Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Endre dato

Endringsdesripsjon

20. april 2023 kl.

  • La til MMIO-registerinformasjon

8. august 2023 kl.

  • Fjernet innhold om CVE-2022-23816 fordi CVE-nummeret ikke brukes

  • La til «Forgreningstype-forvirring» under «Sårbarheter»-delen

  • Mer informasjon om CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" registerdelen

9. august 2023 kl.

  • Oppdaterte CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" registerdelen

  • Lagt til CVE-2023-20569 | AMD CPU-returadresseforutsikt" til "Sammendrag"-delen

  • La til CVE-2023-20569 | Registerdelen AMD CPU Return Address Predictor

9. april 2024

  • Lagt til CVE-2022-0001 | Innsetting av Intel-grenlogg

16. april 2024 kl.

  • La til delen «Aktivering av flere begrensninger»

Sikkerhetsproblemer

Denne artikkelen tar for seg følgende spekulative sårbarheter for utførelse:

Windows Update vil også tilby Begrensninger for Internet Explorer og Edge. Vi vil fortsette å forbedre disse begrensningene mot denne klassen av sårbarheter.

Hvis du vil lære mer om denne klassen av sårbarheter, kan du se

14. mai 2019 publiserte Intel informasjon om en ny underklasse av spekulative sårbarheter for utførelse av sidekanaler kjent som Microarchitectural Data Sampling og dokumentert i ADV190013 | Sampling av mikroarkelementdata. De har blitt tilordnet følgende CVE-er:

Viktig!: Disse problemene vil påvirke andre systemer som Android, Chrome, iOS og MacOS. Vi råder kundene til å søke veiledning fra disse leverandørene.

Microsoft har gitt ut oppdateringer for å bidra til å redusere disse sikkerhetsproblemene. For å få alle tilgjengelige beskyttelser kreves fastvare (mikrokode) og programvareoppdateringer. Dette kan omfatte mikrokode fra OEMer for enheten. I noen tilfeller vil installasjon av disse oppdateringene ha en innvirkning på ytelsen. Vi har også handlet for å sikre skytjenestene våre. Vi anbefaler på det sterkeste å distribuere disse oppdateringene.

Hvis du vil ha mer informasjon om dette problemet, kan du se følgende veiledning for sikkerhet og bruke scenariobasert veiledning til å fastslå handlinger som er nødvendige for å redusere trusselen:

Obs!: Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer eventuelle mikrokodeoppdateringer.

August 6, 2019 Intel utgitt detaljer om en Windows kjerne informasjon avsløring sårbarhet. Dette sikkerhetsproblemet er en variant av sikkerhetsproblemet spectre, variant 1 spekulativ kjøring sidekanal og har blitt tilordnet CVE-2019-1125.

Vi lanserte sikkerhetsoppdateringer for Windows-operativsystemet 9. juli 2019 for å bidra til å redusere dette problemet. Vær oppmerksom på at vi holdt tilbake dokumentering av denne reduksjonen offentlig frem til den koordinerte industriavsløringen tirsdag 6.

Kunder som har Windows Update aktivert og har brukt sikkerhetsoppdateringene som ble utgitt 9. juli 2019, beskyttes automatisk. Det er ingen ytterligere konfigurasjon nødvendig.

Obs!: Dette sikkerhetsproblemet krever ikke en mikrokodeoppdatering fra enhetsprodusenten (OEM).

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og aktuelle oppdateringer, kan du se Microsofts veiledning for sikkerhetsoppdatering:

November 12, 2019 publiserte Intel en teknisk veiledning rundt Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort sikkerhetsproblem som er tilordnet CVE-2019-11135. Microsoft har utgitt oppdateringer for å bidra til å redusere dette sikkerhetsproblemet, og OS-beskyttelser er aktivert som standard for Windows Server 2019, men deaktivert som standard for Windows Server 2016 og tidligere Windows Server OS-versjoner.

14. juni 2022 publiserte vi ADV220002 | Microsofts veiledning om sikkerhetsproblemer med MMIO-foreldede data for Intel Processor og tilordnet disse CV-ene: 

Anbefalte handlinger

Du bør utføre følgende tiltak for å beskytte deg mot sikkerhetsproblemene:

  1. Bruk alle tilgjengelige oppdateringer for Windows-operativsystemet, inkludert de månedlige Windows-sikkerhetsoppdateringene.

  2. Bruk den gjeldende fastvareoppdateringen (mikrokode) som leveres av enhetsprodusenten.

  3. Evaluer risikoen for miljøet basert på informasjonen som er oppgitt i Microsofts sikkerhetsveiledninger: ADV180002, ADV180012, ADV190013 og ADV220002, i tillegg til informasjonen i denne kunnskapsbase artikkelen.

  4. Utfør handling etter behov ved hjelp av veiledningene og informasjonen om registernøkkelen som er angitt i denne kunnskapsbase artikkelen.

Obs!: Surface-kunder mottar en mikrokodeoppdatering gjennom Windows Update. Hvis du vil ha en liste over de nyeste oppdateringene for Surface-enhetens fastvare (mikrokode), kan du se KB4073065.

12. juli 2022 publiserte vi CVE-2022-23825 | AMD CPU-grentypeforvirring som beskriver at aliaser i grenforutsikten kan føre til at visse AMD-prosessorer forutser feil grentype. Dette problemet kan potensielt føre til fremlegging av informasjon.

For å beskytte deg mot dette sikkerhetsproblemet anbefaler vi at du installerer Windows-oppdateringer som er datert på eller etter juli 2022, og deretter iverksetter tiltak som kreves av CVE-2022-23825 og informasjon om registernøkkel som er angitt i denne kunnskapsbase artikkelen.

Hvis du vil ha mer informasjon, kan du se sikkerhetsbulletinen AMD-SB-1037 .

8. august 2023 publiserte vi CVE-2023-20569 | Returadresse forutsi ( også kjent som oppstart) som beskriver et nytt spekulativt sidekanalangrep som kan resultere i spekulativ utførelse på en angriperkontrollert adresse. Dette problemet påvirker visse AMD-prosessorer og kan potensielt føre til fremlegging av informasjon.

For å beskytte deg mot dette sikkerhetsproblemet anbefaler vi at du installerer Windows-oppdateringer som er datert på eller etter august 2023, og deretter iverksetter tiltak som kreves av CVE-2023-20569 og informasjon om registernøkkel som er angitt i denne kunnskapsbase artikkelen.

Hvis du vil ha mer informasjon, kan du se sikkerhetsbulletinen AMD-SB-7005 .

9. april 2024 publiserte vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som er en bestemt form for intra-modus BTI. Dette sikkerhetsproblemet oppstår når en angriper kan manipulere grenloggen før overgangen fra bruker til tilsynsmodus (eller fra VMX ikke-rot-/gjest til rotmodus). Denne manipulasjonen kan føre til at en indirekte grenforutsiger velger en bestemt prediktoroppføring for en indirekte gren, og et miniprogram for avsløring på det forutsette målet vil kjøre midlertidig. Dette kan være mulig fordi den relevante grenloggen kan inneholde grener som er tatt i tidligere sikkerhetskontekster, og spesielt andre prediktormoduser.

Begrensningsinnstillinger for Windows Server og Azure Stack HCI

Sikkerhetsveiledninger (ADV-er) og CVE-er gir informasjon om risikoen som disse sårbarhetene utgjør. De hjelper deg også med å identifisere sikkerhetsproblemene og identifisere standardtilstanden for begrensninger for Windows Server-systemer. Tabellen nedenfor oppsummerer kravet om CPU-mikrokode og standardstatusen for begrensningene på Windows Server.

– Cve

Krever CPU-mikrokode/fastvare?

Standardstatus for begrensning

CVE-2017-5753

Nei

Aktivert som standard (ingen alternativer for å deaktivere)

Se ADV180002 for mer informasjon

CVE-2017-5715

Ja

Deaktivert som standard.

Se ADV180002 for mer informasjon og denne KB-artikkelen for gjeldende registernøkkelinnstillinger.

Merk "Retpoline" er aktivert som standard for enheter som kjører Windows 10, versjon 1809 og senere hvis Spectre Variant 2 (CVE-2017-5715) er aktivert. Hvis du vil ha mer informasjon om "Retpoline", kan du følge Mitigating Spectre variant 2 med Retpoline på Windows blogginnlegg.

CVE-2017-5754

Nei

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard.Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV180002 for mer informasjon.

CVE-2018-3639

Intel: Ja

AMD: Nei

Deaktivert som standard. Se ADV180012 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-11091

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard.Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-12126

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard.Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-12127

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard.Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-12130

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard.Windows Server 2016 og tidligere: Deaktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2019-11135

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard.Windows Server 2016 og tidligere: Deaktivert som standard.

Se CVE-2019-11135 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21123 (en del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* 

Se CVE-2022-21123 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21125 (en del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* 

Se CVE-2022-21125 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21127 (en del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* 

Se CVE-2022-21127 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21166 (en del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022 og Azure Stack HCI: Aktivert som standard. Windows Server 2016 og tidligere: Deaktivert som standard.* 

Se CVE-2022-21166 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-23825 (AMD CPU-grentype forvirring)

AMD: Nei

Se CVE-2022-23825 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2023-20569 (AMD CPU-returadresse forutsier)

AMD: Ja

Se CVE-2023-20569 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-0001

Intel: Nei

Deaktivert som standard

Se CVE-2022-0001 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

* Følg veiledningen for reduksjon for Meltdown nedenfor.

Hvis du vil få all tilgjengelig beskyttelse mot disse sikkerhetsproblemene, må du gjøre endringer i registernøkkelen for å aktivere disse begrensningene som er deaktivert som standard.

Aktivering av disse begrensningene kan påvirke ytelsen. Omfanget av ytelseseffektene avhenger av flere faktorer, for eksempel det spesifikke brikkesettet i din fysiske vert og arbeidsbelastningene som kjører. Vi anbefaler at du vurderer ytelseseffektene for miljøet og foretar eventuelle nødvendige justeringer.

Serveren har økt risiko hvis den er i én av følgende kategorier:

  • Hyper-V-verter: Krever beskyttelse for VM-til-VM- og VM-til-vert-angrep.

  • Verter for eksterne skrivebordstjenester (RDSH): Krever beskyttelse fra én økt til en annen økt eller fra økt-til-vert-angrep.

  • Fysiske verter eller virtuelle maskiner som kjører ikke-klarert kode, for eksempel beholdere eller ikke-klarerte utvidelser for database, ikke-klarert nettinnhold eller arbeidsbelastninger som kjører kode som kommer fra eksterne kilder. Disse krever beskyttelse mot ikke-klarert prosess-til-en-annen-prosess eller ikke-klarerte prosess-til-kjerne-angrep.

Bruk følgende registernøkkelinnstillinger for å aktivere begrensningene på serveren, og start enheten på nytt for at endringene skal tre i kraft.

Obs!: Aktivering av begrensninger som er deaktivert, kan som standard påvirke ytelsen. Den faktiske ytelseseffekten avhenger av flere faktorer, for eksempel det spesifikke brikkesettet i enheten og arbeidsbelastningene som kjører.

Registerinnstillinger

Vi leverer følgende registerinformasjon for å aktivere begrensninger som ikke er aktivert som standard, som dokumentert i sikkerhetsveiledninger (ADV-er) og CVE-er. I tillegg tilbyr vi registernøkkelinnstillinger for brukere som ønsker å deaktivere begrensningene når det er aktuelt for Windows-klienter.

VIKTIG Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Hvis du vil ha ekstra beskyttelse, bør du sikkerhetskopiere registeret før du endrer det. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, kan du se følgende artikkel i Microsoft Knowledge Base:

KB322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

VIKTIGSom standard konfigureres Retpoline som følger hvis Spectre, variant 2-reduksjon (CVE-2017-5715) er aktivert:

– Retpoline mitigation er aktivert på Windows 10, versjon 1809 og nyere Windows-versjoner.

– Retpoline mitigation er deaktivert på Windows Server 2019 og nyere Windows Server-versjoner.

Hvis du vil ha mer informasjon om konfigurasjonen av Retpoline, kan du se Mitigating Spectre variant 2 med Retpoline på Windows.

  • For å muliggjøre begrensninger for CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) og CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

    Start enheten på nytt for at endringene skal tre i kraft.

  • For å deaktivere begrensninger for CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) og CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Start enheten på nytt for at endringene skal tre i kraft.

Obs!: Innstillingen FeatureSettingsOverrideMask til 3 er nøyaktig for innstillingene «aktiver» og «deaktiver». (Se delen Vanlige spørsmål hvis du vil ha mer informasjon om registernøkler.)

Slik deaktiverer du variant 2: (CVE-2017-5715 | Begrensning av forgreningsmålinjeksjon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Aktivere variant 2: (CVE-2017-5715 | Begrensning av forgreningsmålinjeksjon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD-CPU-er. Kunder må aktivere begrensningen for å motta ytterligere beskyttelse for CVE-2017-5715.  Hvis du vil ha mer informasjon, kan du se vanlige spørsmål nr. 15 i ADV180002.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med annen beskyttelse for CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

For å muliggjøre begrensninger for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

For å deaktivere begrensninger for CVE-2018-3639 (Spekulativ Butikk Bypass) OG begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD-prosessorer. Kunder må aktivere begrensningen for å motta ytterligere beskyttelse for CVE-2017-5715.  Hvis du vil ha mer informasjon, kan du se Vanlige spørsmål nr. 15 i ADV180002.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med andre beskyttelser for CVE 2017-5715 og beskyttelse for CVE-2018-3639 (Spekulativ Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensninger for sikkerhetsproblemet intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varianter, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 og CVE-2022-21166) inkludert Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] samt L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646] uten å deaktivere Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensninger for sikkerhetsproblemet Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715] og Meltdown [CVE-2017-5754] varianter, inkludert Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] i tillegg til L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646] med Hyper-Threading deaktivert:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

Hvis du vil deaktivere begrensninger for sikkerhetsproblemet Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) sammen med Spectre [CVE-2017-5753 & CVE-2017-5715] og Meltdown [CVE-2017-5754] varianter, inkludert Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] i tillegg til L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensningen for CVE-2022-23825 på AMD-prosessorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

For å være fullstendig beskyttet, kan det hende at kunder også må deaktivere Hyper-Threading (også kjent som Simultaneous Multi Threading (SMT)). Se KB4073757 for veiledning om beskyttelse av Windows-enheter.

Slik aktiverer du begrensningen for CVE-2023-20569 på AMD-prosessorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Slik aktiverer du begrensningen for CVE-2022-0001 på Intel-prosessorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Aktivering av flere begrensninger

Hvis du vil aktivere flere begrensninger, må du legge til REG_DWORD verdien for hver begrensning sammen.

Eksempler:

Begrensning for sikkerhetsproblemet transaksjon asynkron avbrudd, microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktivert

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

OBS! 8264 (i desimal) = 0x2048 (i heksadesimal)

Hvis du vil aktivere BHI sammen med andre eksisterende innstillinger, må du bruke bitvis ELLER av gjeldende verdi med 8 388 608 (0x800000). 

0x800000 ELLER 0x2048(8264 i desimal) og blir 8 396 872 (0x802048). Samme med FeatureSettingsOverrideMask.

Begrensning for CVE-2022-0001 på Intel-prosessorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinert reduksjon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Begrensning for sikkerhetsproblemet transaksjon asynkron avbrudd, microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktivert

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Begrensning for CVE-2022-0001 på Intel-prosessorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinert reduksjon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kontrollere at beskyttelse er aktivert

For å bekrefte at beskyttelse er aktivert, har vi publisert et PowerShell-skript som du kan kjøre på enhetene dine. Installer og kjør skriptet ved hjelp av én av følgende metoder.

Installer PowerShell-modulen:

PS> Install-Module SpeculationControl

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installer PowerShell-modulen fra Technet ScriptCenter:

  1. Gå til https://aka.ms/SpeculationControlPS .

  2. Last ned SpeculationControl.zip til en lokal mappe.

  3. Pakk ut innholdet til en lokal mappe. Eksempel: C:\ADV180002

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

Start PowerShell, og bruk deretter det forrige eksemplet til å kopiere og kjøre følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Hvis du vil ha en detaljert forklaring av utdataene for PowerShell-skriptet, kan du se KB4074629

Vanlige spørsmål

For å unngå negativ innvirkning på kundeenheter ble ikke Windows-sikkerhetsoppdateringene som ble utgitt i januar og februar 2018 tilbudt til alle kunder. Hvis du vil ha mer informasjon, kan du se KB407269 .

Mikrokoden leveres gjennom en fastvareoppdatering. Se OEM-en om fastvareversjonen som har riktig oppdatering for datamaskinen.

Det finnes flere variabler som påvirker ytelsen, alt fra systemversjonen til arbeidsbelastningene som kjører. For enkelte systemer vil ytelseseffekten være ubetydelig. For andre vil det være betydelig.

Vi anbefaler at du vurderer ytelseseffektene på systemene og foretar justeringer etter behov.

I tillegg til veiledningen som er i denne artikkelen om virtuelle maskiner, bør du kontakte tjenesteleverandøren for å sikre at vertene som kjører de virtuelle maskinene dine, er tilstrekkelig beskyttet.For virtuelle Windows Server-maskiner som kjører i Azure, kan du se Veiledning for å redusere spekulative sikkerhetsproblemer i Sidekanal i Azure . Hvis du vil ha veiledning om hvordan du bruker Azure Update Management til å redusere dette problemet på virtuelle gjestemapper, kan du se KB4077467.

Oppdateringene som ble utgitt for Windows Server-beholderavbildninger for Windows Server 2016 og Windows 10, versjon 1709 inkluderer begrensninger for dette settet med sikkerhetsproblemer. Det kreves ingen ekstra konfigurasjon.Merk Du må fortsatt kontrollere at verten som disse beholderne kjører på, er konfigurert for å aktivere riktige begrensninger.

Nei, installasjonsrekkefølgen spiller ingen rolle.

Ja, du må starte på nytt etter fastvaren (mikrokode) oppdateringen og deretter på nytt etter systemoppdateringen.

Her er detaljene for registernøklene:

FeatureSettingsOverride representerer en punktgrafikk som overstyrer standardinnstillingen og kontrollerer hvilke begrensninger som vil bli deaktivert. Bit 0 kontrollerer begrensningen som tilsvarer CVE-2017-5715. Bit 1 kontrollerer begrensningen som tilsvarer CVE-2017-5754. Bitene er satt til 0 for å aktivere begrensningen og til 1 for å deaktivere begrensningen.

FeatureSettingsOverrideMask representerer en punktgrafikkmaske som brukes sammen med FeatureSettingsOverride.  I denne situasjonen bruker vi verdien 3 (representert som 11 i det binære tallsystemet eller grunntallsystemet 2) til å angi de to første bitene som tilsvarer de tilgjengelige begrensningene. Denne registernøkkelen er satt til 3 både for å aktivere eller deaktivere begrensningene.

MinVmVersionForCpuBasedMitigations er for Hyper-V-verter. Denne registernøkkelen definerer den minste VM-versjonen som kreves for at du skal kunne bruke de oppdaterte fastvarefunksjonene (CVE-2017-5715). Sett denne til 1.0 for å dekke alle VM-versjoner. Legg merke til at denne registerverdien ignoreres (godartet) på ikke-Hyper-V-verter. Hvis du vil ha mer informasjon, kan du se Beskytte virtuelle gjestemaskiner fra CVE-2017-5715 (injeksjon av grenmål).

Ja, det er ingen bivirkninger hvis disse registerinnstillingene brukes før du installerer de januar 2018-relaterte løsningene.

Se en detaljert beskrivelse av skriptutdataene på KB4074629: Forstå SpeculationControl PowerShell-skriptutdata .

Ja, for Windows Server 2016 Hyper-V-verter som ennå ikke har fastvareoppdateringen tilgjengelig, har vi publisert alternativ veiledning som kan bidra til å redusere VM til VM eller VM for å være vert for angrep. Se Alternative beskyttelser for Windows Server 2016 Hyper-V-verter mot de spekulative sikkerhetssikkerhetsproblemene i utføringssiden .

Oppdateringer bare for sikkerhet er ikke kumulative. Avhengig av operativsystemversjonen må du kanskje installere flere sikkerhetsoppdateringer for full beskyttelse. Generelt sett må kunder installere oppdateringene for januar, februar, mars og april 2018. Systemer som har AMD-prosessorer, trenger en ekstra oppdatering som vist i tabellen nedenfor:

Operativsystemversjon

Sikkerhetsoppdatering

Windows 8.1, Windows Server 2012 R2

KB4338815 – månedlig beregnet verdi

KB4338824– Bare sikkerhet

Windows 7 SP1, Windows Server 2008 R2 SP1 eller Windows Server 2008 R2 SP1 (Server Core-installasjon)

KB4284826 – månedlig beregnet verdi

KB4284867 – bare sikkerhet

Windows Server 2008 SP2

KB4340583 – sikkerhetsoppdatering

Vi anbefaler at du installerer oppdateringene bare for sikkerhet i utgivelsesrekkefølgen.

Obs!: En tidligere versjon av disse vanlige spørsmålene uttalte feilaktig at oppdateringen for bare sikkerhetsoppdatering for februar inkluderte sikkerhetsoppdateringene som ble utgitt i januar. Faktisk gjør det ikke det.

Nei. Sikkerhetsoppdatering KB4078130 var en bestemt løsning for å forhindre uforutsigbar systematferd, ytelsesproblemer og uventede omstarter etter installasjonen av mikrokode. Bruk av sikkerhetsoppdateringene på Windows-klientoperativsystemer muliggjør alle tre begrensninger. På Windows Server-operativsystemer må du fortsatt aktivere begrensningene etter at du har gjort riktig testing. Hvis du vil ha mer informasjon, kan du se KB4072698.

Dette problemet ble løst i KB4093118.

I februar 2018 annonserte Intel at de hadde fullført valideringene sine og begynte å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel validerte mikrokodeoppdateringer som gjelder Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injeksjon av grenmål). KB4093836 lister opp bestemte kunnskapsbase artikler etter Windows-versjon. Hver spesifikke KB-artikkel inneholder de tilgjengelige Intel-mikrokodeoppdateringene av CPU.

Januar 11, 2018,  Intel rapportert problemer i nylig utgitt mikrokode som var ment å adressere Spectre variant 2 (CVE-2017-5715 | Injeksjon av grenmål). Intel bemerket spesifikt at dette mikrokoden kan forårsake «høyere enn forventet omstart og annen uforutsigbar systemvirkemåte», og at disse scenariene kan føre til «tap av data eller skade»." Vår erfaring er at systemustabilitet kan forårsake tap av data eller skade i noen tilfeller. 22. januar anbefalte Intel at kunder slutter å distribuere den gjeldende mikrokodeversjonen på berørte prosessorer, mens Intel utfører ytterligere testing på den oppdaterte løsningen. Vi forstår at Intel fortsetter å undersøke den potensielle effekten av den gjeldende mikrokodeversjonen. Vi oppfordrer kunder til å gå gjennom veiledningen kontinuerlig for å informere om avgjørelsene sine.

Mens Intel tester, oppdaterer og distribuerer nye mikrokoder, gjør vi tilgjengelig en ut-av-bånd -oppdatering (OOB), KB4078130, som spesifikt deaktiverer bare begrensningen mot CVE-2017-5715. I testingen vår har denne oppdateringen blitt funnet for å forhindre den beskrevne virkemåten. Hvis du vil ha en fullstendig liste over enheter, kan du se revisjonsveiledningen for mikrokoder fra Intel. Denne oppdateringen dekker Windows 7 Service Pack 1 (SP1), Windows 8.1 og alle versjoner av Windows 10, både klient og server. Hvis du kjører en berørt enhet, kan denne oppdateringen brukes ved å laste den ned fra nettstedet for Microsoft Update-katalogen. Bruk av denne nyttelasten deaktiverer spesifikt bare avløsningen mot CVE-2017-5715.

Per denne tiden finnes det ingen kjente rapporter som angir at denne Spectre-varianten 2 (CVE-2017-5715 | Grenmålinjeksjon) har blitt brukt til å angripe kunder. Vi anbefaler at Windows-brukere, når det er aktuelt, kan gjenopprette begrensningen mot CVE-2017-5715 når Intel rapporterer at denne uforutsigbare systemvirkemåten er løst for enheten.

I februar 2018annonserte Intel at de har fullført valideringene sine og begynte å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer som er relatert til Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injeksjon av grenmål). KB4093836 lister opp bestemte kunnskapsbase artikler etter Windows-versjon. KBs-listen tilgjengelige Intel-mikrokodeoppdateringer via CPU.

Hvis du vil ha mer informasjon, kan du se AMD Security Oppdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Disse er tilgjengelige fra OEM-fastvarekanalen.

Vi gjør tilgjengelige Intel-validerte mikrokodeoppdateringer som gjelder Spectre Variant 2 (CVE-2017-5715 | Injeksjon av grenmål). For å få de nyeste Intel-mikrokodeoppdateringene gjennom Windows Update, må kunder ha installert Intel-mikrokode på enheter som kjører et Windows 10 operativsystem før de oppgraderer til Windows 10 april 2018 Update (versjon 1803).

Mikrokodeoppdateringen er også tilgjengelig direkte fra Microsoft Update-katalogen hvis den ikke ble installert på enheten før du oppgraderte systemet. Intel-mikrokode er tilgjengelig via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og instruksjoner for nedlasting, kan du se KB4100347.

Se avsnittene   Anbefalte handlinger og Vanlige spørsmål i ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling.

For å bekrefte statusen for SSBD, har Get-SpeculationControlSettings PowerShell-skriptet blitt oppdatert for å oppdage berørte prosessorer, status for SSBD-operativsystemoppdateringer og tilstanden til prosessormikrokoden, hvis aktuelt. Hvis du vil ha mer informasjon og få Tak i PowerShell-skriptet, kan du se KB4074629.

Juni 13, 2018, en ekstra sårbarhet som involverer side-kanal spekulativ utførelse, kjent som Lazy FP State Restore, ble annonsert og tilordnet CVE-2018-3665 . Hvis du vil ha informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Obs!   Det finnes ingen nødvendige konfigurasjonsinnstillinger (registerinnstillinger) for FP-gjenoppretting for lat gjenoppretting.

Bounds Check Bypass Store (BCBS) ble offentliggjort 10. juli 2018 og tilordnet CVE-2018-3693. Vi anser BCBS for å tilhøre samme klasse av sikkerhetsproblemer som Bounds Check Bypass (variant 1). Vi er for øyeblikket ikke klar over noen forekomster av BCBS i programvaren vår. Vi fortsetter imidlertid å undersøke denne sårbarhetsklassen og vil samarbeide med bransjepartnere om å frigi begrensninger etter behov. Vi oppfordrer forskere til å sende inn relevante funn til Microsoft Speculative Execution Side Channel bounty program, inkludert eventuelle utnyttelige forekomster av BCBS. Programvareutviklere bør se gjennom utviklerveiledningen som er oppdatert for BCBS på C++ Developer Guidance for Speculative Execution Side Channels 

14. august 2018 ble L1 Terminal Fault (L1TF) annonsert og tilordnet flere CVE-er. Disse nye spekulative sårbarhetene for utførelse av sidekanaler kan brukes til å lese innholdet i minnet på tvers av en klarert grense, og hvis de utnyttes, kan det føre til fremlegging av informasjon. Det finnes flere vektorer der en angriper kan utløse sårbarhetene, avhengig av det konfigurerte miljøet. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og en detaljert visning av berørte scenarioer, inkludert Microsofts tilnærming til å redusere L1TF, kan du se følgende ressurser:

Trinnene for å deaktivere Hyper-Threading avvike fra OEM til OEM, men er vanligvis en del av BIOS- eller fastvareoppsettet og konfigurasjonsverktøyene.

Kunder som bruker 64-biters ARM-prosessorer, bør kontakte enhetens OEM for fastvarestøtte fordi ARM64-operativsystembeskyttelse som reduserer CVE-2017-5715 | Injeksjon av grenmål (Spectre, Variant 2) krever at den nyeste fastvareoppdateringen fra enhets-OPERATIVSYSTEMET trer i kraft.

Hvis du vil ha mer informasjon om retpolineaktivering, kan du se blogginnlegget vårt: Mitigating Spectre variant 2 with Retpoline on Windows .

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se Microsofts sikkerhetsveiledning: CVE-2019-1125 | Sikkerhetsproblem for offentliggjøring av Windows-kjerneinformasjon.

Vi er ikke klar over noen forekomst av dette sikkerhetsproblemet for fremlegging av informasjon som påvirker infrastrukturen for skytjenesten.

Så snart vi ble oppmerksomme på dette problemet, jobbet vi raskt for å løse det og lansere en oppdatering. Vi har stor tro på nære partnerskap med både forskere og bransjepartnere for å gjøre kundene sikrere, og publiserte ikke detaljer før tirsdag 6.

Referanser

Tredjepartsprodukter som nevnes i denne artikkelen, er produsert av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, underforstått eller på annen måte, om ytelsen eller påliteligheten til disse produktene.

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.