Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Pažeidžiamumą

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują su spėjamu vykdymu susijusių šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį. Šie pažeidžiamumai pašalinti šiuose CVEs:

Svarbu: Šios problemos paveiks kitas operacines sistemas, pvz., "Android", "Chrome", "iOS" ir "MacOS". Rekomenduojame kreiptis pagalbos iš šių atitinkamų tiekėjų.

Išleidome naujinimus, kad padėtumėte sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas. Primygtinai rekomenduojame įdiegti šiuos naujinimus.

Daugiau informacijos apie šią problemą žr. toliau pateiktu saugos patarimu ir naudokite scenarijumi pagrįstas rekomendacijas, kad nustatytumėte veiksmus, kurių reikia grėsmei sumažinti:

Pastaba: Rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie "Windows" branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.

2019 m. liepos 9 d. išleidome "Windows" operacinės sistemos saugos naujinimus, kad padėtumėte išspręsti šią problemą. Atkreipkite dėmesį, kad iki 2019 m. rugpjūčio 6 d., antradienį, rugpjūčio 6 d., koordinuotai pramonei neatskleidėme šio poveikio mažinimo dokumentų viešai.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Nereikia papildomai konfigūruoti.

Pastaba: Šis pažeidžiamumas nereikalauja mikrokodo naujinimo iš įrenginio gamintojo (OĮG).

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus, žr. "Microsoft" saugos naujinimo vadovą:

2019 m. lapkričio 12 d. "Intel" paskelbė techninį patarimą dėl "Intel" operacijų sinchronizavimo plėtinių ("Intel TSX") operacijos asinchroninio nutraukimo pažeidžiamumo, kuriam priskirtas CVE-2019-11135. Išleidome naujinimus, kurie padės sumažinti šį pažeidžiamumą. Pagal numatytuosius parametrus OS apsaugos yra įgalintos "Windows" kliento OS leidimuose.

2022 m. birželio 14 d. paskelbėme ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų. Thes pažeidžiamumas yra priskirtas šių CVEs:

Rekomenduojami veiksmai

Norėdami apsisaugoti nuo šių pažeidžiamumų, turite imtis šių veiksmų:

  1. Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.

  2. Taikykite galiojantį programinės-aparatinės įrangos (mikrokodo) naujinimą, kurį teikia įrenginio gamintojas.

  3. Įvertinkite riziką savo aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimų ADV180002, ADV180012, ADV190013 ir ADV220002,taip pat šiame straipsnyje pateiktą informaciją.

  4. Atlikite reikiamus veiksmus naudodami patarimus ir registro rakto informaciją, pateiktą šiame straipsnyje.

Pastaba: "Surface" klientai gaus mikrokodo naujinimą per "Windows Update". Naujausių galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065".

2022 m. liepos 12 d. paskelbėme CVE-2022-23825 | AMD CPU šakų tipų sumaišymas, kuris aprašo, kad pseudonimai šakų numatyme gali sukelti tam tikrų AMD procesorių nuspėti netinkamą šakos tipą. Ši problema gali sukelti informacijos atskleidimą.

Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, išleistus 2022 m. liepos mėn. arba vėliau, tada imtis veiksmų pagal CVE-2022-23825 ir registro rakto informaciją, pateiktą šiame žinių bazė straipsnyje.

Daugiau informacijos žr. AMD-SB-1037 saugos biuletenyje.

2023 m. rugpjūčio 8 d. paskelbėme CVE-2023-20569 | AMD CPU atgalinio adreso numatymas (dar žinomas kaip "Inception"), aprašantis naują spekuliacinį šalutinių kanalų ataką, dėl kurios gali būti spekuliatyviai vykdomas užpuolikas valdomas adresas. Ši problema turi įtakos tam tikriems AMD procesoriams ir gali lemti informacijos atskleidimą.

Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, kurių data yra 2023 m. rugpjūčio mėn. arba vėliau, tada imtis veiksmų, kaip reikalaujama CVE-2023-20569 ir registro rakto informacija, pateikta šiame žinių bazė straipsnyje.

Daugiau informacijos žr. AMD-SB-7005 saugos biuletenyje.

2024 m. balandžio 9 d. paskelbėme CVE-2022-0001 | "Intel Branch History" įdėjimas , kuris aprašo filialo istorijos įdėjimas (BHI), kuris yra konkrečios formos vidinio režimo BTI. Šis pažeidžiamumas atsiranda, kai pažeidėjas gali valdyti šakos retrospektyvą prieš pereidamas iš vartotojo į priežiūros režimą (arba iš VMX ne šakninio / svečio į šakninį režimą). Dėl šio manipuliavimo netiesioginis šakos numatymas gali pasirinkti konkretų netiesioginio šakos prognozės įrašą, o atskleidimo įtaisas, esantis numatytame tiksliniame objekte, bus laikinai vykdomas. Tai gali būti įmanoma, nes atitinkamoje šakų retrospektyvoje gali būti šakų, paimtų ankstesniuose saugos kontekstuose, ypač kitų prognozės režimų.

"Windows" klientų rizikos mažinimo parametrai

Saugos patarimai (ADV) ir CVEs teikia informaciją apie šių pažeidžiamumų keliamą riziką ir kaip jie padeda nustatyti numatytąją rizikos mažinimo būseną "Windows" klientų sistemoms. Toliau pateiktoje lentelėje apibendrinami CPU mikrokodo reikalavimai ir numatytoji rizikos mažinimo būsena "Windows" klientuose.

GYVENIMO APRAŠYMAS

Reikia CPU mikrokodo / programinės-aparatinės įrangos?

Rizikos mažinimo numatytoji būsena

CVE-2017-5753

Ne

Įgalinta pagal numatytuosius parametrus (nėra parinkties išjungti)

Papildomos informacijos ieškokite ADV180002 .

CVE-2017-5715

Taip

Įjungta pagal numatytuosius parametrus. AMD procesoriais pagrįstų sistemų vartotojai turėtų matyti DUK #15, o ARM procesorių vartotojai turėtų matyti DUK #20 apie ADV180002 , kad galėtų atlikti papildomus veiksmus, ir šį KB straipsnį apie taikomus registro rakto parametrus.

Pastaba Pagal numatytuosius parametrus "Retpoline" įgalinamas įrenginiuose, kuriuose veikia Windows 10" 1809 arba naujesnė versija, jei įjungtas "Spectre Variant 2" (CVE-2017-5715). Norėdami gauti daugiau informacijos apie "Retpoline", vadovaukitės nurodymais, pateikiamais "Spectre" 2 variante su "Retpoline" "Windows" tinklaraščio įraše.

CVE-2017-5754

Ne

Įgalinta pagal numatytuosius parametrus

Papildomos informacijos ieškokite ADV180002 .

CVE-2018-3639

"Intel": taip AMD: Ne ARM: taip

"Intel" ir AMD: išjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV180012 ir šiame KB straipsnyje apie taikomus registro rakto parametrus.

ARM: įjungta pagal numatytuosius parametrus be parinkties išjungti.

CVE-2019-11091

"Intel": taip

Įjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12126

"Intel": taip

Įjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12127

"Intel": taip

Įjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12130

"Intel": taip

Įjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2019-11135

"Intel": taip

Įjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. CVE-2019-11135 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21123 (MMIO ADV220002 dalis)

"Intel": taip

Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus.  Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus. 

Daugiau informacijos žr. CVE-2022-21123 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21125 (MMIO ADV220002 dalis)

"Intel": taip

Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus.  Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus. 

Daugiau informacijos žr. CVE-2022-21125 .

CVE-2022-21127 (MMIO ADV220002 dalis)

"Intel": taip

Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus.  Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus. 

Daugiau informacijos žr. CVE-2022-21127 .

CVE-2022-21166 (MMIO ADV220002 dalis)

"Intel": taip

Windows 10 1809 ir naujesnės versijos: įgalinta pagal numatytuosius parametrus.  Windows 10, 1607 ir ankstesnės versijos: išjungta pagal numatytuosius parametrus. 

Daugiau informacijos žr. CVE-2022-21166 .

CVE-2022-23825 (AMD CPU šakų tipų sumaištis)

AMD: Ne

Daugiau informacijos žr. CVE-2022-23825 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2023-20569 (AMD CPU atgalinio adreso numatymas)

AMD: taip

Daugiau informacijos žr. CVE-2023-20569 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-0001

"Intel": ne

Išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. CVE-2022-0001 ir šiame straipsnyje apie taikomus registro rakto parametrus.

Pastaba: Pagal numatytuosius parametrus išjungtų rizikos mažinimo priemonių įgalinimas gali turėti įtakos įrenginio našumui. Faktinis veikimo poveikis priklauso nuo kelių veiksnių, pvz., konkretaus įrenginio lustų rinkinio ir veikiančių darbo krūvių.

Registro parametrai

Pateikiame šią registro informaciją, kad įgalintume rizikos mažinimus, kurie nėra įjungti pagal numatytuosius parametrus, kaip aprašyta saugos patarimuose (ADV) ir CVEs. Be to, teikiame registro rakto parametrus vartotojams, kurie nori išjungti rizikos mažinimą, kai taikoma "Windows" klientams.

Svarbu: Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Daugiau informacijos apie tai, kaip sukurti atsarginę registro kopiją ir atkurti registrą, ieškokite šiame "Microsoft" žinių bazės straipsnyje:322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"

Svarbu: Pagal numatytuosius parametrus "Retpoline" įgalinamas Windows 10" 1809 versijos įrenginiuose, jei įjungta "Spectre", 2 variantas (CVE-2017-5715). Įjungus "Retpoline" naujausioje Windows 10 versijoje, gali pagerėti efektyvumas įrenginiuose, kuriuose veikia "Windows 10", 1809 versija, skirta "Spectre" 2 variantui, ypač senesniems procesoriams.

Norėdami įgalinti numatytąsias priemones CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti rizikos mažinimą CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pastaba:  3 reikšmė yra tiksli FeatureSettingsOverrideMask parametrams "enable" ir "disable". (Daugiau informacijos apie registro raktus žr. skyriuje DUK.)

Norėdami išjungti priemones, skirtas CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti numatytąsias priemones CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pagal numatytuosius parametrus CVE-2017-5715 vartotojo ir branduolio apsauga išjungta AMD ir ARM CPU. Turite įgalinti rizikos mažinimą, kad gautumėte papildomą CVE-2017-5715 apsaugą. Daugiau informacijos žr. DUK #15 ADV180002 AMD procesoriams ir DUK #20 dalyje ADV180002 ARM procesoriams.

Įgalinkite vartotojo ir branduolio apsaugą AMD ir ARM procesoriuose kartu su kitomis CVE 2017-5715 apsaugos.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti CVE-2018-3639 ("Speculative Store Bypass") mažinimus, numatytuosius cve-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pastaba: AMD procesoriai nėra pažeidžiami CVE-2017-5754 (Meltdown). Šis registro raktas naudojamas sistemose su AMD procesoriais, kad būtų įgalintas numatytasis rizikos mažinimas CVE-2017-5715 AMD procesoriuose ir rizikos mažinimas CVE-2018-3639.

Norėdami išjungti CVE-2018-3639 ("Speculative Store Bypass") *ir* rizikos mažinimus, skirtus CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pagal numatytuosius parametrus VARTOTOJŲ apsauga nuo branduolio CVE-2017-5715 išjungta AMD procesoriams. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. " ADV180002" DUK #15.

Vartotojų apsaugos nuo branduolio įgalinimas AMD procesoriuose kartu su kitomis CVE 2017-5715 apsaugos ir CVE-2018-3639 ("Speculative Store Bypass") apsauga:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijai asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai (CVE-2019-2019-04) 11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir "Meltdown" (CVE-2017-5754) variantai, įskaitant "Specul" "Store" apėjimo išjungimas (SSBD) (CVE-2018-3639), taip pat L1 terminalo triktis (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646) neišjungiant "Hyper-Threading":

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) kai Hyper-Threading išjungta:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įjungti RIZIKOS mažinimą CVE-2022-23825 AMD procesoriuose :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kad būtų visiškai apsaugoti, klientams taip pat gali tekti išjungti Hyper-Threading (dar vadinamą vienalaikiu kelių gijų gija (SMT).) Instrukcijas, kaip apsaugoti "Windows" įrenginius, žr. KB4073757

Norėdami įjungti RIZIKOS mažinimą CVE-2023-20569 AMD procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Norėdami įjungti rizikos mažinimą CVE-2022-0001 "Intel" procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kelių rizikos mažinimo priemonių įgalinimas

Norėdami įgalinti kelis mažinimus, turite įtraukti REG_DWORD reikšmę kiekvieną rizikos mažinimą kartu. 

Toliau pateikiami keli pavyzdžiai.

Operacijos asinchroninio nutraukimo pažeidžiamumo, mikroarchitektūros duomenų pavyzdžių rinkimo, "Spectre", "Meltdown", MMIO, "Speculative Store Bypass Disable" (SSBD) ir L1 terminalo gedimo (L1TF) mažinimas su išjungtu Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

PASTABA 8264 (dešimtainiu tikslumu) = 0x2048 (heksu)

Norėdami įjungti BHI kartu su kitais esamais parametrais, turėsite naudoti dabartinę reikšmę OR bitais su 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 dešimtainis) ir jis taps 8 396 872 (0x802048). Tas pats su FeatureSettingsOverrideMask.

"Mitigation for CVE-2022-0001" "Intel" procesoriais

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Suderintas mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Operacijos asinchroninio nutraukimo pažeidžiamumo, mikroarchitektūros duomenų pavyzdžių rinkimo, "Spectre", "Meltdown", MMIO, "Speculative Store Bypass Disable" (SSBD) ir L1 terminalo gedimo (L1TF) mažinimas su išjungtu Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

"Mitigation for CVE-2022-0001" "Intel" procesoriais

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Suderintas mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Patikrinkite, ar įgalintos apsaugos

Siekdami patikrinti, ar įjungta apsauga, paskelbėme "PowerShell" scenarijų, kurį galite paleisti savo įrenginiuose. Įdiekite ir vykdykite scenarijų vienu iš toliau nurodytų būdų.

Įdiekite "PowerShell" modulį:

PS> Install-Module SpeculationControl

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga:

PS> # Įrašyti dabartinę vykdymo strategiją, kad ją būtų galima nustatyti iš naujo

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Iš naujo nustatyti vykdymo strategijos pradinę būseną

PS> Set-ExecutionPolicy $SaveExecutionPolicy - aprėpties dabartinisvartotojas

Įdiekite "PowerShell" modulį iš "Technet ScriptCenter":

Eiti į https://aka.ms/SpeculationControlPS

Atsisiųskite SpeculationControl.zip į vietinį aplanką.

Išskleiskite turinį į vietinį aplanką, pvz., C:\ADV180002

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga:

Paleiskite "PowerShell", tada (naudodami ankstesnį pavyzdį) nukopijuokite ir vykdykite šias komandas:

PS> # Įrašyti dabartinę vykdymo strategiją, kad ją būtų galima nustatyti iš naujo

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Iš naujo nustatyti vykdymo strategijos pradinę būseną

PS> Set-ExecutionPolicy $SaveExecutionPolicy - aprėpties dabartinisvartotojas

Išsamų "PowerShell" scenarijaus išvesties paaiškinimą žr. KB4074629.

Dažnai užduodami klausimai

Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Turėtumėte kreiptis į savo CPU (lustų rinkinį) ir įrenginių gamintojus dėl jų konkrečiam įrenginiui taikomų programinės-aparatinės įrangos saugos naujinimų prieinamumo, įskaitant "Intels" mikrokodo redakcijos gaires.

Aparatūros pažeidžiamumo šalinimas naudojant programinės įrangos naujinimą kelia didelių problemų. Be to, senesnių operacinių sistemų mažinimui reikia išsamių architektūros pakeitimų. Dirbame su paveiktų lustų gamintojais, kad nustatytumėte geriausią rizikos mažinimo priemonių, kurios gali būti pateiktos būsimuose naujinimuose, teikimo būdą.

"Microsoft Surface" įrenginių Naujinimai bus pateiktos klientams per "Windows Update" kartu su "Windows" operacinės sistemos naujinimais. Galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065".

Jei jūsų įrenginio gamintojas nėra „Microsoft“, taikykite įrenginio gamintojo išleistą programinę-aparatinę įrangą. Norėdami gauti daugiau informacijos, kreipkitės į OĮG įrenginio gamintoją.

2018 m. vasario ir kovo mėn. "Microsoft" išleido papildomą apsaugą kai kurioms x86 pagrindo sistemoms. Daugiau informacijos žr. KB4073757 ir "Microsoft" saugos patarimų ADV180002.

Naujinimai "HoloLens" Windows 10 "HoloLens" klientams pasiekiamos per "Windows Update".

Pritaikius 2018 m. vasario mėn. "Windows" sauga naujinimą, "HoloLens" klientai neturi imtis jokių papildomų veiksmų įrenginio programinei-aparatinei įrangai atnaujinti. Šios rizikos mažinimo priemonės taip pat bus įtrauktos į visus būsimus "holoLens" skirtus Windows 10 leidimus.

Ne. Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į naudojamą operacinės sistemos versiją, turėsite įdiegti kiekvieną mėnesinį tik saugos naujinimą, kad apsisaugotumėte nuo šių pažeidžiamumų. Pavyzdžiui, jei naudojate "Windows 7" 32 bitų sistemoms paveiktame "Intel" CPU, turite įdiegti visus tik saugos naujinimus. Rekomenduojame įdiegti šiuos tik saugos naujinimus leidimo tvarka.

Pastaba Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, išleistos sausio mėn. Tiesą sakant, tai nėra.

Ne. Saugos naujinimo 4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir (arba) netikėtų paleidimų iš naujo įdiegus mikrokodą. Vasario mėn. saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus.

"Intel" neseniai paskelbė, kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra galimų „Intel“ mikrokodų naujinimai pagal CPU.

Ši problema buvo išspręsta KB4093118.

AMD neseniai paskelbė, kad jie pradėjo išleisti mikrokodo naujesnių CPU platformų aplink Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Pateikiame prieinamus "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant operacinę sistemą. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB4100347.

Daugiau informacijos žr. ADV180012 | skiltyse "Rekomenduojami veiksmai" ir "DUK" "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, buvo atnaujintas Get-SpeculationControlSettings "PowerShell" scenarijus, kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. "Lazy Restore FP Restore" nereikia jokių konfigūracijos (registro) parametrų.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus, žr. saugos patarimą ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore".

Pastaba: "Lazy Restore FP Restore" nereikia jokių konfigūracijos (registro) parametrų.

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nesame susipažinę su jokiais BCBS egzemplioriais savo programinėje įrangoje, tačiau toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad prireikus išleistume pažeidžiamumą mažinančias priemones. Mes ir toliau skatiname tyrėjus pateikti atitinkamas išvadas į "Microsoft" spekuliacinio vykdymo šalutinių kanalų dosninę programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo rekomendacijas, kurios buvo atnaujintos BCBS https://aka.ms/sescdevguide.

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Pažeidėjas gali sukelti pažeidžiamumą per kelis vektorius, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų peržiūrėti paveiktus scenarijus, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos sumažina CVE-2017-5715 | Branch target injection (Spectre, Variant 2) require the latest firmware update from device OĮG to effect.

Norėdami gauti daugiau informacijos apie "Retpoline" įgalinimą, žr. mūsų tinklaraščio įrašą: "Spectre" 2 varianto švelninimas naudojant "Retpoline" sistemoje "Windows"

Daugiau informacijos apie šį pažeidžiamumą žr. "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.

Nuorodos

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.