Önerilen eylemler

Müşteriler güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri yapmalıdır:

  1. Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere kullanılabilir tüm Windows işletim sistemi güncelleştirmelerini uygulayın.

  2. Aygıt üreticisi tarafından sağlanan geçerli firmware (mikrokod) güncelleştirmesini uygulayın.

  3. Microsoft Güvenlik Danışma Belgelerinde sağlanan bilgilere göre çevrenize yönelik riski değerlendirin: ADV180002, ADV180012, ADV190013ve bu Bilgi Bankası makalesinde sağlanan bilgiler.

  4. Bu Bilgi Bankası makalesinde sağlanan danışma ve kayıt defteri anahtar bilgilerini kullanarak gerektiği gibi harekete geçin.

Not Yüzey müşterileri Windows güncelleştirmesi aracılığıyla bir mikrokod güncelleştirmesi alır. En son Surface device firmware (mikrokod) güncellemelerinin listesi için KB 4073065'ebakın.

Windows Server için Azaltma Ayarları

ADV180002, ADV180012ve ADV190013 güvenlik danışma ları, bu güvenlik açıklarının oluşturduğu risk hakkında bilgi sağlar.  Ayrıca, bu güvenlik açıklarını belirlemenize ve Windows Server sistemleri için varsayılan azaltıcı etkenler durumunu belirlemenize de yardımcı olur. Aşağıdaki tabloda CPU mikrokodu gereksinimi ve Windows Server'daki azaltımların varsayılan durumu özetlenmiştir.

Cve

CPU mikrokodu/firmware gerektirir?

Azaltma Varsayılan durumu

CVE-2017-5753

Hayır

Varsayılan olarak etkinleştirildi (devre dışı düşme seçeneği yok)

Daha fazla bilgi için lütfen ADV180002'ye bakın

CVE-2017-5715

Evet

Varsayılan olarak devre dışı bırakılır.

Ek bilgi için lütfen ADV180002'ye ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakın.

Not Spectre Variant 2 (CVE-2017-5715) etkinse, Windows 10 1809 veya daha yeni çalıştıran aygıtlar için varsayılan olarak "Retpoline" etkinleştirilir. Daha fazla bilgi için , "Retpoline" etrafında, Windows blog gönderisi Üzerinde Retpoline ile Azaltıcı Spectre varyant 2 izleyin.

CVE-2017-5754

Hayır

Windows Server 2019: Varsayılan olarak etkinleştirildi. Windows Server 2016 ve daha önce: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi için lütfen ADV180002'ye bakın.

CVE-2018-3639

Intel: Evet

AMD: Hayır

Varsayılan olarak devre dışı bırakılır. Daha fazla bilgi ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesi için ADV180012'ye bakın.

CVE-2018-11091

Intel: Evet

Windows Server 2019: Varsayılan olarak etkinleştirildi. Windows Server 2016 ve daha önce: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesi için ADV190013'e bakın.

CVE-2018-12126

Intel: Evet

Windows Server 2019: Varsayılan olarak etkinleştirildi. Windows Server 2016 ve daha önce: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesi için ADV190013'e bakın.

CVE-2018-12127

Intel: Evet

Windows Server 2019: Varsayılan olarak etkinleştirildi. Windows Server 2016 ve daha önce: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesi için ADV190013'e bakın.

CVE-2018-12130

Intel: Evet

Windows Server 2019: Varsayılan olarak etkinleştirildi. Windows Server 2016 ve daha önce: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesi için ADV190013'e bakın.

CVE-2019-11135

Intel: Evet

Windows Server 2019: Varsayılan olarak etkinleştirildi. Windows Server 2016 ve daha önce: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesi içinCVE-2019-11135'e bakın.

Bu güvenlik açıklarına karşı kullanılabilir tüm korumaları elde etmek isteyen müşterilerin, varsayılan olarak devre dışı bırakılan bu azaltıcı etkenleri etkinleştirmek için kayıt defteri anahtar değişiklikleri yapması gerekir.

Bu azaltıcı etkenleri etkinleştirmek performansı etkileyebilir. Performans efektlerinin ölçeği, fiziksel ana bilgisayarınızdaki belirli yonga seti ve çalışan iş yükleri gibi birden çok etkene bağlıdır. Müşterilerin ortamları için performans etkilerini değerlendirmelerini ve gerekli ayarlamaları yapmalarını öneririz.

Sunucunuz aşağıdaki kategorilerden birindeyse daha fazla risk altındadır:

  • Hyper-V ana bilgisayarları – VM-to-VM ve VM-to-host saldırıları için koruma gerektirir.

  • Uzak Masaüstü Hizmetleri Ana BilgisayarLarı (RDSH) – Bir oturumdan başka bir oturuma veya oturumdan ana bilgisayara saldırılardan koruma gerektirir.

  • Veritabanı için kapsayıcılar veya güvenilmeyen uzantılar, güvenilmeyen web içeriği veya dış kaynaklardan gelen kodu çalıştıran iş yükleri gibi güvenilmeyen kodçalıştıran fiziksel ana bilgisayarlar veya sanal makineler. Bunlar, güvenilmeyen işlemden başka bir işleme veya güvenilmeyen işlemden çekirdekten çekirdeke saldırılara karşı koruma gerektirir.

Sunucudaki azaltıcı etkenleri etkinleştirmek için aşağıdaki kayıt defteri anahtarı ayarlarını kullanın ve değişikliklerin etkili olması için sistemi yeniden başlatın.

Not Varsayılan olarak kapalı olan azaltıcı etkenleri etkinleştirmek performansı etkileyebilir. Gerçek performans efekti, aygıttaki belirli yonga seti ve çalışan iş yükleri gibi birden çok etkene bağlıdır.

Kayıt defteri ayarları

Güvenlik Danışma Belgelerinde ADVV180002, ADV180012ve ADV190013'tebelgelenen, varsayılan olarak etkinleştirilen azaltıcı etkenleri etkinleştirmek için aşağıdaki kayıt defteri bilgilerini salıyoruz.

Ayrıca, Windows istemcileri için CVE-2017-5715 ve CVE-2017-5754 ile ilgili azaltıcı etkenleri devre dışı bırakan kullanıcılar için kayıt defteri anahtar ayarları sunuyoruz.

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizi söyleyen adımlar içerir. Ancak, kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinden emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekle. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, makaleyi Microsoft Bilgi Bankası'nda görüntülemek için aşağıdaki makale numarasını tıklatın:

322756 Windows'da kayıt defterinasıl yedeklenir ve geri yüklenir

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltıcı etkenleri yönetin

Önemli not Spectre, Variant 2 (CVE-2017-5715) etkinse Retpoline Varsayılan olarak Windows 10, sürüm 1809 sunucularında etkindir. Retpoline'yi Windows 10'un en son sürümünde etkinleştirmek, Windows 10, Spectre varyantı 2 için sürüm 1809, özellikle de eski işlemcilerde performansı artırabilir.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltıcı etkenleri etkinleştirmek için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarsa ve firmware güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineleri tamamen kapatın. Bu, Yazılımla ilgili azaltmanın VM'ler başlamadan önce ana bilgisayara uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltıcı etkenleri devre dışı kılabilir

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Not FeatureSettingsOverrideMask'i 3'e ayarlamak hem "etkinleştirme" hem de "devre dışı" ayarları için doğrudur. (Kayıt defteri anahtarları hakkında daha fazla bilgi için "SSS " bölümüne bakın.)

CVE-2017-5715 için azaltmayı yönetin (Spectre Variant 2)

Varyant 2'yi devre dışı kaltın: (CVE-2017-5715 " Şube HedefEnjeksiyonu") azaltıcı:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Varyant 2'yi etkinleştirmek için: (CVE-2017-5715 "Şube Hedef Enjeksiyonu") azaltıcı:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Yalnızca AMD işlemciler: CVE-2017-5715 için tam azaltmayı etkinleştirin (Spectre Variant 2)

Varsayılan olarak, CVE-2017-5715 için kullanıcıdan çekirdek koruma AMD CPU'ları için devre dışı bırakılır. Müşteriler, CVE-2017-5715 için ek koruma almak için azaltıcı azaltmayı etkinleştirmelidir.  Daha fazla bilgi için ADV180002'deki SSS #15 bakın.

CVE 2017-5715 için diğer korumalarla birlikte AMD işlemcilerde kullanıcıdan çekirdek korumayı etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarsa ve firmware güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineleri tamamen kapatın. Bu, Yazılımla ilgili azaltmanın VM'ler başlamadan önce ana bilgisayara uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

CVE-2018-3639 (Spekülatif Mağaza Bypass), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltıcı etkenleri yönetin

CVE-2018-3639 (Spekülatif Mağaza Bypass), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltıcı etkenler etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarsa ve firmware güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineleri tamamen kapatın. Bu, Yazılımla ilgili azaltmanın VM'ler başlamadan önce ana bilgisayara uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

CVE-2018-3639 (Spekülatif Mağaza Bypass) ve CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltıcı etkenleri devre dışı bırakıp

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Yalnızca AMD işlemciler: CVE-2017-5715 (Spectre Variant 2) ve CVE 2018-3639 (Spekülatif Store Bypass) için tam azaltmayı etkinleştirin

Varsayılan olarak, CVE-2017-5715 için kullanıcıdan çekirdek koruma AMD işlemciler için devre dışı bırakılır. Müşteriler, CVE-2017-5715 için ek koruma almak için azaltıcı azaltmayı etkinleştirmelidir.  Daha fazla bilgi için ADV180002'dekisSS #15 bakın.

CVE 2017-5715 için diğer korumalar ve CVE-2018-3639 (Spekülatif Mağaza Bypass) için korumalarla birlikte AMD işlemcilerde kullanıcıdan çekirdek korumasına olanak sağlar:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarsa ve firmware güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineleri tamamen kapatın. Bu, Yazılımla ilgili azaltmanın VM'ler başlamadan önce ana bilgisayara uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Intel® İşlemsel Senkronizasyon Uzantıları (Intel® TSX) İşlem Asynchronous Abort güvenlik açığı (CVE-2019-11135) ve Mikromimari Veri Örneklemesi (CVE-2018-11091, CVE-2018-12126, CVE-20127,CVE-20127, CVE-2018-12130 ile birlikte) yönetin Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ve Erime [ CVE-2017-5754 ] varyantları, Spekülatif Mağaza Bypass Devre Dışı (SSBD) [ CVE-2018-3639 ] yanı sıra L1 Terminal Arızası (L1TF) [ CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646 ]

Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort güvenlik açığı(CVE-2019-11135)ve Mikromimari Veri Örneklemesi (CVE-2018-11091 , CVE-2018-12126) için azaltıcı etkenler sağlamak için,CVE-2018-12127,CVE-2018-12130) spectre[CVE-2017-5753 & CVE-2017-5715] ve Meltdown [CVE-2017-5754] varyantları, Spekülatif dahil Mağaza Bypass Devre Dışı Bırakma (SSBD) [CVE-2018-3639 ] yanı sıra L1 Terminal Arızası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646] Hiper-Diş İşparçacığı devre dışı bırakmadan:

reg eklemek "HKEY_LOCAL_MACHINE\SİsteM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg eklemek "HKEY_LOCAL_MACHINE\SİsteM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg eklemek "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarsa ve firmware güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineleri tamamen kapatın. Bu, Yazılımla ilgili azaltmanın VM'ler başlamadan önce ana bilgisayara uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort güvenlik açığı (CVE-2019-11135) ve Mikromimari Veri Örneklemesi ( CVE-2018-11091 , CVE-2018-12126 için azaltıcı etkenler sağlamak için ,CVE-2018-12127,CVE-2018-12130) ile birlikte Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ve Erime [ CVE-2017-5754 ] varyantları, dahil olmak üzere Spekülatif Mağaza Bypass Devre Dışı Bırakma (SSBD) [ CVE-2018-3639 ] yanı sıra L1 Terminal Arızası (L1TF) [ CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646 ] Hiper-Threading devre dışı:

reg eklemek "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg eklemek "HKEY_LOCAL_MACHINE\SİsteM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg eklemek "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarsa ve firmware güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineleri tamamen kapatın. Bu, Yazılımla ilgili azaltmanın VM'ler başlamadan önce ana bilgisayara uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldıklarında da güncelleştirilir.

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort güvenlik açığı(CVE-2019-11135)ve Mikromimari Veri Örneklemesi (CVE-2018-11091 , CVE-2018-12126) için azaltımları devre dışı kılabilir ,CVE-2018-12127,CVE-2018-12130) ile birlikte Spectre [ CVE-2017-5753 & CVE-2017-5715 ] ve Erime [ CVE-2017-5754 ] varyantları, dahil olmak üzere Spekülatif Mağaza Bypass Devre Dışı (SSBD) [ CVE-2018-3639 ] yanı sıra L1 Terminal Arızası (L1TF) [ CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646 ]:

reg eklemek "HKEY_LOCAL_MACHINE\SİsteM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg eklemek "HKEY_LOCAL_MACHINE\SİsteM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkili olması için bilgisayarı yeniden başlatın.

Korumaların etkin olduğunu doğrulama

Müşterilerin korumaların etkin olduğunu doğrulamasına yardımcı olmak için Microsoft, müşterilerin sistemlerinde çalıştırabileceği bir PowerShell komut dosyası yayımlamıştır. Aşağıdaki komutları çalıştırarak komut dosyasını yükleyin ve çalıştırın.

PowerShell Galerisi'ni kullanarak PowerShell doğrulaması (Windows Server 2016 veya WMF 5.0/5.1)

PowerShell Modül'u yükleyin:

PS> Install-Module SpeculationControl

Korumaların etkin olduğunu doğrulamak için PowerShell modüllerini çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet'ten bir indirme kullanarak PowerShell doğrulaması (Önceki işletim sistemi sürümleri ve Önceki WMF sürümleri)

Technet ScriptCenter'dan PowerShell modüllerini yükleyin:

  1. https://aka.ms/SpeculationControlPS gidin.

  2. Yerel bir klasöre SpekülasyonControl.zip indirin.

  3. İçeriği yerel bir klasöre ayıklayın. Örneğin: C:\ADV180002

Korumaların etkin olduğunu doğrulamak için PowerShell modüllerini çalıştırın:

PowerShell'i başlatın ve ardından aşağıdaki komutları kopyalamak ve çalıştırmak için önceki örneği kullanın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell komut dosyasının çıktısının ayrıntılı bir açıklaması için Bilgi Bankası makalesi 4074629'a bakın.

Sık sorulan sorular

Müşteri aygıtlarını olumsuz etkilemeyi önlemek için, Ocak ve Şubat 2018'de yayımlanan Windows güvenlik güncelleştirmeleri tüm müşterilere sunulmadı. Ayrıntılar için Microsoft Bilgi Bankası makalesi 4072699'a bakın.

Mikrokod bir firmware güncellemesi ile teslim edilir. Bilgisayarınız için uygun güncelleştirmeye sahip firmware sürümü hakkında OEM'nize danışın.

Sistem sürümünden çalışan iş yüklerine kadar performansı etkileyen birden çok değişken vardır. Bazı sistemleriçin performans efekti ihmal edilebilir olacaktır. Diğerleri için, bu önemli olacaktır.

Sistemlerinizdeki performans etkilerini değerlendirmenizi ve gerekli ayarlamaları yapmanızı öneririz.

Sanal makinelerle ilgili bu makalede yer alan kılavuza ek olarak, sanal makinelerinizi çalıştıran ana bilgisayarların yeterince korunduğundan emin olmak için servis sağlayıcınıza başvurmalısınız. Azure'da çalışan Windows Server sanal makineleri için, Azure'daki spekülatif yürütme yan kanal güvenlik açıklarını azaltma kılavuzuna bakın. Konuk VM'lerde bu sorunu azaltmak için Azure Update Management'ı kullanma kılavuzu için Microsoft Bilgi Bankası madde 4077467'ye bakın.

Windows Server 2016 ve Windows 10, sürüm 1709 için Windows Server kapsayıcı görüntüleri için yayımlanan güncelleştirmeler, bu güvenlik açıkları kümesi için azaltıcı etkenleri içerir. Ek yapılandırma gerekmez. Not Yine de bu kapsayıcıların çalıştırıldığı ana bilgisayarın uygun azaltıcı etkenleri etkinleştirecek şekilde yapılandırıldığından emin olmalısınız.

Hayır, yükleme sırası önemli değil.

Evet, firmware (mikrokod) güncelleştirmesonra ve sistem güncelleştirmesi sonra tekrar yeniden başlatmanız gerekir.

Kayıt defteri anahtarları için ayrıntılar şunlardır:

FeatureSettingsOverride varsayılan ayarı geçersiz kılan bir bit eşlemeyi temsil eder ve hangi azaltıcı etkenlerin devre dışı bırakıldığını denetler. Bit 0, CVE-2017-5715'e karşılık gelen azaltıcı azaltmayı denetler. Bit 1, CVE-2017-5754'e karşılık gelen azaltıcı azaltmayı denetler. Azaltmayı etkinleştirmek için bitler 0 ve azaltmayı devre dışı bırakabilmek için 1 olarak ayarlanır.

FeatureSettingsOverrideMask, FeatureSettingsOverrideile birlikte kullanılan bir bitmap maskesini temsil eder.  Bu durumda, kullanılabilir azaltıcı etkenlere karşılık gelen ilk iki biti belirtmek için 3 değerini (ikili sayı veya baz-2 rakamı sisteminde 11 olarak temsil edilir) kullanırız. Bu kayıt defteri anahtarı, azaltıcı etkenleri etkinleştirmek veya devre dışı etmek için 3 olarak ayarlanır.

MinVmVersionForCpuBasedMitigations Hyper-V ana bilgisayarlar içindir. Bu kayıt defteri anahtarı, güncelleştirilmiş firmware özelliklerini (CVE-2017-5715) kullanmanız için gereken minimum VM sürümünü tanımlar. Tüm VM sürümlerini kapsayacak şekilde bunu 1.0 olarak ayarlayın. Bu kayıt defteri değerinin Hyper-V olmayan ana bilgisayarlarda göz ardı edileceğine (iyi huylu) dikkat edin. Daha fazla bilgi için cve-2017-5715 (şube hedef enjeksiyon) konuk sanal makineleri koruma bakın.

Evet, Bu kayıt defteri ayarları Ocak 2018 ile ilgili düzeltmeleri yüklemeden önce uygulanırsa hiçbir yan etkisi yoktur.

Get-SpekülasyonControlSettings PowerShell komut çıkışını anlama komut dosyası çıkışının ayrıntılı açıklamasına bakın.

Evet, henüz firmware güncelleştirmesine sahip olmayan Windows Server 2016 Hyper-V ana bilgisayarları için, saldırıları barındırmak için VM'den VM'e veya VM'ye azaltmaya yardımcı olabilecek alternatif kılavuzlar yayınladık. Windows Server 2016 Hyper-V Hosts için spekülatif yürütme yan kanal güvenlik açıklarına karşı alternatif korumalara bakın.

Güvenlik Yalnızca güncelleştirmeleri kümülatif değildir. İşletim sistemi sürümünüze bağlı olarak, tam koruma için çeşitli güvenlik güncelleştirmeleri yüklemeniz gerekebilir. Genel olarak, müşterilerin Ocak, Şubat, Mart ve Nisan 2018 güncelleştirmelerini yüklemeleri gerekir. AMD işlemcisi olan sistemler, aşağıdaki tabloda gösterildiği gibi ek bir güncelleştirmeye ihtiyaç duyar:

İşletim Sistemi sürümü

Güvenlik Güncelleştirmesi

Windows 8.1, Windows Server 2012 R2

4338815 - Aylık Toplama

4338824 - Sadece Güvenlik

Windows 7 SP1, Windows Server 2008 R2 SP1 veya Windows Server 2008 R2 SP1 (Server Core kurulumu)

4284826 - Aylık Toplama

4284867 - Sadece Güvenlik

Windows Server 2008 SP2

4340583 - Güvenlik Güncellemesi

Yalnızca Güvenlik güncelleştirmelerini yayımı sırasına göre yüklemenizi öneririz.

Not   Bu SSS'nin önceki bir sürümünde, Yalnızca Şubat Ayında yayımlanan Güvenlik Güncelleştirmesi güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini de bulunduğu yanlış belirtilmiştir. Aslında, öyle değil.

№. Güvenlik güncelleştirmesi KB 4078130 öngörülemeyen sistem davranışları, performans sorunları ve beklenmeyen yeniden başlatmaları önlemek için özel bir düzeltme mikrokodun yüklendikten sonra oldu. Windows istemci işletim sistemlerinde güvenlik güncelleştirmeleri uygulamak her üç azaltma sağlar. Windows Server işletim sistemlerinde, uygun sınama yaptıktan sonra azaltıcı etkenleri etkinleştirmeniz gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası makale 4072698'e bakın.

Bu sorun KB 4093118 olarak çözülmüş.

Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve yeni CPU platformları için mikrokod yayınlamaya başladıklarını duyurdu. Microsoft, Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") ile ilgili Intel onaylı mikrokod güncelleştirmelerini kullanıma sunmaktadır. KB 4093836, Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. Her özel KB makalesi, CPU tarafından kullanılabilir Intel mikrokodu güncelleştirmelerini içerir.

11 Ocak 2018 Intel, spectre varyant ı 2 (CVE-2017-5715 – "Branch Target Injection") adresine yönelik son yayımlanan mikrokod sorunları bildirdi. Intel, bu mikrokodun "beklenenden daha yüksek yeniden başlatmalara ve diğer öngörülemeyen sistem davranışına " neden olabileceğini ve bu senaryoların "veri kaybına veya bozulmasına" neden olabileceğini belirtti. Deneyimlerimiz, sistem kararsızlığının bazı durumlarda veri kaybına veya bozulmaya neden olabileceğidir. 22 Ocak'ta Intel, müşterilerin etkilenen işlemciler üzerinde geçerli mikrokod sürümünü dağıtmayı durdurmalarını, Intel'in ise güncelleştirilmiş çözüm üzerinde ek testler gerçekleştirmesini tavsiye etti. Intel'in mevcut mikrokod sürümünün potansiyel etkisini araştırmaya devam ettiğini biliyoruz. Müşterilerimizin kararlarını bildirmek için kılavuzlarını sürekli olarak gözden geçirmelerini öneririz.

Intel yeni mikrokodu test ederken, güncellerken ve dağıtırken, özellikle CVE-2017-5715'e karşı sadece hafifletme yi devre dışı bırakmayı devre dışı eden bant dışı (OOB) bir güncelleme(OOB) güncellemesi kullanıma sunuyapıyoruz. Sınamamızda, bu güncelleştirmenin açıklanan davranışı önlemek için bulunduğu tespit edilmiştir. Cihazların tam listesi için Intel'in mikrokod düzeltme kılavuzuna bakın. Bu güncelleştirme, Windows 7 Service Pack 1 (SP1), Windows 8.1 ve Windows 10'un hem istemci hem de sunucu tüm sürümlerini kapsar. Etkilenen bir aygıtı çalıştırıyorsanız, bu güncelleştirme Microsoft Güncelleştirme Kataloğu web sitesinden indirilerek uygulanabilir. Bu yükün uygulanması özellikle CVE-2017-5715'e karşı sadece hafifletme yitirmesi sağlar.

Bu süre itibariyle, bu Spectre Variant 2 (CVE-2017-5715 - "Şube Hedef Enjeksiyonu") müşterilerine saldırmak için kullanıldığını gösteren bilinen bir rapor bulunmamaktadır. Uygun olduğunda, Intel cihazınız için bu öngörülemeyen sistem davranışının çözüldüğünü bildirdiğinde, Windows kullanıcılarının CVE-2017-5715'e karşı azaltıcı azaltmayı yeniden etkinleştirmelerini öneririz.

Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve yeni CPU platformları için mikrokod yayınlamaya başladıklarınıduyurdu. Microsoft, Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 - "Branch Target Injection") ile ilgili Intel onaylı mikrokod güncelleştirmelerini kullanıma sunmaktadır. KB 4093836, Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. KBs listesi CPU tarafından kullanılabilir Intel mikrokod güncellemeleri.

Daha fazla bilgi için AMD Güvenlik Güncelleştirmeleri ve AMD Teknik İnceleme: Dolaylı Şube Denetimi Ile İlgili Mimari Yönergeleri'ne bakın. Bunlar OEM firmware kanalından edinilebilir.

Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection ") ile ilgili Intel onaylı mikrokod güncellemelerini kullanıma salıyoruz. Windows Update aracılığıyla en son Intel mikrokod güncelleştirmelerini almak için, müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikrokodu yüklemiş olması gerekir.

Mikrokod güncelleştirmesi, sistemi yükseltmeden önce aygıta yüklenmediyse doğrudan Microsoft Güncelleştirme Kataloğu'ndan da kullanılabilir. Intel mikrokodu Windows Update, Windows Server Update Services (WSUS) veya Microsoft Update Catalog aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme talimatları için KB 4100347'ye bakın.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

ADVV180012'nin "Önerilen eylemler" ve "SSS" bölümlerine  bakın | Spekülatif Mağaza Bypass için Microsoft Kılavuzu .

SSBD'nin durumunu doğrulamak için Get-SpekülasyonControlSettingsPowerShell komut dosyası, etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikrokodunun durumunu algılamak için güncelleştirildi. Daha fazla bilgi edinmek ve PowerShell komut dosyası almak için KB 4074629'a bakın.

13 Haziran 2018 tarihinde, Lazy FP State Restoreolarak bilinen yan kanal spekülatif yürütmeiçeren ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 atandı. Bu güvenlik açığı ve önerilen eylemler hakkında bilgi için Güvenlik Danışma Kuruluşu ADV180016 | Microsoft Kılavuzu Tembel FP Devlet Geri yükleme için .

Not Lazy Geri Yükleme FP Geri Yüklemesi için gerekli yapılandırma (kayıt defteri) ayarları yoktur.

Bounds Check Bypass Store (BCBS) 10 Temmuz 2018 tarihinde açıklandı ve CVE-2018-3693 atandı. BCBS'nin Bounds Check Bypass (Varyant 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızda BCBS'nin herhangi bir örneğinden haberdar değiliz. Ancak, bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gerektiğinde azaltıcı etkenleri serbest bırakmak için sektör ortaklarıyla birlikte çalışacağız. Araştırmacıları, BCBS'nin sömürülebilir örnekleri de dahil olmak üzere Microsoft Spekülatif Yürütme Yan Kanalı ödül programına ilgili bulguları göndermeye teşvik ediyoruz. Yazılım geliştiricileri Spekülatif Yürütme Yan Kanallar için C++ Geliştirici Kılavuzu BCBS için güncelleştirilen geliştirici kılavuzu gözden geçirmelidir.

14 Ağustos 2018 tarihinde, L1 Terminal Arızası (L1TF) duyuruldu ve birden fazla CVE atandı. Bu yeni spekülatif yürütme yan kanal güvenlik açıkları, belleğin içeriğini güvenilir bir sınır boyunca okumak için kullanılabilir ve bundan yararlanılırsa bilgi ifşasına yol açabilir. Yapılandırılan ortama bağlı olarak, bir saldırganın güvenlik açıklarını tetikleyebileceği birden çok vektör vardır. L1TF, Intel® Core®işlemcilerini ve Intel® Xeonişlemcileri® etkilemez.

Bu güvenlik açığı ve Etkilenen senaryoların ayrıntılı görünümü (Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere) hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:

Hyper-Threading'i devre dışı atma adımları OEM'den OEM'e farklılık gösterir, ancak genellikle BIOS veya firmware kurulum ve yapılandırma araçlarının bir parçasıdır.

64 bit ARM işlemcikullanan müşteriler firmware desteği için Cihaz OEM'e başvurmalıdır, çünkü CVE-2017-5715 - Branch hedef enjeksiyonu (Spectre, Variant 2) azaltan ARM64 işletim sistemi korumaları, cihaz OEM'lerinden gelen en son firmware güncelleştirmesinin etkin olmasını gerektirir.

Retpoline etkinleştirme hakkında daha fazla bilgi için, blog yazımıza bakın: Windows'da Retpoline ile Spectre varyant ı 2 azaltıcı .

Bu güvenlik açığı yla ilgili ayrıntılar için Microsoft Güvenlik Kılavuzu'na bakın: CVE-2019-1125 | Windows Çekirdek Bilgi Açıklama Güvenlik Açığı.

Bulut hizmeti altyapımızı etkileyen bu bilgi verme açığından haberdar değiliz.

Bu sorunun farkına vardığımız anda, sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılarla hem de sektör ortaklarıyla yakın ortaklıklara güçlü bir şekilde inanıyoruz ve 6 Ağustos Salı gününe kadar, eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayınlamadık.

Başvurular

Üçüncü taraf bilgi reddi

Bu makalede adı geçen üçüncü taraf ürünler Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Çeviri kalitesinden ne kadar memnunsunuz?

Deneyiminizi ne etkiledi?

Başka geri bildirim göndermek istiyor musunuz? (İsteğe bağlı)

Geri bildiriminiz için teşekkür ederiz!

×