Windows Server інструкції для захисту від спекулятивних виконання стороні каналу вразливості

Застосовується до: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Загальні відомості


Корпорація Майкрософт відомо про новий публічно розкриті класу вразливих місць, які називаються "спекулятивні виконання стороні каналу атак" і які впливають на багато сучасних процесорів, включаючи Intel, AMD, VIA і ARM.

Зверніть увагу Ця проблема також впливає на інші операційні системи, такі як Android, Chrome, iOS і macOS. Тому ми радимо клієнтам звертатися за вказівками до цих постачальників.

Ми випустили кілька оновлень, щоб допомогти пом'якшити ці дефекти. Ми також вжили заходів для забезпечення наших хмарних сервісів. Докладніше про це можна дізнатися з наведених нижче розділів.

Ми ще не отримали ніякої інформації, щоб вказати, що ці дефекти були використані для атак клієнтів. Ми тісно співпрацюємо з партнерами по галузі, включаючи виробників мікросхем, апаратних постачальників обчислювальної техніки та постачальників застосунків для захисту клієнтів. Щоб отримати всі доступні захисту, мікропрограми (мікрокоманд) і оновлення програмного забезпечення, які потрібно. Це стосується, мікрокоманд, з пристрою ПОТ, а в деяких випадках оновлення антивірусного програмного забезпечення.

У цій статті розглядаються в таких вразливостей:

Служба Windows Update також надаватиме Internet Explorer і краї пом'якшення. Ми будемо продовжувати вдосконалювати ці пом'якшення від цього класу вразливостей.

Щоб дізнатися більше про цей клас вразливих місць, див.

Оновлено 14 травня 2019 14 травня 2019, Intel, опубліковані відомості про новий підклас спекулятивних виконання стороні каналу вразливості відомий як Мікроархітектурні даних вибірка. Вони були призначені наступні CVEs:

Важливе значення Ці проблеми вплинуть на інші системи, такі як Android, Chrome, iOS і MacOS. Ми радимо клієнтам звертатися за вказівками від відповідних продавців.

Корпорація Майкрософт випустила оновлення, щоб запобігти ці дефекти. Щоб отримати всі доступні захисту, мікропрограми (мікрокоманд) і оновлення програмного забезпечення, які потрібно. Це може включати, мікрокоманд, від постачальників обчислювальної техніки. У деяких випадках інсталяція цих оновлень матиме вплив на продуктивність. Ми також виступали для забезпечення наших хмарних сервісів. Наполегливо рекомендуємо розгортання цих оновлень.

Щоб отримати додаткові відомості про цю проблему зверніться до нижченаведену рекомендації з питань безпеки та використайте вказівки на основі сценарію, щоб визначити дії, необхідні для пом'якшення загрози:

Зверніть увагу Корпорація Майкрософт рекомендує, інсталювати всі останні оновлення зі служби Windows Update, перш ніж інсталювати будь-які оновлення мікрокоманд.

UPDATED на 6 серпня 2019 на 6 серпня 2019 Intel випустила відомості про вразливості розкриття інформації Windows ядра. Ця вразливість є варіант привид варіант 1 спекулятивних виконання стороні каналу вразливості і був призначений CVE-2019-1125.

9 липня 2019 корпорація Майкрософт випустила оновлення безпеки для операційної системи Windows, щоб запобігти цю проблему. Зверніть увагу, що ми повернулися документування цього пом'якшення, поки не скоординованої промисловості розкриття у вівторок, 6 серпня 2019.

Користувачі, які мають Windows Update, увімкнуто та застосовані оновлення безпеки, випущені 9 липня 2019, захищені автоматично. Подальша конфігурація не потрібна.

Примітка ця вразливість не вимагає оновлення мікрокоманд від виробника пристрою (OEM).

Щоб отримати додаткові відомості про цей дефект і відповідних оновлень, зверніться до посібника з оновлення системи безпеки Microsoft:

CVE-2019-1125 | Вразливості розкриття інформації про ядро Windows

Оновлено на Nовембер 12, 2019 на 12 листопада 2019, Intel опублікував Технічний консультативний навколо Intel® транзакційні синхронізації розширень (Intel® TSX) транзакції Асинхронне перервати дефект, який призначається CVE-2019-11135. Корпорація Майкрософт випустила оновлення, щоб запобігти цьому дефект і ОС захисту увімкнуто за промовчанням для Windows Server 2019, але вимкнуто за промовчанням для Windows Server 2016 і попередніх версій ОС Windows Server, випуски.

Рекомендовані дії


Клієнти, слід вжити такі дії, щоб захистити від уразливості:

  1. Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.
  2. Інсталюйте оновлення застосовується мікропрограми (мікрокоманд), що надається виробником пристрою.
  3. Оцініть ризик для вашого середовища на основі інформації, наданої на Microsoft Security, рекомендації: ADV180002, ADV180012, ADV190013та відомості, надані в цій статті бази знань.
  4. Вжити заходів за необхідності, за допомогою рекомендації та розділ реєстру відомості, які надаються в цій статті бази знань.

Зверніть увагу Поверхня клієнти отримають оновлення мікрокоманд, за допомогою служби Windows Update. Список останні оновлення мікропрограми (мікрокоманд) Surface, див. KB 4073065.

Зменшення параметрів для Windows Server


Рекомендації з безпеки ADV180002, ADV180012та ADV190013 надають відомості про ризик, який створює ці дефекти.  Вони також допомагають визначити ці дефекти і визначити стан за промовчанням пом'якшення для Windows Server системи. У таблиці нижче наведено вимоги мікрокоманд ЦП і стан за промовчанням пом'якшення на Windows Server.

CVE Вимагає мікрокоманд процесора/прошивки? Зменшення стану за промовчанням

CVE-2017-5753

Ні

Увімкнено за замовчуванням (опція не відключати)

Будь ласка, зверніться до ADV180002 для отримання додаткової інформації

CVE-2017-5715

Так

Вимкнуто за промовчанням.

Будь ласка, зверніться до ADV180002 для отримання додаткової інформації та цієї статті бази знань для відповідних параметрів розділу реєстру.

Зверніть увагу "Retpoline" увімкнуто за промовчанням для пристроїв під керуванням Windows 10 1809 або новішої версії, якщо ввімкнуто привид варіант 2 ( CVE-2017-5715 ). Для отримання додаткової інформації, навколо "retpoline", дотримуйтесьпом'якшення привид варіант 2 з Retpoline на блозі Windows Post.

CVE-2017-5754

Ні

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Будь ласка, зверніться до ADV180002 для отримання додаткової інформації.

CVE-2018-3639

Intel: так

AMD: немає

Вимкнуто за промовчанням. Переглянути ADV180012 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.

CVE-2018-11091 Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.
CVE-2018-12126 Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.
CVE-2018-12127 Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.
CVE-2018-12130 Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.
CVE-2019-11135 Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути CVE-2019-11135 , щоб отримати додаткові відомості і цю статтю бази знань, для відповідних параметрів розділу реєстру.

Користувачі, які хочуть отримати всі доступні захисту від цих вразливостей, потрібно зробити розділ реєстру зміни, щоб увімкнути ці пом'якшення, які вимкнуто за промовчанням.

Увімкнення цих пом'якшення може вплинути на продуктивність. Масштаб ефектів продуктивності залежить від кількох факторів, наприклад, конкретного чіпсета у вашому фізичному хості та виконання завдань, які працюють. Корпорація Майкрософт рекомендує, що клієнти оцінити продуктивність ефекти для свого середовища і внесіть потрібні зміни.

Ваш сервер на підвищений ризик, якщо він знаходиться в одній з наступних категорій:

  • Hyper-V хостів – вимагає захисту для віртуальної машини на віртуальну машину і віртуальної машини на хост-атак.
  • Служби віддалених робочих столів хостів (RDSH) – вимагає захисту від одного сеансу до іншого сеансу або з атак сеансу до хоста.
  • Фізичні хости або віртуальні машини, на яких запущено ненадійний код, наприклад, контейнери або ненадійні розширення для бази даних, ненадійний веб-вміст або навантаження, які запускають код із зовнішніх джерел. Вони потребують захисту від ненадійного процесу до іншого процесу або з ненадійними процесами до ядра атак.

Використовуйте такі параметри розділу реєстру, щоб увімкнути пом'якшення на сервері і перезавантажте систему, щоб зміни набрали сили.

Зверніть увагу Увімкнення пом'якшення, які за промовчанням може вплинути на продуктивність. Фактичний вплив на продуктивність залежить від кількох факторів, наприклад, конкретного чіпсета в пристрої та виконання завдань, які працюють.

Параметри реєстру


Ми надаємо такі відомості реєстру, щоб увімкнути пом'якшення, які не ввімкнуто за промовчанням, як описано в рекомендації з безпеки ADV180002, ADV180012та ADV190013.

Крім того, ми надаємо Параметри розділу реєстру для користувачів, які хочуть вимкнути пом'якшення, які пов'язані з CVE-2017-5715 та CVE-2017-5754 для клієнтів Windows.

Важливе значення Цей розділ, метод або завдання містять кроки, які повідомляють, як змінити реєстр. Однак, серйозні проблеми можуть виникнути, якщо змінити реєстр неправильно. Таким чином, переконайтеся, що ви виконайте наведені нижче дії ретельно. Для додаткового захисту, резервну копію реєстру, перш ніж вносити зміни. Після цього можна відновити реєстр, якщо виникне проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру клацніть номер статті в базі знань Microsoft Knowledge Base:

як 322756 резервного копіювання та відновлення реєстру в ОС Windows

Керування пом'якшення для CVE 2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)


Важлива Примітка Retpoline увімкнуто за промовчанням на Windows 10, версія 1809 серверів, якщо привид, варіант 2 ( CVE-2017-5715 ) увімкнуто. Увімкнення Retpoline на останню версію Windows, 10 може підвищити продуктивність на серверах під керуванням Windows 10, версія 1809 для привид варіант 2, особливо на старих процесорів.

Увімкнення пом'якшення для CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб вимкнути пом'якшення для CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Зверніть увагу Налаштування FeatureSettingsOverrideMask 3 є точним для обох параметрів "Увімкнути" та "вимкнути". (Див. розділ "FAQ ", щоб отримати додаткові відомості про розділи реєстру.)

Керування потоків, для CVE-2017-5715 (привид варіант 2)


Щоб вимкнути варіант 2: (CVE-2017-5715"гілку цільового ін'єкцій") пом'якшення:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб увімкнути варіант 2: (CVE-2017-5715"гілку цільового ін'єкцій") пом'якшення:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Процесори AMD лише: Увімкнення повного потоків для CVE-2017-5715 (привид варіант 2)


За промовчанням, захист користувача до ядра для CVE-2017-5715, вимкнуто для процесорів AMD. Користувачі, потрібно ввімкнути потоків, щоб отримати додаткові захисту для CVE, 2017-5715.  Докладніші відомості наведено в розділі FAQ #15 у ADV180002.

Увімкнення захисту користувачів до ядра ПРОЦЕСОРИ AMD разом з іншими захисту для CVE, 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Керування пом'якшення, для CVE-2018-3639 (спекулятивного сховища обхід), CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)



Щоб увімкнути пом'якшення, для CVE-2018-3639 (спекулятивного сховища обхід), CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб вимкнути пом'якшення для CVE 2018-3639 (спекулятивного сховища обхід) і пом'якшення для CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Процесори AMD лише: Увімкнення повного потоків для CVE-2017-5715 (привид варіант 2) і CVE 2018-3639 (спекулятивних сховища обхід)


За промовчанням захист від користувача до ядра CVE 2017-5715 вимкнуто для процесорів AMD. Користувачі, потрібно ввімкнути потоків, щоб отримати додаткові захисту для CVE, 2017-5715.  Докладніші відомості наведено в розділі FAQ #15 у ADV180002.

Увімкнення захисту користувачів до ядра ПРОЦЕСОРИ AMD разом з іншими захисту для CVE, 2018, 2017-5715 та захисту для CVE, 2018-3639 (спекулятивного сховища обхід):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Керувати розширеннями Intel® транзакційні синхронізації (Intel® TSX) транзакції Асинхронне переривання вразливості (CVE-2019-11135) і Мікроархітектурні даних вибірка (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) разом із Привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи спекулятивний обхід сховища вимкнути (SSBD) [CVE-2018-3639] а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646]


Щоб увімкнути пом'якшення, для Intel® транзакційних розширень синхронізації (Intel® TSX) транзакції Асинхронне перервати дефект (CVE-2019-11135) і мікроархітектурні даних вибірка (CVE 2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) разом з привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи спекулятивних Вимкнути обхід сховища (SSBD) [CVE-2018-3639], а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646] без вимкнення гіпер-потоків:

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ 72 REG_DWORD керування

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

REG Add "HKEY_LOCAL_MACHINE \ програмне Забезпеченн\mic1,0 REG_SZ Ft\frd\windows \ Windows/версія/версія \ віртуалізація

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб увімкнути пом'якшення для Intel® транзакцій синхронізації (Intel® TSX) транзакції Асинхронне перервати дефект (CVE-2019-11135) і мікроархітектурні даних вибірка (CVE 2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) разом з привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи Спекулятивний обхід сховища вимкнути (SSBD) [CVE-2018-3639], а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646] з Hyper-потоків, вимкнуто:

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ 8264 REG_DWORD керування

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

REG Add "HKEY_LOCAL_MACHINE \ програмне Забезпеченн\mic1,0 REG_SZ Ft\frd\windows \ Windows/версія/версія \ віртуалізація

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб вимкнути пом'якшення, для Intel® транзакцій синхронізації (Intel® TSX) транзакції Асинхронне перервати дефект (CVE-2019-11135) і мікроархітектурні даних вибірка (CVE 2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) разом з привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи Спекулятивний обхід сховища вимкнути (SSBD) [CVE-2018-3639], а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646]:

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

Перезавантажте комп'ютер, щоб зміни набрали сили.

Перевірка, чи ввімкнуто захист


Щоб допомогти клієнтам перевірити, чи ввімкнуто захист, корпорація Майкрософт опублікував сценарій PowerShell, який користувачі можуть працювати у своїх системах. Інсталюйте та запустіть сценарій, виконавши наведені нижче команди.

Перевірка PowerShell за допомогою галереї PowerShell (Windows Server 2016 або WMF 5.0/5.1)

Встановити модуль PowerShell:

PS> Install-Module SpeculationControl

Запустіть модуль PowerShell, щоб перевірити, чи ввімкнуто захист:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Перевірка PowerShell за допомогою завантаження з TechNet (попередні версії операційної системи та попередніх версій WMF)

Інсталюйте модуль PowerShell з TechNet Крикрицентр:

  1. Перейдіть до https://AKA.MS/SpeculationControlPS .
  2. Завантажити елемент керування. zip до локальної папки.
  3. Витягніть вміст до локальної папки. Наприклад: C:\ADM18002

Запустіть модуль PowerShell, щоб перевірити, чи ввімкнуто захист:

Запустіть PowerShell і використайте попередній приклад копіювання та виконайте такі команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Докладні пояснення, випуск сценарію PowerShell, перегляньте статтю бази знань 4074629 .

Запитання й відповіді