Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Ievainojamības

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, kas tiek dēvēta par Microar izkliedes datu iztveršanu. Šīs ievainojamības tiek novērstas šādos CV:

Svarīgi!: Šīs problēmas ietekmēs citas operētājsistēmas, piemēram, Android, Chrome, iOS un MacOS. Mēs iesakām meklēt norādījumus no šiem attiecīgajiem piegādātājiem.

Esam izlaiduši atjauninājumus, lai palīdzētu novērst šādas ievainojamības. Lai iegūtu visas pieejamās aizsardzības, ir nepieciešami aparātprogrammatūras (mikrokoda) un programmatūras atjauninājumi. Tas var ietvert mikrokodu no ierīces OEM. Dažos gadījumos šo atjauninājumu instalēšana ietekmēs veiktspēju. Mēs esam arī rīkojušies, lai aizsargātu mūsu mākoņpakalpojumus. Iesakām izvietot šos atjauninājumus.

Papildinformāciju par šo problēmu skatiet tālāk sniegtajā drošības ieteikums un izmantojiet scenāriju balstītus norādījumus, lai noteiktu darbības, kas nepieciešamas, lai mazinātu apdraudējumu:

Piezīme.: Iesakām instalēt visus jaunākos atjauninājumus no programmas Windows Update, pirms instalējat mikrokoda atjauninājumus.

2019. gada 6. augustā Intel izlaida detalizētu informāciju par Windows kodola informācijas atklāšanas ievainojamību. Šī ievainojamība ir Variant 1 apzīmētās izpildes blakus kanāla ievainojamības variants, kam ir piešķirta CVE-2019-1125.

2019. gada 9. jūlijā izlaidām operētājsistēmas Windows drošības atjauninājumus, lai palīdzētu novērst šo problēmu. Ņemiet vērā, ka mēs publiski paturam šīs risku mazināšanas darbības, līdz 2019. gada 6. augustā tika publiski pieejama koordinēta nozares atklāšana.

Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Nav nepieciešama papildu konfigurēšana.

Piezīme.: Šai ievainojamībai nav nepieciešams mikrokoda atjauninājums no ierīces ražotāja (OEM).

Papildinformāciju par šo ievainojamību un attiecināmiem atjauninājumiem skatiet Microsoft drošības atjaunināšanas rokasgrāmatā:

2019. gada 12. novembrī Intel publicēja tehnisko konsultāciju par Intel Transactional Synchronization Extensions (Intel TSX) transakciju asinhronā priekšlaikus pārtrauktas pārtraukšanas ievainojamību, kas tiek piešķirta CVE-2019-11135. Esam izlaiduši atjauninājumus, lai palīdzētu novērst šo ievainojamību. Pēc noklusējuma OS aizsardzība ir iespējota Windows Client OS izdevumos.

2022. gada 14. jūnijā mēs publicējām ADV220002 | Microsoft norādījumi par Intel procesora MMIO novecojušu datu ievainojamību. Ievainojamības ir piešķirtas šādiem CV:

Ieteicamās darbības

Lai aizsargātu šo ievainojamību, ir jāveic šādas darbības:

  1. Lietojiet visus pieejamos operētājsistēmas Windows atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus.

  2. Lietojiet aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

  3. Novērtējiet risku savā vidē, pamatojoties uz informāciju, kas sniegta Microsoft drošības konsultantos ADV180002, ADV180012, ADV190013 un ADV220002 papildusšajā rakstā sniegt šai informācijai.

  4. Rīkojieties, kā nepieciešams, izmantojot šajā rakstā sniegtos padomus un reģistra atslēgas informāciju.

Piezīme.: Surface klienti saņems mikrokoda atjauninājumu, izmantojot Windows atjauninājumu. Jaunāko pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet rakstā KB4073065.

2022. gada 12. jūlijā tika publicēts CVE-2022-23825 | AMD centrālā procesora zaru sajaukšanas veids, kas apraksta, kuri aizstājvārdi zaru prognozēšanas laikā var izraisīt noteiktu AMD procesoru izmantošanu, lai noteiktu nepareizu zaru veidu. Šāda problēma var radīt informācijas izpaušanu.

Lai palīdzētu aizsargāties no šīs ievainojamības, iesakām instalēt Windows atjauninājumus, kas ir datēti ar 2022. gada jūliju vai pēc tam, un pēc tam rīkoties, kā to pieprasa CVE-2022-23825, un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāze rakstā.

Lai iegūtu papildinformāciju, skatiet AMD-SB-1037 drošības biļetenu.

2023. gada 8. augustā tika publicēts CVE-2023-20569 | AMD centrālā procesora atpakaļadreses jutīgais (tiek dēvēts arī par inceptiju), kas apraksta jaunu speculative side channel attack that can result in speculative execution at an attacker-controlled address. Šāda problēma ietekmē noteiktus AMD procesorus un potenciāli var radīt informācijas izpaušanu.

Lai palīdzētu aizsargāties no šīs ievainojamības, iesakām instalēt Windows atjauninājumus, kas ir datēti ar 2023. gada augustu vai pēc tam, un pēc tam rīkoties, kā to pieprasa CVE-2023-20569, un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāze rakstā.

Papildinformāciju skatiet AMD-SB-7005 drošības biļetenā.

2024. gada 9. aprīlī tika publicēts CVE-2022-0001 | Intel Branch History Intra-mode BTI ir aprakstīta atzaru vēstures ievadīšanas (Branch History Injection — DARBLAPU) izveide, kas ir īpaša intra režīma BTI forma. Šī ievainojamība rodas, ja uzbrucējs var manipulēt ar zaru vēsturi pirms pārejas no lietotāja uz pārrauga režīmu (vai no VMX nav saknes/viesa uz saknes režīmu). Šāda manipulācija var izraisīt netiešu zaru prognozētāju atlasīt konkrētu prognozējamu ierakstu netiešam zaram, un atklāšanas sīkrīks prognozētā mērķī īslaicīgi tiks izpildīts. Tas var būt iespējams, jo attiecīgajā zaru vēsturē var būt zari, kas saistīti ar iepriekšējo drošības kontekstu, un jo īpaši citiem prognozētajiem režīmiem.

Windows klientu risku mazināšanas iestatījumi

Drošības padomnieki (ADV) un CV sniedz informāciju par risku, ko rada šīs ievainojamības, un to, kā tie palīdz noteikt windows klientu sistēmu pēc noklusējuma samazināto risku. Šajā tabulā apkopota centrālā procesora mikrokoda prasības un risku mazināšanas pasākumu noklusējuma statuss Windows klientos.

CVE

Vai nepieciešams centrālais mikrokods/aparātprogrammatūra?

.

CVE-2017-5753

Iespējota pēc noklusējuma (nav atspējošanas opcijas)

Papildinformāciju skatiet ADV180002 lapā.

CVE-2017-5715

Iespējota pēc noklusējuma. To sistēmu lietotājiem, kuru pamatā ir AMD procesori, ir jābūt redzamam bieži uzdotajiem jautājumiem par #15, un ARM procesoru lietotājiem ir jābūt redzamiem bieži uzdotiem jautājumiem #20 operētājsistēmā ADV180002 , lai uzzinātu par papildu darbībām, un šajā KB rakstā esošajiem reģistra atslēgu iestatījumiem.

Piezīme Pēc noklusējuma Retpoline ir iespējots ierīcēm, kurās darbojas Windows 10, versija 1809 vai jaunāka, ja Lauka variants 2 (CVE-2017-5715) ir iespējots. Lai iegūtu papildinformāciju par Retpoline, izpildiet norādījumus, kas sniegti Windows emuāra ziņā 2. varianta Mitigating 2 ar Retpoline .

CVE-2017-5754

Iespējota pēc noklusējuma

Papildinformāciju skatiet ADV180002 lapā.

CVE-2018-3639

Intel: Jā AMD: Nē ARM: Jā

Intel un AMD: atspējota pēc noklusējuma. Papildinformāciju ADV180012 skatiet šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

ARM: iespējota pēc noklusējuma bez opcijas atspējot.

CVE-2019-11091

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-12126

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-12127

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-12130

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2019-11135

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgu iestatījumiem skatiet CVE-2019-11135.

CVE-2022-21123 (daļa no MMIO ADV220002)

Intel: Jā

Windows 10, 1809 un jaunākas versijas: Iespējota pēc noklusējuma.  Windows 10, versija 1607 un vecāka: atspējota pēc noklusējuma. 

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-21123 .

CVE-2022-21125 (daļa no MMIO ADV220002)

Intel: Jā

Windows 10, 1809 un jaunākas versijas: Iespējota pēc noklusējuma.  Windows 10, versija 1607 un vecāka: atspējota pēc noklusējuma. 

Papildinformāciju skatiet CVE-2022-21125.

CVE-2022-21127 (daļa no MMIO ADV220002)

Intel: Jā

Windows 10, 1809 un jaunākas versijas: Iespējota pēc noklusējuma.  Windows 10, versija 1607 un vecāka: atspējota pēc noklusējuma. 

Papildinformāciju skatiet CVE-2022-21127.

CVE-2022-21166 (daļa no MMIO ADV220002)

Intel: Jā

Windows 10, 1809 un jaunākas versijas: Iespējota pēc noklusējuma.  Windows 10, versija 1607 un vecāka: atspējota pēc noklusējuma. 

Papildinformāciju skatiet CVE-2022-21166.

CVE-2022-23825 (AMD centrālā procesora zaru sajaukšanas darbības)

AMD: Nē

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-23825.

CVE-2023-20569 (AMD centrālā procesora atpakaļadreses prognozēājs)

AMD: Jā

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgu iestatījumiem skatiet CVE-2023-20569 .

CVE-2022-0001

Intel: Nē

Pēc noklusējuma ir atspējots.

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgu iestatījumiem skatiet CVE-2022-0001 .

Piezīme.: Pēc noklusējuma ierīces veiktspēju var ietekmēt, iespējojot atvieglojumus, kas ir izslēgtas. Faktiskā veiktspējas ietekme ir atkarīga no vairākiem faktoriem, piemēram, konkrētās mikroshēmas kopas ierīcē un darba slodzes, kas darbojas.

Reģistra iestatījumi

Mēs sniedzam tālāk norādīto reģistra informāciju, lai iespējotu risku mazināšanas darbības, kas nav iespējotas pēc noklusējuma, kā dokumentēts drošības konsultanti (SECURITY Advisories - ADVS) un CV. Turklāt mēs nodrošinām reģistra atslēgas iestatījumus lietotājiem, kuri vēlas atspējot risku mazināšanas opcijas, ja tās attiecas uz Windows klientiem.

Svarīgi!: Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai modificētu reģistru. Tomēr, nepareizi modificējot reģistru, iespējamas nopietnas problēmas. Tāpēc tālāk norādītās darbības jāveic uzmanīgi. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, skatiet šo rakstu Microsoft zināšanu bāzē:322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows

Svarīgi!: Pēc noklusējuma Retpoline ir iespējots Windows 10, versijā 1809 ierīcēs, ja Ierīcēs Armis, 2. variants (CVE-2017-5715) ir iespējots. Retpoline iespējošana jaunākajā Windows 10 versijā var uzlabot veiktspēju ierīcēs, kurās darbojas Windows 10, versija 1809, 2. variantam, īpaši vecākajos procesoros.

Lai iespējotu noklusējuma riskus attiecībā uz CVE-2017-5715 (Nojums Variant 2) un CVE-2017-5754 (Kūdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai atspējotu CVE-2017-5715 (Nomus 2. variants) un CVE-2017-5754 (Kūpināšanas) risku.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Piezīme.: 3 vērtība ir precīza līdzekļaFeatureSettingsOverrideMask iestatījumiem "iespējot" un "atspējot". (Papildinformāciju par reģistra atslēgām skatiet sadaļā Bieži uzdotie jautājumi.)

Lai atspējotu CVE-2017-5715 risku mazināšanas pasākumu (Nom., Variant 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu noklusējuma riskus attiecībā uz CVE-2017-5715 (Nomus 2. variants) un CVE-2017-5754 (Kūka):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Pēc noklusējuma AMD un ARM CPU ir atspējota CVE-2017-5715 lietotāju-to-kernel aizsardzība. Lai saņemtu papildu aizsardzību attiecībā uz CVE-2017-5715, ir jāiespējo risku mazināšana. Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 rakstā ADV180002 AMD procesoriem un Bieži uzdotie jautājumi #20 rakstā ADV180002 ARM procesoriem.

Iespējojiet LIETOTĀJA-to-kernel aizsardzību AMD un ARM procesoriem kopā ar citu aizsardzību CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu CVE-2018-3639 (speculative Store Bypass) risku mazināšana, noklusējuma riskus attiecībā uz CVE-2017-5715 (Spee Variant 2) un CVE-2017-5754 (Kūka):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Piezīme. AMD procesori nav neaizsargāti pret CVE-2017-5754 (Kūcēšana). Šī reģistra atslēga tiek izmantota AMD procesoru sistēmās, lai iespējotu noklusējuma riskus CVE-2017-5715 AMD procesoros un CVE-2018-3639 risku mazināšanai.

Lai atspējotu CVE-2018-3639 (specifikāciju krātuves apiešanu) * un* risku mazināšanas CVE-2017-5715 (Aktivizējot 2. variantu) un CVE-2017-5754 (Kūka)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Pēc noklusējuma AMD procesoriem ir atspējota lietotāja -to-kernel aizsardzība pret CVE-2017-5715 . Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Iespējojiet lietotāja-to-kernel aizsardzību AMD procesoriem kopā ar citu aizsardzību CVE 2017-5715 un CVE-2018-3639 aizsardzībai (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu intel transakciju sinhronizācijas paplašinājumu (Intel TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarhinectural datu iztveršanu (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Ar CVE (CVE-2017-5753 & CVE-2017-5715) un kūšanas (CVE-2017-5754) varianti, tostarp specifikācijas krātuves apiešana (SSBD) (CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615; CVE-2018-3620 un CVE-2018-3646), neatspējojot hiperpavedienus:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) ar Hyper-Threading atspējotu:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu riskus CVE-2022-23825 AMD procesoros :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai nodrošinātu pilnīgu aizsardzību, klientiem var būt nepieciešams arī Hyper-Threading (vienlaicīgu vairāku pavedienu pakalpojumus (Simultaneous Multi Threading — SMT)). Lūdzu, KB4073757norādījumus par Windows ierīču aizsardzību. 

Lai iespējotu riskus CVE-2023-20569 AMD procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai iespējotu riskus CVE-2022-0001 Intel procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Vairāku risku mazināšanas iespēju iespējošana

Lai iespējotu vairāku risku mazināšanas REG_DWORD, REG_DWORD vairāku risku mazināšanas vērtību. 

Piemēram:

Transakciju asinhronā priekšlaikus pārtraukta ievainojamība, Microarhinectural datu iztveršana, iztveršana, kūpināšanas, MMIO, speculative store apiešanas atspējošana (SSBD) un L1 termināļa kļūme (L1TF), ja Hyper-Threading atspējota

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTE 8264 (decimālajā) = 0x2048 (heksadecimālā vērtība)

Lai iespējotu BUTI kopā ar citiem esošajiem iestatījumiem, jāizmanto pašreizējās vērtības 8 388 608 (0x800000) bitu vērtība. 

0x800000 OR 0x2048(8264 aiz komata) un tas kļūs par 8 396 872 (0x802048). Tas pats, izmantojot FeatureSettingsOverrideMask.

.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinētā risku mazināšana

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Transakciju asinhronā priekšlaikus pārtraukta ievainojamība, Microarhinectural datu iztveršana, iztveršana, kūpināšanas, MMIO, speculative store apiešanas atspējošana (SSBD) un L1 termināļa kļūme (L1TF), ja Hyper-Threading atspējota

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinētā risku mazināšana

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Aizsardzības iespējošana

Lai palīdzētu pārbaudīt, vai ir iespējota aizsardzība, esam publicēuši PowerShell skriptu, ko varat palaist ierīcēs. Instalējiet un palaidiet skriptu, izmantojot kādu no tālāk aprakstītajām metodēm.

Instalējiet PowerShell moduli:

PS> Install-Module SpeculationControl

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

PS> # Saglabāt pašreizējo izpildes politiku, lai to varētu atiestatīt

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Atiestatiet izpildes politiku uz sākotnējo stāvokli

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instalējiet PowerShell moduli no Technet ScriptCenter.

Doties uz https://aka.ms/SpeculationControlPS

Lejupielādējiet SpeculationControl.zip failus lokālajā mapē.

Izvilkt saturu lokālajā mapē, piemēram, C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

Startējiet PowerShell, pēc tam (izmantojot iepriekšējo piemēru) kopējiet un izpildiet šādas komandas:

PS> # Saglabāt pašreizējo izpildes politiku, lai to varētu atiestatīt

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Atiestatiet izpildes politiku uz sākotnējo stāvokli

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detalizētu skaidrojumu par PowerShell skripta izvadi skatiet rakstā KB4074629.

Bieži uzdotie jautājumi

Mikrokods tiek piegādāts, izmantojot aparātprogrammatūras atjauninājumu. Sazinieties ar savu centrālo procesoru (mikroshēmkopu) un ierīču ražotājiem, lai noteiktu, vai konkrētajā ierīcē ir pieejami piemērojamie aparātprogrammatūras drošības atjauninājumi, tostarp Intels Microcode pārskatīšanas norādījumi.

Aparatūras ievainojamības adresēšana, izmantojot programmatūras atjauninājumu, rada būtiskas problēmas. Turklāt vecākas operētājsistēmas risku mazināšanai ir nepieciešamas plašas arhitektūras izmaiņas. Mēs strādājam ar ietekmēto mikroshēmu ražotājiem, lai noteiktu labāko veidu, kā nodrošināt riskus, kas var tikt nodrošināti turpmākajos atjauninājumos.

Atjauninājumi Microsoft Surface ierīcēm tiks piegādāti klientiem, izmantojot Windows Update kopā ar operētājsistēmas Windows atjauninājumiem. Pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet rakstā KB4073065.

Ja jūsu ierīce nav Microsoft ierīce, lietojiet ierīces ražotāja nodrošināto aparātprogrammatūru. Lai iegūtu papildinformāciju, sazinieties ar OEM ierīces ražotāju.

2018. gada februārī un martā Microsoft izlaida papildu aizsardzību dažām x86 sistēmām. Papildinformāciju skatiet KB4073757Microsoft drošības konsultāciju centra ADV180002.

Atjauninājumi Windows 10, kas attiecas uz HoloLens, ir pieejami HoloLens klientiem, izmantojot Windows Update.

Pēc 2018. gada februāra atjauninājuma Windows drošība, HoloLens klientiem nav jāveic nekādas papildu darbības, lai atjauninātu ierīces aparātprogrammatūru. Šie atvieglojumus tiks iekļauti arī visos turpmākajos HoloLens Windows 10 laidienos.

Nē. Drošība Tikai atjauninājumi nav kumulatīvi. Atkarībā no izmantotās operētājsistēmas versijas jums būs jāinstalē visi ikmēneša tikai drošības atjauninājumi, lai aizsargātu pret šīm ievainojamībām. Piemēram, ja sistēmā Windows 7 32 bitu sistēmām izmantojat ietekmēto Intel CPU, ir jāinstalē visi tikai drošības atjauninājumi. Mēs iesakām instalēt šos tikai drošības atjauninājumus laidienu secībā.

Piezīme Šī bieži uzdoto jautājumu iepriekšējā versija nepareizi paziņoja, ka februāra tikai drošības atjauninājumā bija iekļauti drošības labojumi, kas izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājumu 4078130 bija konkrēts labojums, lai novērstu neparedzētu sistēmas darbību, veiktspējas problēmas un/vai neparedzētu atsāknēšanas pēc mikrokoda instalēšanas. Februāra drošības atjauninājumu lietojot Windows klienta operētājsistēmās, var izmantot visus trīs riskus.

Intel nesen paziņoja, ka ir pabeiguši validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB4093836 zināšanu bāzes rakstus pēc Windows versijas. Katrā konkrētajā KB ir ietverti Intel mikrokoda atjauninājumi pēc CPU.

Šī problēma tika novērsta programmā KB4093118.

AED nesen paziņoja , ka ir sācis izlaist mikrokodu jaunākām centrālā procesora platformām ap Sevī Variant 2 (CVE-2017-5715 "Filiāles mērķa izlaides"). Lai iegūtu papildinformāciju, skatiet AMD drošības AtjauninājumiAMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli. Tie ir pieejami OEM aparātprogrammatūras kanālā.

Mēs pamudām padarīt pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas "). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no kataloga, ja tas netika instalēts ierīcē pirms operētājsistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB4100347.

Detalizētu informāciju skatiet sadaļas "Ieteicamās darbības" un "Bieži uzdotie jautājumi" ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu.

Lai pārbaudītu SSBD statusu, Get-SpeculationControlSettings PowerShell skripts tika atjaunināts, lai noteiktu ietekmētos procesorus, SSBD operētājsistēmas atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanas iespējas skatiet rakstā KB4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunot FP atjaunošanu) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Papildinformāciju par šo ievainojamību un ieteicamajām darbībām skatiet drošības konsultāciju ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu.

Piezīme.: Lazy Restore FP Restore (Atjaunot FP atjaunošanu) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā un ir piešķirta CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs zinām par BCBS instancēm mūsu programmatūrā, taču turpinām izpētīt šo ievainojamības nodarbības daļu un darbotos ar nozares partneriem, lai pēc vajadzības atbrīvotu risku mazināšanas pasākumus. Mēs turpinām rosināt zinātniekus iesniegt jebkādus atbilstošus rezultātus Microsoft speculative Execution Side Channel bounty programmā, tostarp visas izmantojamās BCBS instances. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas tika atjaunināti BCBS vietnē https://aka.ms/sescdevguide.

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Uzbrucējs var aktivizēt ievainojamību, izmantojot vairākus vektorus atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanasm, skatiet šos resursus:

Klientiem, kuri izmanto 64 bitu ARM procesorus, jāpārbauda ierīces OEM aparātprogrammatūras atbalsts, jo ARM64 operētājsistēmas aizsardzība, kas mazināt CVE-2017-5715 | Zaru mērķa ievadīšanas laikā (Ar roku, Variant 2) ir nepieciešams jaunākais aparātprogrammatūras atjauninājums no ierīces OEMs, lai tā stāsies spēkā.

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus. 

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus.

Lai saņemtu Azure norādījumus, skatiet šo rakstu: Norādījumi par apzīmētās izpildes sānu kanāla ievainojamību imitēšanu azure.  

Papildinformāciju par Retpoline iespējošanu skatiet mūsu emuāra ziņā: 2. varianta mitigēšana ar Retpoline operētājsistēmā Windows

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātniekiem, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Uzziņas

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.