Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

نقاط الضعف

في 14 مايو 2019، نشرت Intel معلومات حول فئة فرعية جديدة من ثغرات القناة الجانبية للتنفيذ التخميني المعروفة باسم أخذ عينات البيانات الدقيقة. تتم معالجة هذه الثغرات الأمنية في CVEs التالية:

هام: ستؤثر هذه المشكلات على أنظمة التشغيل الأخرى مثل Android وChrome وiOS وMacOS. ننصحك بالبحث عن إرشادات من هؤلاء البائعين المعنيين.

لقد أصدرنا تحديثات للمساعدة في التخفيف من هذه الثغرات الأمنية. للحصول على جميع الحماية المتوفرة، يلزم وجود تحديثات البرامج الثابتة (microcode) والبرامج. قد يتضمن ذلك رمزا مصغرا من الأجهزة OEMs. في بعض الحالات، سيكون لتثبيت هذه التحديثات تأثير على الأداء. لقد تصرفنا أيضا لتأمين خدماتنا السحابية. نوصي بشدة بنشر هذه التحديثات.

لمزيد من المعلومات حول هذه المشكلة، راجع الاستشارات الأمنية التالية واستخدم الإرشادات المستندة إلى السيناريو لتحديد الإجراءات اللازمة للتخفيف من التهديد:

ملاحظة: نوصي بتثبيت جميع التحديثات الأخيرة من Windows Update قبل تثبيت أي تحديثات للرمز الصغير.

في 6 أغسطس 2019 أصدرت Intel تفاصيل حول ثغرة أمنية في الكشف عن معلومات Windows kernel. هذه الثغرة الأمنية هي متغير من ثغرة القناة الجانبية للتنفيذ التخميني Spectre Variant 1 وقد تم تعيين CVE-2019-1125.

في 9 يوليو 2019، أصدرنا تحديثات أمان لنظام التشغيل Windows للمساعدة في التخفيف من هذه المشكلة. يرجى ملاحظة أننا قمنا بتوثيق هذا التخفيف علنا حتى الكشف المنسق عن الصناعة يوم الثلاثاء 6 أغسطس 2019.

تتم حماية العملاء الذين Windows Update تمكين تحديثات الأمان التي تم إصدارها في 9 يوليو 2019 وتطبيقها تلقائيا. لا يوجد أي تكوين إضافي ضروري.

ملاحظة: لا تتطلب هذه الثغرة الأمنية تحديثا للرمز المصغر من الشركة المصنعة للجهاز (OEM).

لمزيد من المعلومات حول هذه الثغرة الأمنية والتحديثات القابلة للتطبيق، راجع دليل تحديث أمان Microsoft:

في 12 نوفمبر 2019، نشرت Intel استشاريا تقنيا حول ثغرة أمنية إجهاض غير متزامنة لمعاملات Intel Transactional Synchronization Extensions (Intel TSX) التي تم تعيينها CVE-2019-11135. لقد أصدرنا تحديثات للمساعدة في التخفيف من هذه الثغرة الأمنية. بشكل افتراضي، يتم تمكين حماية نظام التشغيل لإصدارات نظام تشغيل عميل Windows.

في 14 يونيو 2022، نشرنا ADV220002 | إرشادات Microsoft حول ثغرات البيانات التي لا معنى لها في معالج Intel MMIO. يتم تعيين الثغرات الأمنية في CVEs التالية:

‏‏الإجراءات المستحسنة

يجب عليك اتخاذ الإجراءات التالية للمساعدة في الحماية من هذه الثغرات الأمنية:

  1. تطبيق جميع تحديثات نظام التشغيل Windows المتوفرة، بما في ذلك تحديثات أمان Windows الشهرية.

  2. تطبيق تحديث البرنامج الثابت (microcode) القابل للتطبيق الذي توفره الشركة المصنعة للجهاز.

  3. قم بتقييم المخاطر التي تتعرض لها بيئتك استنادا إلى المعلومات المقدمة في ADV180002 استشارات أمان Microsoft ADV180012ADV190013ADV220002،بالإضافة إلى المعلومات الواردة في هذه المقالة.

  4. اتخاذ إجراء كما هو مطلوب باستخدام النصائح ومعلومات مفتاح التسجيل المقدمة في هذه المقالة.

ملاحظة: سيتلقى عملاء Surface تحديثا للرمز الصغير من خلال تحديث Windows. للحصول على قائمة بأحدث تحديثات البرامج الثابتة لجهاز Surface (microcode)، راجع KB4073065.

في 12 يوليو 2022، نشرنا CVE-2022-23825 | ارتباك نوع فرع AMD CPU الذي يصف أن الأسماء المستعارة في متنبأ الفرع قد تتسبب في قيام بعض معالجات AMD بالتنبؤ بنوع الفرع الخطأ. قد تؤدي هذه المشكلة إلى الكشف عن المعلومات.

للمساعدة في الحماية من هذه الثغرة الأمنية، نوصي بتثبيت تحديثات Windows التي تم تحديثها في يوليو 2022 أو بعده ثم اتخاذ إجراء كما هو مطلوب من قبل CVE-2022-23825 ومعلومات مفتاح التسجيل المقدمة في هذه المقالة قاعدة معارف.

لمزيد من المعلومات، راجع نشرة الأمان AMD-SB-1037 .

في 8 أغسطس 2023، نشرنا CVE-2023-20569 | AMD CPU Return Address Predictor (المعروف أيضا باسم Inception) الذي يصف هجوم قناة جانبية تخمينية جديدة يمكن أن تؤدي إلى تنفيذ تخميني في عنوان يتحكم فيه المهاجم. تؤثر هذه المشكلة على معالجات AMD معينة وقد تؤدي إلى الكشف عن المعلومات.

للمساعدة في الحماية من هذه الثغرة الأمنية، نوصي بتثبيت تحديثات Windows التي تم تحديثها في أغسطس 2023 أو بعده ثم اتخاذ إجراء كما هو مطلوب من قبل CVE-2023-20569 ومعلومات مفتاح التسجيل المقدمة في هذه المقالة قاعدة معارف.

لمزيد من المعلومات، راجع نشرة الأمان AMD-SB-7005 .

في 9 أبريل 2024 نشرنا CVE-2022-0001 | حقن محفوظات فرع Intel الذي يصف حقن محفوظات الفرع (BHI) وهو شكل محدد من أشكال BTI داخل الوضع. تحدث هذه الثغرة الأمنية عندما يقوم المهاجم بمعالجة محفوظات الفرع قبل الانتقال من وضع المستخدم إلى وضع المشرف (أو من VMX غير الجذر/الضيف إلى وضع الجذر). قد يتسبب هذا المعالجة في تحديد متنبأ فرع غير مباشر لإدخال تنبؤ معين لفرع غير مباشر، وسيتم تنفيذ الأداة الذكية للإفصاح عند الهدف المتوقع بشكل عابر. قد يكون هذا ممكنا لأن محفوظات الفروع ذات الصلة قد تحتوي على فروع مأخوذة في سياقات الأمان السابقة، وعلى وجه الخصوص، أوضاع التنبؤ الأخرى.

إعدادات التخفيف من المخاطر لعملاء Windows

توفر النصائح الأمنية (ADVs) و CVEs معلومات حول المخاطر التي تشكلها هذه الثغرات الأمنية، وكيف تساعدك على تحديد الحالة الافتراضية للتخفيف من المخاطر لأنظمة عملاء Windows. يلخص الجدول التالي متطلبات التعليمات البرمجية الدقيقة لوحدة المعالجة المركزية والحالة الافتراضية للتخفيف من المخاطر على عملاء Windows.

Cve

هل يتطلب رمزا مصغرا لوحدة المعالجة المركزية/البرنامج الثابت؟

الحالة الافتراضية للتخفيف

CVE-2017-5753

لا

ممكن بشكل افتراضي (لا يوجد خيار لتعطيل)

يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية.

CVE-2017-5715

نعم

ممكن بشكل افتراضي. يجب أن يرى مستخدمو الأنظمة المستندة إلى معالجات AMD الأسئلة المتداولة #15 ويجب أن يرى مستخدمو معالجات ARM الأسئلة المتداولة #20 على ADV180002 لإجراء إضافي ومقالة KB هذه لإعدادات مفتاح التسجيل القابلة للتطبيق.

‏ملاحظة بشكل افتراضي، يتم تمكين Retpoline للأجهزة التي تعمل Windows 10، الإصدار 1809 أو أحدث إذا تم تمكين Spectre Variant 2 (CVE-2017-5715). لمزيد من المعلومات، حول Retpoline، اتبع الإرشادات الواردة في متغير Spectre المخفف 2 مع Retpoline على منشور مدونة Windows.

CVE-2017-5754

لا

ممكن بشكل افتراضي

يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية.

CVE-2018-3639

Intel: نعم AMD: لا ARM: نعم

Intel وAMD: معطلان بشكل افتراضي. راجع ADV180012 لمزيد من المعلومات ومقالة KB هذه لإعدادات مفتاح التسجيل القابلة للتطبيق.

ARM: ممكن بشكل افتراضي دون خيار لتعطيل.

CVE-2019-11091

Intel: نعم

ممكن بشكل افتراضي.

راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2018-12126

Intel: نعم

ممكن بشكل افتراضي.

راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2018-12127

Intel: نعم

ممكن بشكل افتراضي.

راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2018-12130

Intel: نعم

ممكن بشكل افتراضي.

راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2019-11135

Intel: نعم

ممكن بشكل افتراضي.

راجع CVE-2019-11135 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2022-21123 (جزء من MMIO ADV220002)

Intel: نعم

الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي.  Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي. 

راجع CVE-2022-21123 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2022-21125 (جزء من MMIO ADV220002)

Intel: نعم

الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي.  Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي. 

راجع CVE-2022-21125 لمزيد من المعلومات.

CVE-2022-21127 (جزء من MMIO ADV220002)

Intel: نعم

الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي.  Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي. 

راجع CVE-2022-21127 لمزيد من المعلومات.

CVE-2022-21166 (جزء من MMIO ADV220002)

Intel: نعم

الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي.  Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي. 

راجع CVE-2022-21166 لمزيد من المعلومات.

CVE-2022-23825 (ارتباك نوع فرع وحدة المعالجة المركزية AMD)

AMD: لا

راجع CVE-2022-23825 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل المعمول بها.

CVE-2023-20569 (متنبأ عنوان إرجاع وحدة المعالجة المركزية AMD)

AMD: نعم

راجع CVE-2023-20569 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

CVE-2022-0001

Intel: لا

معطل بشكل افتراضي.

راجع CVE-2022-0001 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق.

ملاحظة: بشكل افتراضي، قد يؤثر تمكين عوامل التخفيف التي تم إيقاف تشغيلها على أداء الجهاز. يعتمد تأثير الأداء الفعلي على عوامل متعددة، مثل مجموعة الرقائق المحددة في الجهاز وأحمال العمل قيد التشغيل.

إعدادات التسجيل

نحن نقدم معلومات التسجيل التالية لتمكين عمليات التخفيف التي لم يتم تمكينها بشكل افتراضي، كما هو موثق في Security Advisories (ADVs) و CVEs. بالإضافة إلى ذلك، نقدم إعدادات مفتاح التسجيل للمستخدمين الذين يرغبون في تعطيل عوامل التخفيف عند الاقتضاء لعملاء Windows.

هام: يحتوي هذا القسم أو الأسلوب أو المهمة على خطوات تخبرك بكيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية، قم بنسخ السجل احتياطيا قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي للسجل واستعادته، راجع المقالة التالية في قاعدة معارف Microsoft:322756 كيفية إجراء نسخ احتياطي للسجل واستعادته في Windows

هام: بشكل افتراضي، يتم تمكين Retpoline على أجهزة الإصدار 1809 من Windows 10 إذا تم تمكين Spectre، Variant 2 (CVE-2017-5715). قد يؤدي تمكين Retpoline على أحدث إصدار من Windows 10 إلى تحسين الأداء على الأجهزة التي تعمل الإصدار 1809 من Windows 10 لمتغير Spectre 2، خاصة على المعالجات القديمة.

لتمكين عمليات التخفيف الافتراضية ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

لتعطيل عوامل التخفيف ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

ملاحظة: قيمة 3 دقيقة ل FeatureSettingsOverrideMask لكل من الإعدادات "تمكين" و"تعطيل". (راجع قسم "الأسئلة المتداولة" لمزيد من التفاصيل حول مفاتيح التسجيل.)

لتعطيل عوامل التخفيف ل CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

لتمكين عمليات التخفيف الافتراضية ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

بشكل افتراضي، يتم تعطيل حماية المستخدم إلى النواة ل CVE-2017-5715 ل AMD ووحدات المعالجة المركزية ARM. يجب تمكين التخفيف من المخاطر لتلقي حماية إضافية ل CVE-2017-5715. لمزيد من المعلومات، راجع الأسئلة المتداولة #15 في ADV180002 لمعالجات AMD والأسئلة المتداولة #20 في ADV180002 لمعالجات ARM.

تمكين حماية المستخدم إلى النواة على معالجات AMD وARM جنبا إلى جنب مع الحماية الأخرى ل CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

لتمكين عمليات التخفيف من المخاطر ل CVE-2018-3639 (تجاوز مخزن المضاربة)، التخفيفات الافتراضية ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

ملاحظة: معالجات AMD ليست عرضة ل CVE-2017-5754 (Meltdown). يتم استخدام مفتاح التسجيل هذا في الأنظمة التي تحتوي على معالجات AMD لتمكين عمليات التخفيف الافتراضية ل CVE-2017-5715 على معالجات AMD والتخفيف من حدة CVE-2018-3639.

لتعطيل عمليات التخفيف من المخاطر ل CVE-2018-3639 (تجاوز المخزن المضارب) *و* التخفيف من المخاطر ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

بشكل افتراضي، يتم تعطيل حماية المستخدم إلى النواة ل CVE-2017-5715 لمعالجات AMD. يجب على العملاء تمكين التخفيف من المخاطر لتلقي حماية إضافية ل CVE-2017-5715.  لمزيد من المعلومات، راجع الأسئلة المتداولة #15 في ADV180002.

تمكين حماية المستخدم إلى النواة على معالجات AMD جنبا إلى جنب مع الحماية الأخرى ل CVE 2017-5715 والحماية ل CVE-2018-3639 (تجاوز مخزن المضاربة):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

لتمكين التخفيف من المخاطر لملحقات مزامنة المعاملات Intel (Intel TSX) ثغرة أمنية غير متزامنة للإجهاض (CVE-2019-11135) وأخذ عينات بيانات Microarchitectural ( CVE-2 019-11091 ، CVE-2018-12126 ، CVE-2018-12127 ، CVE-2018-12130 ) جنبا إلى جنب مع متغيرات Spectre (CVE-2017-5753 & CVE-2017-5715) وMeltdown (CVE-2017-5754)، بما في ذلك تعطيل تجاوز المخزن التخميني (SSBD) (CVE-2018-3639) بالإضافة إلى خطأ L1 Terminal (L1TF) (CVE-2018-3615، CVE-2018-3620 وCVE-2018-3646) دون تعطيل Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها.

أعد تشغيل الجهاز حتى تسري التغييرات.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) مع تعطيل Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها.

أعد تشغيل الجهاز حتى تسري التغييرات.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

أعد تشغيل الجهاز حتى تسري التغييرات.

لتمكين التخفيف من المخاطر ل CVE-2022-23825 على معالجات AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

لكي تكون محمية بالكامل، قد يحتاج العملاء أيضا إلى تعطيل Hyper-Threading (المعروفة أيضا باسم مؤشرات الترابط المتعددة المتزامنة (SMT)). يرجى الاطلاع على KB4073757للحصول على إرشادات حول حماية أجهزة Windows. 

لتمكين التخفيف من المخاطر ل CVE-2023-20569 على معالجات AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

لتمكين التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

تمكين عوامل التخفيف المتعددة

لتمكين عوامل تخفيف متعددة، يجب إضافة قيمة REG_DWORD لكل تخفيف معا. 

على سبيل المثال:

التخفيف من حدة الثغرة الأمنية للإجهاض غير المتزامن للمعاملات، وأخذ عينات بيانات Microarchitectural، و Spectre، وMeltdown، وMMIO، وتعطيل تجاوز مخزن المضاربة (SSBD)، وخطأ L1 Terminal (L1TF) مع تعطيل Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

ملاحظة 8264 (بالالأرقام العشرية) = 0x2048 (ب Hex)

لتمكين BHI مع الإعدادات الموجودة الأخرى، ستحتاج إلى استخدام bitwise OR من القيمة الحالية مع 8388608 (0x800000). 

0x800000 OR 0x2048 (8264 بالالأرقام العشرية) وستصبح 8,396,872 (0x802048). نفس الشيء مع FeatureSettingsOverrideMask.

التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

التخفيف المجمع

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

التخفيف من حدة الثغرة الأمنية للإجهاض غير المتزامن للمعاملات، وأخذ عينات بيانات Microarchitectural، و Spectre، وMeltdown، وMMIO، وتعطيل تجاوز مخزن المضاربة (SSBD)، وخطأ L1 Terminal (L1TF) مع تعطيل Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

التخفيف المجمع

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

التحقق من تمكين الحماية

للمساعدة في التحقق من تمكين الحماية، قمنا بنشر برنامج نصي PowerShell يمكنك تشغيله على أجهزتك. قم بتثبيت البرنامج النصي وتشغيله باستخدام إحدى الطرق التالية.

تثبيت وحدة PowerShell النمطية:

PS> Install-Module SpeculationControl

قم بتشغيل وحدة PowerShell للتحقق من تمكين الحماية:

PS> # حفظ نهج التنفيذ الحالي بحيث يمكن إعادة تعيينه

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

> Get-SpeculationControlSettings PS

PS> # إعادة تعيين نهج التنفيذ إلى الحالة الأصلية

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

تثبيت وحدة PowerShell النمطية من Technet ScriptCenter:

انتقل إلى https://aka.ms/SpeculationControlPS

قم بتنزيل SpeculationControl.zip إلى مجلد محلي.

استخراج المحتويات إلى مجلد محلي، على سبيل المثال C:\ADV180002

قم بتشغيل وحدة PowerShell للتحقق من تمكين الحماية:

ابدأ تشغيل PowerShell، ثم (باستخدام المثال السابق) انسخ الأوامر التالية وقم بتشغيلها:

PS> # حفظ نهج التنفيذ الحالي بحيث يمكن إعادة تعيينه

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

> Get-SpeculationControlSettings PS

PS> # إعادة تعيين نهج التنفيذ إلى الحالة الأصلية

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

للحصول على شرح مفصل لإخراج البرنامج النصي PowerShell، يرجى مراجعة KB4074629.

الأسئلة المتداولة

يتم تسليم الرمز المصغر من خلال تحديث البرنامج الثابت. يجب عليك التحقق من وحدة المعالجة المركزية (مجموعة الشرائح) والشركات المصنعة للأجهزة بشأن توفر تحديثات أمان البرامج الثابتة القابلة للتطبيق لجهازها المحدد، بما في ذلك Intels Microcode Revision Guidance.

تمثل معالجة ثغرة أمنية في الأجهزة من خلال تحديث البرامج تحديات كبيرة. أيضا، تتطلب عوامل التخفيف لأنظمة التشغيل القديمة تغييرات معمارية واسعة النطاق. نحن نعمل مع الشركات المصنعة للشرائح المتأثرة لتحديد أفضل طريقة لتوفير عوامل التخفيف، والتي قد يتم تسليمها في التحديثات المستقبلية.

سيتم تسليم التحديثات لأجهزة Microsoft Surface للعملاء من خلال Windows Update مع تحديثات نظام التشغيل Windows. للحصول على قائمة بتحديثات البرامج الثابتة لجهاز Surface (microcode) المتوفرة، راجع KB4073065.

وإذا لم يكن جهازك من Microsoft، فاحصل على البرامج الثابتة من الشركة المصنعة للجهاز. لمزيد من المعلومات، اتصل بالشركة المصنعة لجهاز OEM.

في فبراير ومارس 2018، أصدرت Microsoft حماية إضافية لبعض الأنظمة المستندة إلى x86. لمزيد من المعلومات، راجع KB4073757وMicrosoft Security Advisory ADV180002.

تتوفر التحديثات إلى Windows 10 ل HoloLens لعملاء HoloLens من خلال Windows Update.

بعد تطبيق تحديث أمن Windows فبراير 2018، لا يتعين على عملاء HoloLens اتخاذ أي إجراء إضافي لتحديث البرامج الثابتة لجهازهم. سيتم أيضا تضمين عوامل التخفيف هذه في جميع الإصدارات المستقبلية من Windows 10 ل HoloLens.

لا. تحديثات الأمان فقط ليست تراكمية. اعتمادا على إصدار نظام التشغيل الذي تقوم بتشغيله، سيتعين عليك تثبيت تحديثات الأمان فقط كل شهر ليتم حمايتها من هذه الثغرات الأمنية. على سبيل المثال، إذا كنت تقوم بتشغيل Windows 7 لأنظمة 32 بت على وحدة المعالجة المركزية Intel المتأثرة، فيجب عليك تثبيت جميع تحديثات الأمان فقط. نوصي بتثبيت تحديثات الأمان فقط بترتيب الإصدار.

‏ملاحظة ذكر إصدار سابق من هذه الأسئلة المتداولة بشكل غير صحيح أن تحديث الأمان فقط لشهر فبراير تضمن إصلاحات الأمان التي تم إصدارها في يناير. في الواقع ، فإنه لا.

لا. كان تحديث الأمان 4078130 إصلاحا محددا لمنع سلوكيات النظام غير المتوقعة ومشكلات الأداء و/أو عمليات إعادة التشغيل غير المتوقعة بعد تثبيت الرمز المصغر. يتيح تطبيق تحديثات الأمان لشهر فبراير على أنظمة تشغيل عميل Windows جميع عوامل التخفيف الثلاثة.

أعلنت Intel مؤخرا أنها أكملت عمليات التحقق من الصحة وبدأت في إصدار التعليمات البرمجية المصغرة لمنصات وحدة المعالجة المركزية الأحدث. توفر Microsoft تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel حول Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). يسرد KB4093836 مقالات محددة لقاعدة المعارف حسب إصدار Windows. ويحتوي كل قاعدة معارف محددة على تحديثات التعليمات البرمجية ذات المستوى الأدنى (microcode) التي توفرها Intel عن طريق وحدة المعالجة المركزية.

تم حل هذه المشكلة في KB4093118.

أعلنت AMD مؤخرا أنها بدأت في إصدار microcode لمنصات وحدة المعالجة المركزية الأحدث حول Spectre Variant 2 (CVE-2017-5715 "حقن هدف الفرع"). لمزيد من المعلومات، راجع التحديثات AMD SecurityوAMD Whitepaper: إرشادات البنية حول التحكم في الفرع غير المباشر. تتوفر هذه من قناة البرنامج الثابت OEM.

نحن نقدم تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel حول Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). للحصول على آخر تحديثات Intel microcode من خلال Windows Update، يجب أن يكون العملاء قد قاموا بتثبيت Intel microcode على الأجهزة التي تعمل بنظام تشغيل Windows 10 قبل الترقية إلى تحديث أبريل 2018 Windows 10 (الإصدار 1803).

كما يتوفر تحديث الرمز الصغير مباشرة من "كتالوج" إذا لم يتم تثبيته على الجهاز قبل ترقية نظام التشغيل. يتوفر Intel microcode من خلال Windows Update أو WSUS أو كتالوج Microsoft Update. لمزيد من المعلومات وإرشادات التنزيل، راجع KB4100347.

للحصول على التفاصيل، راجع قسمي "الإجراءات الموصى بها" و"الأسئلة المتداولة" في ADV180012 | إرشادات Microsoft لتجاوز المتجر التخميني.

للتحقق من حالة SSBD، تم تحديث البرنامج النصي Get-SpeculationControlSettings PowerShell للكشف عن المعالجات المتأثرة وحالة تحديثات نظام التشغيل SSBD وحالة التعليمات البرمجية المصغرة للمعالج إذا كان ذلك ممكنا. لمزيد من المعلومات والحصول على البرنامج النصي PowerShell، راجع KB4074629.

في 13 يونيو 2018، تم الإعلان عن ثغرة أمنية إضافية تتضمن تنفيذا تخمينيا للقناة الجانبية، تعرف باسم استعادة حالة FP البطيئة، وتم تعيينها CVE-2018-3665. لا توجد إعدادات تكوين (سجل) ضرورية لاستعادة FP الاستعادة البطيئة.

لمزيد من المعلومات حول هذه الثغرة الأمنية والإجراءات الموصى بها، راجع ADV180016 النصائح الأمنية | إرشادات Microsoft لاستعادة حالة FP الكسولة.

ملاحظة: لا توجد إعدادات تكوين (سجل) ضرورية لاستعادة FP الاستعادة البطيئة.

تم الكشف عن مخزن تجاوز التحقق من الحدود (BCBS) في 10 يوليو 2018 وتعيين CVE-2018-3693. نحن نعتبر BCBS تنتمي إلى نفس فئة الثغرات الأمنية مثل تجاوز التحقق من الحدود (المتغير 1). نحن لسنا على علم حاليا بأي مثيلات من BCBS في برنامجنا، لكننا نواصل البحث في فئة الثغرات الأمنية هذه وسنعمل مع شركاء الصناعة لإصدار عوامل التخفيف حسب الحاجة. نواصل تشجيع الباحثين على تقديم أي نتائج ذات صلة إلى برنامج مكافأة القناة الجانبية للتنفيذ التخميني من Microsoft، بما في ذلك أي مثيلات قابلة للاستغلال من BCBS. يجب على مطوري البرامج مراجعة إرشادات المطور التي تم تحديثها ل BCBS في https://aka.ms/sescdevguide.

في 14 أغسطس 2018، تم الإعلان عن خطأ طرفي L1 (L1TF) وتعيين العديد من CVEs. يمكن استخدام هذه الثغرات الأمنية الجديدة في القناة الجانبية للتنفيذ التخميني لقراءة محتوى الذاكرة عبر حدود موثوق بها، وإذا تم استغلالها، يمكن أن تؤدي إلى الكشف عن المعلومات. يمكن للمهاجم تشغيل الثغرات الأمنية من خلال متجهات متعددة، اعتمادا على البيئة المكونة. يؤثر L1TF على معالجات Intel® Core® ومعالجات Intel® Xeon®.

لمزيد من المعلومات حول هذه الثغرة الأمنية وعرض مفصل للسيناريوهات المتأثرة، بما في ذلك نهج Microsoft للتخفيف من L1TF، راجع الموارد التالية:

يجب على العملاء الذين يستخدمون معالجات ARM 64 بت التحقق من الشركة المصنعة للمعدات الأصلية للجهاز للحصول على دعم البرامج الثابتة لأن حماية نظام التشغيل ARM64 التي تخفف من CVE-2017-5715 | يتطلب إدخال هدف الفرع (Spectre، Variant 2) أحدث تحديث للبرامج الثابتة من الأجهزة OEMs حتى يصبح ساري المفعول.

للحصول على إرشادات Azure، يرجى الرجوع إلى هذه المقالة: إرشادات للتخفيف من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني في Azure.  

لمزيد من المعلومات حول تمكين Retpoline، راجع منشور مدونتنا: التخفيف من متغير Spectre 2 مع Retpoline على Windows

للحصول على تفاصيل حول هذه الثغرة الأمنية، راجع دليل أمان Microsoft: CVE-2019-1125 | ثغرة أمنية في الكشف عن معلومات Windows Kernel.

نحن لسنا على علم بأي مثيل من هذه الثغرة الأمنية في الكشف عن المعلومات التي تؤثر على البنية الأساسية للخدمة السحابية لدينا.

بمجرد أن أصبحنا على علم بهذه المشكلة، عملنا بسرعة على معالجتها وإصدار تحديث. نحن نؤمن بشدة بالشراكات الوثيقة مع كل من الباحثين وشركاء الصناعة لجعل العملاء أكثر أمانا، ولم ننشر التفاصيل حتى الثلاثاء 6 أغسطس، بما يتماشى مع ممارسات الكشف المنسقة عن الثغرات الأمنية.

يمكن العثور على مزيد من الإرشادات في إرشادات تعطيل إمكانية ملحقات مزامنة معاملات Intel® (Intel® TSX).

مراجع

نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.