KB4072698: Windows Serverin ja Azure Stackin HCI-ohjeet, jotka suojaavat piipohjaisten mikroarkkitekturalisten ja spekulatiivisten suorituspuolen kanavahaavoittuvuuksien varalta

Päivämäärän muuttaminen	Muutoksen dekriptio
20. huhtikuuta 2023	Lisätty MMIO-rekisteritiedot
8. elokuuta 2023	CVE-2022-23816-sisältöä on poistettu, koska CVE-numeroa ei käytetä Lisätty "Haaratyypin sekaannus" "Haavoittuvuudet" -osioon Lisätty lisätietoja "CVE-2022-23825 \| AMD CPU Branch Type Confusion (BTC)" rekisteriosa
9. elokuuta 2023	Päivitetty "CVE-2022-23825 \| AMD CPU Branch Type Confusion (BTC)" rekisteriosa Lisätty "CVE-2023-20569 \| AMD CPU Return Address Predictor to "Summary" section Lisätty "CVE-2023-20569 \| AMD CPU Return Address Predictor" registry section
9. huhtikuuta 2024	Lisätty CVE-2022-0001 \| Intelin haarahistorian lisäys
16. huhtikuuta 2024	Lisätty "Useiden lievennysten ottaminen käyttöön" -osa

Yhteenveto

Tässä artikkelissa annetaan ohjeita uuteen piipohjaisten mikroarkkitekturalisten ja spekulatiivisten suorituspuolen kanavahaavoittuvuuksien luokkaan, joka vaikuttaa moniin nykyaikaisiin suorittimiin ja käyttöjärjestelmiin. Tämä sisältää Intelin, AMD:n ja ARM:n. Näiden piipohjaisten haavoittuvuuksien tarkat tiedot ovat seuraavissa suojaustiedotteissa ja cve-tiedoissa (yleiset haavoittuvuudet ja altistukset):

Tärkeää: Nämä ongelmat vaikuttavat myös muihin käyttöjärjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Neuvomme asiakkaita pyytämään ohjeita näiltä toimittajilta.

Olemme julkaisseet useita päivityksiä näiden haavoittuvuuksien lieventämiseksi. Olemme myös ryhtyneet toimiin pilvipalveluidemme suojaamiseksi. Lisätietoja on seuraavissa osioissa.

Emme ole vielä saaneet mitään tietoja siitä, että näitä haavoittuvuuksia olisi käytetty asiakkaiden hyökkäyksiin. Teemme tiivistä yhteistyötä alan kumppaneiden, kuten siruvalmistajien, laitevalmistajien ja sovellustoimittajien, kanssa asiakkaiden suojaamiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä sisältää laitevalmistajien mikrokoodin ja joissakin tapauksissa virustentorjuntaohjelmiston päivitykset.

Haavoittuvuuksia

Tässä artikkelissa käsitellään seuraavia spekulatiivisia suoritushaavoittuvuuksia:

Windows Update tarjoaa myös Internet Explorerin ja Edgen lievennyksiä. Jatkamme näiden haavoittuvuuksien lieventämisen parantamista tämän luokan haavoittuvuuksiin nähden.

Lisätietoja tästä haavoittuvuusluokasta on ohjeaiheessa

Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling ja dokumentoitu ADV190013 | Mikroarkkitektural dataotanta. Heille on määritetty seuraavat cv:t:

Tärkeää: Nämä ongelmat vaikuttavat muihin järjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Neuvomme asiakkaita pyytämään ohjeita näiltä toimittajilta.

Microsoft on julkaissut päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi. On erittäin suositeltavaa ottaa nämä päivitykset käyttöön.

Lisätietoja tästä ongelmasta on seuraavissa suojausneuvonnassa ja skenaariopohjaisissa ohjeissa, joiden avulla määritetään uhan lieventämiseksi tarvittavat toimet:

Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastumisen haavoittuvuudesta. Tämä haavoittuvuus on Spectren variantti, variantti 1 spekulatiivisen suorituspuolen kanavahaavoittuvuus, ja sille on määritetty CVE-2019-1125.

Julkaisimme 9. heinäkuuta 2019 Windows-käyttöjärjestelmän suojauspäivitykset ongelman lieventämiseksi. Huomaa, että olemme pidättäneet tämän lievennyksen dokumentoinnin julkisesti, kunnes koordinoitu toimialatiedote on tiistaina 6. elokuuta 2019.

Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Lisämäärityksiä ei tarvita.

Huomautus: Tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.

Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on Microsoft security update -oppaassa:

CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus

Intel julkaisi 12. marraskuuta 2019 teknisen tiedotteen Intel® Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuudesta, jolle on määritetty CVE-2019-11135. Microsoft on julkaissut päivityksiä tämän haavoittuvuuden lieventämiseksi, ja käyttöjärjestelmäsuojaukset ovat oletusarvoisesti käytössä Windows Server 2019:ssä, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server 2016:ssa ja aiemmissa Windows Server -käyttöjärjestelmäversioissa.

Julkaisimme 14.6.2022 ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista ja niille on määritetty seuraavat cv:t:

Suositellut toimet

Sinun on ryhdyttävä seuraaviin toimiin, jotta voit suojautua haavoittuvuuksilta:

Ota käyttöön kaikki saatavilla olevat Windows-käyttöjärjestelmäpäivitykset, mukaan lukien kuukausittaiset Windowsin suojauspäivitykset.
Ota käyttöön laitteen valmistajan toimittama soveltuva laiteohjelmistopäivitys (mikrokoodi).
Arvioi ympäristöllesi aiheutuva riski Microsoftin suojaustiedotteita koskevien tietojen perusteella: ADV180002, ADV180012, ADV190013 ja ADV220002 tämän tietokanta artikkelin tietojen lisäksi.
Toimi tarvittaessa käyttämällä tässä tietokanta artikkelissa annettuja tietoja ja rekisteriavaintietoja.

Huomautus: Surface-asiakkaat saavat mikrokoodipäivityksen Windows Update kautta. Luettelo uusimmista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB4073065.

12. heinäkuuta 2022 julkaistiin CVE-2022-23825 | AMD-suoritinhaaran tyypin sekavuus , joka kuvaa, että haaran ennustajan aliakset voivat saada tietyt AMD-suorittimet ennustamaan väärän haaratyypin. Tämä ongelma saattaa johtaa tietojen paljastamiseen.

Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty heinäkuussa 2022 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2022-23825-23825- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.

Lisätietoja on AMD-SB-1037 -tietoturvatiedotteessa.

8. elokuuta 2023 julkaistiin CVE-2023-20569 | Return Address Predictor (tunnetaan myös nimellä Inception), joka kuvaa uutta spekulatiivista sivukanavahyökkäystä, joka voi johtaa spekulatiivisiin suorituksiin hyökkääjän hallitsemassa osoitteessa. Tämä ongelma koskee tiettyjä AMD-suorittimia ja saattaa johtaa tietojen paljastamiseen.

Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty elokuussa 2023 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2023-20569- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.

Lisätietoja on AMD-SB-7005 -tietoturvatiedotteessa.

9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection, joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.

Windows Serverin ja Azure Stack HCI:n lievennysasetukset

Suojaustiedotteet (ADVs) ja CVE:t antavat tietoja näiden haavoittuvuuksien aiheuttamasta riskistä. Niiden avulla voit myös tunnistaa haavoittuvuudet ja määrittää Windows Server -järjestelmien lievennysten oletustilan. Seuraavassa taulukossa on yhteenveto suorittimen mikrokoodin vaatimuksesta ja Windows Serverin lievennysten oletustilasta.

CVE	Edellyttääkö suorittimen mikrokoodia/laiteohjelmistoa?	Lievennyksen oletustila
CVE-2017-5753	Ei	Käytössä oletusarvoisesti (ei pois käytöstä poistamista) Lisätietoja on ADV180002
CVE-2017-5715	Kyllä	Oletusarvoisesti poissa käytöstä. Lisätietoja on ADV180002 ja tässä KB-artikkelissa, jossa on tietoja sovellettavista rekisteriavainasetuksista. Huomautus "Retpoline" on oletusarvoisesti käytössä laitteissa, joissa on Windows 10, versio 1809 ja uudempi, jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Jos haluat lisätietoja Retpoline-versiosta, seuraa Spectre-variantin 2 lieventämistä Retpoline-toiminnolla Windowsin blogikirjoituksessa.
CVE-2017-5754	Ei	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä.Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä. Lisätietoja on artikkelissa ADV180002 .
CVE-2018-3639	Intel: Kyllä AMD: Ei	Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV180012 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.
CVE-2018-11091	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä.Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.
CVE-2018-12126	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä.Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.
CVE-2018-12127	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä.Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.
CVE-2018-12130	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä.Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista.
CVE-2019-11135	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä.Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä. Lisätietoja on artikkelissa CVE-2019-11135 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2022-21123 (osa MMIO-ADV220002)	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.* Lisätietoja on artikkelissa CVE-2022-21123 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2022-21125 (osa MMIO-ADV220002)	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.* Lisätietoja on artikkelissa CVE-2022-21125 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2022-21127 (osa MMIO-ADV220002)	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.* Lisätietoja on artikkelissa CVE-2022-21127 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2022-21166 (osa MMIO-ADV220002)	Intel: Kyllä	Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.* Lisätietoja on artikkelissa CVE-2022-21166 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2022-23825 (AMD CPU Branch Type Confusion)	AMD: Ei	Lisätietoja on artikkelissa CVE-2022-23825 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2023-20569 (AMD CPU Return Address Predictor)	AMD: Kyllä	Lisätietoja on artikkelissa CVE-2023-20569 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.
CVE-2022-0001	Intel: Ei	Oletusarvoisesti poissa käytöstä Lisätietoja on artikkelissa CVE-2022-0001 ja tässä artikkelissa soveltuvat rekisteriavainasetukset.

* Noudata alla olevia Meltdownin lievennysohjeita.

Jos haluat saada kaikki käytettävissä olevat suojaukset näitä tietoturva-aukkoja vastaan, sinun on tehtävä rekisteriavainmuutoksia, jotta voit ottaa käyttöön nämä lievennykset, jotka on oletusarvoisesti poistettu käytöstä.

Näiden lievennysten käyttöönotto voi vaikuttaa suorituskykyyn. Suorituskykytehosteiden mittakaava riippuu useista tekijöistä, kuten fyysisen isännän tietystä piirisarjasta ja käynnissä olevista työkuormista. Suosittelemme, että arvioit ympäristösi suorituskykyvaikutukset ja teet tarvittavat muutokset.

Palvelin on suuremmassa vaarassa, jos se kuuluu johonkin seuraavista luokista:

Hyper-V-isännät: Edellyttää suojausta VM-to-VM- ja VM-to-host-hyökkäyksille.
Etätyöpöytäpalveluiden isännät (RDSH): Edellyttää suojausta istunnosta toiseen istuntoon tai istuntojen ja isännän hyökkäyksistä.
Fyysiset isännät tai virtuaalikoneet, joissa on ei-luotettu koodi, kuten säilöt tai ei-luotetut laajennukset tietokantaan, ei-luotettu verkkosisältö tai työkuormat, jotka suorittavat ulkoisista lähteistä peräisin olevan koodin. Ne edellyttävät suojaa ei-luotettamiselta prosessista toiseen tai ei-luotetuilta prosessista ytimeen -hyökkäyksiltä.

Ota lievennykset käyttöön palvelimessa seuraavien rekisteriavainasetusten avulla ja käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Huomautus: Oletusarvoisesti käytöstä poistettujen lievennysten ottaminen käyttöön voi vaikuttaa suorituskykyyn. Todellinen suorituskykytehoste riippuu useista tekijöistä, kuten laitteen tietystä piirisarjasta ja käynnissä olevien työkuormien.

Rekisteriasetukset

Tarjoamme seuraavat rekisteritiedot, jotta voimme ottaa käyttöön lievennykset, joita ei ole oletusarvoisesti otettu käyttöön suojaustiedotteissa (ADV) ja CVE:issä kuvatulla tavalla. Lisäksi tarjoamme rekisteriavainasetukset käyttäjille, jotka haluavat poistaa lievennykset käytöstä, kun niitä sovelletaan Windows-asiakasohjelmiin.

TÄRKEÄÄ Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muuttaa rekisteriä. Rekisterin virheellinen muuttaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muuttamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta on seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:

KB322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa

TÄRKEÄÄRetpoline määritetään oletusarvoisesti seuraavasti, jos Spectre, Variant 2 mitigation (CVE-2017-5715) on käytössä:

- Retpoline-lievennys on käytössä Windows 10, versio 1809- ja uudemmissa Windows-versioissa.

- Retpoline-lievennys on poistettu käytöstä Windows Server 2019:ssä ja sitä uudemmissa Windows Server -versioissa.

Lisätietoja Retpolinen määrittämisestä on ohjeaiheessa Spectre-variantin 2 lieventäminen Retpolinella Windowsissa.

CVE-2017-5715(Spectre Variant 2), CVE-2017-5754 (Meltdown) ja CVE-2022-21123 lievennysten mahdollistaminen CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen.

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.
CVE-2017-5715:n (Spectre-variantti 2), CVE-2017-5754:n (Meltdown) ja CVE-2022-21123:n lievennysten poistaminen käytöstä CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Huomautus: FeatureSettingsOverrideMask-asetuksen asettaminen 3 :een on oikein sekä ota käyttöön- että Poista käytöstä -asetuksissa. (Lisätietoja rekisteriavaimista on Usein kysytyt kysymykset -osassa.)

Variantin 2 poistaminen käytöstä: (CVE-2017-5715 | Haaran kohteen lisäys) lievennys:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Variantin 2 käyttöönotto: (CVE-2017-5715 | Haaran kohteen lisäys) lievennys:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715:lle on poistettu käytöstä AMD-suorittimien osalta. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on ADV180002 usein kysytyissä kysymyksissä #15.

Ota käyttöön käyttäjän ja ytimen suojaus AMD-suorittimilla sekä muita CVE 2017-5715 -suojausta:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen.

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

CVE-2018-3639:n (spekulatiivisen Storen ohitus), CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) lievennysten mahdollistaminen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

CVE-2018-3639:n (spekulatiivisen Storen ohitus) ja CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) lievennysten poistaminen käytöstä

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715:lle on poistettu käytöstä AMD-suorittimilla. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on ADV180002 usein kysytyissä kysymyksissä #15.

Ota käyttöön käyttäjästä ytimeen -suojaus AMD-suorittimilla sekä muita CVE 2017-5715 - suojausta ja CVE-2018-3639 -suojausta (spekulatiivisen Storen ohitus):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural data sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-1226 , CVE-2018-122127 , CVE-2018-12130 ) ja Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] variantit, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 ja CVE-2022-21166), mukaan lukien spekulatiivisen Kaupan ohitus käytöstä (SSBD) [CVE-2018-3639 ] sekä L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646] poistamatta Hyper-Threadingia käytöstä:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Voit ottaa käyttöön Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural datan näytteenoton ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) yhdessä Spectren [CVE-2017-5753 & CVE-2017-5715] ja Meltdown [CVE-2017-5754] variantit, mukaan lukien spekulatiivisen säilön ohitus käytöstä (SSBD) [CVE-2018-3639] sekä L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646] ja Hyper-Threading poistettu käytöstä:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Voit poistaa käytöstä Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural datan näytteenoton ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) yhdessä Spectren [CVE-2017-5753 & CVE-2017-5715] ja Meltdown [CVE-2017-5754] variantit, mukaan lukien spekulatiivisen säilön ohitus käytöstä (SSBD) [CVE-2018-3639] sekä L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Käynnistä laite uudelleen, jotta muutokset tulevat voimaan.

Voit ottaa CVE-2022-23825 :n lievennyksen käyttöön AMD-suorittimilla seuraavasti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jotta asiakkaat olisivat täysin suojattuja, heidän on ehkä myös poistettava käytöstä Hyper-Threading (kutsutaan myös nimellä Simultaneous Multi Threading (SMT)). Katso KB4073757 ohjeita Windows-laitteiden suojaamiseen.

Voit ottaa CVE-2023-20569 :n lievennyksen käyttöön AMD-suorittimilla seuraavasti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Voit ottaa CVE-2022-0001 :n lievennyksen käyttöön Intel-suorittimilla seuraavasti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Useiden lievennysten ottaminen käyttöön

Jos haluat ottaa käyttöön useita lievennyksiä, sinun on lisättävä kunkin lievennyksen REG_DWORD arvo yhteen.

Esimerkki:

FeatureSettingsOverride FeatureSettingsOverrideMask

Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
HUOMAUTUS 8264 (desimaalilukuna) = 0x2048 (heksa) Jos haluat ottaa käyttöön BHI:n muiden aiemmin luotujen asetusten kanssa, sinun on käytettävä bittitasoa TAI nykyistä arvoa 8 388 608 (0x800000). 0x800000 TAI 0x2048(desimaalilukuna 8264), ja siitä tulee 8 396 872(0x802048). Sama koskee FeatureSettingsOverrideMask-ominaisuutta.
CVE-2022-0001:n lievennys Intel-suorittimilla	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Yhdistetty lievennys	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001:n lievennys Intel-suorittimilla	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Yhdistetty lievennys	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Suojausten asentaminen

Olemme julkaisseet PowerShell-komentosarjan, jonka voit suorittaa laitteissasi, jotta suojaukset ovat käytössä. Asenna ja suorita komentosarja jollakin seuraavista tavoista.

Asenna PowerShell-moduuli:

PS> Install-Module SpeculationControl

Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Asenna PowerShell-moduuli Technet ScriptCenteristä:

Siirry https://aka.ms/SpeculationControlPS .
Lataa SpeculationControl.zip paikalliseen kansioon.
Pura sisältö paikalliseen kansioon. Esimerkki: C:\ADV180002

Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä:

Käynnistä PowerShell ja kopioi ja suorita sitten seuraavat komennot edellisen esimerkin avulla:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Lisätietoja PowerShell-komentosarjan tulosta on artikkelissa KB4074629 .

Usein kysytyt kysymykset

Jotta asiakaslaitteisiin ei aiheutuisi haittaa, tammi- ja helmikuussa 2018 julkaistuja Windowsin suojauspäivityksiä ei tarjottu kaikille asiakkaille. Lisätietoja on artikkelissa KB407269 .

Mikrokoodi toimitetaan laiteohjelmistopäivityksen kautta. Ota yhteyttä alkuperäiseen laitevalmistajaan siitä laiteohjelmistoversiosta, jossa on tietokoneellesi sopiva päivitys.

Suorituskykyyn vaikuttaa useita muuttujia järjestelmäversiosta käynnissä olevaan työmäärään. Joissakin järjestelmissä suorituskykyvaikutus on mitätön. Muille se on huomattava.

Suosittelemme, että arvioit järjestelmiesi suorituskykyvaikutuksia ja teet tarvittaessa muutoksia.

Tämän virtuaalikoneita koskevan artikkelin ohjeiden lisäksi ota yhteyttä palveluntarjoajaan ja varmista, että virtuaalikoneitasi käyttävät isännät ovat riittävän suojattuja.Katso Azuressa toimivat Windows Server -virtuaalikoneet artikkelista Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen Azuressa . Lisätietoja Azure Updaten hallinnan käyttämisestä vieraskoneiden virtuaalikoneisiin liittyvän ongelman lieventämiseksi on artikkelissa KB4077467.

Windows Server 2016:n ja Windows 10:n version 1709 Windows Server -säilön näköistöön julkaistut päivitykset sisältävät näiden haavoittuvuuksien lieventämisen. Lisämääritystä ei tarvita.Huomautus Sinun on silti varmistettava, että isäntä, jossa nämä säilöt ovat käytössä, on määritetty ottamaan käyttöön asianmukaiset lievennykset.

Ei, asennustilauksella ei ole väliä.

Kyllä, laiteohjelmiston (mikrokoodi) päivityksen jälkeen on käynnistettävä uudelleen ja sitten uudelleen järjestelmäpäivityksen jälkeen.

Rekisteriavainten tiedot ovat seuraavat:

FeatureSettingsOverride on bittikartta, joka ohittaa oletusasetuksen ja määrittää, mitkä lievennykset poistetaan käytöstä. Bitti 0 ohjaa CVE-2017-5715:tä vastaavaa lievennystä. Bitti 1 ohjaa CVE-2017-5754:ää vastaavaa lievennystä. Bittien arvoksi on määritetty 0 , jotta lievennys voidaan ottaa käyttöön, ja 1 , jotta lievennys voidaan poistaa käytöstä.

FeatureSettingsOverrideMask edustaa bittikartan naamiota, jota käytetään yhdessä FeatureSettingsOverride-toiminnon kanssa. Tässä tilanteessa käytämme arvoa 3 (esitetään binaariluku- tai perusnumerojärjestelmän arvona 11) ilmaisemaan kaksi ensimmäistä bittiä, jotka vastaavat käytettävissä olevia lievennyksiä. Tämä rekisteriavain on asetettu arvoon 3 , jotta lievennykset otetaan käyttöön tai poistetaan käytöstä.

MinVmVersionForCpuBasedMitigations on tarkoitettu Hyper-V-isännille. Tämä rekisteriavain määrittää virtuaalikoneen vähimmäisversion, joka tarvitaan päivitettyjen laiteohjelmisto-ominaisuuksien käyttämiseen (CVE-2017-5715). Määritä tämä arvoksi 1.0 , joka kattaa kaikki virtuaalikoneversiot. Huomaa, että tämä rekisteriarvo ohitetaan (hyvänlaatuinen) muissa kuin Hyper-V-isännissä. Lisätietoja on artikkelissa Vieraiden virtuaalikoneiden suojaaminen CVE-2017-5715:ltä (haarakohteen lisäys).

Kyllä, sivuvaikutuksia ei ole, jos näitä rekisteriasetuksia käytetään ennen tammikuun 2018 korjausten asentamista.

Katso yksityiskohtainen kuvaus komentosarjatuloksesta osoitteessa KB4074629: Understanding SpeculationControl PowerShell script output .

Kyllä, Jos Windows Server 2016 Hyper-V -isännällä ei vielä ole laiteohjelmistopäivitystä saatavilla, olemme julkaisseet vaihtoehtoisia ohjeita, joiden avulla virtuaalikonetta voidaan lieventää virtuaalikoneeseen tai virtuaalikoneeseen hyökkäysten isännöimiseksi. Katso Windows Server 2016 Hyper-V -isäntien vaihtoehtoiset suojaukset spekulatiivisia suorituspuolen kanavan haavoittuvuuksia vastaan .

Vain suojauspäivitykset eivät ole kumulatiivisia. Käyttöjärjestelmäversiosta riippuen sinun on ehkä asennettava useita suojauspäivityksiä, jotta saat täyden suojauksen. Asiakkaiden on yleensä asennettava tammikuun, helmikuun, maaliskuun ja huhtikuun 2018 päivitykset. Järjestelmät, joissa on AMD-suoritin, tarvitsevat lisäpäivityksen seuraavassa taulukossa esitetyllä tavalla:

Käyttöjärjestelmän versio	suojauspäivitys
Windows 8.1, Windows Server 2012 R2	KB4338815 – kuukausittainen koontiversio
	KB4338824- Vain suojaus
Windows 7 SP1, Windows Server 2008 R2 SP1 tai Windows Server 2008 R2 SP1 (Server Core -asennus)	KB4284826 – kuukausittainen koontiversio
	KB4284867 – vain suojaus
Windows Server 2008 SP2	KB4340583 – suojauspäivitys

Suosittelemme, että asennat vain suojauspäivitykset julkaisujärjestyksessä.

Huomautus: Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojauspäivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.

Et. Suojauspäivityksen KB4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä. Windows Server -käyttöjärjestelmissä lievennykset on otettava käyttöön asianmukaisen testauksen jälkeen. Lisätietoja on artikkelissa KB4072698.

Tämä ongelma on korjattu KB4093118.

Helmikuussa 2018 Intel ilmoitti saaneensa validointinsa valmiiksi ja alkaneensa julkaista mikrokoodia uudempia suoritinympäristöjä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä, jotka koskevat Spectre-varianttia 2 Spectre Variant 2 (CVE-2017-5715 | Haaran kohdelisäys). KB4093836 luetteloi tietyt tietokanta artikkelit Windows-version mukaan. Jokainen tietty KB-artikkeli sisältää suorittimen käytettävissä olevat Intel-mikrokoodipäivitykset.

11. tammikuuta 2018 Intel raportoi äskettäin julkaistun mikrokoodin ongelmista , joiden oli tarkoitus puuttua Spectre-varianttiin 2 (CVE-2017-5715 | Haaran kohdelisäys). Tarkemmin sanottuna Intel totesi, että tämä mikrokoodi voi aiheuttaa "odotettua suurempia uudelleenkäynnistyksiä ja muuta arvaamatonta järjestelmän toimintaa" ja että nämä skenaariot voivat aiheuttaa "tietojen menettämistä tai vioittumista." Kokemuksemme mukaan järjestelmän epävakaus voi joissakin tilanteissa aiheuttaa tietojen menettämistä tai vioittumista. Intel suositteli 22.1.2019, että asiakkaat lopettaisivat nykyisen mikrokoodiversion käyttöönoton suorittimilla, joihin ongelma vaikuttaa, kun intel suorittaa lisätestausta päivitetyssä ratkaisussa. Ymmärrämme, että Intel jatkaa nykyisen mikrokoodiversion mahdollisen vaikutuksen tutkimista. Kannustamme asiakkaita tarkistamaan ohjeistuksensa jatkuvasti, jotta he voivat ilmoittaa päätöksistään.

Kun Intel testaa, päivittää ja ottaa käyttöön uuden mikrokoodin, julkaisemme OOB(OOB) -päivityksen, KB4078130, joka poistaa vain CVE-2017-5715:n lievennyksen käytöstä. Testauksessamme tämän päivityksen on todettu estävän kuvatun toiminnan. Täydellinen laiteluettelo on Intelin mikrokoodin muokkausohjeissa . Tämä päivitys kattaa Windows 7 Service Pack 1:n (SP1), Windows 8.1:n ja kaikki Windows 10 versiot sekä asiakas- että palvelinversiot. Jos käytät laitetta, jota ongelma koskee, päivitys voidaan asentaa lataamalla se Microsoft Update -luettelon sivustosta. Tämän hyötykuorman soveltaminen poistaa vain CVE-2017-5715:n lievennyksen käytöstä.

Tästä ajasta alkaen ei ole tiedossa raportteja, jotka osoittaisivat, että tämä Spectre-variantti 2 (CVE-2017-5715 | Branch Target Injection) on käytetty hyökkäämään asiakkaiden kimppuun. Suosittelemme, että Windows-käyttäjät voivat tarvittaessa ottaa lievennyksen uudelleen käyttöön CVE-2017-5715-laitteessasi, kun Intel ilmoittaa, että tämä arvaamaton järjestelmän toiminta on ratkaistu laitteessasi.

Helmikuussa 2018 Intelilmoitti saaneensa validointinsa valmiiksi ja alkaneensa julkaista mikrokoodia uudempia suoritinympäristöjä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä, jotka liittyvät Spectre-varianttiin 2 Spectre Variant 2 (CVE-2017-5715 | Haaran kohdelisäys). KB4093836 luetteloi tietyt tietokanta artikkelit Windows-version mukaan. KBs-luettelo saatavilla olevista Intel-mikrokoodipäivityksistä suorittimen mukaan.

Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Nämä ovat saatavilla OEM-laiteohjelmistokanavalta.

Olemme tuoneet saataville Intelin vahvistamia mikrokoodipäivityksiä, jotka koskevat Spectre-varianttia 2 (CVE-2017-5715 | Haaran kohdelisäys). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on saatavilla myös suoraan Microsoft Update -luettelosta, jos sitä ei ole asennettu laitteeseen ennen järjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, Windows Server Update Services (WSUS) tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on ohjeaiheessa KB4100347.

Lisätietoja on seuraavissa resursseissa:

Katso ADV180012 suositellut toiminnot ja usein kysytyt kysymykset | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.

SSBD:n tilan tarkistamiseksi Get-SpeculationControlSettings PowerShell -komentosarja on päivitetty havaitsemaan prosessorit, joihin ongelma vaikuttaa, SSBD-käyttöjärjestelmäpäivitysten tilan ja suorittimen mikrokoodin tilan, jos sellainen on. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.

13. kesäkuuta 2018 ilmoitettiin lisähaavoittuvuus, johon liittyy sivukanavan spekulatiivista toteutusta, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665 . Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojaustiedotteen ADV180016 | Microsoftin ohjeet Laiskan FP-tilan palauttamiseen .

Huomautus Lazy Restore FP Restorelle ei ole pakollisia määritysasetuksia (rekisteriasetuksia).

Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme. Jatkamme kuitenkin tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa lieventämisen vapauttamiseksi tarpeen mukaan. Kannustamme tutkijoita lähettämään kaikki merkitykselliset havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien mahdolliset BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tarkastella BCBS:lle päivitettyjä kehittäjäohjeita osoitteessa C++ Developer Guidance spekulatiivisille suorituspuolen kanaville

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

Ohjeet Hyper-Threading eroavat alkuperäisestä laitevalmistajasta alkuperäiseen laitevalmistajaan, mutta ovat yleensä osa BIOS- tai laiteohjelmiston määritys- ja määritystyökaluja.

Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulee ottaa yhteyttä laitteen laiteohjelmistotukeen, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 :tä | Haaran kohdelisäys (Spectre, variantti 2) edellyttää laitteen alkuperäisten laitevalmistajien uusimman laiteohjelmistopäivityksen asentamista voimaan.

Lisätietoja on seuraavissa suojausneuvonannuksessa

Lisäohjeita on Windowsin ohjeissa spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Tutustu Windowsin ohjeisiin spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Lisätietoja Azuresta on tässä artikkelissa: Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen Azuressa.

Lisätietoja Retpoline-käyttöönotosta on blogikirjoituksessamme Spectre-variantin 2 lieventäminen Retpolinella Windowsissa .

Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.

Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.

Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.

Lisäohjeita on Windowsin ohjeissa spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen.

Lisätietoja on ohjeissa Intel Transactional Synchronization Extensions (Intel TSX) -ominaisuuden poistaminen käytöstä.

Lisätietoja

Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.

Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.

KB4072698: Windows Serverin ja Azure Stackin HCI-ohjeet, jotka suojaavat piipohjaisten mikroarkkitekturalisten ja spekulatiivisten suorituspuolen kanavahaavoittuvuuksien varalta

Yhteenveto

Haavoittuvuuksia

Windows Serverin ja Azure Stack HCI:n lievennysasetukset

Rekisteriasetukset

Useiden lievennysten ottaminen käyttöön

Suojausten asentaminen

Usein kysytyt kysymykset

Lisätietoja

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Muuta lokia

Yhteenveto

Haavoittuvuuksia

Spekulatiivisen toteutuksen

Mikroarchitectural Data Sampling -haavoittuvuus

Spectre, variantin 1 haavoittuvuus

Tapahtuman asynkroninen Keskeytys-haavoittuvuus

MMIO Stale Data Sampling -haavoittuvuus

Haaratyypin sekaannus

Palautusosoitteen ennustaja

Haarahistorian lisäys

Windows Serverin ja Azure Stack HCI:n lievennysasetukset

Rekisteriasetukset

Hallitse CVE-2017-5715:n (Spectre Variant 2), CVE-2017-5754 (Meltdown) ja CVE-2022-21123 lievennysten hallintaa, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Hallitse CVE-2017-5715:n lievennystä (Spectre-variantti 2)

Vain AMD-prosessorit: Ota käyttöön täydellinen lievennys CVE-2017-5715:lle (Spectre-variantti 2)

Hallitse lievennyksiä CVE-2018-3639:lle (spekulatiivisen Kaupan ohitus), CVE-2017-5715:lle (Spectre-variantti 2) ja CVE-2017-5754:lle (Meltdown)

Vain AMD-prosessorit: Ota käyttöön täydellinen lievennys CVE-2017-5715:lle (Spectre-variantti 2) ja CVE 2018-3639:lle (spekulatiivisen Storen ohitus)

Hallitse tapahtuma-asynkronista keskeytyshaavoittuvuutta, mikroarkkitektural dataotantaa, Spectreä, Meltdownia, MMIO:a, spekulatiivista säilön ohitustoimintoa (SSBD) ja L1-päätevirhettä (L1TF)

CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)

CVE-2023-20569 | AMD CPU Return Address Predictor

CVE-2022-0001 | Intelin haarahistorian lisäys

Useiden lievennysten ottaminen käyttöön

Suojausten asentaminen

Menetelmä 1: PowerShellin tarkistaminen PowerShell-valikoiman avulla (Windows Server 2016 tai WMF 5.0/5.1)

Menetelmä 2: PowerShellin tarkistaminen technet-latauksella (aiemmat käyttöjärjestelmäversiot ja aiemmat WMF-versiot)

Usein kysytyt kysymykset

Minulle ei tarjottu Windowsin suojauspäivityksiä, jotka julkaistiin tammi- ja helmikuussa 2018. Mitä minun pitäisi tehdä?

Mistä tiedän, onko minulla suoritinmikrokoodin oikea versio?

Mitkä ovat lievennysten suorituskykyvaikutukset?

Käytän Windows Serveriä kolmannen osapuolen isännöimässä ympäristössä tai pilvipalvelussa. Mitä minun pitäisi tehdä?

Onko windows server -säilökohtaisia ohjeita?

Onko ohjelmisto- ja laitteistopäivitykset asennettava tietyssä järjestyksessä?

Onko uudelleenkäynnistyksiä useita?

Voitko antaa lisätietoja rekisteriavaimista?

Voinko määrittää rekisteriavaimet ennen päivityksen asentamista, asentaa päivityksen ja käynnistää sen uudelleen, jotta muutokset tulevat voimaan?

Voitko antaa lisätietoja PowerShellin vahvistuskomentosarjan tulostuksesta?

Jos laiteohjelmistopäivitys (mikrokoodi) ei ole vielä saatavilla alkuperäiseltä laitevalmistajaltani, onko vielä mahdollista suojata Hyper-V-isäntääni?

Jos olen vain suojaushaarassa, mitä vain suojauspäivityksiä minun on asennettava, jotta voin suojautua näiltä haavoittuvuuksilta?

Jos otan käyttöön jonkin sovellettavista suojauspäivityksistä, poistavatko ne CVE-2017-5715:n suojaukset käytöstä samalla tavalla kuin KB4078130 suojauspäivityksessä?

Tunnettu ongelma: Joillakin käyttäjillä voi esiintyä verkkoyhteysongelmia tai he voivat menettää IP-osoiteasetukset 13. maaliskuuta 2018 julkaistun suojauspäivityksen (KB 4088875) asentamisen jälkeen.

Intel on tunnistanut uudelleenkäynnistysongelmia, jotka liittyvät joidenkin vanhempien suorittimien mikrokoodiin. Mitä minun pitäisi tehdä?

Olen kuullut, että Intel on julkaissut mikrokoodipäivityksiä. Mistä löydän ne?

Minulla on Windows 10 huhtikuun 2018 päivitys (versio 1803). Onko Intel-mikrokoodi saatavilla laitteelleni? Mistä löydän sen?

Mistä löydän tietoja uusista spekulatiivisen suorituspuolen kanavan haavoittuvuuksista (spekulatiivisen Storen ohitus - CVE-2018-3639 ja Rogue System Register Read - CVE-2018-3640)?

Mistä löydän lisätietoja Spekulatiivisen SSBD (SSBD) -toiminnon windows-tuesta Intel-suorittimista?

Ohjevalikko selvittää, onko SSBD käytössä vai poistettu käytöstä?

Olen kuullut "Lazy FP State Restore" (CVE-2018-3665). Julkaiseeko Microsoft sille lievennyksiä?

Olen kuullut, että CVE-2018-3693 (Bounds Check Bypass Store) liittyy Spectreen. Julkaiseeko Microsoft sille lievennyksiä?

Olen kuullut, että L1 Terminal Fault (L1TF) paljastui. Mistä löydän lisätietoja siitä ja Windows-tuesta?

Ohjevalikko poistaa L1TF-Hyper-Threading käytöstä laitteessani?

Mistä saan ARM64-laiteohjelmiston, joka lieventää CVE-2017-5715:tä | Haaran kohdepistos (Spectre Variant 2)?

Mistä löydän tietoja Intelin paljastumisesta Microarchitectural Data Sampling -näytteestä (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Mistä löydän skenaariopohjaiset ohjeet mikroarkkitektisen tietonäytteen haavoittuvuuksien lieventämiseen tarvittavien toimien määrittämiseksi?

Ohjevalikko poistaa mds-Hyper-Threading käytöstä laitteessani?

Mistä löydän Ohjeita Azureen?

Mistä saan lisätietoja retpoline-käyttöönotosta Windows 10, versio 1809?

Spectre Variant 1:n spekulatiivisen suorituspuolen kanavahaavoittuvuus on muunnelma. Mistä saan lisätietoja?

Onko CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus vaikuttaa Microsoftin pilvipalveluihin?

Jos päivitykset: CVE-2019-1125 | Windows-ytimen tietojen paljastumishaavoittuvuus julkaistiin 9. heinäkuuta 2019, miksi tiedot julkaistiin 6. elokuuta 2019?

Mistä löydän skenaarioon perustuvat ohjeet, joiden avulla määritetään Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) lieventämiseen tarvittavat toimenpiteet?

Onko minun poistettava käytöstä Hyper-Threading Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuus (CVE-2019-11135) laitteessani?

Onko mahdollista poistaa Käytöstä Intel Transactional Synchronization Extensions (Intel TSX) -ominaisuus?

Lisätietoja

Muiden valmistajien tietoja koskeva vastuuvapauslauseke

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!