağlamak için işlem. Daha fazla bilgi için aşağıdaki bölümlere bakın.

Microsoft, bu güvenlik açıklarının müşterilere saldırmak için kullanılan belirtmek için herhangi bir bilgi henüz almadı. Microsoft, müşterilerimizi korumamız için yonga mekanizmaları, donanım OEM'ler ve app satıcıları gibi endüstri ortakları ile yakından çalışmaktadır. Tüm kullanılabilir korumalar, üretici yazılımı (mikro kodları) ve yazılım almak için güncelleştirmeler gereklidir. Bu aygıt OEM'ler tarafından mikro kodları içerir ve virüsten koruma yazılımı için bazı durumlarda güncelleştirir.

Bu makalede, aşağıdaki güvenlik açıklarını giderir:

Windows Update, Internet Explorer ve kenar Azaltıcı Etkenler de sağlayacaktır. Bu sınıf güvenlik açıklarının karşı bu azalmalar geliştirmek devam edecektir.

Bu sınıfı güvenlik açıkları hakkında daha fazla bilgi için bkz:

14 Mayıs 2019 üzerinde GÜNCELLEŞTİRİLDİ: 14 Mayıs 2019, Intel Spekülatif yürütme yan kanal güvenlik açıkları Mikro mimari veri örneklemeolarak bilinen yeni bir alt sınıf hakkında bilgiler yayınlandı. Aşağıdaki CVEs atanmış:

Önemli: Bu sorunlar, Android, krom, IOS ve MacOS gibi diğer sistemleri etkiler. Biz müşteriler kendi ilgili satıcıların Kılavuzu arama önerin.

Microsoft, bu güvenlik açıklarının etkisini azaltır yardımcı olmak için güncelleştirmeler yayımlamıştır. Tüm kullanılabilir korumalar, üretici yazılımı (mikro kodları) ve yazılım almak için güncelleştirmeler gereklidir. Bu OEM'ler aygıttan mikro kodları içerebilir. Bazı durumlarda, bu güncelleştirmeleri yüklemeden bir performans etkisi olacaktır. Biz de bizim bulut Hizmetleri güvenliğini sağlamak için işlem. Bu güncelleştirmeleri dağıtma öneririz.

Bu sorun hakkında daha fazla bilgi için aşağıdaki güvenlik danışma görmek ve senaryo tabanlı kılavuz tehdidin etkisini azaltmak için gereken eylemleri belirlemek için kullanın:

Not: Mikro kodları güncelleştirmeleri yüklemeden önce tüm en son güncelleştirmeleri Windows Update sitesinden yüklemenizi öneririz.

UPDATED üzerinde 6 Ağustos 2019:6 Ağustos 2019 üzerinde bir Windows çekirdek bilginin açığa çıkması güvenlik açığı ayrıntılarını Intel yayımladı. Bu güvenlik açığından Spectre varyant 1 Spekülatif yürütme yan kanal güvenlik açığının bir türevi olan ve atanmış olan CVE 2019 1125.

9 Temmuz 2019 üzerinde bu sorunun etkilerini azaltmanıza Windows işletim sistemi için güvenlik güncelleştirmesi yayımladık. Lütfen geri tutulan Not Bu azaltıcı etken genel Salı, 6 Ağustos 2019 üzerinde koordineli endüstri açığa kadar belgeleme.

Windows güncelleştirmesini yüklemiş olan müşterilerin etkin ve güvenlik 9 Temmuz 2019 üzerinde yayımlanan güncelleştirmeleri otomatik olarak korunur. Başka bir yapılandırma gereklidir.

Not:Bu güvenlik açığı, bir mikro kod güncelleştirmesini aygıt üreticisinden (OEM) gerektirmez.

Bu güvenlik açığından ve ilgili güncelleştirmeleri hakkında daha fazla bilgi için bkz: Microsoft güvenlik güncelleştirmesi Kılavuzu:CVE-2019-1125 | Windows çekirdek bilginin açığa çıkması güvenlik açığı

Önerilen eylemler


Müşterilerin güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz:

  1. Aylık Windows Güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmeleri uygulayın.
  2. Aygıt üreticisi tarafından sağlanan geçerli bellenim (mikro kodları) güncelleştirmeyi uygulayın.
  3. Microsoft Güvenlik danışma belgeleri üzerinde sağlanan bilgilere dayalı olarak ortamınız için risk değerlendirmesi: ADV180002, ADV180012, ADV190013ve bu Bilgi Bankası makalesinde sağlanan bilgileri.
  4. Gerektiği gibi eylem danışma ve bu Bilgi Bankası makalesinde sağlanan kayıt defteri anahtarı bilgilerini kullanarak yapın.

Not: Yüzey müşteriler Windows update aracılığıyla bir mikro kod güncelleştirmesini alacaksınız. En son yüzey aygıtın bellenimi (mikro kodları) güncelleştirmeleri listesi için bkz. KB 4073065.

Windows Server için azaltma ayarları


Güvenlik danışma belgeleri ADV180002, ADV180012, ve ADV190013Bu güvenlik açıklarından teşkil risk hakkında bilgi sağlar.  Ayrıca bu tanımanıza yardımcı Güvenlik Açıkları ve Windows Server sistemleri için Azaltıcı Etkenler varsayılan durumunu tanımlar. CPU mikro kodları gereksinimi ve azaltıcı Windows Server'da varsayılan durumunu tabloda özetlenmiştir.

CVECPU mikro kodları/bellenim gerektirir?Azaltma varsayılan durumu

CVE-2017-5753

Hayır

(Devre dışı bırakma seçeneği yoktur) varsayılan olarak etkin

Lütfen bakın ADV180002ek bilgi için

CVE-2017-5715

Evet

Varsayılan olarak devre dışıdır.

Lütfen bakın ADV180002ek bilgi ve bu KB makalesi için uygun kayıt defteri ayarlarını için.

Not: "Retpoline" 10 1809 Windows çalıştıran aygıtlar veya yeni Eğer için varsayılan olarak etkindir (Spectre varyant 2CVE 2017 5715) etkinleştirilir. "Retpoline" etrafında daha fazla bilgi için izleyinAzaltıcı Spectre değişken 2 Windows Retpoline ileblog postası.

CVE-2017-5754

Hayır

Windows Server 2019: varsayılan olarak etkin. 2016 ve önceki Windows Server: varsayılan olarak devre dışı.

Lütfen bakın ADV180002ek bilgi için.

CVE-2018-3639

Intel: Evet

AMD: Hayır

Varsayılan olarak devre dışıdır. Bu KB makalesi için uygun kayıt defteri ayarlarını ve daha fazla bilgi için bkz: ADV180012 .

CVE-2018-11091Intel: Evet

Windows Server 2019: varsayılan olarak etkin. 2016 ve önceki Windows Server: varsayılan olarak devre dışı.

Bkz. ADV190013Daha fazla bilgi ve bu KB makalesi için uygun kayıt defteri ayarlarını.
CVE-2018-12126Intel: Evet

Windows Server 2019: varsayılan olarak etkin. 2016 ve önceki Windows Server: varsayılan olarak devre dışı.

Bkz. ADV190013Daha fazla bilgi ve bu KB makalesi için uygun kayıt defteri ayarlarını.
CVE-2018-12127Intel: Evet

Windows Server 2019: varsayılan olarak etkin. 2016 ve önceki Windows Server: varsayılan olarak devre dışı.

Bkz. ADV190013Daha fazla bilgi ve bu KB makalesi için uygun kayıt defteri ayarlarını.
CVE-2018-12130Intel: Evet

Windows Server 2019: varsayılan olarak etkin. 2016 ve önceki Windows Server: varsayılan olarak devre dışı.

Bkz. ADV190013Daha fazla bilgi ve bu KB makalesi için uygun kayıt defteri ayarlarını.

Bu güvenlik açığına karşı kullanılabilir tüm korumaları elde etmek isteyen müşteriler, varsayılan olarak devre dışı bırakılır Bu azalmalar etkinleştirmek için kayıt defteri anahtarı değişiklikleri yapmalısınız.

Bu azalmalar etkinleştirme performansı etkileyebilir. Performans üzerindeki etkileri Ölçek gibi fiziksel bir konağı ve çalışmakta olan iş yüklerini belirli yonga kümesi birden fazla etkene bağlıdır. Müşterilerin kendi ortamı için performans etkilerini değerlendirmek ve gerekli ayarlamaları yapın öneririz.

Aşağıdaki kategorilerden birini ise sunucunuz daha yüksek risk altındadır:

  • Hyper-V barındıran – için VM VM ve VM ana saldırıları koruması gerektirir.
  • Uzak Masaüstü Hizmetleri ana (RDSH) – bir oturumdan başka bir oturuma veya oturum ana bilgisayarı saldırılara karşı koruma gerektirir.
  • Fiziksel ana bilgisayara veya Güvenilmeyen kod, kapsayıcı veya veritabanı, güvenilmeyen web içeriği veya dış kaynaklardan gelen kodu çalıştırmak iş yükleri için güvenilir olmayan uzantıları gibi çalışan sanal makineler. Bu işlem başka bir-işleme veya güvenilmeyen-işlem-için-çekirdek güvenilmeyen saldırılarına karşı koruma gerektirir.

Değişikliklerin etkili olması sistemi yeniden başlatın ve aşağıdaki kayıt defteri anahtarı ayarlarını Azaltıcı sunucuda etkinleştirmek için kullanın.

Not: Varsayılan olarak olan bir azaltıcı etken etkinleştirme performansı etkileyebilir. Gerçek performans etkisi gibi belirli yonga kümesi aygıt ve çalışmakta olan iş yüklerini birden çok etkene bağlıdır.

Kayıt defteri ayarları


Biz güvenlik danışma belgeleri belirtildiği gibi varsayılan olarak etkin değildir azaltıcı etkenleri etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlama ADV180002, ADV180012, ve ADV190013.

Ayrıca, biz Windows istemcileri için CVE 2017 5715 ve CVE-2017-5754 ilgili azaltıcı etkenlerin devre dışı bırakmak istediğiniz kullanıcılar için kayıt defteri anahtarı ayarlarından sağlanmaktadır.

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

322756 Windows'da kayıt defterini yedekleme ve geri yükleme

 
 

CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler yönetme


Önemli Not: Retpoline etkin Windows 10, sürüm 1809 sunucuları varsayılan olarak, Spectre, varyant 2 ()CVE 2017 5715) etkinleştirilir. Retpoline Windows 10 üzerinde en son sürümünü etkinleştirme Windows 10, sürüm 1809 Spectre varyant 2, özellikle eski işlemcilerde çalışan sunucularda performansı geliştirmek.

CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler etkinleştirmek için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliğinin yüklüyse, aşağıdaki kayıt defteri ayarı ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağı ise ve bellenim güncelleştirmelerini uygulamış olan: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

Not FeatureSettingsOverrideMask 3 ' e ayarlama "etkinleştir" ve "devre dışı bırak" ayarları için doğrudur. (Bkz:Sık sorulan sorular "kayıt defteri anahtarları hakkında daha fazla ayrıntı için "bölüm.)

CVE 2017 5715 (Spectre varyant 2) için Azaltıcı Etkenler yönetme


Değişken 2 devre dışı bırakmak için: (CVE -2017 5715"dalı hedef ekleme") Azaltıcı:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

Değişken 2 etkinleştirmek için: (CVE 2017 5715"Dalı hedef ekleme") Azaltıcı:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

AMD işlemciler: CVE 2017 5715 (Spectre varyant 2) için tam etkenlerden etkinleştir


Varsayılan olarak, AMD CPU'lar için CVE 2017 5715 kullanıcı çekirdek koruma devre dışı bırakılır. Müşteriler etkenlerden CVE 2017 5715 için ek koruma almak etkinleştirmeniz gerekir.  Daha fazla bilgi için bkz: SSS #15 ' ADV180002.

AMD işlemcilerde yanı sıra diğer korumaları için CVE 2017 5715 kullanıcı çekirdek korumayı etkinleştir:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliğinin yüklüyse, aşağıdaki kayıt defteri ayarı ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağı ise ve bellenim güncelleştirmelerini uygulamış olan: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

CVE-2018-3639 (Spekülatif deposu atlama), CVE-2017-5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler yönetme



CVE-2018-3639 (Spekülatif deposu atlama), CVE-2017-5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) için Azaltıcı Etkenler etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliğinin yüklüyse, aşağıdaki kayıt defteri ayarı ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağı ise ve bellenim güncelleştirmelerini uygulamış olan: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

CVE-2018-3639 (Spekülatif deposu atlama) için Azaltıcı Etkenler devre dışı bırakmak için CVE 2017 5715 (Spectre varyant 2) ve CVE-2017-5754 (Meltdown) ve Azaltıcı Etkenler

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

AMD işlemciler: CVE 2017 5715 (Spectre varyant 2) ve CVE 2018-3639 (Spekülatif deposu atlama) için tam etkenlerden etkinleştir


Varsayılan olarak, AMD işlemciler için CVE 2017 5715 kullanıcı çekirdek koruma devre dışı bırakılır. Müşteriler etkenlerden CVE 2017 5715 için ek koruma almak etkinleştirmeniz gerekir.  Daha fazla bilgi için bkz: SSS #15 ' ADV180002.

AMD işlemcilerde yanı sıra diğer korumaları için CVE 2017 5715 kullanıcı çekirdek koruma ve korumaları için CVE-2018-3639 (Spekülatif deposu atlama):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliğinin yüklüyse, aşağıdaki kayıt defteri ayarı ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağı ise ve bellenim güncelleştirmelerini uygulamış olan: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

Spectre [CVE 2017 5753 & CVE 2017 5715] ve [CVE-2017-5754] Meltdown çeşitleri, Spekülatif deposu LSASS'yi devre dışı bırakma (SSBD) de dahil olmak üzere birlikte mikro mimari veri örnekleme (CVE 2018 11091, CVE 2018 12126, CVE 2018 12127, CVE-2018-12130) yönetme [CVE-2018-3639] L1 Terminal hatası (L1TF) yanı sıra [CVE 2018 3615, CVE 2018 3620 ve CVE-2018-3646]


Mikro mimari veri örnekleme için Azaltıcı Etkenler etkinleştirmek için (, CVE 2018 11091CVE 2018 12126, , CVE 2018 12127CVE 2018 12130) [CVE-2017-5753 Spectre birlikte & CVE 2017 5715] ve [CVE-2017-5754] Meltdown çeşitleri, Spekülatif deposu LSASS'yi devre dışı bırakma (SSBD) [CVE-2018-3639] gibi L1 Terminal hatası (L1TF) de dahil olmak üzere [CVE 2018 3615, CVE 2018 3620 ve CVE-2018-3646] olmadan Hyper-Threading devre dışı bırakma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" / v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" / v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliğinin yüklüyse, aşağıdaki kayıt defteri ayarı ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" / v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağı ise ve bellenim güncelleştirmelerini uygulamış olan: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

Mikro mimari veri örnekleme için Azaltıcı Etkenler etkinleştirmek için (, CVE 2018 11091CVE 2018 12126, , CVE 2018 12127CVE 2018 12130) [CVE-2017-5753 Spectre birlikte & CVE 2017 5715] ve [CVE-2017-5754] Meltdown çeşitleri, Spekülatif deposu LSASS'yi devre dışı bırakma (SSBD) [CVE-2018-3639] gibi L1 Terminal hatası (L1TF) de dahil olmak üzere [CVE 2018 3615, CVE 2018 3620 ve CVE-2018-3646] ile Hyper-Threading devre dışı:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" / v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" / v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliğinin yüklüyse, aşağıdaki kayıt defteri ayarı ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" / v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağı ise ve bellenim güncelleştirmelerini uygulamış olan: Tamamen tüm sanal makineleri kapatın. Bu üretici yazılımı ile ilgili azaltma VMs başlatmadan önce ana bilgisayarda uygulanmasına olanak sağlar. Bu nedenle, bunlar yeniden, VMs de güncelleştirilir.

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

Mikro mimari veri örnekleme için Azaltıcı Etkenler devre dışı bırakmak için (, CVE 2018 11091CVE 2018 12126, , CVE 2018 12127CVE 2018 12130) [CVE-2017-5753 Spectre birlikte & CVE 2017 5715] ve [CVE-2017-5754] Meltdown çeşitleri, Spekülatif deposu LSASS'yi devre dışı bırakma (SSBD) [CVE-2018-3639] gibi L1 Terminal hatası (L1TF) de dahil olmak üzere [CVE 2018 3615, CVE 2018 3620 ve CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" / v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" / v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması bilgisayarı yeniden başlatın.

Korumalar etkin olduğunu doğrulama


Korumalar etkinleştirildiğini doğrulayın müşterilere yardımcı olmak için Microsoft müşterilerin sistemlerinde çalışabilir bir PowerShell komut dosyası yayınladı. Yükleyin ve aşağıdaki komutları çalıştırarak komut dosyasını çalıştırın.

PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanarak PowerShell doğrulama

PowerShell modül yükleyin:

PS> Install-Module SpeculationControl

Korumalar etkin olduğunu doğrulamak için PowerShell modül çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet (önceki işletim sistemi sürümleri ve sürümleri önceki WMF) sunucudan indirme kullanarak PowerShell doğrulama

PowerShell modül Technet Uzatmalar yükleyin:

  1. Https://aka.ms/SpeculationControlPS için Git.
  2. SpeculationControl.zip yerel bir klasöre yükleyin.
  3. İçeriği yerel bir klasöre ayıklayın. Örneğin: C:\ADV180002

Korumalar etkin olduğunu doğrulamak için PowerShell modül çalıştırın:

PowerShell başlatmak ve önceki örneği kopyalayın ve aşağıdaki komutları çalıştırmak için kullanın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell komut dosyası hakkında ayrıntılı bilgi için bkz: Bilgi Bankası makalesi 4074629.

Sık sorulan sorular


Başvurular