Not: Ek bilgiler kullanıma sunulduğunda bu makale güncelleştirilecektir. Güncelleştirmeler ve yeni SSS için lütfen düzenli olarak buraya bakın.

Güvenlik açıkları

Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı. Bu güvenlik açıkları aşağıdaki CVE'lerde ele alınmaktadır:

Önemli: Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer işletim sistemlerini etkiler. Bu ilgili satıcılardan rehberlik almanızı öneririz.

Bu güvenlik açıklarını azaltmaya yardımcı olmak için güncelleştirmeler yayımladık. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Bu, cihaz OEM'lerinden mikro kod içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performansı etkiler. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Bu güncelleştirmelerin dağıtılması önemle önerilir.

Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın ve tehdidi azaltmak için gereken eylemleri belirlemek için senaryo tabanlı kılavuzu kullanın:

Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update'dan en son güncelleştirmelerin tümünü yüklemenizi öneririz.

6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayımladı. Bu güvenlik açığı Spectre Variant 1 kurgusal yürütme yan kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak atanmıştır.

9 Temmuz 2019'da bu sorunun azaltılmasına yardımcı olmak için Windows işletim sistemi için güvenlik güncelleştirmeleri yayımladık. 6 Ağustos 2019 Salı günü yapılan koordineli sektör açıklamasına kadar bu risk azaltmayı herkese açık olarak belgelediğimize dikkat edin.

Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Başka yapılandırma gerekmez.

Not: Bu güvenlik açığı, cihaz üreticinizden (OEM) bir mikro kod güncelleştirmesi gerektirmez.

Bu güvenlik açığı ve geçerli güncelleştirmeler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Güncelleştirmesi Kılavuzu:

12 Kasım 2019'da Intel, CVE-2019-11135 olarak atanan Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı hakkında teknik bir öneri yayımladı. Bu güvenlik açığının azaltılmasına yardımcı olacak güncelleştirmeler yayımladık. Varsayılan olarak, işletim sistemi korumaları Windows İstemcisi işletim sistemi sürümleri için etkinleştirilir.

14 Haziran 2022'de ADV220002 | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu. Güvenlik açıkları aşağıdaki CVE'lerde atanır:

Önerilen eylemler

Bu güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir:

  1. Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmelerini uygulayın.

  2. Cihaz üreticisi tarafından sağlanan ilgili üretici yazılımı (mikro kod) güncelleştirmesini uygulayın.

  3. Bu makalede sağlanan bilgilere ek olarak, Microsoft Güvenlik Önerileri ADV180002, ADV180012, ADV190013 ve ADV220002'desağlanan bilgilere göre ortamınıza yönelik riski değerlendirin.

  4. Bu makalede sağlanan danışmanları ve kayıt defteri anahtarı bilgilerini kullanarak gerektiği gibi işlem yapın.

Not: Surface müşterileri Windows update aracılığıyla bir mikro kod güncelleştirmesi alır. Kullanılabilir en son Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.

Windows istemcileri için azaltma ayarları

ADV180002, ADV180012, ADV190013 ve ADV220002 güvenlik açıklarının neden olduğu riskler ve Windows istemci sistemleri için varsayılan risk azaltma durumunu belirlemenize nasıl yardımcı oldukları hakkında bilgi sağlar. Aşağıdaki tabloda CPU mikro kodu gereksinimi ve Windows istemcilerindeki risk azaltmaların varsayılan durumu özetlenmektedir.

CVE

CPU mikro kodu/üretici yazılımı mı gerekiyor?

Azaltma Varsayılan durumu

CVE-2017-5753

Hayır

Varsayılan olarak etkindir (devre dışı bırakma seçeneği yoktur)

Ek bilgi için lütfen ADV180002'ye bakın.

CVE-2017-5715

Evet

Varsayılan olarak etkindir. AMD işlemcilerini temel alan sistemlerin kullanıcıları SSS #15'i ve ARM işlemci kullanıcıları ek eylem için ADV180002'de SSS #20'ye ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakmalıdır.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Varsayılan olarak, Spectre Variant 2 (CVE-2017-5715) etkinse Retpoline Windows 10, sürüm 1809 veya üzerini çalıştıran cihazlar için etkinleştirilir. Retpoline hakkında daha fazla bilgi için Windows'da Retpoline ile Spectre değişken 2'yi Azaltma blog gönderisindeki yönergeleri izleyin.

CVE-2017-5754

Hayır

Varsayılan olarak etkin

Ek bilgi için lütfen ADV180002'ye bakın.

CVE-2018-3639

Intel: Evet
AMD: Hayır
ARM: Evet

Intel ve AMD: Varsayılan olarak devre dışıdır. Daha fazla bilgi için ADV180012 ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakın.

ARM: Devre dışı bırakma seçeneği olmadan varsayılan olarak etkindir.

CVE-2019-11091

Intel: Evet

Varsayılan olarak etkindir.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-12126

Intel: Evet

Varsayılan olarak etkindir.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-12127

Intel: Evet

Varsayılan olarak etkindir.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2018-12130

Intel: Evet

Varsayılan olarak etkindir.

Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2019-11135

Intel: Evet

Varsayılan olarak etkindir.

Daha fazla bilgi için CVE-2019-11135 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2022-21123 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır. 

Daha fazla bilgi için CVE-2022-21123 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2022-21125 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır. 

Daha fazla bilgi için bkz . CVE-2022-21125 .

CVE-2022-21127 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Server 2019, Windows Server 2022: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır. 

Daha fazla bilgi için bkz . CVE-2022-21127 .

CVE-2022-21166 (MMIO ADV220002'nin bir parçası)

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir. 
Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır. 

Daha fazla bilgi için bkz . CVE-2022-21166 .

CVE-2022-23825 (AMD CPU Dal Türü Karışıklığı)

AMD: Hayır

Daha fazla bilgi için CVE-2022-23825 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

CVE-2022-23816 (AMD CPU Dal Türü Karışıklığı)

AMD: Hayır

Daha fazla bilgi için CVE-2022-23816ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın.

Not: Varsayılan olarak, kapalı olan azaltmaların etkinleştirilmesi cihaz performansını etkileyebilir. Gerçek performans etkisi, cihazdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır.

Kayıt defteri ayarları

Güvenlik Önerileri ADV180002 ve ADV180012'de belirtildiği gibi varsayılan olarak etkin olmayan risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlarız. Ayrıca, Windows istemcileri için CVE-2017-5715 ve CVE-2017-5754 ile ilgili azaltmaları devre dışı bırakmak isteyen kullanıcılar için kayıt defteri anahtarı ayarları sağlıyoruz.

Önemli: Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki aşağıdaki makaleye bakın:

322756 Windows'da kayıt defterini yedekleme ve geri yükleme

Önemli: Spectre, Variant 2 (CVE-2017-5715) etkinse Retpoline varsayılan olarak Windows 10, sürüm 1809 cihazlarda etkinleştirilir. Retpoline'in en son Windows 10 sürümünde etkinleştirilmesi, spectre değişken 2 için Windows 10, sürüm 1809 çalıştıran cihazlarda, özellikle eski işlemcilerde performansı artırabilir.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için varsayılan azaltmaları etkinleştirmek için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için risk azaltmaları devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Not:  FeatureSettingsOverrideMask için hem "etkinleştir" hem de "devre dışı bırak" ayarları için 3 değeri doğrudur. (Kayıt defteri anahtarları hakkında daha fazla bilgi için "SSS" bölümüne bakın.)

CVE-2017-5715 (Spectre Variant 2) için azaltmaları devre dışı bırakmak için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için varsayılan azaltmaları etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Varsayılan olarak, CVE-2017-5715 için kullanıcıdan çekirdeklere koruma AMD ve ARM CPU'lar için devre dışı bırakılmıştır. CVE-2017-5715 için ek korumalar almak için azaltmayı etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. AMD işlemciler için ADV180002'de SSS #15 ve ARM işlemciler için ADV180002'de SSS #20.

CVE 2017-5715 için diğer korumalarla birlikte AMD ve ARM işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

CVE-2018-3639 (Tahmini Mağaza Atlama), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için varsayılan azaltmaları etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Not: AMD işlemcileri CVE-2017-5754'e (Meltdown) karşı savunmasız değildir. Bu kayıt defteri anahtarı, AMD işlemcilerde CVE-2017-5715 için varsayılan azaltmaları ve CVE-2018-3639 için azaltmayı etkinleştirmek için AMD işlemcili sistemlerde kullanılır.

CVE-2018-3639 (Tahmini Mağaza Atlama) *ve* düzeltmelerini CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Varsayılan olarak, AMD işlemciler için CVE-2017-5715 için kullanıcıdan çekirdeklere koruma devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir.  Daha fazla bilgi için bkz. ADV180002'de SSS #15.

CVE 2017-5715 için diğer korumalar ve CVE-2018-3639 (Kurgusal Mağaza Atlama) korumalarıyla birlikte AMD işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örneklemesi (CVE-2) için azaltmaları etkinleştirmek için019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) Spectre (CVE-2017-5753 & CVE-2017-5715) ve Meltdown (CVE-2017-5754) varyantlarıyla birlikte, Spekülatif Mağaza Atlama Devre Dışı Bırakma (SSBD) (CVE-2018-3639) ve L1 Terminal Hatası (L1TF) (CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646) Hyper-Threading'i devre dışı bırakmadan:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örneklemesi (CVE-2) için azaltmaları etkinleştirmek için019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) Spectre (CVE-2017-5753 & CVE-2017-5715) ve Meltdown (CVE-2017-5754) varyantlarıyla birlikte, Spekülatif Mağaza Atlama Devre Dışı Bırakma (SSBD) (CVE-2018-3639) ve L1 Terminal Hatası (L1TF) (CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646) Hyper-Threading devre dışı bırakılmıştır:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir.

Değişikliklerin etkili olması için cihazı yeniden başlatın.

Intel® İşlem Eşitleme Uzantıları (Intel® TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme( CVE-2) için azaltmaları devre dışı bırakmak için019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) Spectre (CVE-2017-5753 & CVE-2017-5715) ve Meltdown (CVE-2017-5754) varyantlarıyla birlikte, Spekülatif Mağaza Atlama Devre Dışı Bırakma (SSBD) (CVE-2018-3639) ve L1 Terminal Hatası (L1TF) (CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için cihazı yeniden başlatın.

AMD işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Tamamen korunabilmek için müşterilerin Hyper-Threading (Eşzamanlı Çoklu İş Parçacığı Oluşturma (SMT) olarak da bilinir) devre dışı bırakması gerekebilir. Windows cihazlarını koruma yönergeleri için bkz. KB4073757

Korumaların etkinleştirildiğini doğrulama

Korumaların etkinleştirildiğini doğrulamaya yardımcı olmak için cihazlarınızda çalıştırabileceğiniz bir PowerShell betiği yayımladık. Aşağıdaki yöntemlerden birini kullanarak betiği yükleyin ve çalıştırın.

PowerShell Modülünü yükleyin:

PS> Install-Module SpeculationControl

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın:

PS> # Geçerli yürütme ilkesini sıfırlanacak şekilde kaydedin

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Yürütme ilkesini özgün duruma sıfırlama

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet ScriptCenter'nden PowerShell Modülünü yükleyin:

https://aka.ms/SpeculationControlPS'a gidin

SpeculationControl.zip yerel bir klasöre indirin.

İçeriği yerel bir klasöre ayıklama, örneğin C:\ADV180002

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın:

PowerShell'i başlatın, ardından (önceki örneği kullanarak) aşağıdaki komutları kopyalayın ve çalıştırın:

PS> # Geçerli yürütme ilkesini sıfırlanacak şekilde kaydedin

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Yürütme ilkesini özgün duruma sıfırlama

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell betiğinin çıktısının ayrıntılı açıklaması için bkz. KB4074629.

Sık sorulan sorular

Mikro kod bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. Intels Mikro Kod Düzeltme Kılavuzu da dahil olmak üzere, CPU (yonga kümesi) ve cihaz üreticilerinize kendi cihazları için geçerli üretici yazılımı güvenlik güncelleştirmelerinin kullanılabilirliğini denetlemeniz gerekir.

Yazılım güncelleştirmesi aracılığıyla bir donanım güvenlik açığının giderilmesi önemli zorluklara neden olabilir. Ayrıca, eski işletim sistemleri için azaltmalar kapsamlı mimari değişiklikler gerektirir. Etkilenen yonga üreticileriyle birlikte çalışarak, gelecekteki güncelleştirmelerde sağlanabilir risk azaltmaları sağlamanın en iyi yolunu belirlemek için çalışıyoruz.

Microsoft Surface cihazları için Güncelleştirmeler, Windows işletim sistemi güncelleştirmeleriyle birlikte Windows Update aracılığıyla müşterilere teslim edilecek. Kullanılabilir Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.

Cihazınız Microsoft'tan değilse, cihaz üreticisinin üretici yazılımını uygulayın. Daha fazla bilgi için OEM cihaz üreticisine başvurun.

Microsoft, Şubat ve Mart 2018'de bazı x86 tabanlı sistemler için ek koruma yayımladı. Daha fazla bilgi için bkz . KB4073757 ve Microsoft Güvenlik Danışmanlığı ADV180002.

HoloLens için Güncelleştirmeler Windows 10 Windows Update aracılığıyla HoloLens müşterileri tarafından kullanılabilir.

Şubat 2018 Windows Güvenliği Güncelleştirmesini uyguladıktan sonra HoloLens müşterilerinin cihaz üretici yazılımını güncelleştirmek için ek bir işlem yapması gerekmez. Bu risk azaltmalar, HoloLens için Windows 10'nin gelecekteki tüm sürümlerine de dahil edilecek.

Hayır. Yalnızca Güvenlik güncelleştirmeleri toplu değildir. Çalıştırdığınız işletim sistemi sürümüne bağlı olarak, bu güvenlik açıklarına karşı korunmak için her aylık Yalnızca Güvenlik Güncelleştirmelerini yüklemeniz gerekir. Örneğin, etkilenen bir Intel CPU üzerinde 32 bit Sistemler için Windows 7 çalıştırıyorsanız, tüm Yalnızca Güvenlik güncelleştirmelerini yüklemeniz gerekir. Bu Yalnızca Güvenlik güncelleştirmelerini yayın sırasına göre yüklemenizi öneririz.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu SSS'nin önceki bir sürümü, Yalnızca Şubat Güvenlik güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiğini yanlış belirtmektedir. Aslında, öyle değil.

Hayır. Güvenlik güncelleştirmesi 4078130, mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve/veya beklenmeyen yeniden başlatmaları önlemeye yönelik belirli bir düzeltmeydi. Windows istemci işletim sistemlerine Şubat güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da etkinleştirir.

Intel kısa süre önce doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri sunmaktadır. KB4093836, Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. Belirli her KB, CPU'ya göre kullanılabilir Intel mikro kod güncelleştirmelerini içerir.

Bu sorun KB4093118 tarafından giderilmiştir.

AMD kısa süre önce Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") çevresindeki daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Daha fazla bilgi için BKZ. AMD Güvenlik Güncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimi Ile İlgili Mimari Yönergeleri. Bunlar OEM üretici yazılımı kanalından kullanılabilir.

Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme " ) ile ilgili Intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyoruz. Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.

Mikro kod güncelleştirmesi, işletim sistemini yükseltmeden önce cihaza yüklenmediyse doğrudan Katalog'dan da kullanılabilir. Intel mikro kodu Windows Update, WSUS veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB4100347.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

Ayrıntılar için ADV180012 |'deki "Önerilen eylemler" ve "SSS" bölümlerine bakın Kurgusal Mağaza Atlama için Microsoft Kılavuzu.

SSBD'nin durumunu doğrulamak için, Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirildi. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için bkz. KB4074629.

13 Haziran 2018'de, Lazy FP State Restore olarak bilinen yan kanal kurgusal yürütmeyle ilgili ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.

Bu güvenlik açığı hakkında daha fazla bilgi edinmek ve önerilen eylemler için ADV180016 | güvenlik önerisine bakın Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu.

Not: Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.

Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Değişken 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızdaki BCBS örneklerinin farkında değiliz, ancak bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gerekli azaltmaları yayınlamak için sektör iş ortaklarıyla birlikte çalışacağız. Araştırmacıları, BCBS'nin sömürülebilir örnekleri de dahil olmak üzere Microsoft'un Kurgusal Yürütme Tarafı Kanalı ödül programına ilgili bulguları göndermeye teşvik etmeye devam ediyoruz. Yazılım geliştiricileri, https://aka.ms/sescdevguide'de BCBS için güncelleştirilen geliştirici kılavuzunu gözden geçirmelidir.

14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Saldırgan, yapılandırılan ortama bağlı olarak güvenlik açıklarını birden çok vektör aracılığıyla tetikleyebilir. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.

Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:

CVE-2017-5715'i azaltan ARM64 işletim sistemi korumaları | için 64 bit ARM işlemci kullanan müşterilerin üretici yazılımı desteği için cihaz OEM'sine bakması gerekir Dal hedefi ekleme (Spectre, Variant 2), cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesinin etkili olmasını gerektirir.

Azure kılavuzu için lütfen şu makaleye bakın: Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma kılavuzu.  

Retpoline etkinleştirmesi hakkında daha fazla bilgi için blog gönderimize bakın: Windows'da Retpoline ile Spectre değişken 2'yi azaltma

Bu güvenlik açığı hakkında ayrıntılar için bkz. Microsoft Güvenlik Kılavuzu: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.

Bulut hizmeti altyapımızı etkileyen bu bilgilerin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.

Bu sorunun farkına vardığımız anda bu sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de sektör iş ortakları ile yakın iş ortaklıklarına kesinlikle inanıyoruz ve 6 Ağustos Salı gününe kadar eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayımlamadık.

Başvurular

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×