Önerilen eylemler

Müşteriler güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirler:

  1. Aylık veya Windows güncelleştirmeleri de içinde olmak üzere, kullanılabilir tüm işletim sistemi Windows uygulayabilir.

  2. Cihaz üreticisi tarafından sağlanan geçerli üretici yazılımı (mikro kod) güncelleştirmesini uygulama.

  3. Microsoft Güvenlik Danışmalarında sağlanan bilgilere dayalı olarak ortamınıza yönelik riski değerlendirin: ADV180002, ADV180012, ADV190013ve bu Bilgi Bankası makalesinde sağlanan bilgiler.

  4. Bu Bilgi Bankası makalesinde sağlanan tavsiyeleri ve kayıt defteri anahtarı bilgilerini kullanarak gerekli eylemi yerine bulun.

NotSurface müşterileri, Yeni Güncelleştirme aracılığıyla bir mikro kod Windows alırlar. En son Surface cihaz üretici yazılımı (mikrokodu) güncelleştirmelerinin listesi için bkz. KB 4073065.

Windows Server Ayarlar azaltma

Güvenlik danışmanları ADV180002,ADV180012ve ADV190013, bu güvenlik açıklarının neden olduğu riskler hakkında bilgi sağlar.  Ayrıca, bu güvenlik açıklarını tanımlamanıza ve Windows Server sistemleri için varsayılan etki Windows yardımcı olur. Aşağıdaki tabloda, CPU mikrokodu gereksinimi ve Windows Server'da risk azaltmaların varsayılan durumu özetlenmiştir.

YERKARAKAN

CPU mikrokodu/üretici yazılımı mı gerekiyor?

Azaltma Varsayılan durumu

DEFALıK-2017-5753

Hayır

Varsayılan olarak etkindir (devre dışı bırakma seçeneği yoktur)

Ek bilgi için lütfen ADV180002

DEFALıK-2017-5715

Evet

Varsayılan olarak devre dışı bırakılmıştır.

Ek bilgi ve geçerli kayıt defteri ayarları için bu Bilgi Bankası makalesi için lütfen ADV180002'ye bakın.

Not Spectre Variant 2 ( ZAMAN-2017-5715 ) etkinse, "Retpoline" Windows 10 1809 veya daha yeni sürümü çalıştıran cihazlar için varsayılan olarak etkindir. "Retpoline" ile ilgili daha fazla bilgi için, bu blog gönderisi üzerinde Retpoline ile Risk Azaltma Spectre variant 2 Windows izleyin.

DEFALıK-2017-5754

Hayır

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir.
Windows Server 2016: Varsayılan olarak devre dışı bırakılmıştır.

Ek bilgi için lütfen ADV180002 ile iletişime bakın.

DEFALıK-2018-3639

Intel: Evet

AMD: Hayır

Varsayılan olarak devre dışı bırakılmıştır. Daha fazla bilgi ve geçerli kayıt defteri ayarları için bu Bilgi Bankası makalesi için bkz. ADV180012.

ASPM-2018-11091

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir.
Windows Server 2016: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri ayarları için bu Bilgi Bankası makalesi için bkz. ADV190013.

DEFALıK-2018-12126

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir.
Windows Server 2016: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri ayarları için bu Bilgi Bankası makalesi için bkz. ADV190013.

DEFALıK-2018-12127

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir.
Windows Server 2016: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri ayarları için bu Bilgi Bankası makalesi için bkz. ADV190013.

YERKARAKDIYA-2018-12130

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir.
Windows Server 2016: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri ayarları için bu Bilgi Bankası makalesi için bkz. ADV190013.

YERKARAKAN-2019-11135

Intel: Evet

Windows Server 2019, Windows Server 2022: Varsayılan olarak etkindir.
Windows Server 2016: Varsayılan olarak devre dışı bırakılmıştır.

Daha fazla bilgi ve geçerli kayıt defteri ayarları için bu BILGI Bankası makalesini görmek için BKZ. ASP.2019-11135.

Bu güvenlik açıklarına karşı tüm kullanılabilir korumaları almak isteyen müşterilerin, varsayılan olarak devre dışı bırakılmış olan bu risk azaltmalarını etkinleştirmek için kayıt defteri anahtarı değişiklikleri yapmaları gerekir.

Bu etkiyi azaltmanın etkinleştirilmesi performansı etkileyebilir. Performans efektlerinin ölçeği fiziksel ana barındırıcıdaki belirli güvenlik kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır. Müşterilerin ortamı için performans etkilerini değerlendirmelerini ve gerekli ayarlamaları yapmalarını öneririz.

Aşağıdaki kategorilerden birinin içinde yer almak, sunucunuz için daha fazla risk vardır:

  • Hyper-V hosts – VM'den VM'ye ve VM'den ana makineye saldırılar için koruma gerektirir.

  • Uzak Masaüstü Hizmetleri Ana Bilgisayarları (RDSH) – Bir oturumdan başka bir oturuma veya oturumdan ana bilgisayara saldırılara karşı koruma gerektirir.

  • Veritabanı için kapsayıcılar veya güvenilmeyen uzantılar, güvenilmeyen web içeriği veya dış kaynaklardan gelen kodu çalıştıran iş yükleri gibi güvenilmeyen kod çalıştıran fiziksel ana bilgisayar veya sanal makine. Bunlar güvenilmeyen işlemden diğerine-işlemeye veya güvenilmeyen işlemden çekirdeke saldırılara karşı koruma gerektirir.

Sunucuda etkiyi etkinleştirmek için aşağıdaki kayıt defteri anahtarı ayarlarını kullanın ve değişikliklerin etkin olması için sistemi yeniden başlatın.

NotVarsayılan olarak kapalı olan risk azaltmaların etkinleştirilmesi performansı etkileyebilir. Gerçek performans efekti, cihazdaki belirli etki alanı ve çalışan iş yükleri gibi birden çok faktöre bağlıdır.

Kayıt defteri ayarları

Güvenlik Danışmanları ADV180002, ADV180012ve ADV190013'tebelgelenmiş olduğu gibi, varsayılan olarak etkinleştirilmemiş risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlarsınız.

Buna ek olarak, en iyi istemcilerde 2017-5715 ve ASP-2017-5754 ile ilgili risk azaltmaları devre dışı bırakmak isteyen kullanıcılar için kayıt defteri Windows sunuyoruz.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

322756 Windows'ta kayıt defterini yedekleme ve geri yükleme

YERKarakTI-2017-5715 (Özellik Değişken 2) ve YERKarakDI-2017-5754 (Meltdown) için azaltmaları yönetme

Önemli not Spectre, Variant 2 (2017-5715 ) etkinse, Retpoline Windows 10, sürüm 1809 sunucularında varsayılan olarak etkindir. Retpoline'in en son sürümünde etkinleştirilmesi Windows 10 özellikle eski işlemcilerde Spectre değişken 2 için Windows 10, sürüm 1809 çalıştıran sunucularda performansı geliştirebilir.

YALNIZLIK-2017-5715 (Özellik Değişken 2) ve YERLİK-2017-5754 (Meltem) ile ilgili azaltmaları etkinleştirmek için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarı ise ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler'i tam olarak kapatın. Bu, sanal makineler başlamadan önce ana makinede bellenimle ilgili azaltmanın uygulanmasına olanak sağlar. Bu nedenle, vm'ler de yeniden başlatıldığında güncelleştirilir.

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

YERKarakTI-2017-5715 (Özellik Değişken 2) ve YERİNAK-2017-5754 (Meltem) ile ilgili azaltmaları devre dışı bırakmak için

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.


Not FeatureSettingsOverrideMask'ı 3 olarak ayarlama, hem "etkinleştir" hem de "devre dışı bırak" ayarları için doğrudur. (Kayıt defteri anahtarlarıhakkında daha fazla ayrıntı için " SSS " bölümüne bakın.)

NUN-2017-5715 (Spectre Variant 2) için azaltmayı yönetme

Değişken 2'yi devre dışı bırakmak için: (ZAMANSAY-2017-5715  "Dal Hedef Ekleme") azaltma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Değişken 2'yi etkinleştirmek için: (ZAMANSAY-2017-5715  "Dal Hedef Ekleme") azaltma:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Yalnızca AMD işlemcileri: AMD-2017-5715 (Özelliktre Değişken 2) için tam risk azaltmayı etkinleştirme

Varsayılan olarak, AMD CPUs için VELI-2017-5715 için kullanıcıdan çekirdeke koruma devre dışı bırakılır. Müşterilerin, THE-2017-5715 için ek korumaları almak için azaltmayı etkinleştirmesi gerekir.  Daha fazla bilgi için bkz. ADV180002'de SSS #15.

AMD işlemcilerde kullanıcıdan çekirdeke korumayı ve EKYNA 2017-5715 için diğer korumaları etkinleştirin:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarı ise ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler'i tam olarak kapatın. Bu, sanal makineler başlamadan önce ana makinede bellenimle ilgili azaltmanın uygulanmasına olanak sağlar. Bu nedenle, vm'ler de yeniden başlatıldığında güncelleştirilir.

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

YERKİ-2018-3639 (Özel Depolama Atlama), İrLİCA-2017-5715 (Özelliktre Değişken 2) ve YERLİ-2017-5754 (Meltdown) için azaltmaları yönetme

YERKİlİĞİ-2018-3639 (Belirli Bir Depo Atla), LİSAYI-2017-5715 (Özelliktre Değişken 2) ve YERİNDEKI-2017-5754 (Meltdown) ile ilgili azaltmaları etkinleştirmek için:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarı ise ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler'i tam olarak kapatın. Bu, sanal makineler başlamadan önce ana makinede bellenimle ilgili azaltmanın uygulanmasına olanak sağlar. Bu nedenle, vm'ler de yeniden başlatıldığında güncelleştirilir.

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

DEPO-2018-3639 (Belirli Bir Depolama Atlama) ile ILGILI azaltmaları devre dışı bırakmak için, TL-2017-5715 (Spectre Değişken 2) ve YERİNE-2017-5754 (Meltdown) için azaltmalar

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Yalnızca AMD işlemcileri: AMD-2017-5715 (Spectre Değişken 2) ve AMD 2018-3639 (Belirli bir Mağaza Atlama) için tam risk azaltmayı etkinleştirme

Varsayılan olarak, AMD işlemcileri için VELI-2017-5715 için kullanıcıdan çekirdeke koruma devre dışı bırakılır. Müşterilerin, THE-2017-5715 için ek korumaları almak için azaltmayı etkinleştirmesi gerekir.  Daha fazla bilgi için bkz. ADV180002'de SSS #15.

AMD işlemcilerde kullanıcıdan çekirdeke korumayı, AYRıCALI 2017-5715 için diğer korumalarla birlikte, AYRıCALI-2018-3639 için korumaları da etkinleştir (Belirli bir Depo Atlaması):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarı ise ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler'i tam olarak kapatın. Bu, sanal makineler başlamadan önce ana makinede bellenimle ilgili azaltmanın uygulanmasına olanak sağlar. Bu nedenle, vm'ler de yeniden başlatıldığında güncelleştirilir.

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Intel® İşlem Eşitleme Uzantıları (Intel® TSX) İşlemi Zaman Uyumsuz İşlemin Zaman Uyumsuz Güvenlik Açığı (ZAMANAL-2019-11135) ve MikroArchitectural Veri Örneklemesi (HIYERARŞI-2018-11091, SPECTRE [ 2017-5753 & 2017-5715 ] ve Meltem [ DEFA-2017-5754 ] çeşitlemeleriyle BIRLIKTE DEFA-2018-12126, KARNE-2018-12127, KARNE-2018-12130) Belirli depolama atlama devre dışı bırakma devre dışı bırakma (SSBD) [ YERİCİ-2018-3639 ] ayrıca L1 Terminal Hatası (L1TF) [ ZAMAN-2018-3615, YERİNDEKI-2018-3620 ve DEPO-2018-3646 ]

Intel® İşlem Eşitleme Uzantıları (Intel® TSX) İşlemi Zaman Uyumsuz İşlemin Zaman Uyumsuz azaltıcı güvenlik açığı (ASP-2019-11135) ve MikroArchitecturalVeri Örneklemesi(ASP-2018-11091,YERİNA-2018-12126) için azaltmayı etkinleştirmek. SPECTRE [2017-5753 & VEMELTEM-2017-5715]ve Meltem [VEKARAK-2017-5754] çeşitlemeleriyle BIRLIKTE DEFA-2018-12130 ) Belirli Depolama Atlama Devre Dışı Bırak (SSBD) [YERİNDEKI-2018-3639 ] Ayrıca, Köprü Iş Parçacığı Özelliğini devre dışı bırakmadan L1 Terminal Hatası (L1TF) [BUSAYI-2018-3615, YERİCİ-2018-3620 ve YERİNE-3646] devre dışı bırakmadan L1 Terminal Hatası:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarı ise ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler'i tam olarak kapatın. Bu, sanal makineler başlamadan önce ana makinede bellenimle ilgili azaltmanın uygulanmasına olanak sağlar. Bu nedenle, vm'ler de yeniden başlatıldığında güncelleştirilir.

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Intel® İşlem Eşitleme Uzantıları (Intel® TSX) İşlemi Zaman Uyumsuz İşlemin Zaman Uyumsuz azaltıcı güvenlik açığı (YERİPTAL-2019-11135) ve MikroArchitecturalVeri Örneklemesi(ASP-2018-11091,İRLİ-2018-12126)için azaltmayı etkinleştirmek içinSPECTRE [ 2017-5753& 2017-5715] veMeltem [ ENSTA-2017-5754 ] çeşitlemeleriyle birlikte DEFA-2018-12130 , KARNE-2018-12130 ) Belirli Depolama Atlama Devre Dışı Bırak (SSBD) [ YERİNDEKI-2018-3639 ] Ayrıca, L1 Terminal Hatası (L1TF) [ YERİCİ-2018-3615, YERİCİ-2018-3620 ve 2018-3646 ] Hyper-Threading devre dışı bırakılır:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V özelliği yüklüyse, aşağıdaki kayıt defteri ayarını ekleyin:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Bu bir Hyper-V ana bilgisayarı ise ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler'i tam olarak kapatın. Bu, sanal makineler başlamadan önce ana makinede bellenimle ilgili azaltmanın uygulanmasına olanak sağlar. Bu nedenle, vm'ler de yeniden başlatıldığında güncelleştirilir.

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Intel® İşlem Eşitleme Uzantıları (Intel® TSX) İşlemi Zaman Uyumsuz İşlemin Zaman Uyumsuz Güvenlik Açığı (VE SONRALIK-2019-11135) ve MikroArchitecturalVeri Örneklemesi(ASP-2018-11091,YERİNA-2018-12126)azaltmayı devre dışı bırakmak içinSPECTRE [ 2017-5753& 2017-5715] veMeltem [ ENSTA-2017-5754 ] çeşitlemeleriyle birlikte DEFA-2018-12130 , KARNE-2018-12130 ) Belirli depolama atlama devre dışı bırakma devre dışı bırakma (SSBD) [ YERİNDEKI-2018-3639 dahil ] ayrıca L1 Terminal Hatası (L1TF) [ YERİCİ-2018-3615, YERİCİ-2018-3620 ve YERİNE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Değişikliklerin etkin olması için bilgisayarı yeniden başlatın.

Korumaların etkinleştirildiğinden emin olun

Müşterilerin korumaların etkinleştirildiğinden eminlerine yardımcı olmak için, Microsoft müşterilerin sistemleri üzerinde çalıştıracak bir PowerShell betiği yayımlar. Aşağıdaki komutları çalıştırarak betiği yükleyin ve çalıştırın.

PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanılarak PowerShell doğrulaması

PowerShell Modülü'ne yükleme:

PS> Install-Module SpeculationControl

Korumaların etkinleştirildiğinden emin olmak için PowerShell modülünü çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet'den bir indirme kullanarak PowerShell doğrulaması (Önceki işletim sistemi sürümleri ve Önceki WMF sürümleri)

Technet ScriptCenter'den PowerShell modülünü yükleme:

  1. Https://aka.ms/SpeculationControlPS' https://aka.ms/SpeculationControlPS.

  2. Bir SpeculationControl.zip klasörü indirin.

  3. İçeriği bir yerel klasöre ayıklar. Örneğin: C:\ADV180002

Korumaların etkinleştirildiğinden emin olmak için PowerShell modülünü çalıştırın:

PowerShell'i çalıştırın ve önceki örneği kullanarak aşağıdaki komutları kopyalayın ve çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


PowerShell betiği çıktılarının ayrıntılı bir açıklaması için Bkz. Bilgi Bankası makalesi 4074629. 

Sık sorulan sorular

Müşteri cihazlarını olumsuz etkilemeyi önlemek Windows Ocak Windows Şubat 2018'de yayımlanan güvenlik güncelleştirmeleri tüm müşterilere sunulmmişti. Ayrıntılar için bkz. Microsoft Bilgi Bankası makalesi 4072699.

Mikro kod bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. BILGISAYARıNıZ için uygun güncelleştirmeye sahip üretici yazılımı sürümü hakkında OEM'nize başvurun.

Sistem sürümünden çalışan iş yüklarına kadar performansı etkileyen birden çok değişken vardır. Bazı sistemlerde, performans efekti uygun olmayacaktır. Diğerleri için önemli ölçüde olacak.

Sistemlerinizin performans etkilerini değerlendirmenizi ve gereken ayarlamaları yapmanızı öneririz.

Sanal makinelerle ilgili olarak bu makalede yer alan kılavuza ek olarak, sanal makinelerinizi çalıştıran ana bilgisayarların yeterince korun olduğundan emin olmak için hizmet sağlayıcınıza başvurmalıdır.

Azure'Windows çalışan Windows Server sanal makinelerini oluşturmak için bkz. Azure'daki özel yürütme yan kanal güvenlik açıklarının azaltılmasına yönelik kılavuz. Konuk VM'lerde bu sorunu azaltmak üzere Azure Güncelleştirme Yönetimi'nin kullanımı hakkında yol gösterici bilgiler için, Microsoft Bilgi Bankası'4077467.

Windows Server kapsayıcı resimleri için Windows Server 2016 ve Windows 10, sürüm 1709 için yayımlanan güncelleştirmeler, bu güvenlik açıkları kümesi için azaltmaları içerir. Ek yapılandırma gerekmez.

Not Yine de, bu kapsayıcıların çalıştırılan ana bilgisayarının uygun risk azaltmayı sağlayacak şekilde yapılandırıldığından emin olun.

Hayır, yükleme siparişinin önemi yoktur.

Evet, üretici yazılımı (mikrokod) güncelleştirmesini sonra ve sistem güncelleştirmesini sonra yeniden başlatmanız gerekir.

Kayıt defteri anahtarlarının ayrıntıları şöyledir:

FeatureSettingsOverride, varsayılan ayarı geçersiz kılacak bir bit eşlem temsil eder ve hangi azaltmaların devre dışı bırakılacaklarını kontrol eder. Bit 0, THE-2017-5715'e karşılık gelen azaltmayı kontrol eder. Bit 1, THE-2017-5754'e karşılık gelen azaltmayı kontrol eder. Bitler, azaltmayı etkinleştirmek için 0, azaltmayı devre dışı bırakmak için 1 olarak ayarlanır.

FeatureSettingsOverrideMask, FeatureSettingsOverrideile birlikte kullanılan bir bit eşlem maskesini temsil eder.  Bu durumda, kullanılabilir risk azaltmalara karşılık gelen ilk iki biti göstermek için 3 değerini (ikili sayı içinde 11 olarak veya 2 tabanı sayısal sistemde 11 olarak temsil edilen) kullanıruz. Bu kayıt defteri anahtarı, azaltmayı etkinleştirmek veya devre dışı bırakmak için her ikisi için de 3 olarak ayarlanır.

MinVmVersionForCpuBasedMitigations, Hyper-V ana bilgisayarları içindir. Bu kayıt defteri anahtarı güncelleştirilmiş üretici yazılımı özelliklerini (VM-2017-5715) kullanmak için gereken en düşük SANAL makine sürümünü tanımlar. Bunu tüm VM sürümlerini kapsayacak şekilde 1.0 olarak ayarlayın. Hyper-V dışı ana bilgisayarlarda bu kayıt defteri değerinin yoksayılacak (veya yok sayılacak) dikkat. Daha fazla ayrıntı için bkz. GUEST-2017-5715'te konuk sanal makinelerini koruma (dal hedef ekleme) .

Evet, Ocak 2018 ile ilgili düzeltmeleri yüklemeden önce bu kayıt defteri ayarları uygulandığında herhangi bir yan etki yoktur.

Evet, üretici yazılımı güncelleştirmesi Windows Server 2016 Hyper-V ana bilgisayarlarına yönelik olarak, saldırılar barındırmak için VM'yi VM'ye veya VM'ye geri yönlendirmeye yardımcı olacak alternatif kılavuzlar yayımladık. Hyper-V Ev Windows Server 2016 için, teknik yürütme yan kanal güvenlik açıklarına karşı alternatif korumalar'a bakın.

Yalnızca Güvenlik güncelleştirmeleri kümülatif değildir. İşletim sistemi sürümünüze bağlı olarak, tam koruma için çeşitli güvenlik güncelleştirmeleri yüklemeniz gerekiyor olabilir. Genel olarak, müşterilerin Ocak, Şubat, Mart ve Nisan 2018 güncelleştirmelerini yüklemeleri gerekir. AMD işlemcilere sahip sistemlerde, aşağıdaki tabloda gösterildiği gibi ek bir güncelleştirme gerekir:

İşletim Sistemi sürümü

Güvenlik Güncelleştirmesi

Windows 8.1, Windows Server 2012 R2

4338815 - Aylık Toplama

4338824 - Yalnızca Güvenlik

Windows 7 SP1, Windows Server 2008 R2 SP1 veya Windows Server 2008 R2 SP1 (Sunucu Çekirdek yüklemesi)

4284826 - Aylık Toplama

4284867 - Yalnızca Güvenlik

Windows Server 2008 SP2

4340583 - Güvenlik Güncelleştirmesi

Yalnızca Güvenlik güncelleştirmelerini sürüm sırasına göre yüklemenizi öneririz.

Not   Bu SSS'nin önceki bir sürümü, Yalnızca Şubat Tarihli Yalnızca Güvenlikle ilgili güncelleştirmenin Ocak ayında yayımlanan güvenlik düzeltmelerini içeriyor olduğunu belirtmektedir. Aslında böyle değildir.

Hayır. Güvenlik güncelleştirmesi KB 4078130, mikrokodu yükledikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve beklenmedik yeniden başlatmaları önlemeye yönelik özel bir düzeltmedir. İstemci işletim sistemlerinde güvenlik güncelleştirmelerinin Windows bu üç risk azaltmaya da olanak sağlar. Windows Server işletim sistemlerinde, düzgün test sonrasında risk azaltmaları etkinleştirmeniz gerekir. Daha fazla bilgi için, Microsoft Bilgi Bankası makalesi 4072698.

Bu sorun KB 4093118.

Şubat 2018'de, Intel doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikrokodları piyasaya etmeye başladıklarını duyurmuştu. Microsoft, Spectre Variant 2 Spectre Variant 2 (BURSI-2017-5715 – "Dal Hedef Ekleme") ile ilgili Intel doğrulanmış mikrokodu güncelleştirmelerini hazırlar. KB 4093836, belirli Bilgi Bankası makalelerini belirli bir sürüme Windows listeler. Her bir KB makalesi, CPU tarafından kullanılabilen Intel mikrokodu güncelleştirmelerini içerir.

11 Ocak 2018Intel, kısa süre önce yayımlanan ve Spectre değişken 2 (YALNIZLIK-2017-5715 – "Dal Hedef Ekleme") ile ilgili sorunlar bildirdi. Özel olarak, Intel bu mikrokodun"beklenen yeniden başlatmalardan ve öngörülemeyen diğer sistem davranışından daha yüksek" ve bu senaryoların "veri kaybına veya bozulmaya" neden olara nedenolduğunu özellikle not ediyor. " Bizim deneyimimiz, sistemin bozulmasının bazı durumlarda veri kaybına veya bozulmaya neden olabilir. 22 Ocak'ta Intel, müşterilerin etkilenen işlemcilere geçerli mikro kod sürümünü dağıtmayı durdurmalarını ve Intel'in de güncelleştirilmiş çözüm üzerinde ek testler uygulamalarını öneririz. Intel'in geçerli mikrokodu sürümünün olası etkisini incelemeye devam ettiğini anlıyoruz. Müşterilerin kararlarını bilgilendirmek için kılavuzlarını sürekli gözden geçirmelerini teşvik ediyoruz.

Intel testlerini, güncelleştirmelerini ve yeni mikrokodları dağıtırken, ÖZEL olarak 17.07.2015'te TL'ye karşı olan azaltmayı devre dışı bırakması için bant dışı (OOB) güncelleştirmesi KB 4078130 güncelleştirmesi yapıyoruz. Testimiz sırasında, tanımlanan davranışı engellemek için bu güncelleştirme bulundu. Cihazların tam listesi için, Intel'in mikro kod düzeltme kılavuzuna bakın. Bu güncelleştirme hem Windows hem de sunucu olmak Windows 7 Service Pack 1 (SP1), Windows 8.1 ve Windows 10 sürümlerini kapsar. Etkilenen bir cihazı çalıştırıyorsanız, bu güncelleştirme Microsoft Update Kataloğu web sitesinden indirerek uygulanabilir. Bu yük uygulaması özel olarak, THE-2017-5715'e karşı yalnızca AZALTMAyi devre dışı bıraktır.

Şu anda, bu Özellik Türü 2'nin (TEMİ-2017-5715 – "Dal Hedef Ekleme") müşterilere saldırı yapmak için kullanıla olmadığını belirten bilinen bir rapor yok. Intel, aygıtınızda bu öngörülemeyen sistem davranışının çözülmüş olduğunu raporlarsa, uygun olduğunda Windows kullanıcılarının THE-2017-5715'e karşı risk azaltmayı yeniden azaltmalarını öneririz.

Şubat 2018'de,Intel doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikrokodları piyasaya etmeye başladıklarını duyurmuştu. Microsoft, Spectre Variant 2 Spectre Variant 2 (DEFA-2017-5715 – "Dal Hedef Eklemesi") ile ilgili Intel doğrulanmış mikrokodu güncelleştirmelerini hazırlar. KB 4093836, belirli Bilgi Bankası makalelerini belirli bir sürüme Windows listeler. Kullanılabilir Intel mikro kod güncelleştirmeleri CPU tarafından ekleyebilirsiniz.

Daha fazla bilgi için BKZ. AMD Güvenlik Güncelleştirmeleri ve AMD Whitepaper: Dolaylı Dal Denetimi ile ilgili Mimari Yönergeleri. Bunlar OEM üretici yazılımı kanalından alınabilir.

Spectre Değişken 2 (YALNIZLIK-2017-5715 – "Dal Hedef Eklemesi " )ile ilgili Intel doğrulanmış mikrokodu güncelleştirmeleri yapıyoruz. Windows Update aracılığıyla en son Intel mikrokodu güncelleştirmelerini almak için, müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce, Windows 10 Windows 10 işletim sistemi çalıştıran cihazlara Intel mikrokodu yüklemeleri gerekir.

Mikro kod güncelleştirmesi, sistemi yükseltmeden önce cihaza yüklenmemişse doğrudan Microsoft Update Kataloğu'nden da kullanılabilir. Intel mikrokodu, Windows Update, Windows Server Update Services (WSUS) veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için KB 4100347.

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

SSBD'nin durumunu doğrulamak için Get-ControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikrokodu durumunu algılayarak güncelleştirilmiştir. Daha fazla bilgi ve PowerShell betiği almak için bkz. KB 4074629.

13 Haziran 2018'de, Tembel FPDurum Geri Yükleme olarak bilinen, yan kanal özelemiz yürütmeyi içeren ek bir güvenlik açığı duyuruldu ve BUCA-2018-3665'e atandı. Bu güvenlik açığı ve önerilen eylemler hakkında bilgi için, Güvenlik Danışmanlığı ADV180016 Güvenlik | Tembel FP Durumu Geri Yükleme için Microsoft Kılavuzu.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Tembel Geri Yükleme FP Geri Yükleme için gerekli yapılandırma (kayıt defteri) ayarları yoktur.

Sınırlar Denetim Atlama Deposu (İÇBM) 10 Temmuz 2018'de açıklandı ve ZAMANLI-2018-3693 atanmıştır. BCBS'nin, Bounds Check Bypass (Değişken 1) ile aynı güvenlik açıkları sınıfında yer alıyor olduğunu göz önünde bulunduracağız. Şu anda yazılımımızda BCBS'nin örneklerinin farkındayız. Bununla birlikte, bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gereken risk azaltmalarını serbest bırakmak için endüstri iş ortaklarıyla birlikte çalışacağız. ÇÇY'nin açıklarından yararlanılabilir örnekleri de içinde olmak üzere, Microsoft Belirlemeli Yürütme Yan Kanalı programlarına konuyla ilgili tüm bulguları göndermek için araştırmacıyı teşvik edeceğiz. Yazılım geliştiriciler, BCBS için güncelleştirilen geliştirici kılavuzlarını C++ Çeşitli Yürütme Yan Kanalları için Geliştirici Kılavuzu'nda gözden geçirmesi gerekir.

14 Ağustos 2018 tarihinde L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CVE atanmıştır. Bu yeni speculative execution side-channel vulnerabilities can be used to read the content of memory across a trusted boundary and, if exploited, could lead to information disclosure. Yapılandırılmış ortama bağlı olarak, bir saldırgan tarafından güvenlik açıklarını tetikleyebiliyor birden çok vektör vardır. L1TF, Intel® Çekirdek® işlemcileri ve Intel® Xeon® işlemcileri etkiler.

Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'nin azaltma yaklaşımı da içinde olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:

OEM'den OEM'Hyper-Threading devre dışı bırakma adımları oem'den OEM'ye farklılık gösterir, ancak genel olarak DAMİ ya da üretici yazılımı kurulumu ve yapılandırma araçlarının bir parçası olur.

64 bit ARM işlemci kullanan müşteriler, FIRMWARE-2017-5715'i azaltmak için ARM64 işletim sistemi korumaları - Dal hedef eklemesi (Özelliktre, Değişken 2) cihaz OEM'lerden en son üretici yazılımı güncelleştirmesinin etkili olması için cihaz OEM'leri desteği için iletişime geçmektedir.

Ayrıntılı bilgi, bu Windows yürütme yan kanal güvenlik açıklarına karşı korunması gereken kılavuzda bulunabilir.

Lütfen belirli yürütme yan Windows güvenlik açıklarına karşı korumak için bu kılavuzda yer alan kılavuza bakın

Azure kılavuzu için lütfen şu makaleye bakın: Azure'da belirli bir yürütme yan kanal güvenlik açıklarının azaltılmasına yönelik kılavuz.

Retpoline etkinleştirme hakkında daha fazla bilgi için blog gönderimize bakın: Retpoline ile Azaltma Spectre variant 2 with Retpoline Windows.

Bu güvenlik açığı hakkında ayrıntılı bilgi için Microsoft Güvenlik Kılavuzu' ne bakın: THE-2019-1125 | Windows Bilgi Açıklanması Güvenlik Açığı .

Bu bilgi açıklama açığının bulut hizmeti altyapımızı etkileyen herhangi bir örneğini farkındayız.

Bu sorunun farkına varmalarımızın hemen ardından bu sorunu hızlıca gidermek ve bir güncelleştirme yayınlayacağız. Müşterileri daha güvenli hale getirme konusunda hem araştırmacı hem de endüstri iş ortaklarıyla yakın ortaklıklar olduğuna kesinlikle inanıyor ve 6 Ağustos Salı günü kadar ilgili ayrıntıları, eşgüdümle güvenlik açığı açıklama uygulamalarıyla tutarlı olarak yayımlamadık.

Ayrıntılı bilgi, bu Windows yürütme yan kanal güvenlik açıklarına karşı korunması gereken kılavuzda bulunabilir.

Ayrıntılı bilgi, bu Windows yürütme yan kanal güvenlik açıklarına karşı korunması gereken kılavuzda bulunabilir.

Intel® İşlem Eşitleme Uzantıları (Intel® TSX)özelliğini devre dışı bırakma kılavuzunda daha fazla kılavuz bulunabilir.

Üçüncü taraf bilgileri ile ilgili uyarı

Bu makalede adı geçen üçüncü taraf ürünler Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Çeviri kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkür ederiz!

×