Hành động được đề xuất

Khách hàng nên thực hiện những hành động sau đây để giúp bảo vệ chống lại các lỗ hổng:

  1. Áp dụng tất cả các Windows cập nhật hệ điều hành hiện có, bao gồm bản cập nhật bảo mật hàng Windows tháng.

  2. Apply the applicable firmware (microcode) update that is provided by the device manufacturer.

  3. Đánh giá rủi ro cho môi trường của bạn dựa trên thông tin được cung cấp trên Tư vấn Bảo mật Microsoft: ADV180002,ADV180012, ADV190013và thông tin được cung cấp trong bài viết Cơ sở Tri thức này.

  4. Thực hiện hành động theo yêu cầu bằng cách sử dụng tư vấn và thông tin khóa đăng ký được cung cấp trong bài viết Cơ sở Tri thức này.

Lưu ý Khách hàng Surface sẽ nhận được bản cập nhật vi mã thông qua Windows nhật mới. For a list of the latest Surface device firmware (microcode) updates, see KB 4073065.

Giảm Cài đặt cho máy Windows chủ

Tư vấn bảo mật ADV180002,ADV180012ADV190013 cung cấp thông tin về các rủi ro mà những lỗ hổng này gây ra.  Chúng cũng giúp bạn xác định các lỗ hổng này và xác định trạng thái mặc định của giảm thiểu đối với các Windows hệ thống Máy chủ. Bảng dưới đây tóm tắt yêu cầu của vi mã CPU và trạng thái mặc định của các hạn chế Windows Server.

CVE

Bạn cần có microcode/firmware CPU?

Trạng thái Mặc định về Giảm nhẹ

CVE-2017-5753

Không

Bật theo mặc định (không có tùy chọn để tắt)

Vui lòng tham khảo ADV180002 để biết thêm thông tin

CVE-2017-5715

Tắt theo mặc định.

Vui lòng tham khảo ADV180002 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

Lưu ý Tính năng "Tái tạo" được bật theo mặc định cho các thiết bị chạy Windows 10 1809 trở lên nếu Spectre Variant 2 ( CVE-2017-5715 ) được bật. Để biết thêm thông tin, xung quanh "Retpoline", hãy làm theo Mitigating Spectre variant 2 với Retpoline Windows đăng blog.

CVE-2017-5754

Không

Windows Server 2019, Windows Server 2022: Được bật theo mặc định.
Windows Server 2016 và các phiên bản cũ hơn: Bị vô hiệu hóa theo mặc định.

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2018-3639

Intel: Có

AMD: Không

Tắt theo mặc định. Hãy xem ADV180012 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

CVE-2018-11091

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định.
Windows Server 2016 và các phiên bản cũ hơn: Bị vô hiệu hóa theo mặc định.

Hãy xem ADV190013 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

CVE-2018-12126

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định.
Windows Server 2016 và các phiên bản cũ hơn: Bị vô hiệu hóa theo mặc định.

Hãy xem ADV190013 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

CVE-2018-12127

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định.
Windows Server 2016 và các phiên bản cũ hơn: Bị vô hiệu hóa theo mặc định.

Hãy xem ADV190013 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

CVE-2018-12130

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định.
Windows Server 2016 và các phiên bản cũ hơn: Bị vô hiệu hóa theo mặc định.

Hãy xem ADV190013 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

CVE-2019-11135

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định.
Windows Server 2016 và các phiên bản cũ hơn: Bị vô hiệu hóa theo mặc định.

Hãy xem mục CVE-2019-11135 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

Khách hàng muốn có được tất cả các bảo vệ sẵn dùng đối với các lỗ hổng này phải thực hiện thay đổi khóa đăng ký để bật các giảm thiểu này bị vô hiệu hóa theo mặc định.

Việc bật các hạn chế này có thể ảnh hưởng đến hiệu suất. Tỷ lệ hiệu ứng hiệu năng phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể ở máy chủ vật lý của bạn và khối lượng công việc đang chạy. Chúng tôi khuyên khách hàng nên đánh giá hiệu ứng hiệu suất cho môi trường của họ và thực hiện bất kỳ điều chỉnh cần thiết nào.

Máy chủ của bạn có nhiều rủi ro hơn nếu máy chủ ở một trong các danh mục sau đây:

  • Máy chủ Hyper-V – Yêu cầu bảo vệ cho các cuộc tấn công VM-to-VM và VM-to-host.

  • Máy chủ Dịch vụ Máy tính Từ xa (RDSH) – Yêu cầu bảo vệ từ phiên này sang phiên khác hoặc từ cuộc tấn công từ phiên này sang máy chủ khác.

  • Máy chủ vật lý hoặc máy ảo đang chạy mã không tin cậy,chẳng hạn như bộ chứa hoặc phần mở rộng không đáng tin cậy cho cơ sở dữ liệu, nội dung web không đáng tin cậy hoặc khối lượng công việc chạy mã từ các nguồn bên ngoài. Những đòi hỏi phải bảo vệ khỏi các cuộc tấn công quy trình không đáng tin tưởng-đến-quy trình khác hoặc các cuộc tấn công quy trình-đến-kernel không tin tưởng.

Sử dụng các thiết đặt khóa đăng ký sau đây để bật các giảm thiểu trên máy chủ và khởi động lại hệ thống để các thay đổi có hiệu lực.

Lưu ý Việc bật tính năng giảm thiểu theo mặc định có thể ảnh hưởng đến hiệu suất. Hiệu ứng hiệu năng thực tế phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.

Thiết đặt sổ đăng ký

Chúng tôi cung cấp thông tin sổ đăng ký sau đây để cho phép giảm thiểu không được bật theo mặc định, như được ghi trong Tư vấn Bảo mật ADV180002,ADV180012ADV190013.

Ngoài ra, chúng tôi cung cấp cài đặt khóa đăng ký cho những người dùng muốn tắt các giảm thiểu có liên quan đến CVE-2017-5715 và CVE-2017-5754 cho máy khách Windows.

Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm số bài viết sau để xem bài viết trong Cơ sở kiến thức Microsoft:

322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows

Quản lý giảm thiểu cho CVE-2017-5715 (Spectre Variant 2) và CVE-2017-5754 (Sự tan chảy)

Ghi chú quan trọng Bật lại lần nữa theo mặc định trên Windows 10, máy chủ phiên bản 1809 nếu Spectre, Variant 2 ( CVE-2017-5715 ) được bật. Việc bật Tính năng Tái tạo trên phiên bản mới nhất của Windows 10 có thể nâng cao hiệu suất trên các máy chủ chạy Windows 10, phiên bản 1809 dành cho Spectre variant 2, đặc biệt ở các bộ xử lý cũ hơn.

Để bật tính năng giảm thiểu cho CVE-2017-5715 (Spectre Variant 2) và CVE-2017-5754 (Sự tan chảy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt sổ đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

If this is a Hyper-V host and the firmware updates have been applied: Tắt hoàn toàn tất cả Máy Ảo. This enables the firmware-related mitigation to be applied on the host before the VMs are started. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại máy tính để các thay đổi có hiệu lực.

Để tắt tính năng giảm thiểu cho CVE-2017-5715 (Spectre Variant 2) và CVE-2017-5754 (Sự tan chảy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để các thay đổi có hiệu lực.


Lưu ý Việc đặt FeatureSettingsOverrideMask thành 3 là chính xác cho cả cài đặt "bật" và "vô hiệu hóa". (Xem phần " Câuhỏi thường gặp " để biết thêm chi tiết về khóa đăng ký.)

Quản lý việc giảm thiểu cho CVE-2017-5715 (Spectre Variant 2)

Để vô hiệu hóa Biến thể 2: (CVE-2017-5715"Chích Thực hiện Mục tiêu Chi nhánh").  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để các thay đổi có hiệu lực.

Để bật biến thể 2: (CVE-2017-5715 "Chích Thực hiện Mục tiêu Chi nhánh").  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để các thay đổi có hiệu lực.

Bộ xử lý AMD chỉ: Bật tính năng giảm thiểu đầy đủ cho CVE-2017-5715 (Spectre Variant 2)

Theo mặc định, chức năng bảo vệ bằng user-to-kernel của CVE-2017-5715 bị vô hiệu hóa đối với các TRƯỜNG HỢP AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 trong ADV180002.

Bật bảo vệ từ người dùng đến nhân trên bộ xử lý AMD cùng với các bảo vệ khác cho CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt sổ đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

If this is a Hyper-V host and the firmware updates have been applied: Tắt hoàn toàn tất cả Máy Ảo. This enables the firmware-related mitigation to be applied on the host before the VMs are started. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại máy tính để các thay đổi có hiệu lực.

Quản lý việc giảm thiểu cho CVE-2018-3639 (Bỏ qua Cửa hàng Tự động), CVE-2017-5715 (Biến thể Đặc tả 2) và CVE-2017-5754 (Sự tan chảy)

Để bật tính năng giảm thiểu đối với CVE-2018-3639 (Bỏ qua Cửa hàng Bảo mật), CVE-2017-5715 (Spectre Variant 2) và CVE-2017-5754 (Được phân hủy):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt sổ đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

If this is a Hyper-V host and the firmware updates have been applied: Tắt hoàn toàn tất cả Máy Ảo. This enables the firmware-related mitigation to be applied on the host before the VMs are started. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại máy tính để các thay đổi có hiệu lực.

Để tắt tính năng giảm thiểu đối với CVE-2018-3639 (Bỏ qua Cửa hàng Tự phục vụ) VÀ giảm thiểu cho CVE-2017-5715 (Spectre Variant 2) và CVE-2017-5754 (Thời gian tạm chảy)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để các thay đổi có hiệu lực.

Bộ xử lý AMD chỉ: Kích hoạt tính năng giảm thiểu đầy đủ cho CVE-2017-5715 (Biến thể Đặc tả 2) và CVE 2018-3639 (Bỏ qua Cửa hàng Hỗ trợ Hoạt động)

Theo mặc định, chức năng bảo vệ sử dụng đến nhân của CVE-2017-5715 bị vô hiệu hóa đối với bộ xử lý AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 trong ADV180002.

Bật bảo vệ từ người dùng đến nhân trên bộ xử lý AMD cùng với các bảo vệ khác cho CVE 2017-5715 và bảo vệ cho CVE-2018-3639 (Bỏ qua Cửa hàng Hỗ trợ Dịch vụ):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt sổ đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

If this is a Hyper-V host and the firmware updates have been applied: Tắt hoàn toàn tất cả Máy Ảo. This enables the firmware-related mitigation to be applied on the host before the VMs are started. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại máy tính để các thay đổi có hiệu lực.

Quản lý phần mở rộng Đồng bộ Giao tác Intel® (Intel® TSX) Lỗ hổng Giao dịch Không đồng bộ (CVE-2019-11135) và Lấy mẫu Dữ liệu Microarchitectural (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) cùng với Spectre [ CVE-2017-5753 & CVE-2017-5715 ] và Được giải nhiệt [ CVE-2017-5754 ] biến thể, bao gồm Tắt Cửa hàng Theo ý muốn (SSBD) [ CVE-2018-3639 ] cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646 ]

Để cho phép giảm thiểu các lỗ hổng của Giao tác đối với Intel® Phần mở rộng Đồng bộ Giao tác (Intel® TSX) lỗ hổng Abort không đồng bộ ( CVE-2019-11135 ) và Lấy mẫu dữ liệu Microarchitectural (CVE-2018-11091, CVE-2018-12 126, CVE-2018-12127, CVE-2018-12130) cùng vớiSpectre [CVE-2017-5753 & CVE-2017-5715] và Sự cố tan chảy [CVE-2017-5754], bao gồm Tính năng Bỏ qua Cửa hàng Theo ý muốn (SSBD) [CVE-2018-3639 ] cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646] mà không cần tắt Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt sổ đăng ký sau đây:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

If this is a Hyper-V host and the firmware updates have been applied: Tắt hoàn toàn tất cả Máy Ảo. This enables the firmware-related mitigation to be applied on the host before the VMs are started. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại máy tính để các thay đổi có hiệu lực.

Để cho phép giảm thiểu các phần mở rộng Đồng bộ Hóa Giao tác Intel® (Intel® TSX) Lỗ hổng Abort Không đồng bộ (CVE-2019-11135)và Lấy mẫu Dữ liệu Microarchitectural (CVE-2018-11091, CVE-2018-12 126, CVE-2018-12127, CVE-2018-12130) cùng vớiSpectre [ CVE-2017-5753 & CVE-2017-5715 ] vàDown [ CVE-2017-5754 ] biến thể, bao gồm Tính năng Bỏ qua Cửa hàng Theo ý muốn (SSBD) [ CVE-2018-3639 ] cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646 ] khi đã vô Hyper-Threading tắt:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt sổ đăng ký sau đây:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

If this is a Hyper-V host and the firmware updates have been applied: Tắt hoàn toàn tất cả Máy Ảo. This enables the firmware-related mitigation to be applied on the host before the VMs are started. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại máy tính để các thay đổi có hiệu lực.

Để tắt tính năng giảm nhẹ cho Intel® Phần mở rộng Đồng bộ Giao tác (Intel® TSX) Lỗ hổng Abort Không đồng bộ (CVE-2019-11135)và Lấy mẫu Dữ liệu Microarchitectural (CVE-2018-11091, CVE-2018-12 126, CVE-2018-12127, CVE-2018-12130) cùng vớiSpectre [ CVE-2017-5753 & CVE-2017-5715 ] và Được giải tuần tự [ CVE-2017-5754 ] biến thể, bao gồm Tính năng Bỏ qua Cửa hàng Theo ý muốn (SSBD) [ CVE-2018-3639 ] cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để các thay đổi có hiệu lực.

Xác minh rằng đã bật tính năng bảo vệ

Để giúp khách hàng xác minh rằng đã bật tính năng bảo vệ, Microsoft đã phát hành một tập lệnh PowerShell mà khách hàng có thể chạy trên hệ thống của họ. Cài đặt và chạy tập lệnh bằng cách chạy các lệnh sau đây.

Xác minh PowerShell bằng cách sử dụng Bộ sưu tập PowerShell (Windows Server 2016 hoặc WMF 5.0/5.1)

Cài đặt Mô-đun PowerShell:

PS> Install-Module SpeculationControl

Chạy mô-đun PowerShell để xác minh rằng đã bật bảo vệ:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Xác minh PowerShell bằng cách sử dụng bản tải xuống từ Technet (Các phiên bản hệ điều hành trước đây và phiên bản WMF cũ hơn)

Cài đặt mô-đun PowerShell từ Technet ScriptCenter:

  1. Đi tới https://aka.ms/SpeculationControlPS .

  2. Tải SpeculationControl.zip vào thư mục cục bộ.

  3. Trích xuất nội dung vào thư mục cục bộ. Ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng đã bật bảo vệ:

Khởi động PowerShell, rồi sử dụng ví dụ trước đó để sao chép và chạy các lệnh sau đây:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Để được giải thích chi tiết về đầu ra của tập lệnh PowerShell, hãy xem Bài viết Cơ sở Kiến thức 4074629. 

Câu hỏi thường gặp

Để giúp tránh gây ảnh hưởng bất lợi đến thiết bị của khách hàng, tất cả khách hàng Windows các bản cập nhật bảo mật Windows được phát hành trong Tháng Một và Tháng Hai 2018 không được cung cấp cho tất cả khách hàng. Để biết chi tiết, hãy xem bài viết Cơ sở Tri thức Microsoft 4072699.

The microcode is delivered through a firmware update. Tham khảo OEM của bạn về phiên bản firmware có bản cập nhật phù hợp cho máy tính của bạn.

Có nhiều biến số ảnh hưởng đến hiệu suất, trong phạm vi từ phiên bản hệ thống đến khối lượng công việc đang chạy. Đối với một số hệ thống, hiệu ứng hiệu năng sẽ không thể sơ suất. Đối với những người khác, điều này sẽ đáng kể.

Chúng tôi khuyên bạn nên đánh giá hiệu ứng hiệu suất trên hệ thống của mình và thực hiện điều chỉnh nếu cần.

Ngoài hướng dẫn trong bài viết này về máy ảo, bạn nên liên hệ với nhà cung cấp dịch vụ để đảm bảo rằng máy chủ đang chạy máy ảo của bạn được bảo vệ một cách thích hợp.

Để biết Windows ảo Server đang chạy trong Azure, hãy xem mục Hướng dẫn giảm thiểu các lỗ hổng kênh bên thực thi có tính linh hoạt trong Azure . Để biết hướng dẫn về việc sử dụng Azure Update Management để giảm thiểu sự cố này trên máy ảo khách, hãy xem bài viết Cơ sở Tri thức Microsoft 4077467.

Những bản cập nhật được phát hành cho bộ chứa Windows Server cho Windows Server 2016 và Windows 10, phiên bản 1709 đều chứa các lỗ hổng này. Không cần cấu hình bổ sung.

Lưu ý Bạn vẫn phải chắc chắn rằng máy chủ mà những bộ chứa này đang chạy trên đó sẽ được cấu hình để cho phép hạn chế thích hợp.

Không, thứ tự cài đặt không quan trọng.

Yes, you must restart after the firmware (microcode) update and then again after the system update.

Dưới đây là thông tin chi tiết về khóa đăng ký:

FeatureSettingsOverride đại diện cho bitmap ghi đè lên thiết đặt mặc định và điều khiển những hạn chế sẽ bị vô hiệu hóa. Bit 0 kiểm soát độ giảm thiểu tương ứng với CVE-2017-5715. Bit 1 kiểm soát độ giảm thiểu tương ứng với CVE-2017-5754. Các bit được đặt là 0 để bật tính năng giảm thiểu và là 1 để tắt tính năng giảm thiểu.

FeatureSettingsOverrideMask đại diện cho mặt nạ bitmap được sử dụng cùng với FeatureSettingsOverride. Trong trường hợp này, chúng ta sử dụng giá trị 3 (được biểu thị là 11 trong hệ thống số nhị phân hoặc số cơ số 2) để cho biết hai bit đầu tiên tương ứng với các giảm thiểu có sẵn. Khóa đăng ký này được đặt là 3 để bật hoặc tắt tính năng giảm thiểu.

MinVmVersionForCpuBasedMitigations dành cho máy chủ Hyper-V. This registry key defines the minimum VM version that's required for you to use the updated firmware capabilities (CVE-2017-5715). Đặt phiên bản này thành 1.0 để thể hiện tất cả các phiên bản VM. Lưu ý rằng giá trị sổ đăng ký này sẽ bị bỏ qua (benign) trên máy chủ không phải là Hyper-V. Để biết thêm chi tiết, hãy xem mục Bảo vệ máy ảo của khách khỏi CVE-2017-5715 (chích đích chi nhánh).

Có, sẽ không có tác dụng phụ nếu những thiết đặt sổ đăng ký này được áp dụng trước khi cài đặt các bản sửa lỗi liên quan đến Tháng Một 2018.

Yes, for Windows Server 2016 Hyper-V hosts that don't yet have the firmware update available, we have published alternative guidance that can help mitigate the VM to VM or VM to host attacks. Xem mục Các bảo vệ thay Windows cho Máy chủ Hyper-V trên Server 2016 so với các lỗ hổng của kênh bên thực thi suy giảm .

Chỉ bảo mật Các bản cập nhật không tích lũy. Tùy theo phiên bản hệ điều hành, có thể bạn cần cài đặt một vài bản cập nhật bảo mật để có được tính năng bảo vệ đầy đủ. Thông thường, khách hàng sẽ cần cài đặt các bản cập nhật Tháng Một, Tháng Hai, Tháng Ba và Tháng Tư 2018. Các hệ thống có bộ xử lý AMD cần cập nhật bổ sung như minh họa trong bảng sau đây:

Phiên bản Hệ Điều hành

Cập nhật Bảo mật

Windows 8.1, Windows Server 2012 R2

4338815 - Tổng số Hàng tháng

4338824 - Chỉ Bảo mật

Windows 7 SP1, Windows Server 2008 R2 SP1 hoặc Windows Server 2008 R2 SP1 (Cài đặt Server Core)

4284826 - Tổng số Hàng tháng

4284867 - Chỉ Bảo mật

Windows Server 2008 SP2

4340583 - Cập nhật Bảo mật

Chúng tôi khuyên bạn nên cài đặt các bản cập nhật Chỉ Bảo mật theo thứ tự phát hành.

Lưu   ý Một phiên bản cũ hơn của Câu hỏi thường gặp này cho biết không chính xác rằng bản cập nhật Chỉ Bảo mật Tháng Hai đã tích hợp các bản sửa lỗi bảo mật được phát hành trong Tháng Một. Thực tế thì không.

Không. Bản cập nhật bảo mật KB 4078130 một bản sửa lỗi cụ thể để ngăn ngừa các hành vi hệ thống không dự đoán được, sự cố về hiệu suất và khởi động lại ngoài dự kiến sau khi cài đặt vi mã. Việc áp dụng các bản cập nhật bảo mật Windows hệ điều hành máy khách cho phép cả ba lần giảm thiểu. Trên Windows điều hành Server, bạn vẫn phải bật giảm thiểu sau khi thực hiện kiểm tra thích hợp. Để biết thêm thông tin, hãy xem bài viết Cơ sở Tri thức Microsoft 4072698.

Sự cố này đã được giải quyết trong KB 4093118.

Vào Tháng Hai 2018, Intel đã thông báo rằng họ đã hoàn tất các xác thực và bắt đầu phát hành microcode cho các nền tảng CPU mới hơn. Microsoft đang thực hiện các bản cập nhật microcode được Intel xác thực có liên quan đến Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Kb 4093836 các bài viết Cơ sở Kiến thức cụ thể theo Windows bản. Mỗi bài viết KB cụ thể đều chứa các bản cập nhật vi mã Intel sẵn có của CPU.

11/01/2018Intel đã báo cáo các sự cố trong vi mã phát hành gần đây nhằm giải quyết Spectre variant 2 (CVE-2017-5715 – "Branch Target Injection"). Cụ thể, Intel đã lưu ý rằng vi mã này có thể gây ra" cao hơn dự kiến khởi động lại và hành vi hệ thống không dự đoán được khác " và rằng những kịch bản này có thể gây ra " mất hoặc hỏng dữliệu. " Trải nghiệm của chúng tôi là tính không ổn định của hệ thống có thể làm mất hoặc hỏng dữ liệu trong một số trường hợp. Vào 22/01, Intel khuyến cáo khách hàng ngừng triển khai phiên bản microcode hiện tại trên các bộ xử lý bị ảnh hưởng trong khi Intel thực hiện kiểm tra bổ sung đối với giải pháp được cập nhật. Chúng tôi hiểu rằng Intel đang tiếp tục điều tra tác động tiềm tàng của phiên bản microcode hiện tại. Chúng tôi khuyến khích khách hàng xem lại hướng dẫn của họ trên cơ sở liên tục để thông báo quyết định của họ.

Trong khi Intel kiểm tra, cập nhật và triển khai microcode mới, chúng tôi vẫn đang cung cấp một bản cập nhật sẵn dùng (OOB) bản cập nhật KB 4078130 , tính năng này chỉ tắt tính năng giảm thiểu đối với CVE-2017-5715. Trong kiểm tra của chúng tôi, đã tìm thấy bản cập nhật này để ngăn chặn hành vi được mô tả. Để biết danh sách đầy đủ các thiết bị, hãy xem hướng dẫn chỉnh sửa microcode từ Intel. Bản cập nhật này bao Windows 7 Gói Dịch vụ 1 (SP1), Windows 8.1 và tất cả các phiên bản của Windows 10, cả máy khách và máy chủ. Nếu bạn đang chạy một thiết bị bị ảnh hưởng, bạn có thể áp dụng bản cập nhật này bằng cách tải xuống từ website Danh mục Cập nhật của Microsoft. Ứng dụng của tải trọng này đặc biệt chỉ tắt tính năng giảm thiểu đối với CVE-2017-5715.

Hiện tại, không có báo cáo đã biết nào cho biết rằng Loại Thông số Xác định 2 (CVE-2017-5715 – "Chích Cụ thể Chi nhánh") đã được sử dụng để tấn công khách hàng. Chúng tôi khuyên người dùng Windows nên thực hiện lại việc giảm thiểu đối với CVE-2017-5715 khi Intel báo cáo rằng hành vi hệ thống không dự đoán này đã được giải quyết đối với thiết bị của bạn.

Vào Tháng Hai 2018,Intel đã thông báo rằng họ đã hoàn tất các xác thực và bắt đầu phát hành microcode cho các nền tảng CPU mới hơn. Microsoft đang tạo các bản cập nhật microcode được Intel xác thực có liên quan đến Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Kb 4093836 các bài viết Cơ sở Kiến thức cụ thể theo Windows bản mới. Danh sách KBs sẵn có các bản cập nhật vi mã Intel theo CPU.

Để biết thêm thông tin, hãy xem mục Các bản cập nhật Bảo mật AMD và Bảng trắng AMD: Hướng dẫn Kiến trúc xung quanh Kiểm soát Nhánh Gián tiếp. Đây là sẵn có từ kênh OEM firmware.

Chúng tôi đang tạo các bản cập nhật microcode được Intel xác thực có liên quan đến Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). Để nhận được các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 Tháng Tư 2018 (phiên bản 1803).

Bản cập nhật microcode cũng sẵn dùng trực tiếp từ Danh mục Microsoft Update nếu nó không được cài đặt trên thiết bị trước khi nâng cấp hệ thống. Vi mã Intel sẵn dùng thông qua Windows Cập nhật Máy Windows Dịch vụ Cập nhật Máy chủ (WSUS) hoặc Danh mục Cập nhật Microsoft. Để biết thêm thông tin và hướng dẫn tải xuống, hãy xem KB 4100347.

Xem các mục "Hành động được đề xuất" và "Câu hỏi thường gặp"  của ADV180012 | Hướng dẫn Microsoft về bỏ qua Cửa hàng Theo bảo quản .

Để xác minh trạng thái của SSBD, tập lệnh Get-DrolControlSettings PowerShell đã được cập nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của các bản cập nhật hệ điều hành SSBD và trạng thái của bộ xử lý microcode, nếu áp dụng. Để biết thêm thông tin và có được tập lệnh PowerShell, hãy xem KB 4074629 .

Vào 13/06/2018, một lỗ hổng bổ sung liên quan đến thực thi theo kênh bên, được gọi là Khôi phục Trạng thái Lazy FP,đã được thông báo và gán CVE-2018-3665. Để biết thông tin về lỗ hổng này và hành động được đề xuất, hãy xem AdV180016 Tư vấn Bảo mật ADV180016 | Hướng dẫn Microsoft cho Khôi phục Trạng thái Lazy FP.

Chú ý Không có thiết đặt cấu hình (sổ đăng ký) bắt buộc cho Khôi phục FP Tự do.

Bounds Check Bypass Store (BCBS) đã được tiết lộ vào 10/07/2018 và được gán CVE-2018-3693. Chúng tôi coi BCBS thuộc cùng loại lỗ hổng như Kiểm tra Giới hạn Vượt qua (Biến thể 1). Chúng tôi hiện không biết về bất kỳ trường hợp nào của BCBS trong phần mềm của chúng tôi. Tuy nhiên, chúng tôi vẫn tiếp tục nghiên cứu lớp lỗ hổng này và sẽ làm việc với các đối tác trong ngành để phát hành giảm thiểu như mong muốn. Chúng tôi khuyến khích các nhà nghiên cứu gửi mọi phát hiện liên quan đến chương trình tài nguyên kênh thực thi bảo hiểm của Microsoft , bao gồm mọi trường hợp có thể lợi dụng của BCBS. Các nhà phát triển phần mềm nên xem lại hướng dẫn dành cho nhà phát triển đã được cập nhật cho BCBS tại C++ Hướng dẫn Nhà phát triển về Các Kênh Bên Thực thi Có điều chỉnh.

Vào 14/08/2018, Lỗi Thiết bị đầu cuối L1 (L1TF) đã được thông báo và gán nhiều CVEs. Các lỗ hổng của kênh bên thực thi gây ảnh hưởng mới này có thể được sử dụng để đọc nội dung của bộ nhớ trong một ranh giới tin cậy và nếu bị khai thác, có thể dẫn đến tiết lộ thông tin. Có nhiều véc-tơ mà kẻ tấn công có thể kích hoạt các lỗ hổng, tùy thuộc vào môi trường được cấu hình. L1TF ảnh hưởng tới bộ xử ® của Intel® và bộ xử lý Intel® Xeon® xử lý.

Để biết thêm thông tin về lỗ hổng này và dạng xem chi tiết các kịch bản bị ảnh hưởng, bao gồm phương pháp tiếp cận của Microsoft để giảm thiểu L1TF, hãy xem các tài nguyên sau đây:

Các bước tắt chương trình Hyper-Threading OEM khác với OEM nhưng thường là một phần của BIOS hoặc công cụ thiết lập và cấu hình firmware.

Customers who use 64-bit ARM processors should contact the device OEM for firmware support because ARM64 operating system protections that mitigate CVE-2017-5715 - Branch target injection (Spectre, Variant 2) require the latest firmware update from device OEMs to take effect.

Hướng dẫn thêm có thể được tìm thấy trong hướng Windows hướng dẫn này để bảo vệ chống lại các lỗ hổng của kênh bên thực thi có khả năng suy giảm

Vui lòng tham khảo hướng dẫn trong Windows hướng dẫn này để bảo vệ chống lại các lỗ hổng của kênh thực thi có khả năng thực thi nghiêm trọng

Để biết hướng dẫn về Azure, vui lòng tham khảo bài viết này: Hướng dẫn giảm thiểu các lỗ hổng kênh bên thực thi có tính linh hoạt trong Azure .

Để biết thêm thông tin về việc bật tính năng Tái gửi, hãy tham khảo bài đăng blog của chúng tôi: Giảm thiểu Spectre variant 2 với Retpoline trên Windows.

Để biết chi tiết về lỗ hổng này, hãy xem Hướng dẫn bảo mật Microsoft: CVE-2019-1125 | Windows lỗ hổng của Tiết lộ Thông tin Kernel.

Chúng tôi không biết về bất kỳ trường hợp nào của lỗ hổng tiết lộ thông tin này ảnh hưởng đến cơ sở hạ tầng dịch vụ điện toán đám mây của chúng tôi.

Ngay khi nhận thấy sự cố này, chúng tôi đã nhanh chóng khắc phục sự cố và phát hành bản cập nhật. Chúng tôi thực sự tin tưởng vào quan hệ đối tác chặtchặt với cả các nhà nghiên cứu lẫn đối tác trong ngành để giúp khách hàng an toàn hơn và không phát hành chi tiết cho đến Thứ Ba, 6 tháng 8, nhất quán với các thực hành tiết lộ lỗ hổng phối hợp.

Hướng dẫn thêm có thể được tìm thấy trong Windows hướng dẫn này để bảo vệ chống lại các lỗ hổng củakênh thực thi có khả năng thực thi nghiêm trọng .

Hướng dẫn thêm có thể được tìm thấy trong Windows hướng dẫn này để bảo vệ chống lại các lỗ hổng củakênh thực thi có khả năng thực thi nghiêm trọng .

Hướng dẫn thêm có thể được tìm thấy trong mục Hướng dẫn để vô hiệu hóa các chức năng của Intel® Transactional Synchronization Extensions (Intel® TSX).

Tuyên bố miễn trừ trách nhiệm thông tin của bên thứ ba

Các sản phẩm của bên thứ ba thảo luận trong bài viết này được sản xuất bởi những công ty độc lập với Microsoft. Microsoft không đảm bảo, bằng ngụ ý hay theo bất kỳ cách nào khác, về hiệu quả hoạt động hoặc mức độ tin cậy của những sản phẩm này.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×