KB4072698: Silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma için Windows Server ve Azure Stack HCI kılavuzu

Uygulandığı Öğe
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Değişiklik günlüğü
Tarihi değiştir Değişimin tanımı
Nisan 20, 2023
  • MMIO kayıt defteri bilgileri eklendi
Ağustos 8, 2023
  • CVE numarası kullanılmadığı için CVE-2022-23816 hakkındaki içerik kaldırıldı
  • "Güvenlik Açıkları" bölümünün altına "Dal Türü Karışıklığı" eklendi
  • "CVE-2022-23825 | AMD CPU Dal Türü Karışıklığı (BTC)" kayıt defteri bölümü
Ağustos 9, 2023
  • "CVE-2022-23825 | AMD CPU Dal Türü Karışıklığı (BTC)" kayıt defteri bölümü
  • "CVE-2023-20569 | AMD CPU Dönüş Adresi Tahmincisi" ile "Özet" bölümüne
  • "CVE-2023-20569 | AMD CPU Return Address Predictor" kayıt defteri bölümü
9 Nisan 2024
  • CVE-2022-0001 eklendi | Intel Şube Geçmişi Enjeksiyonu
Nisan 16, 2024
  • "Birden çok risk azaltmasını etkinleştirme" bölümü eklendi

Özet

Bu makale, birçok modern işlemciyi ve işletim sistemini etkileyen yeni bir silikon tabanlı mikro mimari ve kurgusal yürütme tarafı kanal güvenlik açığı sınıfı için rehberlik sağlar. Buna Intel, AMD ve ARM dahildir. Bu silikon tabanlı güvenlik açıklarına ilişkin belirli ayrıntılar aşağıdaki ADV'lerde (Güvenlik Önerileri) ve CVE'lerde (Sık Karşılaşılan Güvenlik Açıkları ve Etkilenmeler) bulunabilir:

Önemli

Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer işletim sistemlerini de etkiler. Müşterilere bu satıcılardan rehberlik istemelerini öneririz.

Bu güvenlik açıklarının etkisini azaltmaya yardımcı olmak için çeşitli güncelleştirmeler yayımladık. Ayrıca bulut hizmetlerimizi güvence altına almak için de harekete geçtik. Daha fazla ayrıntı için aşağıdaki bölümlere bakın.

Bu güvenlik açıklarının müşterilere saldırmak için kullanıldığını gösteren herhangi bir bilgi henüz almadık. Müşterileri korumak için yonga üreticileri, donanım OEM'leri ve uygulama satıcıları dahil olmak üzere endüstri iş ortaklarıyla yakından çalışıyoruz. Mevcut tüm korumaları edinmek için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gerekir. Buna cihaz OEM'lerinin mikro kodları ve bazı durumlarda virüsten koruma yazılımlarının güncelleştirilmesi dahildir.

Güvenlik açıkları

Spekülatif yürütme

Bu makalede aşağıdaki kurgusal yürütme güvenlik açıkları ele alınmaktadır:

Windows UpdateWindows Update ayrıca Internet Explorer ve Edge güvenlik açıklarını da sağlayacaktır. Bu türdeki güvenlik açıklarına karşı azaltmaları iyileştirmeye devam edeceğiz.

Bu türdeki güvenlik açıkları hakkında daha fazla bilgi edinmek için bkz.

Mikro Mimari Veri Örnekleme güvenlik açığı

14 Mayıs 2019'da Intel, Mikro Mimari Veri Örneklemesi olarak bilinen ve ADV190013 | Mikromimari Veri Örneklemesi. Bunlara aşağıdaki CVE'ler atanmıştır:

Önemli

Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer sistemleri etkileyecektir. Müşterilere bu satıcılardan rehberlik istemelerini öneririz.

Microsoft, bu güvenlik açıklarının etkilerini azaltmaya yardımcı olmak için güncelleştirmeler yayımlamıştır. Mevcut tüm korumaları edinmek için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gerekir. Bu, cihaz OEM'lerinin mikro kodlarını içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performans üzerinde bir etkiye sahip olabilir. Ayrıca bulut hizmetlerimizi güvence altına almak için de harekete geçtik. Bu güncelleştirmelerin dağıtılmasını kesinlikle öneririz.

Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Danışma Belgesi'ne bakın ve tehdidi azaltmak için gerekli eylemleri belirlemek üzere senaryo tabanlı kılavuzu kullanın:

Not

Herhangi bir mikro kod güncelleştirmesi yüklemeden önce Windows UpdateWindows Update altından en son güncelleştirmelerin tümünü yüklemenizi öneririz.

Spectre, Varyant 1 güvenlik açığı

6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayınladı. Bu güvenlik açığı, Spectre, Variant 1 kurgusal yürütme yan kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak adlandırılmıştır.

9 Temmuz 2019 tarihinde bu sorunun etkisini azaltmaya yardımcı olmak amacıyla Windows işletim sistemi için güvenlik güncelleştirmeleri yayımladık. 6 Ağustos 2019 Salı günü eşgüdümlü sektör açıklamasına kadar bu azaltımı kamuya açık olarak belgelemeyi ertelediğimizi lütfen unutmayın.

9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini etkinleştiren ve uygulayan Windows Update müşteriler otomatik olarak korunur. Başka yapılandırma gerekmez.

Not

Bu güvenlik açığı için cihaz üreticinizin (OEM) mikro kod güncelleştirmesi gerekmez.

Bu güvenlik açığı ve ilgili güncelleştirmeler hakkında daha fazla bilgi için Microsoft Güvenlik Güncelleştirmesi Kılavuzu'na bakın:

İşlem Zaman Uyumsuz İptal güvenlik açığı

Intel 12 Kasım 2019'da CVE-2019-11135 olarak atanan Intel® İşlem Eşitleme Uzantıları (Intel TSX) İşlemi Zaman Uyumsuz Durdurma güvenlik açığıyla ilgili bir teknik tavsiye belgesi yayımladı. Microsoft, bu güvenlik açığının etkilerini azaltmaya yardımcı olmak için güncelleştirmeler yayımlamıştır ve işletim sistemi korumaları Windows Server 2019 için varsayılan olarak etkinleştirilmiş ancak Windows Server 2016 ve önceki Windows Server işletim sistemi sürümleri için varsayılan olarak devre dışı bırakılmıştır.

MMIO Eski Veri Örnekleme güvenlik açığı

14 Haziran 2022'de yayımladık ADV220002 | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına İlişkin Microsoft Kılavuzu ve şu CVE'leri atadı:

Önerilen işlemler

Güvenlik açıklarına karşı korunmak için aşağıdaki eylemleri gerçekleştirmelisiniz:

  1. Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmelerini uygulayın.
  2. Cihaz üreticisi tarafından sağlanan ilgili üretici yazılımı (mikro kod) güncelleştirmesini uygulayın.
  3. Bu bilgi bankası makalede sağlanan bilgilerin yanı sıra, Microsoft Güvenlik Önerilerinde sağlanan ADV180002, ADV180012, ADV190013 ve ADV220002 bilgilerine dayanarak ortamınıza yönelik riski değerlendirin.
  4. Bu bilgi bankasıbilgi bankası makalesinde verilen tavsiyeleri ve kayıt defteri anahtar bilgilerini kullanarak gerektiği şekilde işlem yapın.

Not

Surface müşterileri, Windows UpdateWindows Update aracılığıyla bir mikro kod güncelleştirmesi alacak. En son Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için KB4073065 bölümüne bakın.

Dal Türü Karışıklığı

12 Temmuz 2022'de yayımladık CVE-2022-23825 | Dal tahmincisindeki diğer adların bazı AMD işlemcilerinin yanlış dal türünü tahmin etmesine neden olabileceğini açıklayan AMD CPU Dal Türü Karışıklığı. Bu sorun, bilgilerin açığa çıkmasına neden olabilir.

Bu güvenlik açığına karşı korunmaya yardımcı olmak için, Temmuz 2022 veya sonrasına ait Windows güncelleştirmelerini yüklemenizi ve ardından bu bilgi bankasıbilgi bankası makalesinde sağlanan CVE-2022-23825 ve kayıt defteri anahtarı bilgilerinin gerektirdiği işlemleri yapmanızı öneririz.

Daha fazla bilgi için AMD-SB-1037 güvenlik bültenine bakın.

İade adresi tahmin edicisi

8 Ağustos 2023'te yayımladık CVE-2023-20569 | Dönüş Adresi Tahmincisi (Inception olarak da bilinir), saldırgan tarafından kontrol edilen bir adreste spekülatif yürütmeyle sonuçlanabilecek yeni bir spekülatif yan kanal saldırısını tanımlar. Bu sorun belirli AMD işlemcilerini etkiler ve bilgilerin açığa çıkmasına neden olabilir.

Bu güvenlik açığından korunmaya yardımcı olmak için Ağustos 2023 veya sonrasındaki Windows güncelleştirmelerini yüklemenizi ve ardından bu bilgi bankası makalede sağlanan CVE-2023-20569 ve kayıt defteri anahtarı bilgilerinin gerektirdiği işlemleri yapmanızı öneririz.

Daha fazla bilgi için AMD-SB-7005 güvenlik bültenine bakın.

Şube Geçmişi Enjeksiyonu

9 Nisan 2024'te yayımladık CVE-2022-0001 | Intel Şube Geçmişi Enjeksiyonu , mod içi BTI'nin özel bir biçimi olan Şube Geçmişi Enjeksiyonu'nu (BHI) açıklar. Bu güvenlik açığı, bir saldırgan kullanıcı modundan gözetmen moduna (veya VMX kök olmayan/konuk modundan kök moduna) geçiş yapmadan önce dal geçmişini değiştirebildiğinde ortaya çıkar. Bu işleme, dolaylı dal tahmincisinin dolaylı dal için belirli bir öngörücü girdisi seçmesine neden olabilir ve tahmin edilen hedefteki bir açıklama aracı geçici olarak yürütülür. İlgili dal geçmişi, önceki güvenlik bağlamlarında ve özellikle diğer tahmin modlarında alınan dalları içerebileceğinden bu mümkün olabilir.

Risk azaltma ayarları for Windows ServerWindows Server ve AzureAzure Stack HCI

Güvenlik danışmanları (ADV'ler) ve CVE'ler bu güvenlik açıklarının oluşturduğu risk hakkında bilgi sağlar. Ayrıca, güvenlik açıklarını belirlemenize ve Windows ServerWindows Server sistemleri için risk azaltma durumlarını belirlemenize yardımcı olurlar. Aşağıdaki tabloda CPU mikro kodu gereksinimi ve Windows ServerWindows Server üzerindeki risk azaltmaların varsayılan durumu özetlenmektedir.

CVE (Sorgu) CPU mikro kodu/üretici yazılımı mı gerekiyor? Azaltma Varsayılan durumu
CVE-2017-5753 Hayır Varsayılan olarak etkindir (devre dışı bırakma seçeneği yoktur)
Ek bilgi için lütfen ADV180002 bakın
CVE-2017-5715 Evet Varsayılan olarak devre dışıdır.
Ek bilgi için lütfen ADV180002 ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakın.
Notlar Spectre Variant 2 (CVE-2017-5715) etkinleştirilmişse, Windows 10, sürüm 1809 ve sonraki sürümleri çalıştıran cihazlar için "Retpoline" varsayılan olarak etkindir. "Retpoline" hakkında daha fazla bilgi için Windows blog gönderisinde Retpoline ile Spectre Variant 2'nin Azaltılması bölümünü izleyin.
CVE-2017-5754 Hayır Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.
Ek bilgi için lütfen ADV180002 bakın.
CVE-2018-3639 Intel: Evet
AMD: Hayır
Varsayılan olarak devre dışıdır. Daha fazla bilgi için ADV180012 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2018-11091 Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.
Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2018-12126 Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.
Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2018-12127 Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.
Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2018-12130 Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.
Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2019-11135 Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.
Daha fazla bilgi için CVE-2019-11135'e ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2022-21123 (MMIO ADV220002'in bir parçası) Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.*
Daha fazla bilgi için CVE-2022-21123'e ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2022-21125 (MMIO ADV220002'in bir parçası) Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.*
Daha fazla bilgi için CVE-2022-21125'e ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2022-21127 (MMIO ADV220002'in bir parçası) Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.*
Daha fazla bilgi için CVE-2022-21127'ye ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2022-21166 (MMIO ADV220002'in bir parçası) Intel: Evet Windows ServerWindows Server 2019, Windows ServerWindows Server 2022, ve AzureAzure Stack HCI: Enabled by default.
Windows Server 2016Windows Server 2016 ve önceki sürümleri: Varsayılan olarak devre dışı bırakılmıştır.*
Daha fazla bilgi için CVE-2022-21166'ya ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2022-23825 (AMD CPU Dal Türü Karışıklığı) AMD: Hayır Daha fazla bilgi için CVE-2022-23825'e ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2023-20569
(AMD CPU İade Adresi Tahmincisi)
AMD: Evet Daha fazla bilgi için CVE-2023-20569'a ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.
CVE-2022-0001 Intel: Hayır Varsayılan olarak devre dışı bırakıldı
Daha fazla bilgi için CVE-2022-0001'e ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

Not

* Aşağıdaki Meltdown için risk azaltma kılavuzlarını izleyin.

Bu güvenlik açıklarına karşı kullanılabilen tüm korumaları almak isterseniz, varsayılan olarak devre dışı bırakılan bu azaltmaları etkinleştirmek için kayıt defteri anahtarı değişiklikleri yapmanız gerekir.

Bu risk azaltıcı etkenlerin etkinleştirilmesi performansı etkileyebilir. Performans etkilerinin ölçeği, fiziksel ana bilgisayarınızdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır. Ortamınız için performans etkilerini değerlendirmenizi ve gerekli ayarlamaları yapmanızı öneririz.

Sunucunuz aşağıdaki kategorilerden birindeyse daha fazla risk altındadır:

  • Hyper-V ana bilgisayarları: VM'den VM'ye ve VM'den ana bilgisayara saldırılar için koruma gerektirir.
  • Uzak Masaüstü Hizmetleri Ana Bilgisayarları (RDSH): Bir oturumdan başka bir oturuma veya oturumdan ana bilgisayara saldırılara karşı koruma gerektirir.
  • Veritabanı, güvenilmeyen web içeriği veya dış kaynaklardan kod çalıştıran iş yükleri için kapsayıcılar veya güvenilmeyen uzantılar gibi güvenilmeyen kod çalıştıran fiziksel ana bilgisayarlar veya sanal makineler. Bunlar, güvenilmeyen işlemden başka bir işleme veya güvenilmeyen işlemden çekirdeğe saldırılara karşı koruma gerektirir.

Sunucuda risk azaltma önlemlerini etkinleştirmek için aşağıdaki kayıt defteri anahtarı ayarlarını kullanın ve değişikliklerin etkili olması için cihazı yeniden başlatın.

Not

Varsayılan olarak, risk azaltmaların kapalı olarak etkinleştirilmesi performansı etkileyebilir. Gerçek performans etkisi, cihazdaki belirli yonga seti ve çalışan iş yükleri gibi birden çok faktöre bağlıdır.

Kayıt defteri ayarları

Güvenlik Önerileri (ADV) ve CVE'lerde belgelendiği gibi varsayılan olarak etkinleştirilmemiş risk azaltma işlemlerini etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlıyoruz. Buna ek olarak, Windows istemcileri için geçerli olduğunda risk azaltma önlemlerini devre dışı bırakmak isteyen kullanıcılar için kayıt defteri anahtarı ayarları sağlıyoruz.

Not

  • ÖNEMLİ Bu bölüm, yöntem veya görev size kayıt defterinin nasıl değiştirileceğinin anlatıldığı adımları içermektedir. Ancak kayıt defterinde yanlış bir değişiklik yaparsanız, ciddi sorunlar oluşabilir. Bu nedenle, adımları dikkatle izlediğinizden emin olun. Ek koruma için, değiştirmeden önce kayıt defterinizi yedekleyin. Böylece bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'nda bulunan aşağıdaki makaleye bakın:
  • KB322756 Windows'ta kayıt defterini yedekleme ve geri yükleme

CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ve CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) için risk azaltmaları yönetin

Not

  • ÖNEMLİ Varsayılan olarak, Spectre, Variant 2 risk azaltma (CVE-2017-5715) etkinse Retpoline aşağıdaki gibi yapılandırılır:
    • Retpoline mitigation Windows 10, sürüm 1809Windows 10, sürüm 1809 ve sonraki Windows sürümlerinde etkinleştirildi.
    • Retpoline azaltma devre dışı bırakıldı Windows ServerWindows Server 2019 ve sonraki Windows ServerWindows Server sürümleri.
  • Retpoline yapılandırması hakkında daha fazla bilgi için Windows'ta Retpoline ile Spectre variant 2'yi azaltma bölümüne bakın.
  • CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ve CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) azaltmalarını etkinleştirmek için
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Bu bir Hyper-V ana bilgisayarıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce konağa bellenimle ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.
    Değişikliklerin etkili olması için cihazı yeniden başlatın.
  • CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ve CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO) için azaltmaları devre dışı bırakmak için
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Değişikliklerin etkili olması için cihazı yeniden başlatın.

Not

FeatureSettingsOverrideMask'i 3 olarak ayarlamak, hem "etkinleştir" hem de "devre dışı bırak" ayarları için doğrudur. (Kayıt defteri anahtarları hakkında daha ayrıntılı bilgi için "SSS " bölümüne bakın.)

CVE-2017-5715 (Spectre Variant 2) için risk azaltmayı yönetme
Değişken 2'yi devre dışı bırakmak için: (CVE-2017-5715 | Dal Hedefi Enjeksiyonu) azaltma:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Değişikliklerin etkili olması için cihazı yeniden başlatın.
Değişken 2'yi etkinleştirmek için: (CVE-2017-5715 | Dal Hedefi Enjeksiyonu) azaltma:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Değişikliklerin etkili olması için cihazı yeniden başlatın.
Yalnızca AMD işlemciler: CVE-2017-5715 (Spectre Variant 2) için tam azaltmayı etkinleştirin

Varsayılan olarak, AMD CPU'lar için CVE-2017-5715 için kullanıcı-çekirdek koruması devre dışıdır. Müşterilerin CVE-2017-5715'e yönelik ek koruma alabilmeleri için risk azaltmayı etkinleştirmeleri gerekir.  Daha fazla bilgi için ADV180002'teki SSS #15'e bakın.

CVE 2017-5715 için AMD işlemcilerde diğer korumalarla birlikte çekirdekten çekirdeğe korumayı etkinleştirin:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Bu bir Hyper-V ana bilgisayarıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce konağa bellenimle ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.
Değişikliklerin etkili olması için cihazı yeniden başlatın.
CVE-2018-3639 (Tahmini Store Bypass), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için risk azaltma işlemlerini yönetin
CVE-2018-3639 (Tahmini Store Bypass), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltmaları etkinleştirmek üzere:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Bu bir Hyper-V ana bilgisayarıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce konağa bellenimle ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.
Değişikliklerin etkili olması için cihazı yeniden başlatın.
CVE-2018-3639 (Tahmini Store Bypass) azaltmalarını devre dışı bırakmak VE CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltmaları devre dışı bırakmak için
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Değişikliklerin etkili olması için cihazı yeniden başlatın.
Yalnızca AMD işlemciler: CVE-2017-5715 (Spectre Variant 2) ve CVE 2018-3639 (Spekülatif Store Bypass) için tam azaltmayı etkinleştirin

Varsayılan olarak, AMD işlemciler için CVE-2017-5715 için kullanıcı-çekirdek koruması devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715'e yönelik ek koruma alabilmeleri için risk azaltmayı etkinleştirmeleri gerekir.  Daha fazla bilgi için ADV180002'deki SSS #15'e bakın.

CVE 2017-5715 ve CVE-2018-3639 korumaları (Spekülatif Mağaza Bypass) için diğer korumaların yanı sıra AMD işlemcilerde kullanıcıdan çekirdeğe korumayı etkinleştirin:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Bu bir Hyper-V ana bilgisayarıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce konağa bellenimle ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.
Değişikliklerin etkili olması için cihazı yeniden başlatın.
İşlem Zaman Uyumsuz Durdurma güvenlik açığını, Mikro Mimari Veri Örneklemesini, Spectre'yi, Meltdown'ı, MMIO'yu, Tahmini Store Atlamayı Devre Dışı Bırakma'yı (SSBD) ve L1 Terminal Hatasını (L1TF) yönetin
Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) İşlemi Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örneklemesi (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) ile birlikte Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varyantları, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127) azaltmalarını etkinleştirmek için, ve Spekülatif Mağaza Atlama Devre Dışı Bırakma (SSBD) [CVE-2018-3639 ] ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646] dahil olmak üzere CVE-2022-21166) Hyper-Threading'i devre dışı bırakmadan:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Bu bir Hyper-V ana bilgisayarıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce konağa bellenimle ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.
Değişikliklerin etkili olması için cihazı yeniden başlatın.
Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) İşlemi Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örneklemesi ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) ile birlikte Spectre [CVE-2017-5753 & CVE-2017-5715] ve Meltdown [CVE-2017-5754] türevleri ile birlikte Spekülatif Store Atlama Devre Dışı Bırakma (SSBD) [CVE-2018-3639) azaltmalarını etkinleştirmek için [CVE-2018-3639] ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646] devre dışı bırakılmışHyper-Threading ken:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Bu bir Hyper-V ana bilgisayarıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce konağa bellenimle ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.
Değişikliklerin etkili olması için cihazı yeniden başlatın.
Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) İşlemi Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) azaltmalarını devre dışı bırakmak için Spectre [CVE-2017-5753 & CVE-2017-5715] ve Meltdown [CVE-2017-5754] türevleri ile birlikte Spekülatif Store Atlama Devre Dışı Bırakma (SSBD) dahil [CVE-2018-3639]] ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646]:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Değişikliklerin etkili olması için cihazı yeniden başlatın.
CVE-2022-23825 \| AMD CPU Dal Türü Karışıklığı (BTC)

AMD işlemcilerinde CVE-2022-23825 için azaltmayı etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Tam olarak korunmak için müşterilerin ayrıca Hyper-Threading (Eşzamanlı Çoklu İş Parçacığı (SMT)) olarak da bilinir) devre dışı bırakması gerekebilir. Windows cihazlarını koruma hakkında yönergeler için lütfen KB4073757 bakın.

CVE-2023-20569 \| AMD CPU İade Adresi Tahmincisi

AMD işlemcilerinde CVE-2023-20569 riskini azaltmayı etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Intel Şube Geçmişi Enjeksiyonu

Intel işlemcilerde CVE-2022-0001 azaltmayı etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Birden çok risk azaltıcı etkeni etkinleştirme

Birden çok risk azaltmayı etkinleştirmek için, her risk azaltmanın REG_DWORD değerini birlikte eklemeniz gerekir.

Örneğin:


İşlem Zaman Uyumsuz Durdurma güvenlik açığı, Mikro Mimari Veri Örneklemesi, Spectre, Meltdown, MMIO, Tahmini Store Bypass Disable (SSBD) ve devre dışı bırakılmış L1 Terminal Hatası (L1TF) için Hyper-Threading azaltma reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
NOT 8264 (Ondalık olarak) = 0x2048 (Onaltılık olarak)
Mevcut diğer ayarlarla birlikte BHI'yi etkinleştirmek için, 8,388,608 (0x800000) ile mevcut değerin bit tabanlı VEYA'sını kullanmanız gerekecektir.
0x800000 VEYA 0x2048(ondalık tabanda 8264) ve 8.396.872(0x802048) olur. FeatureSettingsOverrideMask ile aynı.
Intel işlemcilerde CVE-2022-0001 için risk azaltma reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Birleşik risk azaltma reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Korumaların etkinleştirildiğini doğrulama

Korumaların etkinleştirildiğini doğrulamaya yardımcı olmak için, cihazlarınızda çalıştırabileceğiniz bir PowerShell betiği yayımladık. Aşağıdaki yöntemlerden birini kullanarak betiği yükleyin ve çalıştırın.

Yöntem 1: PowerShell Galerisi kullanarak PowerShell doğrulaması (Windows Server 2016 veya WMF 5.0/5.1)
PowerShell Modülünü Yükleme:
PS> Install-Module SpeculationControl
Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Yöntem 2: Technet'ten bir indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri ve önceki WMF sürümleri)
Technet ScriptCenter'dan PowerShell modülünü yükleyin:

  1. https://aka.ms/SpeculationControlPS gidin.
  2. SpeculationControl.zip yerel bir klasöre indirin.
  3. İçeriği yerel bir klasöre ayıklayın. Örneğin: C:\ADV180002
Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın:

PowerShell'i başlatın ve aşağıdaki komutları kopyalayıp çalıştırmak için önceki örneği kullanın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell betiğinin çıktısının ayrıntılı açıklaması için KB4074629 bkz.

Sık sorulan sorular

Ocak ve Şubat 2018'de yayımlanan Windows güvenlik güncelleştirmeleri bana sunulmadı. Ne yapmalıyım?

Ocak ve Şubat 2018'de yayımlanan Windows güvenlik güncelleştirmeleri, müşteri cihazlarını olumsuz etkilemekten kaçınmak için tüm müşterilere sunulmamıştır. Ayrıntılar için KB407269 bölümüne bakın.

CPU mikro kodunun doğru sürümüne sahip olup olmadığımı nasıl anlayabilirim?

Mikro kod, bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. Bilgisayarınız için uygun güncelleştirmeye sahip üretici yazılımı sürümüyle ilgili OEM'nize danışın.

Risk azaltıcı etkenlerin performans üzerindeki etkileri nelerdir?

Sistem sürümünden çalışan iş yüklerine kadar performansı etkileyen birden çok değişken vardır. Bazı sistemler için performans etkisi ihmal edilebilir düzeyde olacaktır. Diğerleri için önemli olacaktır.

Sistemleriniz üzerindeki performans etkilerini değerlendirmenizi ve gerekirse ayarlamalar yapmanızı öneririz.

Üçüncü tarafta barındırılan bir ortamda veya bulutta Windows Server çalıştırıyorum. Ne yapmalıyım?

Sanal makinelerle ilgili bu makalede yer alan yönergelere ek olarak, sanal makinelerinizi çalıştıran konakların yeterince korunduğundan emin olmak için hizmet sağlayıcınıza başvurmanız gerekir.

For Windows ServerWindows Server AzureAzure'de çalışan sanal makineler, AzureAzure'da spekülatif yürütme yan kanal güvenlik açıklarını azaltma kılavuzu bölümüne bakın. Konuk VM'lerde bu sorunu azaltmak için Azure Güncelleştirme Yönetimi'ni kullanma hakkında rehberlik için KB4077467'ye bakın.

Kapsayıcıya özgü Windows Server yönergeler var mı?

Windows Server 2016 ve Windows 10, sürüm 1709 için Windows Server kapsayıcı görüntüleri için yayımlanan güncelleştirmeler bu güvenlik açığı kümesini azaltmayı içerir. Ek yapılandırma gerekmez.

Notlar Yine de bu kapsayıcıların üzerinde çalıştığı konağın uygun risk azaltma işlemlerini etkinleştirecek şekilde yapılandırıldığından emin olmanız gerekir.

Yazılım ve donanım güncelleştirmelerinin belirli bir sırada yüklenmesi gerekiyor mu?

Hayır, yükleme sırası önemli değil.

Birden fazla yeniden başlatma olacak mı?

Evet, üretici yazılımı (mikro kod) güncelleştirmesinden sonra ve sistem güncelleştirmesinden sonra yeniden başlatmanız gerekir.

Kayıt defteri anahtarları hakkında daha ayrıntılı bilgi verebilir misiniz?

Kayıt defteri anahtarlarının ayrıntıları şunlardır:

FeatureSettingsOverride , varsayılan ayarı geçersiz kılan ve hangi azaltmaların devre dışı bırakılacağını denetleyen bir bit eşlemi temsil eder. Bit 0, CVE-2017-5715'e karşılık gelen risk azaltmayı kontrol eder. Bit 1, CVE-2017-5754'e karşılık gelen risk azaltmayı kontrol eder. Azaltmayı etkinleştirmek için bitler 0 olarak ve azaltmayı devre dışı bırakmak için 1 olarak ayarlanır.

FeatureSettingsOverrideMask , FeatureSettingsOverride ile birlikte kullanılan bir bitmap maskesini temsil eder. Bu durumda, kullanılabilir risk azaltıcı etkenlere karşılık gelen ilk iki biti belirtmek için 3 değerini (ikili sayı veya taban 2 sayı sisteminde 11 olarak gösterilir) kullanırız. Bu kayıt defteri anahtarı, risk azaltma özelliklerini etkinleştirmek veya devre dışı bırakmak için 3 olarak ayarlanmıştır.

MinVmVersionForCpuBasedMitigations Hyper-V konaklarına yöneliktir. Bu kayıt defteri anahtarı, güncelleştirilmiş üretici yazılımı özelliklerini (CVE-2017-5715) kullanmanız için gereken en düşük VM sürümünü tanımlar. Tüm VM sürümlerini kapsayacak şekilde bunu 1.0 olarak ayarlayın. Bu kayıt defteri değerinin Hyper-V olmayan ana bilgisayarlarda yok sayılacağını (iyi huylu) unutmayın. Daha fazla bilgi için bkz. Konuk sanal makineleri CVE-2017-5715'ten koruma (dal hedefi ekleme).

Güncelleştirmeyi yüklemeden önce kayıt defteri anahtarlarını ayarlayabilir ve değişikliklerin etkili olması için güncelleştirmeyi yükleyip yeniden başlatabilir miyim?

Evet, bu kayıt defteri ayarları Ocak 2018 ile ilgili düzeltmeler yüklenmeden önce uygulanırsa hiçbir yan etkisi olmaz.

PowerShell doğrulama betiğinin çıkışı hakkında daha fazla ayrıntı sağlayabilir misiniz?

Betik çıktısının ayrıntılı bir açıklamasını KB4074629: Understanding SpeculationControl PowerShell betik çıktısı sayfasında görebilirsiniz.

Üretici yazılımı (mikro kod) güncelleştirmesi OEM'imde henüz mevcut değilse, Hyper-V ana bilgisayarımı korumanın bir yolu var mı?

Evet, üretici yazılımı güncelleştirmesi henüz kullanıma sunulmamış olan Windows Server 2016 Hyper-V konakları için, VM'den VM'ye veya VM'den Konak'a saldırılarını azaltmaya yardımcı olabilecek alternatif kılavuzlar yayımladık. Bkz. Kurgusal yürütme tarafı kanal güvenlik açıklarına karşı Windows Server 2016 Hyper-V Ana Bilgisayarları için alternatif korumalar.

Yalnızca güvenlik dalındaysam, bu güvenlik açıklarından korunmak için hangi Yalnızca güvenlik güncelleştirmelerini yüklemem gerekir?

Yalnızca güvenlikle ilgili güncelleştirmeler toplu değildir. İşletim sisteminizin sürümüne bağlı olarak, tam koruma için çeşitli güvenlik güncelleştirmeleri yüklemeniz gerekebilir. Genelde, müşterilerin Ocak, Şubat, Mart ve Nisan 2018 güncelleştirmelerini yüklemeleri gerekir. AMD işlemcili sistemler, aşağıdaki tabloda gösterildiği gibi ek bir güncelleştirmeye ihtiyaç duyar:

İşletim Sistemi sürümü Güvenlik Güncelleştirmesi
Windows 8.1Windows 8.1, Windows Server 2012Windows Server 2012 R2 KB4338815 - Aylık Toplama
KB4338824- Yalnızca güvenlik
Windows 7 SP1, Windows Server 2008 R2 SP1 veya Windows Server 2008 R2 SP1 (Sunucu Çekirdeği yüklemesi) KB4284826 - Aylık Toplama
KB4284867 - Yalnızca Güvenlik
Windows Server 2008 SP2 KB4340583 - Güvenlik Güncelleştirmesi

Yalnızca güvenlik güncelleştirmelerini yayınlanma sırasına göre yüklemenizi öneririz.

Not

Bu SSS'nin önceki bir sürümünde, Şubat Yalnızca güvenlik güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiği yanlış bir şekilde belirtilmişti. Aslında öyle değil.

İlgili güvenlik güncelleştirmelerinden herhangi birini uygularsam, güvenlik güncelleştirmesi KB4078130 gibi CVE-2017-5715 korumalarını devre dışı bırakır mı?

Hayır. Güvenlik güncelleştirmesi KB4078130 , mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve beklenmeyen yeniden başlatmaları önleyen özel bir düzeltmeydi. Windows istemci işletim sistemlerine güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da sağlar. Windows Server işletim sistemlerinde, uygun testleri yaptıktan sonra risk azaltma özelliklerini etkinleştirmeniz gerekir. Daha fazla bilgi için KB4072698 bakın.

Bilinen sorun: 13 Mart 2018 tarihli Güvenlik Güncelleştirmesi'ni (KB 4088875) yükleyen bazı kullanıcılar ağ bağlantı sorunları yaşayabilir veya IP adresi ayarlarını kaybedebilir

Bu sorun KB4093118 yılında çözülmüştür.

Intel, bazı eski işlemcilerde mikro kod içeren yeniden başlatma sorunları belirlemiştir. Ne yapmalıyım?

Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu . Microsoft, Spectre Variant 2, Spectre Variant 2 (CVE-2017-5715 | Dal Hedef Enjeksiyonu).  KB4093836 Windows sürümüne göre belirli bilgi bankası makalelerini listeler. Her belirli KB makalesi, CPU tarafından kullanılabilir Intel mikro kodu güncelleştirmelerini içerir.

Intel 11 Ocak 2018'de Spectre değişkeni 2'yi (CVE-2017-5715 | Dal Hedef Enjeksiyonu). Özellikle Intel, bu mikro kodun "beklenenden daha fazla yeniden başlatmaya ve diğer öngörülemeyen sistem davranışlarına" neden olabileceğini ve bu senaryoların "veri kaybına veya bozulmaya" neden olabileceğini belirtti. Deneyimlerimize göre, sistem kararsızlığı bazı durumlarda veri kaybına veya bozulmaya neden olabilmektedir. Intel 22 Ocak'ta, müşterilerin güncelleştirilen çözüm üzerinde ek testler gerçekleştirirken etkilenen işlemcilerde geçerli mikro kod sürümünü dağıtmayı durdurmalarını önerdi. Intel'in geçerli mikro kod sürümünün olası etkisini araştırmaya devam ettiğini anlıyoruz. Müşterilerimizi, kararları için bilgi sağlamak amacıyla kılavuzlarını sürekli olarak gözden geçirmeye teşvik ediyoruz.

Intel yeni mikro kodu test ederken, güncelleştirirken ve dağıtırken, özellikle yalnızca CVE-2017-5715'e karşı azaltmayı devre dışı bırakan bant dışı (OOB) bir güncelleştirme KB4078130 kullanıma sunuyoruz. Testlerimizde, bu güncelleştirmenin açıklanan davranışı engellediği tespit edildi. Cihazların tam listesi için Intel'in mikro kod düzeltme kılavuzuna bakın. Bu güncelleştirme, Windows 7 Service Pack 1 (SP1), Windows 8.1 ve istemci ve sunucu olmak üzere tüm Windows 10 sürümlerini kapsar. Etkilenen bir cihaz çalıştırıyorsanız bu güncelleştirme Microsoft Update Kataloğu web sitesinden indirilerek uygulanabilir. Bu yükün uygulanması özellikle yalnızca CVE-2017-5715'e karşı azaltmayı devre dışı bırakır.

Şu an itibariyle, bu Spectre Variant 2'nin (CVE-2017-5715 | Şube Hedef Enjeksiyonu) müşterilere saldırmak için kullanılmıştır. Intel cihazınız için bu öngörülemeyen sistem davranışının çözüldüğünü bildirdiğinde, uygun olduğunda Windows kullanıcılarının CVE 2017 5715'e karşı azaltmayı yeniden etkinleştirmelerini öneririz.

Intel'in mikro kod güncelleştirmeleri yayınladığını duydum. Bunları nerede bulabilirim?

Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu . Microsoft, Spectre Variant 2, Spectre Variant 2 (CVE-2017-5715 | Dal Hedef Enjeksiyonu). KB4093836 Windows sürümüne göre belirli bilgi bankası makalelerini listeler. KB'ler, CPU tarafından kullanılabilir Intel mikro kodu güncelleştirmelerini listeler.

Daha fazla bilgi için bkz. AMD Güvenlik GüncelleştirmelerGüncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimiyle İlgili Mimari Yönergeleri. Bunlar, OEM üretici yazılımı kanalından edinilebilir.

Nisan 2018 Güncelleştirmesi (sürüm 1803) Windows 10 çalıştırıyorum. Cihazım için Intel mikro kodu kullanılabilir mi? Nerede bulabilirim?

Spectre Variant 2 (CVE-2017-5715 | Dal Hedef Enjeksiyonu). Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesine (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olmaları gerekir.

Mikro kod güncelleştirmesi, sistem yükseltilmeden önce cihaza yüklenmediyse doğrudan Microsoft Update Kataloğu'ndan kullanılabilir. Intel mikro kodu Windows UpdateWindows Update, Windows ServerWindows Server Update Services (WSUS) veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için KB4100347 bölümüne bakın.

Yeni kurgusal yürütme tarafı kanal güvenlik açıkları (Tahmini Store Geçişi - CVE-2018-3639 ve Yetkisiz Sistem Kaydı Okuması - CVE-2018-3640) hakkında nereden bilgi edinebilirim?

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

Intel işlemcilerde Tahmini Mağaza Atlama Devre Dışı Bırakma (SSBD) için Windows desteği hakkında daha fazla bilgiyi nereden bulabilirim?

ADV180012 "Önerilen işlemler" ve "SSS" bölümlerine bakın | Spekülatif mağaza atlama için Microsoft kılavuzu.

Nasıl yaparım? SSBD'nin etkin mi yoksa devre dışı mı olduğunu nasıl belirler?

SSBD'nin durumunu doğrulamak için, Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirilmiştir. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için KB4074629 bakın.

"Tembel FP Durum Geri Yükleme" (CVE-2018-3665) hakkında bir şeyler duydum. Microsoft bunun için hafifletici etkenler yayınlayacak mı?

13 Haziran 2018'de, Lazy FP State Restore olarak bilinen yan kanal spekülatif yürütmeyi içeren ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Bu güvenlik açığı ve önerilen eylemler hakkında bilgi için Güvenlik Danışmanlığı ADV180016 | Tembel FP Durum Geri Yüklemesi için Microsoft Kılavuzu .

Notlar Lazy Restore FP Geri Yükleme için gerekli yapılandırma (kayıt defteri) ayarı yoktur.

CVE-2018-3693'ün (Bounds Check Bypass Store) Spectre ile ilgili olduğunu duydum. Microsoft bunun için hafifletici etkenler yayınlayacak mı?

Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Varyant 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızda herhangi bir BCBS örneğinden haberdar değiliz. Bununla birlikte, bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gerektiğinde risk azaltıcı etkenleri yayınlamak için endüstri iş ortaklarıyla birlikte çalışacağız. Araştırmacıların, kötüye kullanılabilir BCBS örnekleri de dahil olmak üzere Microsoft Tahmini Yürütme Tarafı Kanal ödül programına ilgili bulguları göndermelerini öneririz. Yazılım geliştiriciler, Kurgusal Yürütme Yan Kanalları için C++ Geliştirici Kılavuzu sayfasında BCBS için güncelleştirilen geliştirici kılavuzunu gözden geçirmelidir

L1 Terminal Hatasının (L1TF) açıklandığını duydum. Bununla ilgili daha fazla bilgiyi ve Windows desteğini nerede bulabilirim?

14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden fazla CVE atandı. Bu yeni kurgusal yürütme tarafı kanal güvenlik açıkları, belleğin içeriğini güvenilir bir sınırda okumak için kullanılabilir ve istismar edilirse bilgilerin açığa çıkmasına neden olabilir. Yapılandırılan ortama bağlı olarak, bir saldırganın güvenlik açıklarını tetikleyebileceği birden çok vektör vardır. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.

Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:

Cihazımda L1TF için Hyper-Threading Nasıl yaparım? devre dışı bırakılır?

Hyper-Threading devre dışı bırakma adımları OEM'den OEM'e farklılık gösterir, ancak genellikle BIOS veya üretici yazılımı kurulum ve yapılandırma araçlarının bir parçasıdır.

CVE-2017-5715'i azaltan ARM64 ürün yazılımını nereden edinebilirim \| Dal hedefi enjeksiyonu (Spectre Variant 2)?

64 bit ARM işlemcileri kullanan müşteriler, üretici yazılımı desteği için cihaz OEM'ine başvurmalıdır çünkü ARM64 işletim sistemi korumaları CVE-2017-5715 | Dal hedefi ekleme (Spectre, Variant 2) etkili olması için cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesini gerektirir.

Intel'in Mikro Mimari Veri Örneklemesi ile ilgili açıklaması (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) hakkında bilgileri nereden bulabilirim?

Daha fazla bilgi için aşağıdaki güvenlik önerilerine başvurun

Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmak için gerekli eylemleri belirlemek için senaryo tabanlı kılavuzu nerede bulabilirim?

Kurgusal yürütme tarafı kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla yönerge bulunabilir

Cihazımda MDS için Hyper-Threading devre dışı Nasıl yaparım??

Kurgusal yürütme tarafı kanal güvenlik açıklarına karşı korunmak için lütfen Windows kılavuzundaki kılavuza bakın

Azure için kılavuzu nereden bulabilirim?

Daha Azure kılavuz için lütfen şu makaleye bakın: Azure'da kurgusal yürütme tarafı kanal güvenlik açıklarının etkilerini azaltma kılavuzu.

Windows 10, sürüm 1809'da Retpoline etkinleştirme hakkında daha fazla bilgiyi nereden edinebilirim?

Retpoline etkinleştirme hakkında daha fazla bilgi için blog gönderimize bakın: Windows'ta Retpoline ile Spectre variant 2'yi azaltma .

Spectre Variant 1 spekülatif yürütme yan kanal güvenlik açığının bir çeşidi olduğunu duydum. Nereden daha fazla bilgi edinebilirim?

Bu güvenlik açığı hakkında ayrıntılı bilgi için Microsoft Güvenlik Kılavuzu'na bakın: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.

CVE-2019-1125 \| Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı Microsoft'un bulut hizmetlerini etkiliyor mu?

Bulut hizmeti altyapımızı etkileyen bu bilginin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.

CVE-2019-1125 \| Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı 9 Temmuz 2019'da yayınlandı, ayrıntılar neden 6 Ağustos 2019'da yayınlandı?

Bu sorunun farkına varır varmaz, hemen çözdük ve bir güncelleştirme yayınladık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de endüstri ortaklarıyla yakın ortaklıklara inanıyoruz ve koordineli güvenlik açığı açıklama uygulamalarıyla tutarlı olarak 6 Ağustos Salı gününe kadar ayrıntıları yayınlamadık.

Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) İşlemi Zaman Uyumsuz Durdurma güvenlik açığını (CVE-2019-11135) azaltmak için gerekli eylemleri belirlemek üzere senaryo tabanlı kılavuzu nerede bulabilirim?

Kurgusal yürütme tarafı kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla yönerge bulunabilir.

Cihazımdaki Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) İşlemi Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) için Hyper-Threading'ı devre dışı bırakmam gerekir mi?

Kurgusal yürütme tarafı kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla yönerge bulunabilir.

Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) özelliğini devre dışı bırakmanın bir yolu var mı?

Intel İşlem Tabanlı Eşitleme Uzantıları (Intel TSX) özelliğini devre dışı bırakma kılavuzu bölümünde daha fazla bilgi bulabilirsiniz.

Başvurular

Üçüncü taraf bilgileri hakkında bildirim

Bu makalede açıklanan üçüncü taraf ürünleri, Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliğiyle ilgili zımni veya başka türlü hiçbir garanti vermiyoruz.

Teknik destek bulmanıza yardımcı olmak için üçüncü tarafların iletişim bilgilerini sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmiyoruz.