Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Not: Ek bilgiler kullanıma sunulduğunda bu makale güncelleştirilecektir. Güncelleştirmeler ve yeni SSS için lütfen düzenli olarak buraya bakın.

Güvenlik açıkları

Bu makalede aşağıdaki kurgusal yürütme güvenlik açıkları ele arilmektedir:

Windows Update, Internet Explorer ve Edge risk azaltmaları da sağlar. Bu güvenlik açıkları sınıfına karşı bu risk azaltmaları iyileştirmeye devam edeceğiz.

Bu güvenlik açığı sınıfı hakkında daha fazla bilgi edinmek için bkz.

Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen ve ADV190013 |'de belgelenen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı Mikro mimari veri örnekleme. Bu kişilere aşağıdaki CVE'ler atanmış:

Önemli: Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer sistemleri etkiler. Müşterilere bu satıcılardan rehberlik almalarını öneririz.

Microsoft, bu güvenlik açıklarının azaltılmasına yardımcı olmak için güncelleştirmeler yayımladı. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Bu, cihaz OEM'lerinden mikro kod içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performansı etkiler. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Bu güncelleştirmelerin dağıtılması önemle önerilir.

Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın ve tehdidi azaltmak için gereken eylemleri belirlemek için senaryo tabanlı kılavuzu kullanın:

Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update'dan en son güncelleştirmelerin tümünü yüklemenizi öneririz.

6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayımladı. Bu güvenlik açığı Spectre Variant 1 kurgusal yürütme yan kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak atanmıştır.

9 Temmuz 2019'da bu sorunun azaltılmasına yardımcı olmak için Windows işletim sistemi için güvenlik güncelleştirmeleri yayımladık. 6 Ağustos 2019 Salı günü yapılan koordineli sektör açıklamasına kadar bu risk azaltmayı herkese açık olarak belgelediğimize dikkat edin.

Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Başka yapılandırma gerekmez.

Not: Bu güvenlik açığı, cihaz üreticinizden (OEM) bir mikro kod güncelleştirmesi gerektirmez.

Bu güvenlik açığı ve geçerli güncelleştirmeler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Güncelleştirmesi Kılavuzu:

12 Kasım 2019'da Intel, CVE-2019-11135 olarak atanan Intel® İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı hakkında teknik bir öneri yayımladı. Microsoft, bu güvenlik açığının azaltılmasına yardımcı olmak için güncelleştirmeler yayımladı ve işletim sistemi korumaları Windows Server 2019 için varsayılan olarak etkindir, ancak Windows Server 2016 ve önceki Windows Server işletim sistemi sürümleri için varsayılan olarak devre dışı bırakılmıştır.

14 Haziran 2022'de ADV220002 | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu ve bu CV'leri atadı: 

Önerilen eylemler

Güvenlik açıklarına karşı korumaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir:

  1. Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmelerini uygulayın.

  2. Cihaz üreticisi tarafından sağlanan ilgili üretici yazılımı (mikro kod) güncelleştirmesini uygulayın.

  3. Bu bilgi bankası makalesinde sağlanan bilgilere ek olarak, Microsoft Güvenlik Önerileri: ADV180002, ADV180012, ADV190013 ve ADV220002 ile sağlanan bilgilere göre ortamınıza yönelik riski değerlendirin.

  4. Bu bilgi bankası makalesinde sağlanan önerileri ve kayıt defteri anahtarı bilgilerini kullanarak gerektiği gibi işlem yapın.

Not: Surface müşterileri Windows Update aracılığıyla bir mikro kod güncelleştirmesi alır. En son Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.

Windows Server ve Azure Stack HCI için azaltma ayarları

GÜVENLIK önerileri ADV180002, ADV180012, ADV190013 ve ADV220002 bu güvenlik açıklarının neden olduğu riskler hakkında bilgi sağlar. Ayrıca güvenlik açıklarını belirlemenize ve Windows Server sistemleri için varsayılan risk azaltma durumunu belirlemenize yardımcı olur. Aşağıdaki tabloda CPU mikro kodu gereksinimi ve Windows Server'da risk azaltmaların varsayılan durumu özetlenmiştir.

CVE

CPU mikro kodu/üretici yazılımı mı gerekiyor?

Azaltma Varsayılan durumu

CVE-2017-5753

Hayır

Varsayılan olarak etkindir (devre dışı bırakma seçeneği yoktur)

Ek bilgi için lütfen ADV180002'ye bakın

CVE-2017-5715

Evet

Varsayılan olarak devre dışıdır.

Ek bilgi için lütfen ADV180002'ye ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakın.

Not Spectre Variant 2 (CVE-2017-5715) etkinse Windows 10 1809 veya daha yeni sürümünü çalıştıran cihazlar için "Retpoline" varsayılan olarak etkinleştirilir. "Retpoline" hakkında daha fazla bilgi için Windows'da Retpoline ile Spectre değişken 2'yi azaltma blog gönderisini izleyin.

CVE-2017-5754

Hayır

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir.
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.

Ek bilgi için lütfen ADV180002'ye bakın.

CVE-2018-3639

Intel: Evet

AMD: Hayır

Varsayılan olarak devre dışıdır. Daha fazla bilgi için ADV180012 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-11091

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir.
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-12126

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir.
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-12127

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir.
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-12130

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir.
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2019-11135

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir.
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.

Daha fazla bilgi için CVE-2019-11135 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2022-21123 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.* 

Daha fazla bilgi için CVE-2022-21123 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2022-21125 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.* 

Daha fazla bilgi için bkz . CVE-2022-21125 .

CVE-2022-21127 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.* 

Daha fazla bilgi için bkz . CVE-2022-21127 .

CVE-2022-21166 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.* 

Daha fazla bilgi için bkz . CVE-2022-21166 .

CVE-2022-23825 (AMD CPU Dal Türü Karışıklığı)

AMD: Hayır

Daha fazla bilgi için CVE-2022-23825 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2022-23816 (AMD CPU Dal Türü Karışıklığı)

AMD: Hayır

Daha fazla bilgi için CVE-2022-23816 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

*Aşağıdaki Meltdown için risk azaltma yönergelerini izleyin.

Bu güvenlik açıklarına karşı tüm kullanılabilir korumaları almak istiyorsanız, varsayılan olarak devre dışı bırakılan bu risk azaltmaları etkinleştirmek için kayıt defteri anahtarı değişiklikleri yapmanız gerekir.

Bu risk azaltmaların etkinleştirilmesi performansı etkileyebilir. Performans etkilerinin ölçeği, fiziksel konağınızdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır. Ortamınız için performans etkilerini değerlendirmenizi ve gerekli ayarlamaları yapmanızı öneririz.

Sunucunuz aşağıdaki kategorilerden birindeyse daha fazla risk altındadır:

  • Hyper-V konakları: VM-VM ve VM-konak saldırıları için koruma gerektirir.

  • Uzak Masaüstü Hizmetleri Konakları (RDSH): Bir oturumdan başka bir oturuma veya oturumdan ana bilgisayara saldırılara karşı koruma gerektirir.

  • Kapsayıcılar veya veritabanı için güvenilmeyen uzantılar, güvenilmeyen web içeriği veya dış kaynaklardan gelen kodu çalıştıran iş yükleri gibi güvenilmeyen kod çalıştıran fiziksel konaklar veya sanal makineler. Bunlar, güvenilmeyen işlemden diğerine veya güvenilmeyen işlemden çekirdeklere saldırılara karşı koruma gerektirir.

Sunucudaki risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri anahtarı ayarlarını kullanın ve değişikliklerin etkili olması için cihazı yeniden başlatın.

Not: Varsayılan olarak, kapalı olan risk azaltmaların etkinleştirilmesi performansı etkileyebilir. Gerçek performans etkisi, cihazdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır.

Kayıt defteri ayarları

Önemli: Güvenlik Önerileri ADV180002, ADV180012, ADV190013 ve ADV220002'de belirtildiği gibi varsayılan olarak etkinleştirilmeyen risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlıyoruz.

Ayrıca, Windows istemcileri için CVE-2017-5715 ve CVE-2017-5754 ile ilgili risk azaltmalarını devre dışı bırakmak istiyorsanız kayıt defteri anahtarı ayarlarını da sağlarız.

Önemli: Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft bilgi bankası'daki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

322756 Windows'da kayıt defterini yedekleme ve geri yükleme

Önemli: Spectre, Variant 2 (CVE-2017-5715) etkinse Retpoline varsayılan olarak Windows 10, sürüm 1809 sunucularda etkinleştirilir. Retpoline'in Windows 10 en son sürümünde etkinleştirilmesi, spectre değişken 2 için Windows 10, sürüm 1809 çalıştıran sunucularda, özellikle eski işlemcilerde performansı artırabilir.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için risk azaltmaları etkinleştirmek için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için risk azaltmaları devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Not: FeatureSettingsOverrideMask ayarının 3 olarak ayarlanması hem "etkinleştir" hem de "devre dışı bırak" ayarları için doğrudur. (Kayıt defteri anahtarları hakkında daha fazla ayrıntı için "SSS " bölümüne bakın.)

Değişken 2'yi devre dışı bırakmak için: (CVE-2017-5715  "Dal Hedefi Ekleme") azaltma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Değişken 2'yi etkinleştirmek için: (CVE-2017-5715  "Dal Hedef Ekleme") azaltma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Varsayılan olarak, CVE-2017-5715 için kullanıcıdan çekirdeklere koruma AMD CPU'lar için devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir.  Daha fazla bilgi için bkz. ADV180002'de SSS #15.

CVE 2017-5715 için diğer korumalarla birlikte AMD işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

CVE-2018-3639 (Tahmini Mağaza Atlama), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltmaları etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

CVE-2018-3639 (Tahmini Mağaza Atlama) VE CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltmaları devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Varsayılan olarak, AMD işlemciler için CVE-2017-5715 için kullanıcıdan çekirdeklere koruma devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir.  Daha fazla bilgi için bkz. ADV180002'de SSS #15.

CVE 2017-5715 için diğer korumalar ve CVE-2018-3639 (Kurgusal Mağaza Atlama) için korumalarla birlikte AMD işlemcilerinde kullanıcıdan çekirdeklere korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130) ve Spectre [CVE-2017-5753 & CVE-2017-5715] ve Meltdown [CVE-2017-5754] varyantları( Tahmini Mağaza Atlama Devre Dışı Bırakma (SSBD) [CVE-2018-3639 ] gibi ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646] Hyper-Threading devre dışı bırakılmadan:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130) ile birlikte Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ve Meltdown [ CVE-2017-5754 ] variants, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as ve L1 Terminal Hatası (L1TF) [ CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646 ] ve Hyper-Threading devre dışı:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130) ile birlikte Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ve Meltdown [ CVE-2017-5754 ] variants, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] as as ve L1 Terminal Hatası (L1TF) [ CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

AMD işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Tamamen korunabilmek için müşterilerin Hyper-Threading (Eşzamanlı Çoklu İş Parçacığı Oluşturma (SMT) olarak da bilinir) devre dışı bırakması gerekebilir. Windows cihazlarını koruma yönergeleri için bkz. KB4073757.

Korumaların etkinleştirildiğini doğrulama

Korumaların etkinleştirildiğini doğrulamaya yardımcı olmak için cihazlarınızda çalıştırabileceğiniz bir PowerShell betiği yayımladık. Aşağıdaki yöntemlerden birini kullanarak betiği yükleyin ve çalıştırın.

PowerShell Modülünü yükleyin:

PS> Install-Module SpeculationControl

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet ScriptCenter'nden PowerShell modülünü yükleyin:

  1. https://aka.ms/SpeculationControlPS gidin.

  2. SpeculationControl.zip yerel bir klasöre indirin.

  3. İçeriği yerel bir klasöre ayıklayın. Örneğin: C:\ADV180002

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın:

PowerShell'i başlatın ve aşağıdaki komutları kopyalayıp çalıştırmak için önceki örneği kullanın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell betiğinin çıktısının ayrıntılı açıklaması için bkz. KB4074629

Sık sorulan sorular

Müşteri cihazlarını olumsuz yönde etkilememeye yardımcı olmak için Ocak ve Şubat 2018'de yayımlanan Windows güvenlik güncelleştirmeleri tüm müşterilere sunulmadı. Ayrıntılar için bkz . KB407269 .

Mikro kod bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. Bilgisayarınız için uygun güncelleştirmeye sahip üretici yazılımı sürümü hakkında OEM'nize başvurun.

Sistem sürümünden çalışmakta olan iş yüklerine kadar performansı etkileyen birden çok değişken vardır. Bazı sistemlerde performans etkisi göz ardı edilebilir. Diğerleri için önemli olacaktır.

Sistemlerinizdeki performans etkilerini değerlendirmenizi ve gerekli ayarlamaları yapmanızı öneririz.

Bu makaledeki sanal makinelerle ilgili yönergelere ek olarak, sanal makinelerinizi çalıştıran konakların yeterli şekilde korunduğundan emin olmak için hizmet sağlayıcınıza başvurmanız gerekir.

Azure'da çalışan Windows Server sanal makineleri için bkz. Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma yönergeleri. Konuk VM'lerde bu sorunu azaltmak için Azure Güncelleştirme Yönetimi'ni kullanma yönergeleri için bkz. KB4077467.

Windows Server 2016 ve Windows 10, sürüm 1709 için Windows Server kapsayıcı görüntüleri için yayımlanan güncelleştirmeler, bu güvenlik açıkları kümesinin risk azaltmalarını içerir. Ek yapılandırma gerekmez.

Not Yine de bu kapsayıcıların üzerinde çalıştığı konağın uygun azaltmaları etkinleştirecek şekilde yapılandırıldığından emin olmanız gerekir.

Hayır, yükleme sırası önemli değil.

Evet, üretici yazılımı (mikrokod) güncelleştirmesinin ardından ve sistem güncelleştirmesinin ardından yeniden başlatmanız gerekir.

Kayıt defteri anahtarlarının ayrıntıları şunlardır:

FeatureSettingsOverride , varsayılan ayarı geçersiz kılan ve hangi azaltmaların devre dışı bırakılacağını denetleyen bir bit eşlemi temsil eder. Bit 0, CVE-2017-5715'e karşılık gelen azaltmayı denetler. Bit 1, CVE-2017-5754'e karşılık gelen azaltmayı denetler. Bitler, azaltmayı etkinleştirmek için 0 , azaltmayı devre dışı bırakmak için 1 olarak ayarlanır.

FeatureSettingsOverrideMask , FeatureSettingsOverride ile birlikte kullanılan bit eşlem maskesini temsil eder.  Bu durumda, kullanılabilir azaltmalara karşılık gelen ilk iki biti belirtmek için 3 değerini (ikili sayı veya temel 2 sayı sisteminde 11 olarak temsil edilir) kullanırız. Bu kayıt defteri anahtarı, azaltmaları etkinleştirmek veya devre dışı bırakmak için 3 olarak ayarlanır.

MinVmVersionForCpuBasedMitigations , Hyper-V konakları içindir. Bu kayıt defteri anahtarı, güncelleştirilmiş üretici yazılımı özelliklerini (CVE-2017-5715) kullanmanız için gereken en düşük VM sürümünü tanımlar. Tüm VM sürümlerini kapsayacak şekilde bunu 1.0 olarak ayarlayın. Bu kayıt defteri değerinin Hyper-V olmayan konaklarda yoksayılacağına (zararsız) dikkat edin. Diğer ayrıntılar için bkz. CVE-2017-5715'ten konuk sanal makineleri koruma (dal hedefi ekleme).

Evet, Ocak 2018 ile ilgili düzeltmeler yüklenmeden önce bu kayıt defteri ayarları uygulanırsa hiçbir yan etkisi yoktur.

Evet, henüz kullanılabilir üretici yazılımı güncelleştirmesi bulunmayan Windows Server 2016 Hyper-V konakları için, saldırıları barındırmak için VM'yi VM'ye veya VM'ye azaltmaya yardımcı olabilecek alternatif yönergeler yayımladık. Bkz. Windows Server 2016 Hyper-V Konakları için kurgusal yürütme yan kanal güvenlik açıklarına karşı alternatif korumalar.

Yalnızca güvenlik güncelleştirmeleri toplu değildir. İşletim sistemi sürümünüze bağlı olarak, tam koruma için birkaç güvenlik güncelleştirmesi yüklemeniz gerekebilir. Genel olarak müşterilerin Ocak, Şubat, Mart ve Nisan 2018 güncelleştirmelerini yüklemesi gerekir. AMD işlemcileri olan sistemlerin aşağıdaki tabloda gösterildiği gibi ek bir güncelleştirmeye ihtiyacı vardır:

İşletim Sistemi sürümü

Güvenlik Güncelleştirmesi

Windows 8.1, Windows Server 2012 R2

KB4338815 - Aylık Toplama

KB4338824- Yalnızca güvenlik

Windows 7 SP1, Windows Server 2008 R2 SP1 veya Windows Server 2008 R2 SP1 (Sunucu Çekirdeği yüklemesi)

KB4284826 - Aylık Toplama

KB4284867 - Yalnızca Güvenlik

Windows Server 2008 SP2

KB4340583 - Güvenlik Güncelleştirmesi

Yalnızca güvenlik güncelleştirmelerini yayın sırasına göre yüklemenizi öneririz.

Not: Bu SSS'nin önceki bir sürümü, Yalnızca Güvenlikle İlgili Şubat güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiğini yanlış belirtiyordu. Aslında, öyle değil.

Hayır. KB4078130 güvenlik güncelleştirmesi, mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve beklenmeyen yeniden başlatmaları önlemeye yönelik belirli bir düzeltmedir. Windows istemci işletim sistemlerinde güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da etkinleştirir. Windows Server işletim sistemlerinde, düzgün test yaptıktan sonra da risk azaltmaları etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . KB4072698.

Bu sorun KB4093118 tarafından giderilmiştir.

Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu . Microsoft, Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyor Dal Hedefi Ekleme). KB4093836, Windows sürümüne göre belirli bilgi bankası makaleleri listeler. Belirli her KB makalesi, CPU'ya göre kullanılabilir Intel mikro kod güncelleştirmelerini içerir.

11 Ocak 2018'de Intel,  spectre değişken 2'yi (CVE-2017-5715 |) ele almak üzere yakın zamanda yayımlanan mikro kodda sorunlar bildirdi Dal Hedefi Ekleme). Özellikle Intel, bu mikro kodun "beklenenden daha yüksek yeniden başlatmalara ve diğer öngörülemeyen sistem davranışlarına" neden olabileceğini ve bu senaryoların "veri kaybına veya bozulmasına neden olabileceğini" belirtmektedir."Deneyimlerimiz, sistem dengesizliklerinin bazı durumlarda veri kaybına veya bozulmasına neden olabileceğidir. Intel, 22 Ocak'ta müşterilerin etkilenen işlemcilere geçerli mikro kod sürümünü dağıtmayı durdurmasını önerirken Intel, güncelleştirilmiş çözüm üzerinde ek test gerçekleştirir. Intel'in geçerli mikro kod sürümünün olası etkisini araştırmaya devam ettiğini anlıyoruz. Müşterilerin kararlarını bildirmek için kılavuzlarını sürekli olarak gözden geçirmelerini öneririz.

Intel yeni mikro kodu test ederken, güncelleştirir ve dağıtırken, özellikle CVE-2017-5715'e karşı yalnızca azaltmayı devre dışı bırakmaya yönelik bant dışı (OOB) bir güncelleştirme (KB4078130) kullanıma sunuluyor. Yaptığımız testte, açıklanan davranışı önlemek için bu güncelleştirme bulundu. Cihazların tam listesi için Intel'in mikro kod düzeltme kılavuzuna bakın. Bu güncelleştirme Windows 7 Service Pack 1 (SP1), Windows 8.1 ve hem istemci hem de sunucu Windows 10 tüm sürümlerini kapsar. Etkilenen bir cihaz çalıştırıyorsanız, bu güncelleştirme Microsoft Update Kataloğu web sitesinden indirilerek uygulanabilir. Bu yükün uygulanması, CVE-2017-5715'e karşı yalnızca azaltmayı özellikle devre dışı bırakır.

Şu anda bu Spectre Variant 2'nin (CVE-2017-5715 – "Dal Hedefi Ekleme") müşterilere saldırmak için kullanıldığını gösteren bilinen bir rapor yoktur. Uygun olduğunda, Intel cihazınız için bu öngörülemeyen sistem davranışının çözümlendiğini bildirdiğinde Windows kullanıcılarının CVE-2017-5715'e karşı azaltmayı yeniden etkinleştirmesini öneririz.

Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarınıduyurdu . Microsoft, Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | ile ilgili Intel tarafından doğrulanmış mikro kod güncelleştirmelerini kullanıma sunmaktadır Dal Hedefi Ekleme). KB4093836, Windows sürümüne göre belirli bilgi bankası makaleleri listeler. KB'ler, CPU'ya göre kullanılabilir Intel mikro kod güncelleştirmelerini listeler.

Daha fazla bilgi için bkz. AMD Güvenlik Güncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimi Ile İlgili Mimari Yönergeleri . Bunlar OEM üretici yazılımı kanalından kullanılabilir.

Spectre Variant 2 (CVE-2017-5715 – "Dal Hedef Ekleme " ile ilgili Intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyoruz. Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.

Mikro kod güncelleştirmesi, sistemi yükseltmeden önce cihaza yüklenmediyse doğrudan Microsoft Update Kataloğu'ndan da kullanılabilir. Intel mikro kodu Windows Update, Windows Server Update Services (WSUS) veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB4100347.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

ADV180012 | "Önerilen eylemler" ve "SSS" bölümlerine   bakınKurgusal Mağaza Atlama için Microsoft Kılavuzu.

SSBD'nin durumunu doğrulamak için Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirildi. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için bkz. KB4074629.

13 Haziran 2018'de, Gecikmeli FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyi içeren ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Bu güvenlik açığı ve önerilen eylemler hakkında bilgi için bkz. Güvenlik Önerisi ADV180016 | Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu .

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Gecikmeli Geri Yükleme FP Geri Yükleme için gerekli yapılandırma (kayıt defteri) ayarı yoktur.

Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Değişken 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızdaki BCBS örneklerinin hiçbirinin farkında değiliz. Bununla birlikte, bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve sektör iş ortaklarıyla birlikte çalışarak risk azaltmaları gerektiği gibi serbest bırakacağız. Araştırmacıları, BCBS'nin herhangi bir sömürülebilir örneği de dahil olmak üzere Microsoft Kurgusal Yürütme Tarafı Kanalı ödül programına ilgili bulguları göndermelerini öneririz. Yazılım geliştiricileri, Kurgusal Yürütme Tarafı Kanalları için C++ Geliştirici Kılavuzu'nda BCBS için güncelleştirilen geliştirici kılavuzunu gözden geçirmelidir 

14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Yapılandırılan ortama bağlı olarak saldırganın güvenlik açıklarını tetikleyebileceği birden çok vektör vardır. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.

Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:

Hyper-Threading devre dışı bırakma adımları OEM'den OEM'e farklılık gösterir ancak genellikle BIOS veya üretici yazılımı kurulum ve yapılandırma araçlarının bir parçasıdır.

CVE-2017-5715'i azaltan ARM64 işletim sistemi korumaları | için 64 bit ARM işlemci kullanan müşterilerin üretici yazılımı desteği için cihaz OEM'sine başvurması gerekir Dal hedefi ekleme (Spectre, Variant 2), cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesinin etkili olmasını gerektirir.

Azure kılavuzu için lütfen şu makaleye bakın: Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma kılavuzu.

Retpoline etkinleştirmesi hakkında daha fazla bilgi için blog gönderimize bakın: Windows üzerinde Retpoline ile Spectre değişken 2'yi azaltma .

Bu güvenlik açığı hakkında ayrıntılar için bkz. Microsoft Güvenlik Kılavuzu: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.

Bulut hizmeti altyapımızı etkileyen bu bilgilerin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.

Bu sorunun farkına vardığımız anda bu sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de sektör iş ortakları ile yakın iş ortaklıklarına kesinlikle inanıyoruz ve 6 Ağustos Salı gününe kadar eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayımlamadık.

Başvurular

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×