Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Sebezhetőség

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályáról szóló információkat. Ezeket a biztonsági réseket a következő CVE-k kezelik:

Fontos: Ezek a problémák más operációs rendszereket, például Androidot, Chrome-ot, iOS-t és MacOS-t is érintenek. Javasoljuk, hogy kérjen útmutatást ezektől a szállítóktól.

Frissítéseket adtunk ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadást, és használja a forgatókönyvalapú útmutatót a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:

Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.

2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre Variant 1 spekulatív végrehajtási oldalcsatorna biztonsági résének változata, és CVE-2019-1125 lett hozzárendelve.

2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma megoldása érdekében. Kérjük, vegye figyelembe, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-án, kedden összehangolt iparági közzétételig tartottuk.

Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Nincs szükség további konfigurációra.

Megjegyzés: Ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).

A biztonsági résről és a vonatkozó frissítésekről a Microsoft biztonsági frissítési útmutatójában talál további információt:

2019. november 12-én az Intel műszaki tanácsadást tett közzé az Intel transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort biztonsági résével kapcsolatban, amelyhez CVE-2019-11135 van hozzárendelve. Frissítéseket adtunk ki a biztonsági rés csökkentése érdekében. Alapértelmezés szerint az operációs rendszer védelme engedélyezve van a Windows-ügyfél operációsrendszer-kiadásaihoz.

2022. június 14-én közzétettük ADV220002 | Microsoft-útmutató az Intel processzor MMIO elavult adat biztonsági réseihez. A biztonsági rések a következő CVE-kben vannak hozzárendelve:

Ajánlott műveletek

A biztonsági rések elleni védelem érdekében az alábbi műveleteket kell elvégeznie:

  1. Alkalmazza az összes elérhető Windows operációsrendszer-frissítést, beleértve a havi Windows biztonsági frissítéseket is.

  2. Alkalmazza az eszköz gyártója által biztosított megfelelő belsővezérlőprogram-frissítést (mikrokód).

  3. A microsoftos biztonsági tanácsadók ADV180002, ADV180012, ADV190013 és ADV220002által biztosított információkon felül értékelje ki a környezetre vonatkozó kockázatokat.

  4. Az ebben a cikkben található tanácsadási és beállításkulcs-információk segítségével szükség szerint elvégezheti a szükséges lépéseket.

Megjegyzés: A Surface-ügyfelek a Windows Update-ben kapnak mikrokódfrissítést. A Surface-eszköz belső vezérlőprogramjának (mikrokód) legújabb frissítéseiről a KB4073065 című témakörben olvashat.

2022. július 12-én megjelent a CVE-2022-23825 | AMD CPU-ágtípus – Az ág-előrejelző aliasai miatt előfordulhat, hogy egyes AMD-processzorok nem a megfelelő ágtípust jelzik előre. Ez a probléma információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően dátumozott Windows-frissítéseket, majd végezze el a CVE-2022-23825 és az ebben a tudásbázis cikkben szereplő beállításkulcs-információk által megkövetelt lépéseket.

További információ: AMD-SB-1037 biztonsági közlemény.

2023. augusztus 8-án megjelent a CVE-2023-20569 | AMD CPU Return Address Predictor (más néven Inception), amely egy új spekulatív mellékcsatorna-támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által vezérelt címen. Ez a probléma bizonyos AMD-processzorokat érint, és információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően dátummal ellátott Windows-frissítéseket, majd végezze el a CVE-2023-20569 és a beállításkulcsnak az ebben a tudásbázis cikkben megadott műveletet.

További információ: AMD-SB-7005 biztonsági közlemény.

2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás ), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.

A Windows-ügyfelek kockázatcsökkentési beállításai

A biztonsági tanácsadások (ADV-k) és a CVE-k információt nyújtanak a biztonsági rések által jelentett kockázatról, valamint arról, hogyan segítenek azonosítani a Windows-ügyfélrendszerek alapértelmezett kockázatcsökkentési állapotát. Az alábbi táblázat összefoglalja a cpu-mikrokód követelményét és a Windows-ügyfeleken a kockázatcsökkentések alapértelmezett állapotát.

CVE

Processzor-mikrokódra/belső vezérlőprogramra van szüksége?

Kockázatcsökkentés – Alapértelmezett állapot

CVE-2017-5753

Nem

Alapértelmezés szerint engedélyezve (nincs lehetőség letiltására)

További információért tekintse meg a ADV180002 .

CVE-2017-5715

Igen

Alapértelmezés szerint engedélyezve van. Az AMD-processzorokon alapuló rendszerek felhasználóinak a 15. gyakori kérdéseket kell látniuk, az ARM-processzorok felhasználóinak pedig a ADV180002 20. számú gyakori kérdéseket kell látniuk további műveletekhez, valamint a vonatkozó beállításkulcs-beállításokról szóló tudásbáziscikket.

Megjegyzés Alapértelmezés szerint a Retpoline engedélyezve van az Windows 10, 1809-es vagy újabb verziót futtató eszközökön, ha a Spectre Variant 2 (CVE-2017-5715) engedélyezve van. A Retpoline rel kapcsolatos további információkért kövesse a Windows retpoline-on futó Retpoline-nal foglalkozó 2. specifikációs változatának mérséklése című blogbejegyzés útmutatását.

CVE-2017-5754

Nem

Alapértelmezés szerint engedélyezve

További információért tekintse meg a ADV180002 .

CVE-2018-3639

Intel: Igen AMD: Nem ARM: Igen

Intel és AMD: Alapértelmezés szerint le van tiltva. A vonatkozó beállításkulcs-beállításokról további információt a ADV180012 és a tudásbáziscikkben talál.

ARM: Alapértelmezés szerint letiltás nélkül engedélyezve van.

CVE-2019-11091

Intel: Igen

Alapértelmezés szerint engedélyezve van.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál.

CVE-2018-12126

Intel: Igen

Alapértelmezés szerint engedélyezve van.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál.

CVE-2018-12127

Intel: Igen

Alapértelmezés szerint engedélyezve van.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál.

CVE-2018-12130

Intel: Igen

Alapértelmezés szerint engedélyezve van.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 és ebben a cikkben talál.

CVE-2019-11135

Intel: Igen

Alapértelmezés szerint engedélyezve van.

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2019-11135 című témakörben és ebben a cikkben talál.

CVE-2022-21123 (az MMIO ADV220002 része)

Intel: Igen

Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van.  Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva. 

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-21123 című témakörben és ebben a cikkben talál.

CVE-2022-21125 (az MMIO ADV220002 része)

Intel: Igen

Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van.  Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva. 

További információ: CVE-2022-21125 .

CVE-2022-21127 (az MMIO ADV220002 része)

Intel: Igen

Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van.  Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva. 

További információ: CVE-2022-21127 .

CVE-2022-21166 (az MMIO ADV220002 része)

Intel: Igen

Windows 10, 1809-es verzió és újabb verziók: Alapértelmezés szerint engedélyezve van.  Windows 10, 1607-es és korábbi verzió: Alapértelmezés szerint le van tiltva. 

További információ: CVE-2022-21166 .

CVE-2022-23825 (AMD CPU-ágtípus zavara)

AMD: Nem

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-23825 című témakörben talál.

CVE-2023-20569 (AMD CPU return address predictor)

AMD: Igen

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2023-20569 című témakörben és ebben a cikkben talál.

CVE-2022-0001

Intel: Nem

Alapértelmezés szerint le van tiltva.

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-0001 című témakörben és ebben a cikkben talál.

Megjegyzés: Alapértelmezés szerint a kikapcsolt kockázatcsökkentések engedélyezése hatással lehet az eszköz teljesítményére. A tényleges teljesítményhatás több tényezőtől függ, például az eszköz adott lapkakészletétől és a futó számítási feladatoktól.

Beállításjegyzék-beállítások

Az alapértelmezetten nem engedélyezett kockázatcsökkentések engedélyezéséhez a következő beállításjegyzék-információkat biztosítjuk a Biztonsági tanácsadók (ADV-k) és a CVE-k dokumentációjában leírtak szerint. Emellett beállításkulcs-beállításokat is biztosítunk azoknak a felhasználóknak, akik le szeretnék tiltani a kockázatcsökkentéseket, ha azok alkalmazhatók a Windows-ügyfelekre.

Fontos: Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot kell készítenie a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről és visszaállításáról további információt a Microsoft Tudásbázis következő cikkében talál:322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban

Fontos: Alapértelmezés szerint a Retpoline engedélyezve van Windows 10, 1809-es verzió eszközökön, ha a Spectre, Variant 2 (CVE-2017-5715) engedélyezve van. Ha engedélyezi a Retpoline-t a Windows 10 legújabb verzióján, az javíthatja a teljesítményt a Spectre 2. változatának Windows 10, 1809-es verzió futó eszközökön, különösen a régebbi processzorokon.

A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) alapértelmezett kockázatcsökkentéseinek engedélyezése

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentéseinek letiltása

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Megjegyzés: A 3 érték pontos a FeatureSettingsOverrideMask beállításnál az "engedélyezés" és a "letiltás" beállításnál is. (A beállításkulcsokkal kapcsolatos további részletekért tekintse meg a "GYIK" szakaszt.)

A CVE-2017-5715 (Spectre Variant 2) kockázatcsökkentéseinek letiltása:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) alapértelmezett kockázatcsökkentéseinek engedélyezése:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD és arm processzorok esetében. Engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjon a CVE-2017-5715-höz. További információkért lásd az AMD-processzorok ADV180002 15. és az ARM-processzorok ADV180002 20. gyakori kérdéseit.

A CVE 2017-5715 egyéb védelmi megoldásaival együtt engedélyezze a felhasználók és a kernelek elleni védelmet az AMD- és ARM-processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2018-3639 (spekulatív tároló megkerülése) kockázatcsökkentéseinek engedélyezéséhez a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) alapértelmezett kockázatcsökkentései:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Megjegyzés: Az AMD processzorok nincsenek kitéve a CVE-2017-5754 (Meltdown) sebezhetőségnek. Ezt a beállításkulcsot az AMD-processzorokkal rendelkező rendszerekben használják az AMD processzorokon futó CVE-2017-5715 alapértelmezett kockázatcsökkentésének és a CVE-2018-3639 kockázatcsökkentésének engedélyezéséhez.

A CVE-2018-3639 (spekulatív tároló megkerülése) *és* kockázatcsökkentéseinek letiltása a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) esetében

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz.  További információt a gyakori kérdések #15 ADV180002 című témakörben talál.

Engedélyezze a felhasználók és a kernelek védelmét az AMD processzorokon a CVE 2017-5715 és a CVE-2018-3639 (spekulatív tároló megkerülése) egyéb védelmi szolgáltatásaival együtt:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Az Intel transactional Synchronization Extensions (Intel TSX) transaction Asynchronous Abort (CVE-2019-11135) és a microarchitectural Data Sampling (CVE-201) kockázatcsökkentéseinek engedélyezése 9-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) és Spectre (CVE-2017-5753 & CVE-2017-5715) és Meltdown (CVE-2017-5754) változatok, beleértve a spekulatív tároló megkerülő letiltását (SSBD) (CVE-2018-3639), valamint az L1 terminálhibát (L1TF) (CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646) a hyper-threading letiltása nélkül:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) Hyper-Threading letiltva:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A teljes védelem érdekében előfordulhat, hogy az ügyfeleknek le kell tiltania a Hyper-Threading (más néven egyidejű többszálúság (SMT)). A Windows-eszközök védelmére vonatkozó útmutatásért lásd: KB4073757

A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A CVE-2022-0001 megoldásának engedélyezése Intel processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Több kockázatcsökkentés engedélyezése

Több kockázatcsökkentés engedélyezéséhez össze kell adnia az egyes kockázatcsökkentések REG_DWORD értékét. 

Például:

A tranzakciók aszinkron megszakításával kapcsolatos biztonsági rés, a mikroarchitekturális adatok mintavételezése, a spectre, a meltdown, az MMIO, a spekulatív tár megkerülési letiltása (SSBD) és az L1 terminálhiba (L1TF) elhárítása letiltott Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

MEGJEGYZÉS 8264 (decimális) = 0x2048 (hexadecimális)

A BHI és más meglévő beállítások engedélyezéséhez bitenkénti VAGY aktuális értéket kell használnia 8 388 608 -tal (0x800000). 

0x800000 VAGY 0x2048 (8264 decimális), és 8 396 872 lesz (0x802048). Ugyanaz a FeatureSettingsOverrideMask elemnél is.

A CVE-2022-0001 elhárítás Intel processzorokon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinált kockázatcsökkentés

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

A tranzakciók aszinkron megszakításával kapcsolatos biztonsági rés, a mikroarchitekturális adatok mintavételezése, a spectre, a meltdown, az MMIO, a spekulatív tár megkerülési letiltása (SSBD) és az L1 terminálhiba (L1TF) elhárítása letiltott Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

A CVE-2022-0001 elhárítás Intel processzorokon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinált kockázatcsökkentés

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Ellenőrizze, hogy a védelem engedélyezve van-e

A védelem engedélyezésének ellenőrzéséhez közzétettünk egy PowerShell-szkriptet, amelyet futtathat az eszközein. Telepítse és futtassa a szkriptet az alábbi módszerek egyikével.

Telepítse a PowerShell-modult:

PS> Install-Module SpeculationControl

Futtassa a PowerShell-modult a védelem engedélyezésének ellenőrzéséhez:

PS> # Mentse az aktuális végrehajtási szabályzatot, hogy alaphelyzetbe lehessen állítani

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # A végrehajtási szabályzat visszaállítása az eredeti állapotra

PS> Set-ExecutionPolicy $SaveExecutionPolicy – Hatókör aktuális felhasználója

Telepítse a PowerShell-modult a Technet ScriptCenterből:

Ugrás a https://aka.ms/SpeculationControlPS

Töltse le SpeculationControl.zip egy helyi mappába.

Bontsa ki a tartalmat egy helyi mappába, például C:\ADV180002

Futtassa a PowerShell-modult a védelem engedélyezésének ellenőrzéséhez:

Indítsa el a PowerShellt, majd (az előző példával) másolja és futtassa a következő parancsokat:

PS> # Mentse az aktuális végrehajtási szabályzatot, hogy alaphelyzetbe lehessen állítani

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # A végrehajtási szabályzat visszaállítása az eredeti állapotra

PS> Set-ExecutionPolicy $SaveExecutionPolicy – Hatókör aktuális felhasználója

A PowerShell-szkript kimenetének részletes magyarázatáért lásd: KB4074629.

Gyakori kérdések

A mikrokód egy belső vezérlőprogram-frissítésen keresztül érhető el. Ellenőrizze a cpu-t (lapkakészletet) és az eszközgyártókat, hogy rendelkezésre állnak-e az adott eszközre vonatkozó belsővezérlőprogram-biztonsági frissítések, beleértve az Intels microcode változatának útmutatóját.

A hardveres biztonsági rés szoftverfrissítésen keresztüli kezelése jelentős kihívást jelent. Emellett a régebbi operációs rendszerek kockázatcsökkentései jelentős architekturális módosításokat igényelnek. Az érintett chipgyártókkal együtt dolgozunk azon, hogy meghatározzuk a legjobb megoldást a kockázatcsökkentésre, amely a jövőbeli frissítésekben is megjelenhet.

A Microsoft Surface-eszközökhöz készült Frissítések Windows Update és a Windows operációs rendszer frissítéseivel együtt jutnak el az ügyfelekhez. A Surface-eszköz belső vezérlőprogramjának (mikrokódjának) elérhető frissítéseit lásd: KB4073065.

Ha az eszköz nem a Microsofttól származik, az eszköz gyártója által kibocsátott belső vezérlőprogramot kell alkalmazni. További információért forduljon az OEM-eszköz gyártójától.

2018 februárjában és márciusában a Microsoft új védelmet adott ki néhány x86-alapú rendszerhez. További információ: KB4073757 és a Microsoft biztonsági tanácsadási ADV180002.

A HoloLenshez Windows 10 Frissítések a HoloLens ügyfelei Windows Update keresztül érhetik el.

A 2018. februári Windows biztonság Update alkalmazása után a HoloLens-ügyfeleknek nem kell további lépéseket tenniük az eszköz belső vezérlőprogramjának frissítéséhez. Ezek a kockázatcsökkentések a HoloLenshez készült Windows 10 összes jövőbeli kiadásában is szerepelni fognak.

Nem. A Csak biztonsági frissítések nem halmozottak. A futtatott operációs rendszer verziójától függően minden havi csak biztonsági frissítést telepítenie kell, hogy ezek a biztonsági rések védve legyenek. Ha például 32 bites Windows 7 rendszert futtat egy érintett Intel CPU-n, telepítenie kell az összes csak biztonsági frissítést. Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.

Megjegyzés A gyik egy korábbi verziója helytelenül állította, hogy a csak februári biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Nem. A biztonsági frissítési 4078130 a mikrokód telepítése után a kiszámíthatatlan rendszerviselkedések, teljesítményproblémák és/vagy váratlan újraindítások megelőzésére szolgáló javítás volt. A februári biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi.

Az Intel nemrég bejelentette, hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. KB4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Mindegyik specifikus tudásbáziscikk tartalmazza az Intel elérhető mikrokódfrissítéseit CPU szerint.

Ezt a problémát a KB4093118 megoldottuk.

Az Intel által ellenőrzött mikrokód-frissítéseket teszünk elérhetővé a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection " körül). A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokódfrissítés közvetlenül a katalógusból is elérhető, ha nem telepítettek mikrokódot az eszközre az operációs rendszer frissítése előtt. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB4100347.

Részletekért tekintse meg a ADV180012 | "Javasolt műveletek" és "GYIK" című szakaszát . Microsoft-útmutató spekulatív áruház megkerüléséhez.

Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A biztonsági résről és az ajánlott műveletekről további információt a biztonsági tanácsadási ADV180016 | A Microsoft útmutatója a lusta FP állapot visszaállításához.

Megjegyzés: Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a BCBS-ről a szoftverünkben, de továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Továbbra is arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft Spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a https://aka.ms/sescdevguide.

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. A támadók a konfigurált környezettől függően több vektoron keresztül is aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF-et csökkentő megközelítését, az alábbi forrásanyagokban talál további információt:

A 64 bites ARM-processzorokat használó ügyfeleknek ellenőriznie kell az eszköz OEM-jének belső vezérlőprogram-támogatását, mert az ARM64 operációs rendszernek a CVE-2017-5715 elleni védelmét enyhítő védelmi funkciói | Az elágazási célinjektálás (Spectre, Variant 2) működéséhez az eszköz operációs rendszereinek legújabb belsővezérlőprogram-frissítése szükséges.

Az Azure-ra vonatkozó útmutatásért tekintse meg ezt a cikket: Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez az Azure-ban.  

A retpoline engedélyezésével kapcsolatos további információkért tekintse meg a Következő blogbejegyzést: A Spectre 2. változatának enyhítése a Windows retpoline-jával

A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.

Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.

Referenciák

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.