KB4457951: 防範推測執行旁路弱點的 Windows 指引

取得並套用最新 Windows 更新

套用所有可用的 Windows 作業系統更新，其中包括每月 Windows 安全性更新。 您可以在 Microsoft 資訊安全諮詢 | 適用於 L1TF 的 ADV 180018、資訊安全諮詢 | 適用於 MDS 的 ADV 190013、資訊安全諮詢 | 適用於 MMIO 的 ADV220002，以及資訊安全漏洞 | 適用於 Windows 核心資訊洩漏漏洞的 CVE-2019-11135 上查看受影響的產品資料表。

取得並套用最新微碼或韌體更新

除了安裝最新 Windows 安全性更新以外，可能還需要安裝處理器微碼或韌體更新。 我們建議您從 裝置 OEM 取得並套用適用于您裝置的最新微碼更新。 如需微碼或韌體更新的詳細資訊，請參閱下列參照:

• KB4093836: Intel 微碼匯報摘要

• 為 Intel 和 AMD 處理器社群文章解說微碼更新

• Intel 產品安全中心建議

• AMD 產品安全性

注意： 如果您使用的是巢狀虛擬化 (包括在客體 VM 中執行 Hyper-V 容器)，必須向客體 VM 公開新的微碼強化套件。 這可能需要將 VM 設定升級為第 8 版。 第 8 版預設包含微碼強化套件。 如需詳細資訊和所需步驟，請參閱下列文章 Microsoft Docs 文章：

在搭配巢狀虛擬化的虛擬機器中執行 Hyper-V

是否應停用超執行緒 (HT)？

L1TF 和 MDS 弱點引入風險，Hyper-V 虛擬機器的機密性和 Microsoft 虛擬式安全性 (VBS) 所維護的密碼可能會透過使用旁路攻擊而遭到入侵。 啟用超執行緒 (HT) 時，Hyper-V 和 VBS 提供的安全性界限都會減弱。

Hyper-V 核心排程器 (從 Windows Server 2016 和 Windows 10 1607 版開始提供使用) 能防範 Hyper-V 虛擬機器的 L1TF 和 MDS 攻擊媒介，同時允許超執行緒維持啟用狀態。 這可使效能影響減到最小。

Hyper-V 核心排程器無法防範受 VBS 保護之安全性功能的 L1TF 或 MDS 攻擊媒介。 由於 L1TF 和 MDS 弱點引入風險，當啟用「超執行緒」(HT) 時，VBS 密碼的機密性可能會因執行端通道攻擊而遭到洩漏，進而減弱 VBS 提供的安全性邊界。 即使風險提高，VBS 仍可在啟用 HT 的情況下提供寶貴的安全性優點，並防範各種攻擊。 因此，我們建議繼續將 VBS 運用在啟用 HT 的系統。 對於希望消除 VBS 機密性上 L1TF 和 MDS 弱點潛在風險的客戶，建議考慮停用 HT，以防範這個額外風險。

若客戶希望消除 L1TF 和 MDS 弱點對 Windows Server 2016 以前 Hyper-V 版本機密性或 VBS 安全性功能所造成的風險，必須權衡決定並考慮停用 HT，以防範風險。 一般而言，客戶可以根據下列方針來做這個決定：

• 若 Windows 10 1607 版、Windows Server 2016 和更新版本的系統未執行 Hyper-V 且未使用受 VBS 保護的安全性功能，客戶不應停用 HT。

• 若 Windows 10 1607 版、Windows Server 2016 和更新版本的系統執行 Hyper-V 與核心排程器，但未使用受 VBS 保護的安全性功能，客戶不應停用 HT。

• 若 Windows 10 1511 版、Windows Server 2012 R2 以前版本的系統執行 Hyper-V，客戶必須考慮停用 HT，以防範風險。

停用 HT 所需的步驟視 OEM 而定。 但是，這些通常是 BIOS 或韌體安裝和設定工具的一部分。

如果無法在您的 BIOS 或韌體安裝和設定工具中停用超執行緒，Microsoft 也已引進停用 HT 技術的能力。 停用 HT 的軟體設定是您的 BIOS 或韌體設定的輔助設定，並且預設為停用 (表示 HT 將遵循您的 BIOS 或韌體設定)。 若要深入了解這個設定，以及如何用來停用 HT，請參閱下列文章：

4072698 防範理論式執行端通道弱點的 Windows Server 指引

可以的話，建議您在 BIOS 或韌體中停用 HT，以確保 HT 是停用的。

注意： 禁用超執行緒將減少 CPU 內核。 這可能對需要最小 CPU 內核才能正常工作的功能產生影響。 例如，Windows Defender 應用程式防護 (WDAG)。

啟用 Hyper-V 核心排程器並將每個核心的 VM 硬體執行緒計數設定為 2

注意： 這些緩和措施步驟只會套用到 1809 版以前的 Windows Server 2016 和 Windows 10。 Windows Server 2019 和 Windows 10 1809 版預設啟用核心排程器。

使用核心排程器有兩個步驟，首先在 Hyper-V 主機上啟用排程器，然後透過將每個核心的硬體執行緒計數設定為二 (2) 來設定每個 VM 以進行使用。

Windows Server 2016 和 Windows 10 1607 版引進的 Hyper-V 核心排程器是傳統排程器邏輯的新替代工具。 在啟用 HT 的 Hyper-V 主機上執行的 VM 內，核心排程器可為工作負載提供的效能變化性減少。

如需有關 Hyper-V 核心排程器和啟用步驟的詳細說明，請參閱下列 Windows IT 專業人員中心文章：

理解和使用 Hyper-V Hypervisor 排程器類型

若要在 Windows Server 2016 或 Windows 10 上啟用 Hyper-V 核心排程器，請輸入下列命令：

bcdedit /set HypervisorSchedulerType core

接著，決定是否將指定 VM 的每個核心硬體執行緒計數設定為二 (2)。 如果您確定虛擬處理器已超執行緒至客體虛擬機器，請在 VM 作業系統中啟用排程器和 VM 工作負載，以便在其自身的工作排程中使用 HT。若要執行這項操作，請輸入下列 PowerShell 命令，其中 <VMName> 是虛擬機器的名稱。 若要執行這項操作，請輸入下列 PowerShell 命令，其中 <VMName> 是虛擬機器的名稱：

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

啟用諮詢 CVE-2017-5715 和 CVE-2019-11135 的緩和措施

注意： 這些緩和措施在 Windows Server 2019 和 Windows 作業系統中預設為啟用。

若要啟用資訊安全諮詢 CVE-2017-5715、CVE-2017-5754 和 CVE-2019-11135 的緩和措施，請使用下列文章中的指引：

4072698 Windows Server 保護推測性執行旁路弱點的指引

4073119 適用於 IT 專業人員的 Windows 用戶端指引，可防範推測性執行旁路弱點

注意： 這些緩和措施會包含且自動啟用適用於 Windows 核心的「安全頁面框架位元」緩和措施，以及 CVE-2018-3620 所述的緩和措施。 如需有關安全頁面框架位元緩和措施的詳細說明，請參閱下列安全性研究和防禦部落格文章：

L1 終端機錯誤 (L1TF) 的分析及風險降低措施