Windows Server Hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

Áp dụng cho: Windows Server 2016 Version 1709Windows Server 2012 R2 StandardWindows Server 2012 Standard Thêm

Tóm tắt


Microsoft đã biết một tầng lớp mới tiết lộ công khai những điểm yếu mà được gọi là "tấn công bên kênh suy thực thi" và có ảnh hưởng đến nhiều bộ xử lý hiện đại, bao gồm Intel, AMD, và ARM.

Lưu ý Vấn đề này ảnh hưởng đến các hệ điều hành khác, chẳng hạn như Android, iOS, Chrome và macOS. Do đó, chúng tôi khuyên khách hàng tìm kiếm hướng dẫn từ các nhà cung cấp.

Microsoft đã phát hành một số bản Cập Nhật để giúp giảm thiểu các điểm yếu. Chúng tôi cũng đã thực hiện hành động để đảm bảo các dịch vụ đám mây. Xem các phần sau đây để biết thêm chi tiết.

Microsoft đã không được nhận bất kỳ thông tin nào để cho biết rằng các lỗ hổng đã được sử dụng để tấn công khách hàng. Microsoft đang làm việc chặt chẽ với đối tác trong ngành bao gồm các nhà sản xuất chip, phần cứng OEM và nhà cung cấp ứng dụng bảo vệ khách hàng. Để có được tất cả bảo vệ có sẵn, phần mềm (vi) và phần mềm Cập Nhật được yêu cầu. Điều này bao gồm vi từ thiết bị OEM, và trong một số trường hợp, Cập nhật phần mềm chống vi-rút.

Bài viết này giải quyết các điểm yếu sau:

Để tìm hiểu thêm về loại lỗ hổng này, hãy xem ADV180002ADV180012.

Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo độ chính xác của thông tin liên hệ của bên thứ ba này.

Đề nghị tác vụ


Khách hàng phải thực hiện thao tác sau để giúp bảo vệ chống lại các lỗ hổng:

  1. Áp dụng tất cả có hệ điều hành bản cập nhật Windows, bao gồm các bản Cập Nhật bảo mật Windows hàng tháng. Để biết chi tiết về làm thế nào để kích hoạt các bản Cập Nhật, see bài viết cơ sở kiến thức Microsoft 4072699.
  2. Áp dụng bản Cập Nhật áp dụng phần mềm (vi) từ nhà sản xuất thiết bị (OEM).
  3. Giá rủi ro của môi trường dựa trên thông tin đó là Microsoft Security tư vấnADV180002ADV180012trong bài viết cơ sở kiến thức này.
  4. Thực hiện các tác vụ theo yêu cầu bằng cách sử dụng tư vấn và đăng ký thông tin quan trọng được cung cấp trong bài viết cơ sở kiến thức này.

Giảm thiểu cài đặt Windows Server


Tư vấn bảo mật ADV180002ADV180012 cung cấp thông tin về rủi ro của các lỗ hổng và xác định trạng thái mặc định của mitigations cho hệ thống Windows Server. Phần dưới bảng tóm tắt các yêu cầu CPU vi và trạng thái mặc định của mitigations trên Windows Server.

CVE Yêu cầu CPU vi/phần mềm không? Giảm thiểu mặc định trạng thái

CVE-2017-5753

Không

Kích hoạt mặc định (không có tùy chọn để vô hiệu hoá)

CVE-2017-5715

Tắt theo mặc định.

CVE-2017-5754

Không

Windows Server 2019: Bật theo mặc định. Windows Server 2016 và trước: tắt theo mặc định.

CVE-2018-3639

Intel: có

AMD: không

Tắt theo mặc định. Xem ADV180012 để biết thêm thông tin và bài viết KB này để cài đặt khoá đăng ký áp dụng.

Khách hàng muốn có tất cả có bảo vệ chống lại các lỗ hổng phải thực hiện thay đổi khoá đăng ký để kích hoạt các mitigations được tắt theo mặc định.

Cho phép các mitigations có thể ảnh hưởng đến hiệu năng. Quy mô ảnh hưởng hiệu suất phụ thuộc vào nhiều yếu tố, chẳng hạn như chip cụ thể trong máy chủ vật lý của bạn và luồng công việc đang chạy. Chúng tôi khuyên bạn nên khách hàng đánh giá hiệu ứng hoạt động đối với môi trường và thực hiện bất kỳ điều chỉnh cần thiết.

Máy chủ của bạn có nguy cơ tăng nếu nó là một trong các loại sau:

  • Hyper-V máy-yêu cầu bảo vệ cho máy ảo máy ảo và máy chủ VM tấn công.
  • Máy dịch vụ máy tính để bàn từ xa (RDSH)-yêu cầu bảo vệ từ một phiên phiên khác hoặc máy chủ phiên tấn công.
  • Vật lý máy chủ hoặc máy ảo đang chạy mã không đáng tin cậy, chẳng hạn như thùng hoặc phần mở rộng không đáng tin cậy của cơ sở dữ liệu, nội dung trang web không tin cậy hoặc luồng công việc chạy mã từ nguồn bên ngoài. Các yêu cầu bảo vệ tấn công trình-cho-một-quy trình hoặc không đáng tin cậy-quy trình-để-lõi không đáng tin cậy.

Sử dụng cài đặt khoá đăng ký sau đây để kích hoạt mitigations trên máy chủ và khởi động lại hệ thống để thay đổi có hiệu lực.

Quan trọngPhần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

 

322756Làm thế nào để sao lưu và khôi phục sổ đăng ký trong Windows

Quản lý mitigations CVE-2017-5715 (bóng ma Phiên bản 2) và CVE-2017-5754 (khủng hoảng)


Để kích hoạt mitigations CVE-2017-5715 (bóng ma Phiên bản 2) và CVE-2017-5754 (khủng hoảng)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép phần mềm liên quan đến giảm thiểu được áp dụng trên các máy chủ trước khi các máy ảo được bắt đầu. Do đó, các máy ảo cũng được cập nhật khi chúng tôi khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực .

Để vô hiệu hoá mitigations CVE-2017-5715 (bóng ma Phiên bản 2) và CVE-2017-5754 (khủng hoảng)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực .

Chú ý cài đặt FeatureSettingsOverrideMask 3 là chính xác cho cả "cho phép" và "tắt" cài đặt. (Xem phần "FAQ" để biết thêm chi tiết về khoá đăng ký.)

Quản lý thiểu cho CVE-2017-5715 (bóng ma Phiên bản 2)


Tắt biến thể 2: (CVE -2017 5715"Chi nhánh đích tiêm")giảm thiểu:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Để kích hoạt phiên bản 2: (CVE-2017-5715"Nhánh đích tiêm") thiểu:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Xử lý AMD: sử thiểu đầy đủ cho CVE-2017-5715 (bóng ma Phiên bản 2)


Theo mặc định, sử dụng hạt nhân bảo vệ CVE 2017 5715 bị vô hiệu hoá cho CPU AMD. Khách hàng phải cho phép giảm thiểu nhận bảo vệ bổ sung cho CVE 2017 5715.  Để biết thêm thông tin, hãy xem FAQ #15 ADV180002.

Cho phép người dùng hạt nhân bảo vệ trên bộ xử lý AMD cùng với các bảo vệ cho 5715 CVE 2017:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép phần mềm liên quan đến giảm thiểu được áp dụng trên các máy chủ trước khi các máy ảo được bắt đầu. Do đó, các máy ảo cũng được cập nhật khi chúng tôi khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Quản lý mitigations CVE-2018-3639 (suy cửa hàng bỏ qua), CVE-2017-5715 (bóng ma Phiên bản 2) và CVE-2017-5754 (khủng hoảng)



Để bật mitigations CVE-2018-3639 (suy cửa hàng bỏ qua), CVE-2017-5715 (bóng ma Phiên bản 2) và CVE-2017-5754 (khủng hoảng):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép phần mềm liên quan đến giảm thiểu được áp dụng trên các máy chủ trước khi các máy ảo được bắt đầu. Do đó, các máy ảo cũng được cập nhật khi chúng tôi khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để vô hiệu hoá mitigations cho CVE-2018-3639 (suy cửa hàng bỏ qua) và mitigations CVE-2017-5715 (bóng ma Phiên bản 2) và CVE-2017-5754 (khủng hoảng)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

 

Xử lý AMD: sử thiểu đầy đủ CVE-2017-5715 (bóng ma Phiên bản 2) và CVE 2018-3639 (suy cửa hàng bỏ qua)


Theo mặc định, sử dụng hạt nhân bảo vệ CVE 2017 5715 bị vô hiệu hoá bộ xử lý AMD. Khách hàng phải cho phép giảm thiểu nhận bảo vệ bổ sung cho CVE 2017 5715.  Để biết thêm thông tin, hãy xem FAQ #15 ADV180002.

Bảo vệ người dùng lõi bộ xử lý AMD cùng với các bảo vệ cho 5715 CVE 2017 và bảo vệ cho CVE-2018-3639 (suy cửa hàng bỏ qua):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng:Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép phần mềm liên quan đến giảm thiểu được áp dụng trên các máy chủ trước khi các máy ảo được bắt đầu. Do đó, các máy ảo cũng được cập nhật khi chúng tôi khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Xác minh rằng bảo vệ được kích hoạt


Để giúp khách hàng kiểm chứng rằng bảo vệ được bật, Microsoft đã phát hành một tập lệnh PowerShell khách hàng có thể chạy trên hệ thống của mình. Cài đặt và chạy tập lệnh bằng cách chạy lệnh sau.

PowerShell xác minh bằng cách sử dụng thư viện PowerShell (Windows Server 2016 hoặc WMF 5.0/5.1)

Cài đặt mô-đun PowerShell:

PS> Install-Module SpeculationControl

Chạy mô-đun PowerShell để xác minh rằng bảo vệ được kích hoạt:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell xác minh bằng cách sử dụng bản tải xuống từ Technet (đầu Phiên bản hệ điều hành và Phiên bản cũ hơn WMF)

Cài đặt mô-đun PowerShell Technet ScriptCenter:

  1. Đi đến https://aka.ms/SpeculationControlPS.
  2. Tải xuống SpeculationControl.zip cặp cục bộ.
  3. Trích xuất nội dung cặp cục bộ. Ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng bảo vệ được kích hoạt:

PowerShell, r ví dụ để sao chép và chạy lệnh sau:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Để giải thích chi tiết về đầu ra của lệnh PowerShell, hãy xem bài viết cơ sở kiến thức 4074629

Câu hỏi thường gặp


Tôi không cung cấp các bản Cập Nhật bảo mật Windows được phát hành vào ngày tháng 2018. Tôi nên làm gì?

Để giúp tránh ảnh hưởng xấu đến thiết bị khách hàng, các bản Cập Nhật bảo mật Windows được phát hành vào ngày tháng 2018 đã không cung cấp cho khách hàng. Để biết chi tiết, hãy xem bài viết cơ sở kiến thức Microsoft 4072699.

Tham khảo