Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Sårbarheder

Den 14. maj 2019 offentliggjorde Intel oplysninger om en ny underklasse af speculative execution side-channel-sikkerhedsrisici, der er kendt som Microarchitectural Data Sampling. Disse sårbarheder er løst i følgende cv'er:

Vigtigt!: Disse problemer påvirker andre operativsystemer som Android, Chrome, iOS og MacOS. Vi anbefaler, at du søger vejledning fra disse respektive leverandører.

Vi har udgivet opdateringer for at afhjælpe disse sårbarheder. For at få al tilgængelig beskyttelse kræves firmware (mikrokode) og softwareopdateringer. Dette kan omfatte mikrokode fra enheds-OEM'er. I nogle tilfælde vil det påvirke ydeevnen at installere disse opdateringer. Vi har også handlet for at sikre vores skytjenester. Vi anbefaler på det kraftigste, at du installerer disse opdateringer.

Du kan finde flere oplysninger om dette problem i følgende Security Advisory og bruge scenariebaseret vejledning til at bestemme de handlinger, der er nødvendige for at afhjælpe truslen:

Bemærk!: Vi anbefaler, at du installerer alle de nyeste opdateringer fra Windows Update, før du installerer mikrokodeopdateringer.

Den 6. august 2019 udgav Intel oplysninger om en sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger. Denne sårbarhed er en variant af Spectre Variant 1 speculative execution side-channel-sårbarhed og er blevet tildelt CVE-2019-1125.

Den 9. juli 2019 udsendte vi sikkerhedsopdateringer til Windows-operativsystemet for at afhjælpe dette problem. Bemærk, at vi holdt tilbage med at dokumentere denne afhjælpning offentligt indtil den koordinerede brancheoffentliggørelse tirsdag d. 6. august 2019.

Kunder, der har Windows Update aktiveret og har anvendt de sikkerhedsopdateringer, der blev udgivet d. 9. juli 2019, beskyttes automatisk. Der er ingen yderligere konfiguration nødvendig.

Bemærk!: Denne sikkerhedsrisiko kræver ikke en mikrokodeopdatering fra producenten af enheden (OEM).

Du kan finde flere oplysninger om denne sikkerhedsrisiko og relevante opdateringer i Microsoft Security Update Guide:

Den 12. november 2019 offentliggjorde Intel en teknisk vejledning vedrørende Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed, der er tildelt CVE-2019-11135. Vi har udgivet opdateringer for at afhjælpe denne sårbarhed. Som standard er os-beskyttelsen aktiveret for klientudgaver af Windows.

Den 14. juni 2022 offentliggjorde vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Sikkerhedsrisiciene er tildelt i følgende CVEs:

Anbefalede handlinger

Du skal udføre følgende handlinger for at beskytte dig mod disse sårbarheder:

  1. Anvend alle tilgængelige opdateringer til Windows-operativsystemet, herunder de månedlige Windows-sikkerhedsopdateringer.

  2. Anvend den gældende firmwareopdatering (mikrokode), der leveres af enhedsproducenten.

  3. Vurder risikoen for dit miljø ud fra oplysningerne i Microsofts sikkerhedsrådgivere ADV180002, ADV180012, ADV190013 og ADV220002ud over oplysningerne i denne artikel.

  4. Benyt de råd og oplysninger om registreringsdatabasenøgler, der er angivet i denne artikel, til at udføre de nødvendige handlinger.

Bemærk!: Surface-kunder modtager en mikrokodeopdatering via Windows Update. Du kan få en liste over de nyeste tilgængelige surface-enhedsfirmwareopdateringer (mikrokode) under KB4073065.

Den 12. juli 2022 offentliggjorde vi CVE-2022-23825 | Forvirring med AMD CPU-forgreningstype, der beskriver, at aliasser i grensforudsigelsen kan medføre, at visse AMD-processorer forudsiger den forkerte forgreningstype. Dette problem kan potentielt føre til afsløring af oplysninger.

For at beskytte mod denne sikkerhedsrisiko anbefaler vi, at du installerer Windows-opdateringer, der er dateret den eller efter juli 2022, og derefter udfører de handlinger, der kræves af CVE-2022-23825 og oplysninger om registreringsdatabasenøgler, der er angivet i denne videnbase artikel.

Du kan finde flere oplysninger i sikkerhedsbulletinEN AMD-SB-1037 .

Den 8. august 2023 offentliggjorde vi CVE-2023-20569 | AMD CPU Return Address Predictor (også kendt som Inception), som beskriver et nyt speculativt sidekanalangreb, der kan resultere i speculative execution på en hackerkontrolleret adresse. Dette problem påvirker visse AMD-processorer og kan potentielt føre til afsløring af oplysninger.

For at beskytte mod denne sikkerhedsrisiko anbefaler vi, at du installerer Windows-opdateringer, der er dateret den eller efter august 2023, og derefter udfører de handlinger, der kræves af CVE-2023-20569 og oplysninger om registreringsdatabasenøgler, der er angivet i denne videnbase artikel.

Du kan finde flere oplysninger i sikkerhedsbulletinEN AMD-SB-7005 .

Den 9. april 2024 offentliggjorde vi CVE-2022-0001 | Intel Branch History Injection , som beskriver BHI (Branch History Injection), som er en bestemt form for BTI i intratilstand. Denne sikkerhedsrisiko opstår, når en hacker kan manipulere forgreningshistorikken, før der skiftes fra bruger- til supervisortilstand (eller fra VMX-ikke-root/gæst til rodtilstand). Denne manipulation kan medføre, at en indirekte forgreningsforudsigelse vælger en bestemt forudsigelig post for en indirekte gren, og en afsløringsgadget på det forudsagte mål udføres forbigående. Dette kan være muligt, fordi den relevante grenshistorik kan indeholde grene, der er taget i tidligere sikkerhedskontekster, og især andre forudsigelige tilstande.

Indstillinger for afhjælpning af windows-klienter

Sikkerhedsvejledninger (ADV'er) og CV'er indeholder oplysninger om risikoen ved disse sårbarheder, og hvordan de hjælper dig med at identificere standardtilstanden for afhjælpninger for Windows-klientsystemer. Følgende tabel opsummerer kravene til CPU-mikrokode og standardstatus for afhjælpninger på Windows-klienter.

CVE

Kræver CPU-mikrokode/firmware?

Standardstatus for afhjælpning

CVE-2017-5753

Nej

Aktiveret som standard (ingen indstilling til at deaktivere)

Du kan finde flere oplysninger i ADV180002 .

CVE-2017-5715

Ja

Aktiveret som standard. Brugere af systemer, der er baseret på AMD-processorer, bør se ofte stillede spørgsmål nr. 15, og brugere af ARM-processorer bør se Ofte stillede spørgsmål #20 på ADV180002 for yderligere handling og denne KB-artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

Bemærk! Som standard er Retpoline aktiveret for enheder, der kører Windows 10, version 1809 eller nyere, hvis Spectre Variant 2 (CVE-2017-5715) er aktiveret. Du kan få mere at vide om Retpoline ved at følge vejledningen i mitigating Spectre variant 2 med Retpoline på Windows-blogindlægget .

CVE-2017-5754

Nej

Aktiveret som standard

Du kan finde flere oplysninger i ADV180002 .

CVE-2018-3639

Intel: Ja AMD: Nej ARM: Ja

Intel og AMD: Deaktiveret som standard. Se ADV180012 for at få flere oplysninger og denne vidensbaseartikel for at finde relevante indstillinger for registreringsdatabasenøgler.

ARM: Aktiveret som standard uden mulighed for at deaktivere.

CVE-2019-11091

Intel: Ja

Aktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-12126

Intel: Ja

Aktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-12127

Intel: Ja

Aktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2018-12130

Intel: Ja

Aktiveret som standard.

Se ADV190013 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2019-11135

Intel: Ja

Aktiveret som standard.

Se CVE-2019-11135 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2022-21123 (del af MMIO ADV220002)

Intel: Ja

Windows 10, version 1809 og nyere: Aktiveret som standard.  Windows 10, version 1607 og tidligere: Deaktiveret som standard. 

Se CVE-2022-21123 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2022-21125 (en del af MMIO ADV220002)

Intel: Ja

Windows 10, version 1809 og nyere: Aktiveret som standard.  Windows 10, version 1607 og tidligere: Deaktiveret som standard. 

Se CVE-2022-21125 for at få flere oplysninger.

CVE-2022-21127 (del af MMIO ADV220002)

Intel: Ja

Windows 10, version 1809 og nyere: Aktiveret som standard.  Windows 10, version 1607 og tidligere: Deaktiveret som standard. 

Se CVE-2022-21127 for at få flere oplysninger.

CVE-2022-21166 (del af MMIO ADV220002)

Intel: Ja

Windows 10, version 1809 og nyere: Aktiveret som standard.  Windows 10, version 1607 og tidligere: Deaktiveret som standard. 

Se CVE-2022-21166 for at få flere oplysninger.

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: Nej

Se CVE-2022-23825 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: Ja

Se CVE-2023-20569 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

CVE-2022-0001

Intel: Nej

Deaktiveret som standard.

Se CVE-2022-0001 for at få flere oplysninger og denne artikel for at finde relevante indstillinger for registreringsdatabasenøgler.

Bemærk!: Aktivering af afhjælpninger, der er slået fra, kan som standard påvirke enhedens ydeevne. Den faktiske ydeevneeffekt afhænger af flere faktorer, f.eks. det specifikke chipsæt i enheden og de arbejdsbelastninger, der kører.

Indstillinger i registreringsdatabasen

Vi leverer følgende oplysninger i registreringsdatabasen for at aktivere afhjælpninger, der ikke er aktiveret som standard, som beskrevet i Security Advisories (ADV'er) og CVEs. Desuden leverer vi indstillinger for registreringsdatabasenøgler til brugere, der vil deaktivere afhjælpningerne, når det er relevant for Windows-klienter.

Vigtigt!: Dette afsnit, denne metode eller denne opgave indeholder trin, der fortæller dig, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert. Derfor skal du sørge for at følge disse trin omhyggeligt. Du kan få ekstra beskyttelse ved at sikkerhedskopiere registreringsdatabasen, før du redigerer den. Du kan derefter gendanne registreringsdatabasen, hvis der opstår et problem. Du kan få mere at vide om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, i følgende artikel i Microsoft Knowledge Base:322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows

Vigtigt!: Som standard er Retpoline aktiveret på Windows 10, version 1809 enheder, hvis Spectre, Variant 2 (CVE-2017-5715) er aktiveret. Aktivering af Retpoline på den nyeste version af Windows 10 kan forbedre ydeevnen på enheder, der kører Windows 10, version 1809 til Spectre variant 2, især på ældre processorer.

Sådan aktiverer du standardafhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Sådan deaktiverer du afhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bemærk!: En værdi på 3 er nøjagtig for FeatureSettingsOverrideMask for både indstillingerne "enable" og "disable". (Se afsnittet "Ofte stillede spørgsmål" for at få flere oplysninger om registreringsdatabasenøgler).

Sådan deaktiverer du afhjælpninger for CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiverer du standardafhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD- og ARM-CPU'er. Du skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715. Du kan få mere at vide under Ofte stillede spørgsmål #15 i ADV180002 til AMD-processorer og Ofte stillede spørgsmål #20 i ADV180002 til ARM-processorer.

Aktivér bruger-til-kerne-beskyttelse på AMD- og ARM-processorer sammen med andre beskyttelser for CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

For at aktivere afhjælpninger for CVE-2018-3639 (Speculative Store Bypass) er der standardafhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bemærk: AMD-processorer er ikke sårbare over for CVE-2017-5754 (Meltdown). Denne registreringsdatabasenøgle bruges i systemer med AMD-processorer til at aktivere standardafhjælpninger for CVE-2017-5715 på AMD-processorer og afhjælpning af CVE-2018-3639.

Sådan deaktiverer du afhjælpninger for CVE-2018-3639 (Speculative Store Bypass) *og* afhjælpninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Bruger-til-kerne-beskyttelse for CVE-2017-5715 er som standard deaktiveret for AMD-processorer. Kunderne skal aktivere afhjælpningen for at modtage yderligere beskyttelse for CVE-2017-5715.  Du kan få mere at vide under Ofte stillede spørgsmål nr. 15 i ADV180002.

Aktivér bruger-til-kerne-beskyttelse på AMD-processorer sammen med andre beskyttelser for CVE 2017-5715 og beskyttelse af CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiverer du afhjælpninger for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort-sårbarhed (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med Spect (CVE-2017-5753 & CVE-2017-5715) og Meltdown (CVE-2017-5754) varianter, herunder Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646) uden at deaktivere Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) med Hyper-Threading deaktiveret:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funktionen er installeret, skal du tilføje følgende indstilling i registreringsdatabasen:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vært, og firmwareopdateringerne er blevet anvendt: Luk alle Virtual Machines helt ned. Dette gør det muligt at anvende den firmwarerelaterede afhjælpning på værten, før vm'erne startes. Derfor opdateres vm'erne også, når de genstartes.

Genstart enheden, så ændringerne kan træde i kraft.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Genstart enheden, så ændringerne kan træde i kraft.

Sådan aktiveres afhjælpning for CVE-2022-23825 på AMD-processorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kunderne skal muligvis også deaktivere Hyper-Threading (også kaldet SMT – Samtidig multitrådning) for at være fuldt beskyttet. Se KB4073757for at få vejledning i at beskytte Windows-enheder. 

Sådan aktiveres afhjælpning for CVE-2023-20569 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Sådan aktiveres afhjælpning for CVE-2022-0001 på Intel-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Aktivering af flere afhjælpninger

Hvis du vil aktivere flere afhjælpninger, skal du tilføje den REG_DWORD værdi for hver afhjælpning sammen. 

For eksempel:

Afhjælpning for Transaction Asynchronous Abort-sårbarhed, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktiveret

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

BEMÆRK! 8264 (i decimal) = 0x2048 (i Hex)

Hvis du vil aktivere BHI sammen med andre eksisterende indstillinger, skal du bruge bitvis ELLER af aktuel værdi med 8.388.608 (0x800000). 

0x800000 ELLER 0x2048(8264 i decimalformat), og den bliver til 8.396.872 (0x802048). Samme med FeatureSettingsOverrideMask.

Afhjælpning af CVE-2022-0001 på Intel-processorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombineret afhjælpning

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Afhjælpning for Transaction Asynchronous Abort-sårbarhed, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktiveret

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Afhjælpning af CVE-2022-0001 på Intel-processorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombineret afhjælpning

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kontrollér, at beskyttelse er aktiveret

For at bekræfte, at beskyttelse er aktiveret, har vi udgivet et PowerShell-script, som du kan køre på dine enheder. Installér og kør scriptet ved hjælp af en af følgende metoder.

Installér PowerShell-modulet:

PS> Install-Module SpeculationControl

Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret:

PS> # Gem den aktuelle eksekveringspolitik, så den kan nulstilles

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS-> Get-SpeculationControlSettings

PS> # Nulstil eksekveringspolitikken til den oprindelige tilstand

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installér PowerShell-modulet fra Technet ScriptCenter:

Gå til https://aka.ms/SpeculationControlPS

Download SpeculationControl.zip til en lokal mappe.

Udpak indholdet til en lokal mappe, f.eks. C:\ADV180002

Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret:

Start PowerShell, og kopiér derefter (ved hjælp af det forrige eksempel), og kør følgende kommandoer:

PS> # Gem den aktuelle eksekveringspolitik, så den kan nulstilles

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS-> Get-SpeculationControlSettings

PS> # Nulstil eksekveringspolitikken til den oprindelige tilstand

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Du kan finde en detaljeret forklaring af outputtet af PowerShell-scriptet under KB4074629.

Ofte stillede spørgsmål

Mikrokoden leveres via en firmwareopdatering. Du bør kontakte dine CPU- (chipsæt) og enhedsproducenter om tilgængeligheden af gældende firmwaresikkerhedsopdateringer til deres specifikke enhed, herunder Intels Microcode Revision Guidance.

Løsning af en hardwaresårbarhed gennem en softwareopdatering er en stor udfordring. Desuden kræver afhjælpning af ældre operativsystemer omfattende arkitektoniske ændringer. Vi arbejder sammen med producenter af berørte chip for at finde ud af, hvordan vi bedst kan levere afhjælpninger, som kan leveres i fremtidige opdateringer.

Opdateringer til Microsoft Surface-enheder leveres til kunder via Windows Update sammen med opdateringerne til Windows-operativsystemet. Du kan få en liste over tilgængelige surface-enhedsfirmwareopdateringer (mikrokode) under KB4073065.

Hvis enheden ikke er fra Microsoft, kan du anvende firmware fra enhedsproducenten. Kontakt OEM-enhedsproducenten for at få flere oplysninger.

I februar og marts 2018 frigav Microsoft ekstra beskyttelse til nogle x86-baserede systemer. Du kan få mere at vide under KB4073757 og Microsoft Security Advisory-ADV180002.

Opdateringer til Windows 10 til HoloLens er tilgængelige for HoloLens-kunder via Windows Update.

Når holoLens-kunder har anvendt opdateringen for februar 2018 Windows Sikkerhed, behøver de ikke at foretage sig yderligere for at opdatere deres enhedsfirmware. Disse afhjælpninger medtages også i alle fremtidige versioner af Windows 10 til HoloLens.

Nej. Sikkerhedsopdateringer er ikke kumulative. Afhængigt af den version af operativsystemet, du kører, skal du installere hver eneste månedlige sikkerhedsopdateringer for at være beskyttet mod disse sårbarheder. Hvis du f.eks. kører Windows 7 til 32-bit systemer på en berørt Intel CPU, skal du installere alle sikkerhedsopdateringerne. Vi anbefaler, at du installerer disse sikkerhedsopdateringer i rækkefølge efter udgivelse.

Bemærk! En tidligere version af disse ofte stillede spørgsmål angav fejlagtigt, at sikkerhedsopdateringen for februar indeholdt de sikkerhedsrettelser, der blev udgivet i januar. Det gør det faktisk ikke.

Nej. Sikkerhedsopdatering 4078130 var en bestemt rettelse for at forhindre uforudsigelige systemadfærd, problemer med ydeevnen og/eller uventede genstart efter installation af mikrokode. Ved at anvende sikkerhedsopdateringerne fra februar på Windows-klientoperativsystemer kan alle tre afhjælpninger afhjælpes.

Intel meddelte for nylig, at de har fuldført deres valideringer og begyndte at frigive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 viser specifikke Knowledge Base-artikler efter Windows-version. Hver enkelt specifik KB indeholder Intels tilgængelige mikrokodeopdateringer efter CPU.

Dette problem blev løst i KB4093118.

AMD meddelte for nylig, at de er begyndt at frigive mikrokode til nyere CPU-platforme omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Du kan finde flere oplysninger i AMD Security Opdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Disse er tilgængelige fra OEM-firmwarekanalen.

Vi gør intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Kunderne skal have installeret Intel-mikrokode på enheder, der kører et Windows 10 operativsystem, før de opgraderer til Windows 10 April 2018-opdateringen (version 1803) for at få de seneste Intel-mikrokodeopdateringer via Windows Update.

Mikrokodeopdateringen er også tilgængelig direkte fra kataloget, hvis den ikke var installeret på enheden, før du opgraderede operativsystemet. Intel-mikrokode er tilgængelig via Windows Update, WSUS eller Microsoft Update-kataloget. Du kan finde flere oplysninger og downloadinstruktioner under KB4100347.

Du kan finde flere oplysninger i afsnittene "Anbefalede handlinger" og "Ofte stillede spørgsmål" i ADV180012 | Microsoft Guidance for Speculative Store Bypass.

For at bekræfte status for SSBD blev det Get-SpeculationControlSettings PowerShell-script opdateret for at registrere berørte processorer, status for opdateringer til SSBD-operativsystemet og processorens mikrokode, hvis det er relevant. Du kan finde flere oplysninger og hente PowerShell-scriptet under KB4074629.

Den 13. juni 2018 blev en ekstra sårbarhed, der involverede side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665. Ingen konfigurationsindstillinger (registreringsdatabase) er nødvendige for Lazy Restore FP Restore.

Du kan finde flere oplysninger om denne sårbarhed og anbefalede handlinger i Security Advisory ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Bemærk!: Ingen konfigurationsindstillinger (registreringsdatabase) er nødvendige for Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) blev offentliggjort d. 10. juli 2018 og tildelt CVE-2018-3693. Vi anser BCBS for at tilhøre den samme klasse af sårbarheder som Bounds Check Bypass (Variant 1). Vi er i øjeblikket ikke opmærksomme på nogen forekomster af BCBS i vores software, men vi fortsætter med at undersøge denne sårbarhedsklasse og vil samarbejde med branchepartnere om at frigive afhjælpninger efter behov. Vi opfordrer fortsat forskere til at indsende relevante resultater til Microsofts Speculative Execution Side Channel-dusørprogram, herunder eventuelle udnyttelige forekomster af BCBS. Softwareudviklere bør gennemgå den udviklervejledning, der blev opdateret for BCBS på https://aka.ms/sescdevguide.

Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret og tildelt flere CVEs. Disse nye "speculative execution side-channel"-sikkerhedsrisici kan bruges til at læse indholdet af hukommelse på tværs af en pålidelig grænse, og hvis de udnyttes, kan det føre til afsløring af oplysninger. En hacker kan udløse sårbarhederne via flere vektorer, afhængigt af det konfigurerede miljø. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®.

Du kan finde flere oplysninger om denne sårbarhed og en detaljeret oversigt over berørte scenarier, herunder Microsofts tilgang til afhjælpning af L1TF, i følgende ressourcer:

Kunder, der bruger 64-bit ARM-processorer, bør kontakte enheds-OEM'en for at få firmwareunderstøttelse, fordi ARM64-operativsystembeskyttelse, der afhjælper CVE-2017-5715 | Branch-destinationsinjicering (Spectre, Variant 2) kræver, at den seneste firmwareopdatering fra enheds-OEM'er træder i kraft.

Du kan finde flere oplysninger om retpoline-aktivering i vores blogindlæg: Afhjælpning af Spectre variant 2 med Retpoline i Windows

Du kan finde flere oplysninger om denne sårbarhed i Microsofts sikkerhedsvejledning: CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger.

Vi er ikke opmærksomme på nogen forekomst af denne sårbarhed i forbindelse med afsløring af oplysninger, der påvirker vores skytjenesteinfrastruktur.

Så snart vi blev opmærksomme på dette problem, arbejdede vi hurtigt på at løse det og udgive en opdatering. Vi tror på tætte partnerskaber med både forskere og branchepartnere for at gøre kunderne mere sikre og offentliggjorde ikke detaljer før tirsdag d. 6. august i overensstemmelse med koordineret offentliggørelse af sårbarheder.

Referencer

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.