Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Змінити дату

Опис змін

20 квітня 2023 р.

  • Додано відомості реєстру MMIO

8 серпня 2023 р.

  • Видалено вміст про CVE-2022-23816, оскільки номер CVE не використовується

  • Додано "Плутаність типу гілки" в розділі "Вразливості"

  • Додано додаткову інформацію до "CVE-2022-23825 | Розділ реєстру AMD CPU Branch Type Confusion (BTC)"

9 серпня 2023 р.

  • Оновлено "CVE-2022-23825 | Розділ реєстру AMD CPU Branch Type Confusion (BTC)"

  • Додано "CVE-2023-20569 | AmD CPU Return Address Predictor" to "Summary" section

  • Додано "CVE-2023-20569 | Розділ реєстру "Передбачати зворотну адресу ЦП AMD"

9 квітня 2024 р.

  • Додано CVE-2022-0001 | Ін'єкція Intel Branch History

16 квітня 2024 р.

  • Додано розділ "Увімкнення кількох заходів зниження ризику"

Вразливостей

У цій статті описано такі вразливості спекулятивного виконання:

Windows Update також забезпечать послаблення ризиків для Internet Explorer і Edge. Ми й надалі вдосконалюватимемо ці засоби послаблення ризиків проти цього класу вразливостей.

Щоб дізнатися більше про цей клас вразливостей, див. статтю

14 травня 2019 року компанія Intel опублікувала інформацію про новий підклас вразливостей стороннього каналу спекулятивного виконання, відомої як Вибір мікроархітектурних даних і описана в ADV190013 | Вибірка мікроархітектурних даних. Їм призначено такі CVEs:

Увага!: Ці проблеми стосуватимуться інших систем, як-от Android, Chrome, iOS і MacOS. Радимо користувачам звернутися за рекомендацією до цих постачальників.

Корпорація Майкрософт випустила оновлення, які допоможуть зменшити ці вразливості. Для отримання всіх доступних засобів захисту потрібні мікропрограми (мікрокоманд) і оновлення програмного забезпечення. Це може бути мікрокоманд від постачальників оригінального обладнання пристрою. Інсталювання цих оновлень у деяких випадках впливає на продуктивність. Ми також діяли для захисту наших хмарних служб. Ми наполегливо рекомендуємо розгортати ці оновлення.

Докладні відомості про цю проблему див. в наведених нижче рекомендаціях із безпеки та використанні вказівок на основі сценаріїв для визначення дій, необхідних для зменшення загрози.

Примітка.: Перш ніж інсталювати оновлення мікрокоманд, радимо інсталювати всі останні оновлення з Windows Update.

6 серпня 2019 р. компанія Intel оприлюднила відомості про вразливість розкриття інформації ядра Windows. Ця вразливість є варіантом вразливості стороннього каналу спекулятивного виконання Spectre, варіант 1, і йому призначено CVE-2019-1125.

9 липня 2019 року ми випустили оновлення системи безпеки для операційної системи Windows, які допоможуть зменшити цю проблему. Зверніть увагу, що ми стримували публічне документування цього послаблення ризиків до розкриття скоординованої галузі у вівторок, 6 серпня 2019 року.

Користувачі, які Windows Update ввімкнули та застосували оновлення системи безпеки, випущені 9 липня 2019 року, автоматично захищені. Додаткової конфігурації немає.

Примітка.: Ця вразливість не потребує оновлення мікрокоманд від виробника пристрою (OEM).

Докладні відомості про цю вразливість і відповідні оновлення див. в посібнику з оновлення системи безпеки Microsoft:

12 листопада 2019 року компанія Intel опублікувала технічну рекомендацію щодо уразливості асинхронної перервання транзакцій Intel® Transactional Synchronization Extensions (Intel TSX), якій призначено CVE-2019-11135. Корпорація Майкрософт випустила оновлення, які допомагають зменшити цю вразливість, а захист ОС увімкнуто за замовчуванням для Windows Server 2019, але вимкнуто за замовчуванням для випусків ОС Windows Server 2016 і попередніх версій ОС Windows Server.

14 червня 2022 року ми опублікували ADV220002 | Рекомендації Microsoft щодо вразливостей застарілих даних процесора Intel MMIO і призначено такі CVEs: 

Рекомендовані дії

Щоб захиститися від вразливостей, слід виконати такі дії:

  1. Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.

  2. Застосуйте відповідне оновлення мікропрограми (мікрокоманд), яке надає виробник пристрою.

  3. Оцініть ризик для свого середовища на основі інформації, наданої в розділі "Рекомендації з безпеки Microsoft" (ADV180002, ADV180012, ADV190013 та ADV220002) на додачу до інформації, наведеної в цій статті база знань.

  4. Виконайте необхідні дії, використовуючи рекомендації та відомості розділу реєстру, наведені в цій статті база знань.

Примітка.: Клієнти Surface отримають оновлення мікрокоманд через Windows Update. Список останніх оновлень мікропрограм пристрою Surface (мікрокоманд) див. в статті KB4073065.

12 липня 2022 року ми опублікували CVE-2022-23825 | Плутаність типу філіалу ЦП AMD , яка описує, що псевдоніми в предикторі гілок можуть призвести до того, що певні процесори AMD прогнозують неправильний тип гілки. Ця проблема потенційно може призвести до розголошення інформації.

Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в липні 2022 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2022-23825 і відомостей розділу реєстру, наведених у цій статті база знань.

Докладні відомості див. в бюлетені безпеки AMD-SB-1037 .

8 серпня 2023 року ми опублікували CVE-2023-20569 | Передбачник зворотної адреси (також відомий як Inception), який описує нову спекулятивну атаку стороннього каналу, яка може призвести до спекулятивного виконання на контрольованій зловмисником адресі. Ця проблема впливає на певні процесори AMD і потенційно може призвести до розголошення інформації.

Щоб захиститися від цієї вразливості, радимо інсталювати оновлення Windows, випущені в серпні 2023 р. або пізніше, а потім вжити заходів відповідно до вимог CVE-2023-20569 і відомостей розділу реєстру, наведених у цій статті база знань.

Докладні відомості див. в бюлетені безпеки AMD-SB-7005 .

9 квітня 2024 року ми опублікували CVE-2022-0001 | Ін'єкція Intel Branch History, яка описує ін'єкцію журналу гілки (BHI), яка є конкретною формою внутрішньо-режиму BTI. Ця вразливість виникає, коли зловмисник може керувати журналом гілок, перш ніж переходити від користувача до режиму нагляду (або з VMX некорений/гість до кореневого режиму). Ця маніпуляція може призвести до того, що предиктор непрямої гілки може вибрати певний запис предиктора для непрямої гілки, а міні-програма розкриття в прогнозованому цільовому об'єкті буде тимчасово виконана. Це може бути можливо, оскільки відповідна історія гілок може містити гілки, прийняті в попередніх контекстах безпеки, і, зокрема, інші режими предиктора.

Параметри послаблення ризиків для Windows Server та Azure Stack HCI

Рекомендації з безпеки (ADVs) і CVEs надають інформацію про ризик, який створюється цими вразливостями. Вони також допомагають визначити вразливості та визначити стан послаблення ризиків за промовчанням для систем Windows Server. У таблиці нижче підсумовано вимоги мікрокоманд ЦП та стан за промовчанням заходів послаблення ризиків у Windows Server.

CVE (CVE)

Потрібен мікрокоманд/мікропрограма ЦП?

Стан послаблення ризиків за промовчанням

Докладніше про CTF див.

Ні

Увімкнуто за замовчуванням (вимкнути не можна)

Додаткові відомості див. в ADV180002

Докладніше про CTF див.

Так

Вимкнуто за замовчуванням.

Додаткові відомості див. в ADV180002 та в цій статті бази знань для відповідних параметрів розділу реєстру.

Примітка "Retpoline" увімкнуто за замовчуванням для пристроїв, на яких запущено Windows 10 версії 1809 і пізніших версій, якщо ввімкнуто Spectre Variant 2 (CVE-2017-5715). Щоб отримати додаткові відомості про "Retpoline", виконайте mitigating Spectre варіант 2 з Retpoline у записі блоґу Windows.

Докладніше про CTF див.

Ні

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням.Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.

Додаткові відомості див. в ADV180002 .

Докладніше про CTF див.

Intel: Так

AMD: Ні

Вимкнуто за замовчуванням. Докладні відомості та цю статтю див. в розділі ADV180012 для відповідних параметрів розділу реєстру.

Докладніше про CTF див.

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням.Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.

Докладні відомості та цю статтю див. в ADV190013 для відповідних параметрів розділу реєстру.

Докладніше про CTF див.

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням.Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.

Докладні відомості та цю статтю див. в ADV190013 для відповідних параметрів розділу реєстру.

Докладніше про CTF див.

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням.Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.

Докладні відомості та цю статтю див. в ADV190013 для відповідних параметрів розділу реєстру.

Докладніше про CTF див.

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням.Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.

Докладні відомості та цю статтю див. в ADV190013 для відповідних параметрів розділу реєстру.

Докладніше про CTF див.

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням.Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2019-11135.

CVE-2022-21123 (частина MMIO ADV220002)

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням. Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.* 

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-21123.

CVE-2022-21125 (частина MMIO ADV220002)

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням. Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.* 

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-21125.

CVE-2022-21127 (частина MMIO ADV220002)

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням. Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.* 

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-21127.

CVE-2022-21166 (частина MMIO ADV220002)

Intel: Так

Windows Server 2019, Windows Server 2022 та Azure Stack HCI: увімкнуто за замовчуванням. Windows Server 2016 і старіші версії: вимкнуто за замовчуванням.* 

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-21166.

CVE-2022-23825 (Плутаність типу філіалу ЦП AMD)

AMD: Ні

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2022-23825.

Докладніше про CTF див. (Передбачати зворотну адресу ЦП AMD)

AMD: Так

Докладні відомості та відповідні параметри розділів реєстру див. в статті CVE-2023-20569.

Докладніше про CTF див.

Intel: Ні

Вимкнуто за замовчуванням

Докладні відомості та цю статтю наведено в статті CVE-2022-0001 для відповідних параметрів розділів реєстру.

* Дотримуйтеся вказівок з послаблення ризиків для Meltdown нижче.

Якщо потрібно отримати всі доступні захист від цих вразливостей, потрібно внести зміни до розділу реєстру, щоб увімкнути ці послаблення ризиків, які вимкнуто за промовчанням.

Увімкнення цих заходів зниження ризику може вплинути на продуктивність. Масштаб ефектів продуктивності залежить від кількох факторів, наприклад від певного мікросхеми у фізичному хості та завантаженості, які виконуються. Радимо оцінити ефекти продуктивності середовища та внести необхідні зміни.

Сервер знаходиться під підвищеним ризиком, якщо він знаходиться в одній з таких категорій:

  • Хости Hyper-V: потрібен захист для атак VM-to-VM і VM-to-host.

  • Хости служб віддалених робочих столів (RDSH): потрібен захист від одного сеансу до іншого сеансу або від атак сеансу на хост.

  • Фізичні хости або віртуальні машини, на яких запущено ненадійний код, наприклад контейнери або ненадійні розширення для бази даних, ненадійний веб-вміст або завантаженість, які запускають код із зовнішніх джерел. Вони вимагають захисту від ненадійних процесів до іншого процесу або ненадійних атак процесу до ядра.

Скористайтеся наведеними нижче параметрами розділу реєстру, щоб увімкнути послаблення ризиків на сервері, і перезавантажте пристрій, щоб зміни набрали сили.

Примітка.: За замовчуванням активація заходів послаблення ризиків, які вимкнуто, може вплинути на продуктивність. Фактичний ефект продуктивності залежить від кількох факторів, наприклад конкретного мікросхеми на пристрої та завантаженості, які виконуються.

Параметри реєстру

Ми надаємо наведені нижче відомості реєстру, щоб увімкнути засоби послаблення ризиків, які не ввімкнуто за замовчуванням, як описано в рекомендаціях з безпеки (ADVs) і CVEs. Крім того, ми надаємо параметри розділу реєстру для користувачів, які хочуть вимкнути зниження ризиків у разі застосування для клієнтів Windows.

ВАЖЛИВО Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі неправильної зміни реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Докладні відомості про резервне копіювання та відновлення реєстру див. в цій статті в базі знань Microsoft Knowledge Base:

KB322756 Резервне копіювання та відновлення реєстру у Windows

ВАЖЛИВОЗа замовчуванням Retpoline налаштовано таким чином, якщо ввімкнуто засіб послаблення ризиків Spectre, варіант 2 (CVE-2017-5715):

- Retpoline mitigation увімкнуто в Windows 10 версії 1809 і пізніших версіях Windows.

- Retpoline mitigation вимкнуто у Windows Server 2019 і пізніших версіях Windows Server.

Докладні відомості про конфігурацію Retpoline див. в статті Послаблення ризиків для Spectre варіанта 2 за допомогою Retpoline у Windows.

  • Щоб увімкнути послаблення ризиків для CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) і CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження.

    Перезавантажте пристрій, щоб зміни набрали сили.

  • Щоб вимкнути послаблення ризиків для CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) і CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Перезавантажте пристрій, щоб зміни набрали сили.

Примітка.: Параметр FeatureSettingsOverrideMask значення 3 точний для параметрів "enable" і "disable". (Докладні відомості про розділи реєстру див. в розділі "Запитання й відповіді ").

Щоб вимкнути варіант 2: (CVE-2017-5715 | Зниження ризику ін'єкції цільової гілки:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте пристрій, щоб зміни набрали сили.

Щоб увімкнути варіант 2: (CVE-2017-5715 | Зниження ризику ін'єкції цільової гілки:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте пристрій, щоб зміни набрали сили.

За замовчуванням захист "від користувача до ядра" для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002.

Увімкніть захист від користувача до ядра на процесорах AMD, а також інші засоби захисту для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження.

Перезавантажте пристрій, щоб зміни набрали сили.

Щоб увімкнути послаблення ризиків для CVE-2018-3639 (спекулятивний обхід магазину), CVE-2017-5715 (Spectre Variant 2) і CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження.

Перезавантажте пристрій, щоб зміни набрали сили.

Вимкнення заходів послаблення ризиків для CVE-2018-3639 (спекулятивний обхід магазину) І послаблення ризиків для CVE-2017-5715 (Spectre, варіант 2) і CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте пристрій, щоб зміни набрали сили.

За замовчуванням захист від користувача до ядра для CVE-2017-5715 вимкнуто для процесорів AMD. Щоб отримати додаткові засоби захисту для CVE-2017-5715, клієнти мають активувати послаблення ризиків.  Докладні відомості див. в статті Запитання й відповіді #15 у ADV180002.

Увімкніть захист користувачів до ядра на процесорах AMD, а також інші засоби захисту ДЛЯ CVE 2017-5715 і засоби захисту для CVE-2018-3639 (Спекулятивний обхід магазину):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження.

Перезавантажте пристрій, щоб зміни набрали сили.

Увімкнення заходів зниження ризику для асинхронної вразливості транзакцій Intel TSX (CVE-2019-11135) і вибірки мікроархітектурних даних ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-2018-2018-201812127 , CVE-2018-12130 ) разом зі Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] варіанти, MMIO (CVE-2022-21123, 2022-21125, CVE-2022-21127 і CVE-2022-21166), включно з спекулятивним відключенням обходу сховища (SSBD) [CVE-2018-3639 ] та L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 і CVE-2018-3646] без вимкнення Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження.

Перезавантажте пристрій, щоб зміни набрали сили.

Щоб увімкнути послаблення ризиків для уразливості асинхронних абсортів транзакцій Intel TSX (CVE-2019-11135) і мікроархітектурних даних ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) разом зі Spectre [CVE-2017-5753 & CVE-2017-5715] та Meltdown [CVE-2017-5754] варіанти, включно з спекулятивним відключенням обходу сховища (SSBD) [CVE-2018-3639] та L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 і CVE-2018-3646] з Hyper-Threading вимкнуто:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо інстальовано функцію Hyper-V, додайте такий параметр реєстру:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо це хост Hyper-V і застосовано оновлення мікропрограми: Повністю завершіть роботу всіх віртуальних машин. Це дає змогу застосувати послаблення ризиків, пов'язаних із мікропрограмами, на хості до запуску віртуальних машин. Таким чином, віртуальні машини також оновлюються після перезавантаження.

Перезавантажте пристрій, щоб зміни набрали сили.

Щоб вимкнути послаблення ризиків для уразливості асинхронних абсортів транзакцій Intel TSX (CVE-2019-11135) і мікроархітектурних вибірок даних ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) разом зі Spectre [CVE-2017-5753 & CVE-2017-5715] та Meltdown [CVE-2017-5754] варіанти, включно з спекулятивним відключенням обходу сховища (SSBD) [CVE-2018-3639] та L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 і CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте пристрій, щоб зміни набрали сили.

Щоб увімкнути послаблення ризиків для CVE-2022-23825 на процесорах AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб бути повністю захищеними, клієнтам також може знадобитися вимкнути Hyper-Threading (також відомий як Одночасна багатомовна (SMT)). Докладні відомості про захист пристроїв Windows див. в KB4073757.

Щоб увімкнути послаблення ризиків для CVE-2023-20569 на процесорах AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Щоб увімкнути послаблення ризиків для CVE-2022-0001 на процесорах Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Увімкнення кількох заходів зниження ризику

Щоб увімкнути кілька заходів зниження ризику, потрібно додати REG_DWORD значення кожного послаблення ризиків.

Приклади.

Послаблення ризиків для вразливості асинхронного відключення транзакції, вибірки мікроархітектурних даних, Spectre, Meltdown, MMIO, спекулятивного сховища bypass Disable (SSBD) і L1 Terminal Fault (L1TF) з Hyper-Threading вимкнуто

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

ПРИМІТКА 8264 (у десятковому форматі) = 0x2048 (у шістнадцятку)

Щоб увімкнути BHI разом з іншими наявними параметрами, потрібно використовувати порозрядне OR поточного значення з 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 в десятковому форматі), і вона перетвориться на 8 396 872(0x802048). Те саме з featureSettingsOverrideMask.

Послаблення ризиків для CVE-2022-0001 на процесорах Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Комбіноване послаблення ризиків

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Послаблення ризиків для вразливості асинхронного відключення транзакції, вибірки мікроархітектурних даних, Spectre, Meltdown, MMIO, спекулятивного сховища bypass Disable (SSBD) і L1 Terminal Fault (L1TF) з Hyper-Threading вимкнуто

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Послаблення ризиків для CVE-2022-0001 на процесорах Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Комбіноване послаблення ризиків

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Перевірка ввімкнення захисту

Щоб переконатися, що захист увімкнуто, ми опублікували сценарій PowerShell, який можна запустити на ваших пристроях. Інсталюйте та запустіть сценарій одним із наведених нижче способів.

Інсталюйте модуль PowerShell:

PS> Install-Module SpeculationControl

Запустіть модуль PowerShell, щоб переконатися, що захист увімкнуто:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Інсталюйте модуль PowerShell із Центру сценаріїв Technet:

  1. Перейдіть до https://aka.ms/SpeculationControlPS .

  2. Завантажте SpeculationControl.zip до локальної папки.

  3. Видобути вміст до локальної папки. Наприклад: C:\ADV180002

Запустіть модуль PowerShell, щоб переконатися, що захист увімкнуто:

Запустіть PowerShell, а потім скористайтеся попереднім прикладом, щоб скопіювати та виконати такі команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Докладне пояснення виводу сценарію PowerShell див. в статті KB4074629

Запитання й відповіді

Щоб уникнути негативного впливу на пристрої клієнтів, оновлення системи безпеки Windows, випущені в січні та лютому 2018 року, були запропоновані не всім клієнтам. Докладні відомості див. в статті KB407269 .

Мікрокоманд доставляється через оновлення мікропрограми. Зверніться до виробника оригінального обладнання щодо версії мікропрограми, яка містить відповідне оновлення для вашого комп'ютера.

Є кілька змінних, які впливають на продуктивність, від версії системи до навантаження, які виконуються. У деяких системах ефект продуктивності буде незначним. Для інших це буде чималим.

Радимо оцінити вплив продуктивності на системи та за потреби внести зміни.

На додачу до керівництва, наведеного в цій статті про віртуальні машини, слід звернутися до постачальника послуг, щоб переконатися, що хости, які працюють під керуванням віртуальних машин, належним чином захищені.Відомості про віртуальні машини Windows Server, запущені в Azure, див . в розділі Рекомендації щодо зниження ризиків вразливостей стороннього каналу спекулятивного виконання в Azure . Докладні відомості про те, як зменшити цю проблему в гостьових віртуальних машинах, див. в статті KB4077467.

Оновлення, випущені для зображень контейнерів Windows Server для Windows Server 2016 і Windows 10 версії 1709, включають послаблення ризиків для цього набору вразливостей. Додаткова конфігурація не потрібна.Примітка Потрібно переконатися, що хост, на якому запущено ці контейнери, настроєно для ввімкнення відповідних заходів зниження ризику.

Ні, порядок інсталяції не має значення.

Так, потрібно перезавантажити комп'ютер після оновлення мікропрограми (мікрокоманд), а потім знову після оновлення системи.

Нижче наведено відомості про розділи реєстру.

FeatureSettingsOverride – це точковий рисунок, який перевизначає настройки за замовчуванням і елементи керування, ризики яких буде вимкнуто. Функція bit 0 визначає ризик, який відповідає CVE-2017-5715. Bit 1 керує послабленням ризиків, що відповідає CVE-2017-5754. Для бітів установлено значення 0 , щоб активувати засіб послаблення ризиків, і значення 1 , щоб вимкнути засіб послаблення ризиків.

FeatureSettingsOverrideMask – це точкова маска, яка використовується разом із featureSettingsOverride.  У цій ситуації ми використовуємо значення 3 (представлене як 11 у двійкових цифрах або нумерованій системі з основою 2), щоб позначити перші два біти, які відповідають доступним послабленням ризиків. Для цього розділу реєстру встановлено значення 3 , щоб увімкнути або вимкнути засоби послаблення ризиків.

MinVmVersionForCpuBasedMitigations призначено для хостів Hyper-V. Цей розділ реєстру визначає мінімальну версію ВМ, необхідну для використання оновлених можливостей мікропрограми (CVE-2017-5715). Установіть для цього параметра значення 1.0 , щоб охопити всі версії ВМ. Зверніть увагу, що це значення реєстру ігноруватиметься (доброякісно) на хостах, що не належать до Hyper-V. Докладні відомості див. в статті Захист гостьових віртуальних машин від CVE-2017-5715 (ін'єкція цільової гілки).

Так, побічних ефектів немає, якщо ці параметри реєстру застосовуються до інсталяції виправлень, пов'язаних із січнем 2018 року.

Так, для хостів Windows Server 2016 Hyper-V, які ще не мають оновлення мікропрограми, ми опублікували альтернативні вказівки, які можуть допомогти пом'якшити віртуальну машину до ВМ або ВМ для розміщення атак. Див. альтернативний захист windows Server 2016 Hyper-V Hosts від вразливостей стороннього каналу спекулятивного виконання .

Оновлення лише системи безпеки не сукупні. Залежно від версії операційної системи може знадобитися інсталювати кілька оновлень системи безпеки для повного захисту. Загалом користувачам потрібно буде інсталювати оновлення за січень, лютий, березень і квітень 2018 р. Системам із процесорами AMD потрібне додаткове оновлення, як показано в таблиці нижче.

Версія операційної системи

Оновлення системи безпеки

Windows 8.1, Windows Server 2012 R2

KB4338815 – щомісячне зведене оновлення

KB4338824– лише безпека

Windows 7 SP1, Windows Server 2008 R2 SP1 або Windows Server 2008 R2 SP1 (інсталяція Server Core)

KB4284826 – щомісячне зведене оновлення

KB4284867 – лише безпека

Windows Server 2008 SP2

KB4340583 – оновлення системи безпеки

Радимо інсталювати оновлення лише системи безпеки в порядку випуску.

Примітка.: У попередній версії цього розділу запитань і відповідей неправильно зазначено, що оновлення лише системи безпеки за лютий включало виправлення системи безпеки, випущені в січні. Насправді, це не так.

Ні. Оновлення системи безпеки KB4078130 було конкретним виправленням для запобігання непередбачуваній поведінці системи, проблемам продуктивності та несподіваним перезапускам після інсталяції мікрокоманд. Застосування оновлень системи безпеки в операційних системах клієнта Windows дозволяє всі три засоби захисту. В операційних системах Windows Server все одно потрібно ввімкнути послаблення ризиків після належного тестування. Докладні відомості див. в статті KB4072698.

Цю проблему вирішено в KB4093118.

У лютому 2018 року компанія Intel оголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними перевірені оновленнями мікрокоманд Intel, які стосуються Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Ін'єкція цільової гілки). KB4093836 список окремих статей про база знань за версією Windows. Кожна стаття бази знань містить доступні оновлення мікрокоманд Intel від ЦП.

11 січня 2018 року  компанія Intel повідомила про проблеми в нещодавно випущеному мікрокомандах, призначених для вирішення spectre варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки). Зокрема, компанія Intel зазначила, що цей мікрокоманд може призвести до "вище, ніж очікувалося, перезавантажень та іншої непередбачуваної поведінки системи" і що ці сценарії можуть призвести до "втрати даних або пошкодження"."Наш досвід полягає в тому, що нестабільність системи може призвести до втрати даних або пошкодження в деяких обставинах. 22 січня компанія Intel рекомендувала клієнтам припинити розгортання поточної версії мікрокоманд на процесорах, на яких це стосується, доки Компанія Intel виконає додаткове тестування оновленого рішення. Ми розуміємо, що компанія Intel продовжує досліджувати потенційний ефект поточної версії мікрокоманд. Ми заохочуємо клієнтів постійно переглядати свої рекомендації, щоб інформувати про свої рішення.

Коли Intel тестує, оновлює та розгортає новий мікрокоманд, ми робимо доступними застаріле оновлення (OOB) KB4078130, яке спеціально вимикає лише засіб захисту від CVE-2017-5715. Під час тестування було знайдено це оновлення, щоб запобігти описаній поведінці. Повний список пристроїв див. в посібнику з перегляду мікрокоманд від Intel. Це оновлення охоплює Windows 7 із пакетом оновлень 1 (SP1), Windows 8.1, а також усі версії Windows 10, як клієнта, так і сервера. Якщо використовується пристрій, на який впливає проблема, це оновлення можна застосувати, завантаживши його з веб-сайту каталогу Microsoft Update. Застосування цього корисного навантаження спеціально вимикає лише засіб захисту від CVE-2017-5715.

На цей час немає відомих повідомлень про те, що цей Spectre варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки) використовується для атаки на клієнтів. Ми радимо, якщо це доречно, користувачам Windows повторно застосувати засіб усунення проти CVE-2017-5715, коли Intel повідомляє, що цю непередбачувану поведінку системи вирішено для вашого пристрою.

У лютому 2018 року компанія Intelоголосила про завершення своїх перевірок і почала випускати мікрокоманд для нових платформ ЦП. Корпорація Майкрософт робить доступними оновлення мікрокоманд, перевірені Intel, пов'язані зі Spectre, варіант 2 Spectre, варіант 2 (CVE-2017-5715 | Ін'єкція цільової гілки). KB4093836 список окремих статей про база знань за версією Windows. Список KBs, доступний для оновлення мікрокоманд Intel від ЦП.

Докладні відомості див. в статті AmD Security Оновлення та AMD Whitepaper: Рекомендації з архітектури щодо indirect Branch Control. Вони доступні в каналі мікропрограмИ виробника оригінального обладнання.

Ми робимо доступними оновлення мікрокоманд, перевірені Intel, які стосуються Spectre Variant 2 (CVE-2017-5715 | Ін'єкція цільової гілки). Щоб отримати останні оновлення мікрокоманд Intel через Windows Update, клієнти повинні інсталювати мікрокоманд Intel на пристроях з операційною системою Windows 10 до оновлення Windows 10 за квітень 2018 р. (версія 1803).

Оновлення мікрокоманд також доступне безпосередньо з каталогу Microsoft Update, якщо його не інстальовано на пристрої перед оновленням системи. Мікрокоманд Intel доступний через Windows Update, служби Windows Server Update Services (WSUS) або Каталог Microsoft Update. Докладні відомості та інструкції з завантаження див. в статті KB4100347.

Див. розділи   "Рекомендовані дії" та "Запитання й відповіді" ADV180012 | Рекомендації Корпорації Майкрософт щодо спекулятивного обходу магазину.

Щоб перевірити стан SSBD, сценарій PowerShell Get-SpeculationControlSettings оновлено для виявлення уражених процесорів, стану оновлень операційної системи SSBD і стану мікрокоманд процесора (якщо це можливо). Докладні відомості та отримання сценарію PowerShell див. в статті KB4074629.

13 червня 2018 р. було оголошено й призначено CVE-2018-3665 стороннє спекулятивне виконання, відоме як Lazy FP State Restore. Відомості про цю вразливість і рекомендовані дії див. в ADV180016 рекомендації з безпеки | Рекомендації Корпорації Майкрософт щодо відновлення стану ледача FP .

Нотатка Немає обов'язкових параметрів конфігурації (реєстру) для Ледачого відновлення FP Відновлення.

Bounds Check Bypass Store (BCBS) було розкрито 10 липня 2018 року та призначено CVE-2018-3693. Ми вважаємо, що BCBS належить до того самого класу вразливостей, що й обхід перевірки меж (варіант 1). Наразі нам не відомо про екземпляри BCBS у нашому програмному забезпеченні. Однак ми продовжуємо дослідження цього класу вразливості і будемо працювати з галузевими партнерами, щоб звільнити ризики, якщо це потрібно. Ми заохочуємо дослідників представити будь-які відповідні висновки до програми щедрості каналу спекулятивного виконання Microsoft, включаючи будь-які експлуатувані екземпляри BCBS. Розробники програмного забезпечення мають переглянути рекомендації розробника, які було оновлено для BCBS на сайті C++ Developer Guidance for Speculative Execution Side Channels 

14 серпня 2018 р. було оголошено про несправність терміналу L1 (L1TF) і призначено кілька CVEs. Ці нові вразливості стороннього каналу спекулятивного виконання можуть бути використані для читання вмісту пам'яті через надійну межу і, якщо вони експлуатуються, можуть призвести до розкриття інформації. Існує кілька векторів, за допомогою яких зловмисник може викликати вразливості, залежно від настроєного середовища. L1TF впливає на процесори Intel® Core® та процесори Intel® Xeon®.

Докладні відомості про цю вразливість і детальне уявлення про сценарії, на які впливає проблема, зокрема про підхід корпорації Майкрософт до зниження ризику L1TF, див. в таких ресурсах:

Дії з вимкнення Hyper-Threading відрізняються від виробника оригінального обладнання до виробника оригінального обладнання, але зазвичай є частиною інструментів налаштування та конфігурації BIOS або мікропрограми.

Клієнти, які використовують 64-розрядні процесори ARM, повинні звернутися до виробника оригінального обладнання для підтримки мікропрограм, оскільки захист операційної системи ARM64, що пом'якшує CVE-2017-5715 | Ін'єкція цільової гілки (Spectre, варіант 2) потребує останнього оновлення мікропрограми від виробника оригінального обладнання пристрою, щоб набули сили.

Докладні відомості див. в наведених нижче рекомендаціях із безпеки.

Докладні відомості про Retpoline enablement див. в нашому записі блоґу: Послаблення ризиків для Spectre, варіант 2 за допомогою Retpoline у Windows .

Докладні відомості про цю вразливість див. в Посібнику з безпеки Microsoft: CVE-2019-1125 | Вразливість розкриття інформації ядра Windows.

Нам не відомо про вразливість розкриття цієї інформації, яка впливає на інфраструктуру хмарних служб.

Щойно нам стало відомо про цю проблему, ми швидко працювали над її вирішенням і випуском оновлення. Ми наполегливо віримо в тісні партнерські відносини як з дослідниками, так і з галузевими партнерами, щоб зробити клієнтів більш захищеними, і не опублікували деталі до вівторка, 6 серпня, відповідно до узгодженої практики розкриття вразливостей.

Посилання

Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.