Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Chyby zabezpečení

14. května 2019 společnost Intel zveřejnila informace o nové podtřídě ohrožení zabezpečení spekulativního spuštění postranním kanálem označované jako microarchitectural Data Sampling. Tato ohrožení zabezpečení jsou řešena v následujících prostředích CVE:

Důležité informace: Tyto problémy ovlivní jiné operační systémy, jako je Android, Chrome, iOS a MacOS. Doporučujeme vám vyhledat pokyny od těchto příslušných dodavatelů.

Vydali jsme aktualizace, které nám pomůžou tyto chyby zabezpečení zmírnit. K získání všech dostupných ochran se vyžaduje aktualizace firmwaru (mikrokódu) a softwaru. To může zahrnovat mikrokód z OEM zařízení. V některých případech bude mít instalace těchto aktualizací dopad na výkon. Zabezpečili jsme také naše cloudové služby. Důrazně doporučujeme nasadit tyto aktualizace.

Další informace o tomto problému najdete v následujících pokynech k zabezpečení a použijte doprovodné materiály založené na scénářích k určení akcí nezbytných ke zmírnění hrozby:

Poznámka: Před instalací aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.

6. srpna 2019 společnost Intel zveřejnila podrobnosti o ohrožení zabezpečení spočívající ve zpřístupnění informací jádra Windows. Tato chyba zabezpečení je variantou chyby zabezpečení spectre varianty 1 pro spekulativní spuštění postranním kanálem a byla jí přiřazena CVE-2019-1125.

9. července 2019 jsme vydali aktualizace zabezpečení pro operační systém Windows, které nám pomůžou tento problém zmírnit. Upozorňujeme, že jsme toto zmírnění rizik veřejně zdokumentovali až do koordinovaného zveřejnění informací od odvětví v úterý 6. srpna 2019.

Zákazníci, kteří služba Windows Update povolili a použili aktualizace zabezpečení vydané 9. července 2019, jsou chráněni automaticky. Není nutná žádná další konfigurace.

Poznámka: Tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce OEM.

Další informace o této chybě zabezpečení a příslušných aktualizacích najdete v Průvodci aktualizacemi zabezpečení společnosti Microsoft:

12. listopadu 2019 společnost Intel zveřejnila technické rady týkající se chyby zabezpečení asynchronního přerušení transakce intel TSX (Intel Transactional Synchronization Extensions), které je přiřazeno CVE-2019-11135. Vydali jsme aktualizace, které pomáhají zmírnit toto ohrožení zabezpečení. Ve výchozím nastavení je ochrana operačního systému povolená pro klientské edice operačního systému Windows.

14. června 2022 jsme publikovali ADV220002 | Pokyny microsoftu k chybám zabezpečení zastaralých dat procesoru Intel MMIO Chyby zabezpečení se přiřazují v následujících prostředích CVE:

Doporučené akce

K ochraně před těmito chybami zabezpečení byste měli provést následující akce:

  1. Použijte všechny dostupné aktualizace operačního systému Windows, včetně měsíčních aktualizací zabezpečení Windows.

  2. Použijte příslušnou aktualizaci firmwaru (mikrokódu), kterou poskytuje výrobce zařízení.

  3. Vyhodnoťte rizika pro vaše prostředí na základě informací uvedených v tomto článku v informačních zpravodajích zabezpečení společnosti Microsoft ADV180002, ADV180012, ADV190013 a ADV220002.

  4. Proveďte požadovanou akci pomocí informačních zpravodajů a informací o klíči registru, které jsou uvedeny v tomto článku.

Poznámka: Zákazníci zařízení Surface obdrží aktualizaci mikrokódu prostřednictvím aktualizace Windows. Seznam nejnovějších dostupných aktualizací firmwaru zařízení Surface (mikrokódu) najdete v tématu KB4073065.

Dne 12. července 2022 jsme publikovali CVE-2022-23825 | Záměna typu větve procesoru AMD, která popisuje, že aliasy v prediktoru větví můžou způsobit, že některé procesory AMD předpovídají nesprávný typ větve. Tento problém může potenciálně vést ke zpřístupnění informací.

V zájmu ochrany před tímto ohrožením zabezpečení doporučujeme nainstalovat aktualizace systému Windows, které jsou datovány k červenci 2022 nebo později, a pak provést akce podle požadavků CVE-2022-23825 a informace o klíči registru, které jsou uvedeny v tomto znalostní báze článku.

Další informace naleznete v bulletinu zabezpečení AMD-SB-1037 .

8. srpna 2023 jsme publikovali CVE-2023-20569 | Předpověď návratové adresy procesoru AMD (označovaná také jako Inception), která popisuje nový útok na spekulativní postranní kanál, který může vést ke spekulativnímu spuštění na adrese řízené útočníkem. Tento problém se týká některých procesorů AMD a může potenciálně vést ke zpřístupnění informací.

V zájmu ochrany před tímto ohrožením zabezpečení doporučujeme nainstalovat aktualizace systému Windows, které jsou datovány v srpnu 2023 nebo později, a pak provést akce podle požadavků cve-2023-20569 a informace o klíči registru, které jsou uvedeny v tomto článku znalostní báze.

Další informace naleznete v bulletinu zabezpečení AMD-SB-7005 .

9. dubna 2024 jsme publikovali CVE-2022-0001 | Intel Branch History Injection , která popisuje injektáž historie větví (BHI), což je specifická forma BTI v rámci režimu. K tomuto ohrožení zabezpečení dochází v případě, že útočník může manipulovat s historií větví před přechodem z režimu uživatele na režim správce (nebo z režimu VMX bez root nebo hosta na kořenový režim). Tato manipulace může způsobit, že prediktor nepřímé větve vybere konkrétní položku předpovědi pro nepřímou větev a přechodně se spustí miniaplikace pro zpřístupnění v předpovídaném cíli. To může být možné, protože příslušná historie větví může obsahovat větve převzaté v předchozích kontextech zabezpečení, a zejména v jiných režimech predikce.

Nastavení zmírnění rizik pro klienty s Windows

Informační zpravodaje zabezpečení (ADV) a CVR poskytují informace o riziku, které tato ohrožení zabezpečení představují, a o tom, jak vám pomůžou identifikovat výchozí stav zmírnění rizik pro klientské systémy Windows. Následující tabulka shrnuje požadavek na mikrokód procesoru a výchozí stav zmírnění rizik na klientech s Windows.

CVE

Vyžaduje mikrokód procesoru nebo firmware?

Výchozí stav zmírnění rizik

CVE-2017-5753

Ne

Povoleno ve výchozím nastavení (bez možnosti zakázání)

Další informace najdete v ADV180002 .

CVE-2017-5715

Ano

Ve výchozím nastavení povoleno. Uživatelům systémů založených na procesorech AMD by se měly zobrazit nejčastější dotazy č. 15 a uživatelům procesorů ARM by se měly zobrazit nejčastější dotazy č. 20 na ADV180002 pro další akci a tento článek znalostní báze pro nastavení příslušných klíčů registru.

Poznámka Ve výchozím nastavení je funkce Retpoline povolená pro zařízení se systémem Windows 10 verze 1809 nebo novější, pokud je povolená možnost Spectre varianta 2 (CVE-2017-5715). Pokud chcete získat další informace o retpoline, postupujte podle pokynů v blogovém příspěvku o zmírnění rizik spectre varianty 2 pomocí Retpoline ve Windows .

CVE-2017-5754

Ne

Ve výchozím nastavení povoleno

Další informace najdete v ADV180002 .

CVE-2018-3639

Intel: Ano AMD: Ne ARM: Ano

Intel a AMD: Ve výchozím nastavení je zakázáno. Další informace najdete v ADV180012 a v tomto článku znalostní báze najdete příslušná nastavení klíčů registru.

ARM: Ve výchozím nastavení povoleno bez možnosti zakázání.

CVE-2019-11091

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

CVE-2018-12126

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

CVE-2018-12127

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

CVE-2018-12130

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

CVE-2019-11135

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace najdete v cve-2019-11135 a v tomto článku najdete příslušné nastavení klíčů registru.

CVE-2022-21123 (součást ADV220002 MMIO)

Intel: Ano

Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno.  Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno. 

Další informace najdete v cve-2022-21123 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

CVE-2022-21125 (součást ADV220002 MMIO)

Intel: Ano

Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno.  Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno. 

Další informace najdete v článku CVE-2022-21125 .

CVE-2022-21127 (součást ADV220002 MMIO)

Intel: Ano

Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno.  Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno. 

Další informace najdete v článku CVE-2022-21127 .

CVE-2022-21166 (součást ADV220002 MMIO)

Intel: Ano

Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno.  Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno. 

Další informace najdete v článku CVE-2022-21166 .

CVE-2022-23825 (Nejasnosti typu větve procesoru AMD)

AMD: Ne

Další informace najdete v cve-2022-23825 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

CVE-2023-20569 (Předpověď návratové adresy procesoru AMD)

AMD: Ano

Další informace najdete v cve-2023-20569 a v tomto článku najdete příslušné nastavení klíčů registru.

CVE-2022-0001

Intel: Ne

Ve výchozím nastavení je zakázáno.

Další informace najdete v cve-2022-0001 a v tomto článku najdete informace o příslušných nastaveních klíčů registru.

Poznámka: Ve výchozím nastavení může povolení zmírnění rizik, která jsou vypnutá, ovlivnit výkon zařízení. Skutečný efekt výkonu závisí na několika faktorech, například na konkrétní čipové sadě v zařízení a na spuštěných úlohách.

Nastavení registru

K povolení zmírnění rizik, která nejsou ve výchozím nastavení povolená, poskytujeme následující informace registru, jak je popsáno v článku Security Advisories (ADV) a CVE. Kromě toho poskytujeme nastavení klíče registru pro uživatele, kteří chtějí zakázat zmírnění rizik, pokud je to možné pro klienty s Windows.

Důležité informace: Tato část, metoda nebo úloha obsahuje kroky, které vám poví, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky postupujete pečlivě. Chcete-li přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete registr obnovit, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:322756 Postup zálohování a obnovení registru v systému Windows

Důležité informace: Ve výchozím nastavení je na Windows 10 verze 1809 zařízeních povolená funkce Retpoline, pokud je povolená možnost Spectre, varianta 2 (CVE-2017-5715). Povolení funkce Retpoline v nejnovější verzi Windows 10 může zvýšit výkon na zařízeních s Windows 10 verze 1809 pro spectre variantu 2, zejména u starších procesorů.

Povolení výchozích zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Zakázání zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Poznámka: Hodnota 3 je přesná pro FeatureSettingsOverrideMask pro nastavení "povolit" i "zakázat". (Další podrobnosti o klíčích registru najdete v části Nejčastější dotazy.)

Zakázání zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Povolení výchozích zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro CVE-2017-5715 zakázaná pro procesory AMD a ARM. Pokud chcete získat další ochranu pro CVE-2017-5715, musíte povolit zmírnění rizik. Další informace najdete v nejčastějších dotazech č. 15 v ADV180002 pro procesory AMD a v nejčastějších dotazech č. 20 v ADV180002 pro procesory ARM.

Povolte ochranu mezi uživatelem a jádrem na procesorech AMD a ARM společně s dalšími ochranou pro CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Pokud chcete povolit zmírnění rizik pro CVE-2018-3639 (spekulativní obejití úložiště), výchozí zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Poznámka: Procesory AMD nejsou ohroženy chybou CVE-2017-5754 (Meltdown). Tento klíč registru se používá v systémech s procesory AMD k povolení výchozího zmírnění rizik pro cve-2017-5715 u procesorů AMD a zmírnění rizik pro CVE-2018-3639.

Zakázání zmírnění rizik pro cve-2018-3639 (spekulativní obejití úložiště) *a* pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro CVE-2017-5715 pro procesory AMD zakázaná. Zákazníci musí povolit zmírnění rizik, aby získali další ochranu pro CVE-2017-5715.  Další informace najdete v nejčastějších dotazech č. 15 v ADV180002.

Povolení ochrany mezi uživateli a jádrem na procesorech AMD společně s dalšími ochranou pro CVE 2017-5715 a ochrany pro CVE-2018-3639 (Spekulativní obejití úložiště):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Povolení zmírnění chyby zabezpečení v případě chyby zabezpečení z důvodu přerušení asynchronní transakce (CVE-2019-11135) a vzorkování dat mikroarchitectural (CVE-2019-201) 9-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) s variantami Spectre (CVE-2017-5753 & CVE-2017-5715) a Meltdown (CVE-2017-5754) včetně SSBD (Speculative Store Bypass Disable) (CVE-2018-3639) a chyby terminálu L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) bez zakázání technologie Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje, aby se na hostiteli před spuštěním virtuálních počítačů použilo zmírnění rizik souvisejících s firmwarem. Proto se virtuální počítače po restartování také aktualizují.

Restartujte zařízení, aby se změny projevily.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) se zakázaným Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje, aby se na hostiteli před spuštěním virtuálních počítačů použilo zmírnění rizik souvisejících s firmwarem. Proto se virtuální počítače po restartování také aktualizují.

Restartujte zařízení, aby se změny projevily.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartujte zařízení, aby se změny projevily.

Povolení zmírnění rizik pro CVE-2022-23825 na procesorech AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Aby zákazníci mohli být plně chráněni, můžou také potřebovat zakázat Hyper-Threading (označované také jako SMT (Simultaneous Multi Threading). Pokyny k ochraně zařízení s Windows najdete v KB4073757

Povolení zmírnění chyby CVE-2023-20569 na procesorech AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Povolení zmírnění chyby CVE-2022-0001 na procesorech Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Povolení několika zmírnění rizik

Pokud chcete povolit více zmírnění rizik, musíte přidat REG_DWORD hodnotu každého zmírnění rizik dohromady. 

Například:

Zmírnění rizik chyby zabezpečení asynchronního přerušení transakcí, vzorkování mikroarchitekturálních dat, spectre, meltdown, MMIO, SSBD (Speculative Store Bypass Disable) a L1 Terminal Fault (L1TF) se zakázanými Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

POZNÁMKA 8264 (v desítkové soustavě) = 0x2048 (v šestnáctkovém formátu)

Pokud chcete povolit BHI společně s dalšími existujícími nastaveními, budete muset použít bitový or aktuální hodnoty s hodnotou 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 v desítkové soustavě) a stane se 8 396 872 (0x802048). Stejné jako u FeatureSettingsOverrideMask.

Zmírnění chyby CVE-2022-0001 pro procesory Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinované zmírnění rizik

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Zmírnění rizik chyby zabezpečení asynchronního přerušení transakcí, vzorkování mikroarchitekturálních dat, spectre, meltdown, MMIO, SSBD (Speculative Store Bypass Disable) a L1 Terminal Fault (L1TF) se zakázanými Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Zmírnění chyby CVE-2022-0001 pro procesory Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinované zmírnění rizik

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Ověření povolení ochrany

Abychom vám pomohli ověřit, jestli je ochrana povolená, publikovali jsme skript PowerShellu, který můžete spustit na svých zařízeních. Nainstalujte a spusťte skript pomocí jedné z následujících metod.

Nainstalujte modul PowerShellu:

PS> Install-Module SpeculationControl

Spusťte modul PowerShellu a ověřte, že je povolená ochrana:

PS> # Uložte aktuální zásady spouštění, aby bylo možné je resetovat.

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned –Scope Currentuser

PS> Import-Module SpeculationControl

ps> Get-SpeculationControlSettings

PS> # Resetování zásad spouštění do původního stavu

PS> Set-ExecutionPolicy $SaveExecutionPolicy –Scope Currentuser

Nainstalujte modul PowerShellu z webu Technet ScriptCenter:

Přejít na https://aka.ms/SpeculationControlPS

Stáhněte SpeculationControl.zip do místní složky.

Extrahujte obsah do místní složky, například C:\ADV180002

Spusťte modul PowerShellu a ověřte, že je povolená ochrana:

Spusťte PowerShell, pak (pomocí předchozího příkladu) zkopírujte a spusťte následující příkazy:

PS> # Uložte aktuální zásady spouštění, aby bylo možné je resetovat.

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned –Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

ps> Get-SpeculationControlSettings

PS> # Resetování zásad spouštění do původního stavu

PS> Set-ExecutionPolicy $SaveExecutionPolicy –Scope Currentuser

Podrobné vysvětlení výstupu skriptu PowerShellu najdete v tématu KB4074629.

Nejčastější dotazy

Mikrokód se dodává prostřednictvím aktualizace firmwaru. Informace o dostupnosti příslušných aktualizací zabezpečení firmwaru pro konkrétní zařízení, včetně pokynů k revizi mikrokódu Společnosti Intel, byste měli zkontrolovat u svého procesoru (čipové sady) a výrobce zařízení.

Řešení ohrožení zabezpečení hardwaru prostřednictvím aktualizace softwaru představuje významné výzvy. Zmírnění rizik u starších operačních systémů také vyžadují rozsáhlé změny architektury. Spolupracujeme s výrobci čipů, kterých se to týká, abychom určili nejlepší způsob, jak poskytnout zmírnění rizik, která mohou být dodána v budoucích aktualizacích.

Aktualizace pro zařízení Microsoft Surface budou zákazníkům dodávány prostřednictvím služba Windows Update společně s aktualizacemi operačního systému Windows. Seznam dostupných aktualizací firmwaru zařízení Surface (mikrokódu) najdete v tématu KB4073065.

Pokud vaše zařízení nepochází od společnosti Microsoft, použijte firmware od výrobce zařízení. Další informace získáte od výrobce zařízení OEM.

V únoru a březnu 2018 microsoft vydal přidanou ochranu pro některé systémy založené na platformě x86. Další informace najdete v tématu KB4073757 a ADV180002 Rady microsoftu pro zabezpečení.

Aktualizace Windows 10 pro HoloLens jsou zákazníkům HoloLens k dispozici prostřednictvím služba Windows Update.

Po instalaci aktualizace Zabezpečení Windows z února 2018 nemusí zákazníci HoloLensu provádět žádné další akce k aktualizaci firmwaru zařízení. Tato zmírnění rizik budou také zahrnuta ve všech budoucích verzích Windows 10 pro HoloLens.

Ne. Pouze aktualizace zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému, kterou používáte, budete muset instalovat každou měsíční aktualizaci pouze zabezpečení, aby byla chráněna před těmito chybami zabezpečení. Pokud například používáte Windows 7 pro 32bitové systémy na procesoru Intel, který se týká, musíte nainstalovat všechny aktualizace pouze zabezpečení. Doporučujeme instalovat pouze tyto aktualizace zabezpečení v pořadí podle vydání.

Poznámka V dřívější verzi těchto nejčastějších dotazů bylo nesprávně uvedeno, že únorová aktualizace zabezpečení obsahuje opravy zabezpečení vydané v lednu. Ve skutečnosti ne.

Ne. Aktualizace zabezpečení 4078130 byla specifická oprava, která zabránila nepředvídatelnému chování systému, problémům s výkonem nebo neočekávaným restartováním po instalaci mikrokódu. Použití únorových aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechna tři zmírnění rizik.

Společnost Intel nedávno oznámila, že dokončila ověření a začala vydávat mikrokód pro novější procesorové platformy. Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). KB4093836 uvádí seznam konkrétních článků znalostní báze Knowledge Base podle verze Windows. Každý konkrétní článek KB obsahuje dostupné aktualizace mikrokódů od společnosti Intel podle procesoru.

Tento problém byl vyřešen v KB4093118.

Společnost AMD nedávno oznámila, že začala vydávat mikrokód pro novější platformy procesoru v případě spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Další informace najdete v dokumentech AMD Security Aktualizace a AMD White paper: Architecture Guidelines (Pokyny pro architekturu týkající se nepřímého řízení větví). Ty jsou k dispozici v kanálu firmwaru OEM.

Zpřístupňujeme aktualizace mikrokódu ověřené technologií Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Aby zákazníci mohli prostřednictvím služba Windows Update získat nejnovější aktualizace mikrokódu Intel, musí mít před upgradem na aktualizaci Windows 10. dubna 2018 (verze 1803) nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10.

Aktualizace mikrokódu je také k dispozici přímo z katalogu, pokud nebyl mikrokód na zařízení nainstalovaný před upgradem operačního systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, WSUS nebo Katalogu služby Microsoft Update. Další informace a pokyny ke stažení najdete v tématu KB4100347.

Podrobnosti najdete v částech Doporučené akce a Nejčastější dotazy v ADV180012 | Pokyny Microsoftu k spekulativnímu obejití obchodu

Aby bylo možné ověřit stav SSBD, aktualizoval se skript powershellu Get-SpeculationControlSettings, aby zjistil ovlivněné procesory, stav aktualizací operačního systému SSBD a stav mikrokódu procesoru, pokud je to možné. Další informace a informace o získání skriptu PowerShellu najdete v tématu KB4074629.

13. června 2018 byla oznámena další chyba zabezpečení týkající se spekulativního spuštění postranním kanálem, která se označuje jako lazy FP State Restore, a byla jí přiřazena cve-2018-3665. Pro opožděné obnovení obnovení FP není nutné žádné nastavení konfigurace (registru).

Další informace o této chybě zabezpečení a doporučených akcích najdete v článku Rady k zabezpečení ADV180016 | Pokyny Microsoftu pro opožděné obnovení stavu FP

Poznámka: Pro opožděné obnovení obnovení FP není nutné žádné nastavení konfigurace (registru).

10. července 2018 byla zveřejněna funkce Bounds Check Bypass Store (BCBS) a přiřazena cve-2018-3693. Považujeme BCBS za patřící do stejné třídy ohrožení zabezpečení jako bypass hraniční kontroly (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru, ale pokračujeme ve výzkumu této třídy ohrožení zabezpečení a budeme spolupracovat s partnery v oboru, aby podle potřeby uvolnili zmírnění rizik. Nadále vyzýváme výzkumné pracovníky, aby předložili veškerá relevantní zjištění do programu odměny pro spekulativní spuštění postranního kanálu microsoftu, včetně všech zneužitelných instancí BCBS. Vývojáři softwaru by si měli projít pokyny pro vývojáře, které byly aktualizovány pro BCBS na https://aka.ms/sescdevguide.

14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a přiřazena více cve. Tato nová ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem lze použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití může vést ke zpřístupnění informací. Útočník by mohl aktivovat ohrožení zabezpečení prostřednictvím více vektorů v závislosti na nakonfigurovaných prostředích. L1TF ovlivňuje procesory Intel® Core a Intel® Xeon®®.

Další informace o této chybě zabezpečení a podrobné zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění rizika L1TF, najdete v následujících zdrojích informací:

Zákazníci, kteří používají 64bitové procesory ARM, by měli požádat výrobce OEM zařízení o podporu firmwaru, protože ochrana operačního systému ARM64 zmírňují chybu CVE-2017-5715 | Injektáž cíle větve (Spectre, varianta 2) vyžaduje nejnovější aktualizaci firmwaru od OEM zařízení, aby se projevila.

Pokud chcete chránit před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem, projděte si doprovodné materiály v doprovodných materiálech pro Windows.

Další informace o povolení Retpoline najdete v našem blogovém příspěvku: Zmírnění rizik spectre varianty 2 pomocí Retpoline ve Windows

Podrobnosti o této chybě zabezpečení najdete v Průvodci zabezpečením společnosti Microsoft: CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru systému Windows

Nejsme si vědomi žádného výskytu této chyby zabezpečení zpřístupnění informací, která by ovlivnila naši infrastrukturu cloudových služeb.

Jakmile jsme se o tomto problému dozvěděli, rychle jsme pracovali na jeho řešení a vydání aktualizace. Pevně věříme v úzká partnerství s výzkumnými pracovníky i partnery z oboru, aby se zákazníci více zabezpečili, a v souladu s koordinovanými postupy zveřejňování ohrožení zabezpečení jsme podrobnosti publikovali až v úterý 6. srpna.

Reference

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.