Windows Server інструкції для захисту від спекулятивних виконання стороні каналу вразливості

Застосовується до: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Докладно

Загальні відомості


Корпорації Майкрософт відомо, відкрито розкриті нового класу дефекти, називається "спекулятивних виконання стороні каналу атак", і які впливають на сучасних процесорів Intel, AMD та ARM.

Примітка. Ця проблема також впливає на інших операційних систем: Android, Chrome, iOS і macOS. Тому, ми рекомендуємо користувачам шукати, керуючись цих виробників.

Корпорація Майкрософт випустила на кілька оновлень, щоб запобігти такі дефекти. Ми також мали дії для захисту наших служб у хмарі. Див. у наступних розділах, щоб отримати додаткові відомості.

Корпорація Майкрософт ще не отримав жодних відомостей про те, що ці дефекти вже використано до атак користувачів. Корпорація Майкрософт тісно співпрацює з партнерами по галузі мікросхем виробників, обладнання, постачальників обчислювальної техніки та застосунок постачальники захист клієнтів. Отримати всі доступні та безпеки, мікропрограми (мікрокоманд) та програмне забезпечення, оновлення не потрібно. Це включає мікрокоманд, з пристрою OEM і в деяких випадках оновлення антивірусного програмного забезпечення.

У цій статті розглядаються в таких дефекти:

Щоб дізнатися більше про цей клас вразливих місць, див. ADV180002 та ADV180012.

Корпорація Майкрософт надає контактні відомості сторонніх виробників, щоб допомогти вам отримати технічну підтримку. Ці дані можуть змінюватися без попередження. Корпорація Майкрософт не гарантує точності контактних відомостей сторонніх виробників.

Рекомендовані дії.


Клієнтів, слід виконати наведені нижче дії для захисту проти уразливості:

  1. Інсталюйте всі доступні Windows оновлення операційної системи, включаючи щомісячні оновлення безпеки Windows. Щоб дізнатися , як увімкнути, ці оновлення, see у статті 4072699.
  2. Від виробника (OEM), інсталюйте відповідний мікропрограм (мікрокоманд).
  3. Обчислити ризик ваше програмне середовище, на основі відомостей, що це рекомендації з безпеки корпорації МайкрософтADV180002іADV180012і в цій статті бази знань.
  4. За допомогою рекомендації та до реєстру, наведене в цій статті бази знань, виконайте такі дії, як потрібно.

Зменшення параметри для ОС Windows Server


Безпеку ADV180002 та ADV180012 отримання інформації про ризики, які створюють ці дефекти та визначити стан за замовчуванням пом'якшення для Windows Server системи. У нижче таблиці наведено вимоги процесор мікрокоманд та стан пом'якшення, на сервері Windows за промовчанням.

CVE Потрібен процесор мікрокоманд або мікропрограми? Зменшення за промовчанням стану

CVE-2017-5753

Ні

Вмикається за промовчанням (не можна вимкнути)

CVE-2017-5715

Так

Вимкнуто за промовчанням.

CVE-2017-5754

Ні

Windows Server 2019: Вмикається автоматично. Windows Server, 2016 та раніші версії: за промовчанням.

CVE-2018-3639

Intel: так

AMD: немає

Вимкнуто за промовчанням. Див. для отримання додаткових відомостей і цю статтю, параметри розділу реєстру, можливо, для ADV180012 .

Користувачів, яким потрібно отримати всі доступні захисту, від цих дефекти, потрібно зробити ключові зміни реєстру, щоб увімкнути такі пом'якшення, вимкнуто за промовчанням.

Увімкнення цих пом'якшення може вплинути на продуктивність. Масштаб наслідки продуктивності залежить від декількох факторів, зокрема певного набору мікросхем вашого фізичного хоста та виконання завдань, які працюють. Корпорація Майкрософт рекомендує, користувачам оцінку продуктивності ефекти для їх середовищі та перевірте всі необхідні зміни.

Сервер є збільшення ризику, якщо в одному з нижченаведених категорій:

  • Hyper-V розміщено – потребує захисту віртуальної машини на віртуальну Машину та віртуальної машини на хост-атак.
  • Віддаленого робочого стола хостів служби (RDSH) – потребує захисту з одного сеансу до іншого сеансу або хост сеансу атак.
  • Фізична хостів або віртуальних машин, під керуванням ненадійний кодконтейнерів або на ненадійному розширень, база даних, ненадійний веб-вмісту або навантаження, що код, який із зовнішніх джерел. Ці вимагають, захист від ненадійних процес з іншим процесом або ненадійний процес для ядра атак.

Використовувати такі параметри розділу реєстру, щоб увімкнути пом'якшення, на сервері і перезавантажте систему, щоб зміни набрали сили.

Увага!Цей розділ, спосіб або завдання містить опис час внесення змін до реєстру. Проте серйозні проблеми можуть виникнути, якщо внесені зміни до реєстру неправильні. Таким чином, переконайтеся, що ретельно виконані такі дії. Для додаткового захисту створіть резервну копію реєстру перед внесенням змін. Після цього можна відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру, клацніть номер статті в базі знань Microsoft Knowledge Base:

 

322756Як резервної копії та відновлення реєстру в ОС Windows

Керування пом'якшення для CVE 2017 5715 (Spectre варіант 2) а також CVE 2017 5754 (криза)


Щоб увімкнути пом'якшення для CVE 2017 5715 (Spectre варіант 2) а також CVE 2017 5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Якщо це хост Hyper-V та оновлення мікропрограм було застосовано: Повністю вимикати всі віртуальні машини. Це дає змогу в мікропрограми, пов'язані з потоків, застосовані на хості, перш ніж на-віртуальних машин запущено. Таким чином, у-віртуальних машин й оновлюються під час їх на вимогу.

Перезавантажте комп'ютер , щоб зміни набрали сили .

Щоб вимкнути пом'якшення для CVE 2017 5715 (Spectre варіант 2) а також CVE 2017 5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажити комп'ютер, щоб зміни набрали сили .

Примітка параметр FeatureSettingsOverrideMask 3 , є точною настройок, як "Увімкнути" і "вимкнути". (Див. розділ "FAQ", щоб отримати додаткові відомості про розділи реєстру).

Керування потоків, для CVE 2017 5715 (Spectre варіант 2)


Вимкнення варіант 2: (CVE -2017-5715"Відділення Target вкладання")зменшення:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Увімкнення варіант 2: (CVE, 2017, 5715"Гілку Target вкладання") потоків:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Процесори AMD лише: Увімкнення повного потоків, для CVE 2017 5715 (Spectre варіант 2)


За промовчанням CVE, 2017 та 5715 захист користувача до ядра вимикається процесорів AMD. Користувачі, потрібно ввімкнути потоків, отримати додатковий захист для CVE, 2017, 5715.  Щоб отримати додаткові відомості див. запитання й відповіді про #15 ADV180002.

Ввімкнення захисту користувачів до ядра процесори AMD, разом з іншими та безпеки для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Якщо це хост Hyper-V та оновлення мікропрограм було застосовано: Повністю вимикати всі віртуальні машини. Це дає змогу в мікропрограми, пов'язані з потоків, застосовані на хості, перш ніж на-віртуальних машин запущено. Таким чином, у-віртуальних машин й оновлюються під час їх на вимогу.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Керування пом'якшення для CVE 2018 3639 (обхід сховища, спекулятивні) CVE 2017 5715 (Spectre варіант 2) та CVE 2017 5754 (криза)



Щоб увімкнути пом'якшення для CVE 2018 3639 (обхід сховища, спекулятивні) CVE 2017 5715 (Spectre варіант 2) та CVE 2017 5754 (криза):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Якщо це хост Hyper-V та оновлення мікропрограм було застосовано: Повністю вимикати всі віртуальні машини. Це дає змогу в мікропрограми, пов'язані з потоків, застосовані на хості, перш ніж на-віртуальних машин запущено. Таким чином, у-віртуальних машин й оновлюються під час їх на вимогу.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Вимкнення пом'якшення для CVE 2018 3639 (обхід сховища, спекулятивні) і пом'якшення CVE 2017 5715 (Spectre варіант 2) і CVE 2017 5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

 

Процесори AMD лише: Увімкнення повного потоків, CVE 2017 5715 (Spectre варіант 2) і CVE 2018-3639 (не використовувати спекулятивних сховища)


За промовчанням CVE, 2017 та 5715 захист користувача для ядра, вимкнуто для процесори AMD. Користувачі, потрібно ввімкнути потоків, отримати додатковий захист для CVE, 2017, 5715.  Щоб отримати додаткові відомості див. запитання й відповіді про #15 ADV180002.

Процесори AMD, разом з іншими та безпеки для CVE 2017-5715 захист користувача до ядра та захист для CVE 2018 3639 (обхід сховища, спекулятивні):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

, Якщо це хост Hyper-V та оновлення мікропрограм було застосовано:Повністю вимикати всі віртуальні машини. Це дає змогу в мікропрограми, пов'язані з потоків, застосовані на хості, перш ніж на-віртуальних машин запущено. Таким чином, у-віртуальних машин також оновлюється під час їх на вимогу.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Перевірка, чи ввімкнуто захист


Для користувачів, переконайтеся, що ввімкнуто захист Microsoft опублікував сценарію PowerShell, які користувачі, можна запустити у своїх системах. Інсталювати та запустити сценарій, виконавши наведені нижче команди.

Перевірка PowerShell, за допомогою галереї PowerShell (Windows Server 2016 або WMF 5.0/5.1)

Інсталюйте модуль PowerShell:

PS> Install-Module SpeculationControl

Запустіть модуль PowerShell, щоб переконатися, що ввімкнуто захист.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell перевірки за допомогою завантаження з Technet (раніше операційних систем і WMF в попередніх версіях)

Встановити модуль PowerShell, з ScriptCenter на Technet:

  1. Перейдіть до https://aka.ms/SpeculationControlPS.
  2. Завантажити SpeculationControl.zip, до локальної папки.
  3. Витягніть вміст до локальної папки. Наприклад: C:\ADV180002

Запустіть модуль PowerShell, щоб переконатися, що ввімкнуто захист.

Запустіть PowerShell і скористайтеся наведеному вище прикладі копіювання та виконайте такі команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Докладніші пояснення результату виконання сценарію PowerShell, дивіться статті бази знань, 4074629

Запитання й відповіді


У мене не було запропоновано, оновлення безпеки Windows, випущені в січні і лютому 2018. Що робити?

Щоб уникнути, негативно впливають на пристрої для клієнтів, оновлення безпеки Windows, випущені в січні і лютому 2018 не надається для всіх користувачів. Додаткові відомості див. статтю бази знань Майкрософт, 4072699.

Посилання