Перейти до основного
Підтримка
Вхід

Windows Server інструкції для захисту від спекулятивних виконання стороні каналу вразливості

Рекомендовані дії

Клієнти, слід вжити такі дії, щоб захистити від уразливості:

  1. Застосувати всі доступні оновлення операційної системи Windows, зокрема щомісячні оновлення системи безпеки Windows.

  2. Інсталюйте оновлення застосовується мікропрограми (мікрокоманд), що надається виробником пристрою.

  3. Оцініть ризик для вашого середовища на основі інформації, наданої на Microsoft Security, рекомендації: ADV180002, ADV180012, ADV190013та відомості, надані в цій статті бази знань.

  4. Вжити заходів за необхідності, за допомогою рекомендації та розділ реєстру відомості, які надаються в цій статті бази знань.

Зверніть увагу Поверхня клієнти отримають оновлення мікрокоманд, за допомогою служби Windows Update. Список останні оновлення мікропрограми (мікрокоманд) Surface, див. KB 4073065.

Зменшення параметрів для Windows Server

Рекомендації з безпеки ADV180002, ADV180012та ADV190013 надають відомості про ризик, який створює ці дефекти.  Вони також допомагають визначити ці дефекти і визначити стан за промовчанням пом'якшення для Windows Server системи. У таблиці нижче наведено вимоги мікрокоманд ЦП і стан за промовчанням пом'якшення на Windows Server.

CVE

Вимагає мікрокоманд процесора/прошивки?

Зменшення стану за промовчанням

CVE-2017-5753

Ні

Увімкнено за замовчуванням (опція не відключати)

Будь ласка, зверніться до ADV180002 для отримання додаткової інформації

CVE-2017-5715

Так

Вимкнуто за промовчанням.

Будь ласка, зверніться до ADV180002 для отримання додаткової інформації та цієї статті бази знань для відповідних параметрів розділу реєстру.

Зверніть увагу "Retpoline" увімкнуто за промовчанням для пристроїв під керуванням Windows 10 1809 або новішої версії, якщо ввімкнуто привид варіант 2 ( CVE-2017-5715 ). Для отримання додаткової інформації, навколо "retpoline", дотримуйтесьпом'якшення привид варіант 2 з Retpoline на блозі Windows Post.

CVE-2017-5754

Ні

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Будь ласка, зверніться до ADV180002 для отримання додаткової інформації.

CVE-2018-3639

Intel: так

AMD: немає

Вимкнуто за промовчанням. Переглянути ADV180012 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.

CVE-2018-11091

Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.

CVE-2018-12126

Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.

CVE-2018-12127

Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.

CVE-2018-12130

Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути ADV190013 для отримання додаткових відомостей і цю статтю бази знань, для відповідних параметрів розділу реєстру.

CVE-2019-11135

Intel: так

Windows Server 2019: увімкнуто за промовчанням. Windows Server 2016 і ранішої версії: вимкнуто за промовчанням.

Переглянути CVE-2019-11135 , щоб отримати додаткові відомості і цю статтю бази знань, для відповідних параметрів розділу реєстру.

Користувачі, які хочуть отримати всі доступні захисту від цих вразливостей, потрібно зробити розділ реєстру зміни, щоб увімкнути ці пом'якшення, які вимкнуто за промовчанням.

Увімкнення цих пом'якшення може вплинути на продуктивність. Масштаб ефектів продуктивності залежить від кількох факторів, наприклад, конкретного чіпсета у вашому фізичному хості та виконання завдань, які працюють. Корпорація Майкрософт рекомендує, що клієнти оцінити продуктивність ефекти для свого середовища і внесіть потрібні зміни.

Ваш сервер на підвищений ризик, якщо він знаходиться в одній з наступних категорій:

  • Hyper-V хостів – вимагає захисту для віртуальної машини на віртуальну машину і віртуальної машини на хост-атак.

  • Служби віддалених робочих столів хостів (RDSH) – вимагає захисту від одного сеансу до іншого сеансу або з атак сеансу до хоста.

  • Фізичні хости або віртуальні машини, на яких запущено ненадійний код, наприклад, контейнери або ненадійні розширення для бази даних, ненадійний веб-вміст або навантаження, які запускають код із зовнішніх джерел. Вони потребують захисту від ненадійного процесу до іншого процесу або з ненадійними процесами до ядра атак.

Використовуйте такі параметри розділу реєстру, щоб увімкнути пом'якшення на сервері і перезавантажте систему, щоб зміни набрали сили.

Зверніть увагу Увімкнення пом'якшення, які за промовчанням може вплинути на продуктивність. Фактичний вплив на продуктивність залежить від кількох факторів, наприклад, конкретного чіпсета в пристрої та виконання завдань, які працюють.

Параметри реєстру

Ми надаємо такі відомості реєстру, щоб увімкнути пом'якшення, які не ввімкнуто за промовчанням, як описано в рекомендації з безпеки ADV180002, ADV180012та ADV190013.

Крім того, ми надаємо Параметри розділу реєстру для користувачів, які хочуть вимкнути пом'якшення, які пов'язані з CVE-2017-5715 та CVE-2017-5754 для клієнтів Windows.

Важливе значення Цей розділ, метод або завдання містять кроки, які повідомляють, як змінити реєстр. Однак, серйозні проблеми можуть виникнути, якщо змінити реєстр неправильно. Таким чином, переконайтеся, що ви виконайте наведені нижче дії ретельно. Для додаткового захисту, резервну копію реєстру, перш ніж вносити зміни. Після цього можна відновити реєстр, якщо виникне проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру клацніть номер статті в базі знань Microsoft Knowledge Base:

як 322756 резервного копіювання та відновлення реєстру в ОС Windows

Керування пом'якшення для CVE 2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

Важлива Примітка Retpoline увімкнуто за промовчанням на Windows 10, версія 1809 серверів, якщо привид, варіант 2 ( CVE-2017-5715 ) увімкнуто. Увімкнення Retpoline на останню версію Windows, 10 може підвищити продуктивність на серверах під керуванням Windows 10, версія 1809 для привид варіант 2, особливо на старих процесорів.

Увімкнення пом'якшення для CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб вимкнути пом'якшення для CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Зверніть увагу Налаштування FeatureSettingsOverrideMask 3 є точним для обох параметрів "Увімкнути" та "вимкнути". (Див. розділ "FAQ ", щоб отримати додаткові відомості про розділи реєстру.)

Керування потоків, для CVE-2017-5715 (привид варіант 2)

Щоб вимкнути варіант 2: (CVE-2017-5715 "гілку цільового ін'єкцій") пом'якшення:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб увімкнути варіант 2: (CVE-2017-5715 "гілку цільового ін'єкцій") пом'якшення:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Процесори AMD лише: Увімкнення повного потоків для CVE-2017-5715 (привид варіант 2)

За промовчанням, захист користувача до ядра для CVE-2017-5715, вимкнуто для процесорів AMD. Користувачі, потрібно ввімкнути потоків, щоб отримати додаткові захисту для CVE, 2017-5715.  Докладніші відомості наведено в розділі FAQ #15 у ADV180002.

Увімкнення захисту користувачів до ядра ПРОЦЕСОРИ AMD разом з іншими захисту для CVE, 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Керування пом'якшення, для CVE-2018-3639 (спекулятивного сховища обхід), CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

Щоб увімкнути пом'якшення, для CVE-2018-3639 (спекулятивного сховища обхід), CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб вимкнути пом'якшення для CVE 2018-3639 (спекулятивного сховища обхід) і пом'якшення для CVE-2017-5715 (привид варіант 2) і CVE-2017-5754 (криза)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезавантажте комп'ютер, щоб зміни набрали сили.

Процесори AMD лише: Увімкнення повного потоків для CVE-2017-5715 (привид варіант 2) і CVE 2018-3639 (спекулятивних сховища обхід)

За промовчанням захист від користувача до ядра CVE 2017-5715 вимкнуто для процесорів AMD. Користувачі, потрібно ввімкнути потоків, щоб отримати додаткові захисту для CVE, 2017-5715.  Докладніші відомості наведено в розділі FAQ #15 у ADV180002.

Увімкнення захисту користувачів до ядра ПРОЦЕСОРИ AMD разом з іншими захисту для CVE, 2018, 2017-5715 та захисту для CVE, 2018-3639 (спекулятивного сховища обхід):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Керувати розширеннями Intel® транзакційні синхронізації (Intel® TSX) транзакції Асинхронне переривання вразливості (CVE-2019-11135) і Мікроархітектурні даних вибірка (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) разом із Привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи спекулятивний обхід сховища вимкнути (SSBD) [CVE-2018-3639] а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646]

Щоб увімкнути пом'якшення, для Intel® транзакційних розширень синхронізації (Intel® TSX) транзакції Асинхронне перервати дефект (CVE-2019-11135) і мікроархітектурні даних вибірка ( CVE 2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) разом з привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи спекулятивних Вимкнути обхід сховища (SSBD) [CVE-2018-3639], а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646] без вимкнення гіпер-потоків:

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ 72 REG_DWORD керування

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

REG Add "HKEY_LOCAL_MACHINE \ програмне Забезпеченн\mic1,0 REG_SZ Ft\frd\windows \ Windows/версія/версія \ віртуалізація

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб увімкнути пом'якшення для Intel® транзакцій синхронізації (Intel® TSX) транзакції Асинхронне перервати дефект (CVE-2019-11135) і мікроархітектурні даних вибірка ( CVE 2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) разом з привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи Спекулятивний обхід сховища вимкнути (SSBD) [CVE-2018-3639], а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646] з Hyper-потоків, вимкнуто:

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ 8264 REG_DWORD керування

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

Якщо функція Hyper-V інстальовано, додайте такий параметр реєстру:

REG Add "HKEY_LOCAL_MACHINE \ програмне Забезпеченн\mic1,0 REG_SZ Ft\frd\windows \ Windows/версія/версія \ віртуалізація

Якщо хост-Hyper-V і оновлення мікропрограми були застосовані: Повністю закрили всі віртуальні машини. Це дає змогу, пов'язані з мікропрограми потоків, які застосовуються на хості, перш ніж на віртуальних машин запущено. Таким чином, віртуальні машини також оновлюються під час перезапуску.

Перезавантажте комп'ютер, щоб зміни набрали сили.

Щоб вимкнути пом'якшення, для Intel® транзакцій синхронізації (Intel® TSX) транзакції Асинхронне перервати дефект (CVE-2019-11135) і мікроархітектурні даних вибірка ( CVE 2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) разом з привид [CVE-2017-5753 & CVE-2017-5715] і краху [CVE-2017-5754] варіанти, включаючи Спекулятивний обхід сховища вимкнути (SSBD) [CVE-2018-3639], а також L1 терміналів вини (L1TF) [CVE-2018-3615, CVE-2018-3620 та CVE-2018-3646]:

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

REG Add "HKEY_LOCAL_MACHINE \Demrootenteft\prd\ REG_DWORD керування

Перезавантажте комп'ютер, щоб зміни набрали сили.

Перевірка, чи ввімкнуто захист

Щоб допомогти клієнтам перевірити, чи ввімкнуто захист, корпорація Майкрософт опублікував сценарій PowerShell, який користувачі можуть працювати у своїх системах. Інсталюйте та запустіть сценарій, виконавши наведені нижче команди.

Перевірка PowerShell за допомогою галереї PowerShell (Windows Server 2016 або WMF 5.0/5.1)

Встановити модуль PowerShell:

PS> Install-Module SpeculationControl

Запустіть модуль PowerShell, щоб перевірити, чи ввімкнуто захист:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Перевірка PowerShell за допомогою завантаження з TechNet (попередні версії операційної системи та попередніх версій WMF)

Інсталюйте модуль PowerShell з TechNet Крикрицентр:

  1. Перейдіть до https://AKA.MS/SpeculationControlPS .

  2. Завантажити елемент керування. zip до локальної папки.

  3. Витягніть вміст до локальної папки. Наприклад: C:\ADM18002

Запустіть модуль PowerShell, щоб перевірити, чи ввімкнуто захист:

Запустіть PowerShell і використайте попередній приклад копіювання та виконайте такі команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Докладні пояснення, випуск сценарію PowerShell, перегляньте статтю бази знань 4074629 .

Запитання й відповіді

Щоб уникнути негативного впливу пристроїв клієнта, оновлення системи безпеки Windows, випущені в січні і лютому 2018, не пропонувалися всім клієнтам. Докладні відомості наведено в статті бази знань Майкрософт, 4072699 .

Мікрокоманд, доставляється через оновлення мікропрограми. Зверніться до OEM про версію мікропрограми, що має відповідне оновлення для вашого комп'ютера.

Існує кілька змінних, які впливають на продуктивність, починаючи з версії системи до виконання завдань, які працюють. Для деяких систем продуктивність ефект буде незначним. Для інших це буде значним.

Радимо оцінити вплив на продуктивність системи та внести необхідні корективи.

На додаток до інструкції, що в цій статті, що стосуються віртуальних машин, слід звернутися до постачальника послуг, щоб переконатися, що хостів, під керуванням віртуальних машин належним чином захищені. Для Windows Server віртуальних машин, які працюють у Azure, див інструкції для пом'якшення спекулятивних виконання стороні каналу уразливості в Azure . Інструкції з використання Azure оновлення керування для пом'якшення цієї проблеми на гостьових віртуальних машин, у статті бази знань Майкрософт, 4077467 .

Оновлення, випущені для Windows Server контейнер зображення для Windows Server 2016 і Windows 10, версія 1709, містить пом'якшення для цього набору вразливостей. Додаткова конфігурація не потрібна. Зверніть увагу Ви все одно переконайтеся, що хост, на якому запущено ці контейнери настроєно, щоб увімкнути відповідні пом'якшення.

Ні, порядок установки не має значення.

Так, потрібно перезавантажити після оновлення мікропрограми (мікрокоманд) і знову після оновлення системи.

Нижче наведено докладні відомості про розділи реєстру.

FeatureSettingsOverride позначає точковий рисунок, який замінює настройку за промовчанням і контролює, пом'якшення якої буде вимкнено. Біт 0 контролює потоків, який відповідає CVE-2017-5715. Біт 1 контролює потоків, який відповідає CVE-2017-5754. Біти встановлено на 0 , щоб увімкнути потоків і 1 , щоб вимкнути потоків.

FeatureSettingsOverrideMask позначає растрову маску, яка використовується разом із FeatureSettingsOverride.  У цьому випадку ми використовуємо значення 3 (представлені як 11 в двійковій або базова-2-система числення), щоб вказати перші два біти, які відповідають доступних пом'якшення. Цей розділ реєстру встановлено 3 , щоб увімкнути або вимкнути пом'якшення.

Для хост-Hyper-V, Minvmversionforcpubasedmitigations . Цей розділ реєстру визначає, мінімальна версія для віртуальної машини, необхідна для використання оновлених мікропрограми можливості (CVE-2017-5715). Установіть для цього 1,0 , щоб охопити всі версії для віртуальної машини. Зверніть увагу, що цей параметр реєстру буде проігноровано (доброякісні) на не Hyper-V хостів. Для отримання додаткових відомостей див. захист гостьових віртуальних машин з CVE-2017-5715 (гілка цільової ін'єкції) .

Так, немає побічних ефектів, якщо ці параметри реєстру застосовуються до інсталяції виправлення, пов'язані з 2018 січня.

Переглянути детальний опис сценарію виходу з розуміння Get-параметри контролю сценарію PowerShell виводу .

Так, для Windows Server 2016 Hyper-V хостів, які ще не мають оновлення мікропрограми, ми опублікували альтернативні інструкції, які можуть допомогти зменшити VM віртуальну МАШИНУ або віртуальну машину, щоб хост атак. Переглянути альтернативні захисту для Windows Server 2016 Hyper-V хостів, на стороні каналу спекулятивних виконання .

Лише оновлення безпеки не є сукупними. Залежно від версії операційної системи може знадобитися інсталювати кілька оновлень безпеки для повного захисту. Загалом, клієнтам потрібно буде встановити оновлення січня, лютого, березня та 2018 квітня. Системи, які процесори AMD потребують додаткових оновлення, як показано в наведеній нижче таблиці:

Версія операційної системи

Оновлення системи безпеки

Windows 8,1, Windows Server 2012 R2

4338815-щомісяця поточних

4338824-тільки для безпеки

Windows 7 SP1, Windows Server 2008 R2 пакетом оновлень 1 або Windows Server 2008 R2 пакетом оновлень 1 (сервер Core)

4284826-щомісяця поточних

4284867-тільки для безпеки

Windows Server 2008 SP2

4340583-оновлення безпеки

Корпорація Майкрософт рекомендує, інсталювати безпеки лише оновлення в порядку, випуск.

Примітка   попередню версію цього FAQ неправильно заявив, що оновлення безпеки лише в лютому включені виправлення безпеки, випущені в січні. Насправді, це не так.

Ні. Оновлення системи безпеки KB 4078130 було конкретне виправлення для запобігання непередбачуваною поведінкою системи, проблеми продуктивності та неочікувані перезавантаження після інсталяції мікрокоманд. Застосування оновлення безпеки на операційних системах Windows Client дозволяє всі три пом'якшення. У операційних системах Windows Server все одно потрібно ввімкнути пом'якшення, після того, як належного тестування. Щоб отримати додаткові відомості у статті бази знань майкрософт 4072698 .

Цю проблему вирішено в KB 4093118 .

У лютому 2018, Intel оголосив , що вони завершили свої перевірки і почав випускати мікрокоманд для нових платформ процесора. Корпорація Майкрософт робить доступними оновлення мікрокоманд Intel, які стосуються привид варіант 2 привид варіант 2 (CVE-2017-5715 – "гілку цільового ін'єкцій"). KB 4093836 містить список певних статей бази знань, версія Windows. Кожен конкретний статті бази знань, містить доступні оновлення мікрокоманд Intel, ЦП.

11 січ 2018 Intel повідомлялося про проблеми в недавно випустила мікрокоманд, який мав на меті адреса привид варіант 2 (CVE-2017-5715 – "гілку цільового ін'єкцій"). Зокрема, Intel відзначив, що цей мікрокоманд може викликати "вище, ніж очікувалося перезавантаження та інші непередбачувана поведінка системи " і що ці сценарії можуть спричинити "втрати даних або пошкодження". Наш досвід полягає в тому, що нестабільність системи може призвести до втрати даних або корупції за певних обставин. 22 січня Intel рекомендував, щоб клієнти зупинити розгортання поточної версії мікрокоманд на постраждалих процесорів, а Intel виконує додаткове тестування на оновлений рішення. Ми розуміємо, що Intel продовжує досліджувати потенційний ефект поточної версії мікрокоманд. Ми закликаємо клієнтів переглянути свої вказівки на постійній основі, щоб інформувати їх рішення.

Хоча Intel тести, оновлення та розгортання нового мікрокоманд, ми робимо доступні з-за Band (OOB) оновлення, KB 4078130 , зокрема вимикає лише потоків, від CVE-2017-5715. У нашому тестуванні це оновлення було встановлено, щоб запобігти описаній поведінці. Повний список пристроїв наведено в інструкції з перегляду мікрокоманд від Intel. Це оновлення стосується пакета оновлень 1 (SP1) для ОС Windows 7, Windows 8,1 і всі версії Windows 10, як клієнт, так і сервер. Якщо ви використовуєте проблемному пристрої, це оновлення можна застосувати, завантаживши його з веб-сайту Microsoft Update на каталог . Застосування цього корисне навантаження, зокрема вимикає лише потоків, від CVE-2017-5715.

На даний момент, немає відомих доповідей, які вказують, що цей привид варіант 2 (CVE-2017-5715-"гілка цільового ін'єкцій") була використана для атак клієнтів. Корпорація Майкрософт рекомендує, що у разі необхідності, користувачі Windows повторно ввімкнути потоків, від CVE 2017-5715, коли Intel повідомляє, що ця непередбачувана поведінка системи було вирішено для вашого пристрою.

У лютому 2018, Intelоголосив , що вони завершили свої перевірки і почав випускати мікрокоманд для нових платформ процесора. Корпорація Майкрософт робить доступними оновлення мікрокоманд, перевірені Intel, пов'язані з привид варіант 2 привид варіант 2 (CVE-2017-5715 – "гілку цільового ін'єкцій"). KB 4093836 містить список певних статей бази знань, версія Windows. З спільнотою список доступних Intel мікрокоманд оновлення процесора.

Щоб отримати додаткові відомості, переглянути оновлення безпеки AMD та AMD документ: рекомендації щодо архітектури навколо непрямий елемент керування . Вони доступні з OEM мікропрограми каналу.

Ми робимо доступними Intel-перевірені оновлення мікрокоманд, які стосуються привид варіант 2 (CVE-2017-5715 – "гілку цільового ін'єкцій "). Для отримання останніх оновлень мікрокоманд Intel через службу Windows Update, клієнти повинні мати встановлений Intel мікрокоманд на пристроях під управлінням операційної системи Windows 10 до оновлення до Windows 10 квітня 2018 оновлення (версія 1803).

Оновлення мікрокоманд, також доступна безпосередньо з каталогу Microsoft Update, якщо його не інстальовано на пристрої перед оновленням системи. Мікрокоманд, версія Intel доступна за допомогою служби Windows Update, служб оновлення Windows Server (WSUS) або каталогу Microsoft Update. Щоб отримати додаткові відомості та інструкції з завантаження, див. KB 4100347 .

Щоб перевірити стан SSBD, Get--параметри контролюсценарію PowerShell було оновлено для виявлення впливу процесорів, стан оновлення операційної системи ssbd та стану мікрокоманд, якщо застосовується. Для отримання додаткових відомостей і отримати сценарій PowerShell, див. KB 4074629 .

13 червня 2018, додатковий дефект, який передбачає стороні каналу спекулятивні виконання, відомий як ЛЕДАЧИЙ FP стану відновлення, було оголошено і призначено CVE-2018-3665 . Щоб отримати відомості про цю вразливість та Рекомендовані дії, див. ADV180016 консультативної безпеки | Корпорація Майкрософт інструкції для відновлення ледачий FP-стану .

Зверніть увагу Немає обов'язкових параметрів конфігурації (реєстру) для ледачого відновлення FP-відновлення.

Межі перевірити обхід сховища (BCBS) було зазначено, 10 липня 2018 і призначено CVE-2018-3693 . Ми вважаємо, BCBS належати до того ж класу уразливості, як межі перевірити обхід (варіант 1). Ми в даний час не відомо про будь-яких випадках BCBS в нашому програмному забезпеченні. Проте ми продовжуємо дослідження цього класу вразливості і буде працювати з галузевих партнерів, щоб звільнити пом'якшення, як потрібно. Ми закликаємо дослідників представити будь-які відповідні висновки до Microsoft спекулятивних виконання стороні каналу Баунті програми , в тому числі будь-яких випадках, придатний bcbs. Розробникам програмного забезпечення слід переглянути інструкції для розробників, які було оновлено для BCBS, на C++ розробник інструкції для спекулятивних виконання стороні канали .

14 серпня 2018, L1 терміналів ВИНИ (L1TF) було оголошено і призначено кілька cves. Ці нові спекулятивні виконання стороні каналу вразливості можна використовувати для читання вмісту пам'яті через довірену межу і, якщо використовується, може призвести до розкриття інформації. Існує кілька вектори, за допомогою яких зловмисник може викликати уразливості, залежно від того, настроєного середовища. L1TF впливає на процесори Intel® Core® і процесори Intel® Xeon®.

Щоб отримати додаткові відомості про цей дефект і детальний перегляд впливу сценарії, зокрема підхід Microsoft до пом'якшення L1TF, див.

Дії, щоб вимкнути гіпер-потоків, відрізняються від постачальника обчислювальної техніки OEM, але, як правило, частина BIOS або мікропрограми, настроювання та настроювання засобів.

Користувачі, які використовують 64-розрядних ARM процесори, слід звернутися до пристрою OEM для підтримки мікропрограми, тому, що базі ARM64 операційної системи, які пом'якшення CVE, 2018 2017-5715 -гілку цільового ін'єкцій (привид, варіант 2), потрібно останні оновлення мікропрограми від пристрою ПОТ набрали сили.

Для отримання додаткової інформації про Retpoline включи, зверніться до нашого блогу: пом'якшення привид варіант 2 з Retpoline на вікнах .

Щоб отримати додаткові відомості про цей дефект, зверніться до посібника з безпеки корпорації Майкрософт: CVE-2019-1125 | Уразливість системи ядра Windows, розкриття інформації.

Ми не знаємо, будь-якої інстанції ця інформація розкриття уразливості, що зачіпають нашу інфраструктуру хмарної служби.

Як тільки ми стало відомо про це питання, ми працювали швидко, щоб вирішити його і випустити оновлення. Ми твердо віримо в тісні партнерські відносини з дослідниками та партнерами по галузі, щоб зробити клієнтів безпечнішими і не публікували деталі до вівторка, 6 серпня відповідно до узгоджених практик розкриття вразливості.

Посилання

Застереження про інформацію від третіх осіб

Продукти, про які йдеться в цій статті, виготовлено сторонніми виробниками, що не залежать від корпорації Майкрософт. Корпорація Майкрософт не надає жодних гарантій, явних або неявних, стосовно якості чи надійності роботи таких продуктів.

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×