Windows Server Hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

Áp dụng cho: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Tóm tắt


Microsoft đã biết một lớp mới tiết lộ công khai các lỗ hổng được gọi là "suy thực thi bên kênh tấn" và có ảnh hưởng đến nhiều bộ xử lý hiện đại bao gồm Intel, AMD, VIA, và ARM.

Lưu ý Vấn đề này cũng ảnh hưởng đến các hệ điều hành khác, chẳng hạn như Android, Chrome, iOS và macOS. Do đó, chúng tôi khuyên khách hàng tìm kiếm hướng dẫn từ các nhà cung cấp.

Chúng tôi đã phát hành một số bản Cập Nhật để giúp giảm thiểu các lỗ hổng. Chúng tôi cũng đã thực hiện hành động để bảo mật dịch vụ đám mây của chúng tôi. Xem các phần sau đây để biết thêm chi tiết.

Chúng tôi chưa nhận được bất kỳ thông tin nào để cho biết rằng các lỗ hổng đã được sử dụng để tấn công khách hàng. Chúng tôi đang làm việc chặt chẽ với các đối tác trong ngành bao gồm các nhà sản xuất chip, phần cứng OEM và các nhà cung cấp ứng dụng để bảo vệ khách hàng. Để có được tất cả các bảo vệ có sẵn, phần mềm (vi) và cập nhật phần mềm được yêu cầu. Điều này bao gồm vi từ thiết bị OEM và, trong một số trường hợp, Cập nhật phần mềm chống vi-rút.

Bài viết này khắc phục các lỗ hổng sau:

Windows Update cũng sẽ cung cấp Internet Explorer và Edge Mitigations. Chúng tôi sẽ tiếp tục cải thiện các Mitigations chống lại lớp lỗ hổng này.

Để tìm hiểu thêm về lớp lỗ hổng này, hãy xem

Cập Nhật ngày 14 tháng 5, 2019 Ngày 14 tháng 5 năm 2019, Intel công bố thông tin về một phân lớp mới của suy thực thi bên kênh lỗ hổng được gọi là mô hình dữ liệu Microarchitectural. Họ đã được chỉ định các CVEs sau đây:

Quan trọng Những vấn đề này sẽ ảnh hưởng đến các hệ thống khác như Android, Chrome, iOS và MacOS. Chúng tôi khuyên khách hàng tìm kiếm hướng dẫn từ nhà cung cấp tương ứng.

Microsoft đã phát hành bản Cập Nhật để giúp giảm thiểu các lỗ hổng. Để có được tất cả các bảo vệ có sẵn, phần mềm (vi) và cập nhật phần mềm được yêu cầu. Điều này có thể bao gồm vi từ thiết bị OEM. Trong một số trường hợp, cài đặt các bản Cập Nhật sẽ có tác động hiệu suất. Chúng tôi cũng đã hành động để đảm bảo các dịch vụ đám mây của chúng tôi. Chúng tôi khuyên bạn nên triển khai các bản cập nhật này.

Để biết thêm thông tin về sự cố này, hãy xem tư vấn bảo mật sau và sử dụng hướng dẫn dựa trên kịch bản để xác định hành động cần thiết để giảm thiểu mối đe dọa:

Lưu ý Chúng tôi khuyến nghị bạn cài đặt tất cả các bản cập nhật mới nhất từ Windows Update trước khi bạn cài đặt bất kỳ bản Cập Nhật vi.

Updated ngày 6 tháng 8, 2019 ngày 6 tháng 8, 2019 Intel phát hành chi tiết về một lỗ hổng bảo mật công bố thông tin của Windows kernel. Lỗ hổng này là một biến thể của lỗ hổng thực hiện suy đoán Spectre biến thể 1 và đã được chỉ định CVE-2019-1125.

Ngày 9 tháng 7, 2019 chúng tôi phát hành bản Cập Nhật bảo mật cho hệ điều hành Windows để giúp giảm thiểu vấn đề này. Xin lưu ý rằng chúng tôi đã tổ chức trở lại tài liệu này giảm nhẹ công khai cho đến khi tiết lộ ngành phối hợp vào ngày thứ ba 6 tháng 8, 2019.

Khách hàng đã bật Windows Update và đã áp dụng bản Cập Nhật bảo mật phát hành vào ngày 9 tháng 7 năm 2019 được bảo vệ tự động. Không có cấu hình thêm cần thiết.

Lưu ý lỗ hổng này không yêu cầu bản Cập Nhật vi từ nhà sản xuất thiết bị của bạn (OEM).

Để biết thêm thông tin về lỗ hổng này và bản Cập Nhật áp dụng, hãy xem hướng dẫn Cập Nhật bảo mật của Microsoft:

CVE-2019-1125 | Lỗ hổng bảo mật công bố thông tin lõi của Windows

Cập Nhật ngày November 12, 2019 ngày 12 tháng 11 năm 2019, Intel đã xuất bản một tư vấn kỹ thuật xung quanh Intel® giao dịch đồng bộ hóa phần mở rộng (Intel® TSX) 2019-11135giao Microsoft đã phát hành bản Cập Nhật để giúp giảm lỗ hổng này và bảo vệ hệ điều hành được bật theo mặc định cho Windows Server 2019 nhưng tắt theo mặc định cho Windows Server 2016 và các phiên bản hệ điều hành Windows Server cũ hơn.

Hành động được đề xuất


Khách hàng nên thực hiện thao tác sau để giúp bảo vệ chống lại các lỗ hổng:

  1. Áp dụng tất cả các bản cập nhật hệ điều hành Windows có sẵn, bao gồm các bản Cập Nhật bảo mật Windows hàng tháng.
  2. Áp dụng bản cập nhật phần mềm (vi) áp dụng được cung cấp bởi nhà sản xuất thiết bị.
  3. Đánh giá rủi ro cho môi trường của bạn dựa trên thông tin được cung cấp trên Microsoft Security Advisories: ADV180002, ADV180012, ADV190013và thông tin cung cấp trong bài viết cơ sở kiến thức này.
  4. Thực hiện hành động theo yêu cầu bằng cách sử dụng tư vấn và đăng ký thông tin quan trọng được cung cấp trong bài viết cơ sở kiến thức này.

Lưu ý Bề mặt khách hàng sẽ nhận được bản Cập Nhật vi thông qua Windows Update. Để có danh sách các bản cập nhật phần mềm thiết bị Surface (vi) mới nhất, hãy xem KB 4073065.

Thiết đặt giảm thiểu cho Windows Server


Tư vấn bảo mật ADV180002, ADV180012ADV190013 cung cấp thông tin về rủi ro do các lỗ hổng này gây ra.  Họ cũng giúp bạn xác định các lỗ hổng và xác định trạng thái mặc định của Mitigations cho hệ thống Windows Server. Bảng dưới đây tóm tắt các yêu cầu của vi CPU và trạng thái mặc định của Mitigations trên Windows Server.

Cve Yêu cầu microcode CPU/Firmware? Giảm thiểu trạng thái mặc định

CVE-2017-5753

Không

Bật theo mặc định (không có tùy chọn để vô hiệu hóa)

Vui lòng tham khảo ADV180002 để biết thêm thông tin

CVE-2017-5715

Tắt theo mặc định.

Vui lòng tham khảo ADV180002 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

Lưu ý "Retpoline" được bật theo mặc định cho các thiết bị chạy Windows 10 1809 hoặc mới hơn nếu Spectre biến thể 2 ( CVE-2017-5715 ) được bật. Để biết thêm thông tin, xung quanh "retpoline", theo dõimitigating Spectre biến thể 2 với retpoline trên Windows blog post.

CVE-2017-5754

Không

Windows Server 2019: bật theo mặc định. Windows Server 2016 và trước đó: tắt theo mặc định.

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2018-3639

Intel: có

AMD: không có

Tắt theo mặc định. Xem ADV180012 để biết thêm thông tin và bài viết trong kB để áp dụng cài đặt khoá đăng ký.

CVE-2018-11091 Intel: có

Windows Server 2019: bật theo mặc định. Windows Server 2016 và trước đó: tắt theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.
CVE-2018-12126 Intel: có

Windows Server 2019: bật theo mặc định. Windows Server 2016 và trước đó: tắt theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.
CVE-2018-12127 Intel: có

Windows Server 2019: bật theo mặc định. Windows Server 2016 và trước đó: tắt theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.
CVE-2018-12130 Intel: có

Windows Server 2019: bật theo mặc định. Windows Server 2016 và trước đó: tắt theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.
CVE-2019-11135 Intel: có

Windows Server 2019: bật theo mặc định. Windows Server 2016 và trước đó: tắt theo mặc định.

Xem CVE-2019-11135 để biết thêm thông tin và bài viết kB này để áp dụng cài đặt khoá đăng ký.

Khách hàng muốn có tất cả các bảo vệ có sẵn chống lại các lỗ hổng phải thực hiện thay đổi khoá đăng ký để kích hoạt các Mitigations bị vô hiệu hoá theo mặc định.

Cho phép các Mitigations có thể ảnh hưởng đến hiệu năng. Quy mô hiệu ứng hiệu suất phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong máy chủ vật lý của bạn và khối lượng công việc đang chạy. Chúng tôi khuyên khách hàng nên đánh giá hiệu quả hoạt động của môi trường và thực hiện bất kỳ điều chỉnh cần thiết nào.

Máy chủ của bạn có nguy cơ tăng nếu nó ở một trong các loại sau:

  • Hyper-V máy chủ-yêu cầu bảo vệ máy ảo-VM và VM để lưu trữ tấn công.
  • Từ xa máy tính để bàn dịch vụ lưu trữ (RDSH)-yêu cầu bảo vệ từ một phiên phiên khác hoặc cuộc tấn công phiên máy chủ.
  • Vật lý lưu trữ hoặc máy ảo đang chạy mã không đáng tin cậy, chẳng hạn như chứa hoặc phần mở rộng không đáng tin cậy cho cơ sở dữ liệu, nội dung web không đáng tin cậy hoặc luồng công việc chạy mã từ nguồn bên ngoài. Các yêu cầu bảo vệ từ không đáng tin cậy xử lý-để-một quá trình hoặc không đáng tin cậy-xử lý-to-hạt nhân tấn công.

Sử dụng cài đặt khoá đăng ký sau để kích hoạt các Mitigations trên máy chủ và khởi động lại hệ thống để thay đổi có hiệu lực.

Lưu ý Cho phép Mitigations tắt theo-mặc định có thể ảnh hưởng đến hiệu năng. Hiệu suất thực tế hiệu quả phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.

Thiết đặt đăng ký


Chúng tôi cung cấp thông tin đăng ký sau để cho phép Mitigations không được kích hoạt theo mặc định, như tài liệu trong bảo mật tư vấn ADV180002, ADV180012ADV190013.

Ngoài ra, chúng tôi đang cung cấp cài đặt khoá đăng ký cho người dùng muốn vô hiệu hoá Mitigations liên quan đến CVE-2017-5715 và CVE-2017-5754 cho máy khách Windows.

Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi sổ đăng ký. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy chắc chắn rằng bạn làm theo các bước sau cẩn thận. Để bảo vệ thêm, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

322756 làm thế nào để sao lưu và khôi phục sổ đăng ký trong Windows

Quản lý Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)


Lưu ý quan trọng Retpoline được bật theo mặc định trên máy chủ Windows 10, phiên bản 1809 nếu Spectre, biến thể 2 ( CVE-2017-5715 ) được bật. Cho phép Retpoline trên phiên bản Windows 10 mới nhất có thể nâng cao hiệu suất trên các máy chủ chạy Windows 10, phiên bản 1809 cho Spectre biến thể 2, đặc biệt là trên bộ xử lý cũ hơn.

Để kích hoạt Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để vô hiệu hoá Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Lưu ý Thiết lập FeatureSettingsOverrideMask để 3 là chính xác cho cả hai "kích hoạt" và "vô hiệu hóa" cài đặt. (Xem phần "FAQ " để biết thêm chi tiết về khoá đăng ký.)

Quản lý thiểu cho CVE-2017-5715 (bóng ma biến 2)


Để vô hiệu hoá Phiên bản 2: (CVE-2017-5715"nhánh đích tiêm") giảm thiểu:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Để kích hoạt phiên bản 2: (CVE-2017-5715"nhánh đích tiêm") giảm thiểu:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Bộ xử lý AMD chỉ: kích hoạt giảm thiểu đầy đủ cho CVE-2017-5715 (Spectre biến thể 2)


Theo mặc định, bảo vệ người dùng đến hạt nhân cho CVE-2017-5715 bị vô hiệu hoá AMD CPU. Khách hàng phải cho phép giảm thiểu để nhận được bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, xem câu hỏi thường gặp #15 trong ADV180002.

Cho phép người dùng-to-kernel bảo vệ trên bộ xử lý AMD cùng với các biện pháp khác cho CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Quản lý Mitigations CVE-2018-3639 (suy cửa hàng bỏ qua), CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)



Để kích hoạt Mitigations cho CVE-2018-3639 (suy cửa hàng bỏ qua), CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để vô hiệu hoá Mitigations CVE-2018-3639 (suy cửa hàng bỏ qua) và Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Bộ xử lý AMD chỉ: kích hoạt giảm thiểu đầy đủ cho CVE-2017-5715 (Spectre biến thể 2) và CVE 2018-3639 (suy cửa hàng bỏ qua)


Theo mặc định, bảo vệ người dùng đến hạt nhân cho CVE-2017-5715 bị vô hiệu hoá bộ xử lý AMD. Khách hàng phải cho phép giảm thiểu để nhận được bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, xem câu hỏi thường gặp #15 trong ADV180002.

Cho phép người dùng-để-hạt nhân bảo vệ trên bộ xử lý AMD cùng với các biện pháp khác cho cve 2017-5715 và biện pháp phòng chống cho CVE-2018-3639 (suy cửa hàng bỏ qua):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Quản lý Intel® giao dịch đồng bộ hóa tiện ích mở rộng (Intel® TSX) thương (CVE-2019-11135) và mô hình dữ liệu Microarchitectural (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) cùng với Bóng ma [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] biến thể, bao gồm cả suy cửa hàng bỏ qua vô hiệu hoá (SSBD) [CVE-2018-3639] cũng như L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, và CVE-2018-3646]


Để kích hoạt Mitigations cho Intel® giao dịch đồng bộ hóa phần mở rộng (Intel® TSX) giao dịch bị hủy bỏ lỗ hổng bảo mật (CVE-2019-11135) và mẫu dữ liệu microarchitectural (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] Phiên Cửa hàng bỏ qua vô hiệu hoá (SSBD) [CVE-2018-3639] cũng như L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, và CVE-2018-3646] mà không cần vô hiệu hoá Hyper-Threading:

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg thêm "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để kích hoạt Mitigations cho Intel® giao dịch đồng bộ hóa phần mở rộng (Intel® TSX) giao dịch lỗ hổng hủy bỏ không đồng bộ (CVE-2019-11135) và mô hình dữ liệu microarchitectural (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] Suy cửa hàng bỏ qua vô hiệu hoá (SSBD) [CVE-2018-3639] cũng như L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646] với Hyper-Threading vô hiệu hoá:

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg thêm "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để vô hiệu hoá Mitigations cho Intel® giao dịch đồng bộ hóa phần mở rộng (Intel® TSX) thương hiệu bị bỏ dở lỗ hổng bảo mật (CVE-2019-11135) và microarchitectural dữ liệu mẫu (CVE-2018-11091,CVE-2018-12126,CVE-2018-12127,CVE-2018-12130) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] Suy cửa hàng bỏ qua vô hiệu hoá (SSBD) [CVE-2018-3639] cũng như L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, và CVE-2018-3646]:

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Khởi động lại máy tính để thay đổi có hiệu lực.

Xác minh rằng bảo vệ được kích hoạt


Để giúp khách hàng xác minh rằng bảo vệ được kích hoạt, Microsoft đã xuất bản một tập lệnh PowerShell mà khách hàng có thể chạy trên hệ thống của họ. Cài đặt và chạy tập lệnh bằng chạy các lệnh sau.

PowerShell xác minh bằng cách sử dụng thư viện PowerShell (Windows Server 2016 hoặc WMF 5.0/5.1)

Cài đặt mô-đun PowerShell:

PS> Install-Module SpeculationControl

Chạy mô-đun PowerShell để xác minh rằng bảo vệ được kích hoạt:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell xác minh bằng cách sử dụng tải xuống từ TechNet (trước đó phiên bản hệ điều hành và phiên bản cũ hơn WMF)

Cài đặt mô-đun PowerShell từ TechNet ScriptCenter:

  1. Truy cập https://aka.MS/SpeculationControlPS .
  2. Tải xuống SpeculationControl. zip vào cặp cục bộ.
  3. Trích xuất nội dung vào một cặp cục bộ. Ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng bảo vệ được kích hoạt:

Khởi động PowerShell, và sau đó sử dụng ví dụ trước để sao chép và chạy các lệnh sau:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Để giải thích chi tiết về đầu ra của tập lệnh PowerShell, hãy xem bài viết cơ sở kiến thức 4074629 .

Câu hỏi thường gặp