Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Sikkerhetsproblemer

14. mai 2019 publiserte Intel informasjon om en ny underklasse av spekulative sårbarheter for utførelse av sidekanaler kjent som Microarchitectural Data Sampling. Disse sikkerhetsproblemene er løst i følgende CVE-er:

Viktig!: Disse problemene vil påvirke andre operativsystemer som Android, Chrome, iOS og MacOS. Vi råder deg til å søke veiledning fra disse respektive leverandørene.

Vi har lansert oppdateringer for å bidra til å redusere disse sikkerhetsproblemene. For å få alle tilgjengelige beskyttelser kreves fastvare (mikrokode) og programvareoppdateringer. Dette kan omfatte mikrokode fra OEMer for enheten. I noen tilfeller vil installasjon av disse oppdateringene ha en innvirkning på ytelsen. Vi har også handlet for å sikre skytjenestene våre. Vi anbefaler på det sterkeste å distribuere disse oppdateringene.

Hvis du vil ha mer informasjon om dette problemet, kan du se følgende veiledning for sikkerhet og bruke scenariobasert veiledning til å fastslå handlinger som er nødvendige for å redusere trusselen:

Obs!: Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer eventuelle mikrokodeoppdateringer.

August 6, 2019 Intel utgitt detaljer om en Windows kjerne informasjon avsløring sårbarhet. Dette sikkerhetsproblemet er en variant av spectre variant 1 spekulativ kjøring sidekanal sårbarhet og har blitt tilordnet CVE-2019-1125.

Vi lanserte sikkerhetsoppdateringer for Windows-operativsystemet 9. juli 2019 for å bidra til å redusere dette problemet. Vær oppmerksom på at vi holdt tilbake dokumentering av denne reduksjonen offentlig frem til den koordinerte industriavsløringen tirsdag 6.

Kunder som har Windows Update aktivert og har brukt sikkerhetsoppdateringene som ble utgitt 9. juli 2019, beskyttes automatisk. Det er ingen ytterligere konfigurasjon nødvendig.

Obs!: Dette sikkerhetsproblemet krever ikke en mikrokodeoppdatering fra enhetsprodusenten (OEM).

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og aktuelle oppdateringer, kan du se Microsofts veiledning for sikkerhetsoppdatering:

November 12, 2019 publiserte Intel en teknisk veiledning rundt Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort sikkerhetsproblem som er tilordnet CVE-2019-11135. Vi har utgitt oppdateringer for å bidra til å redusere dette sikkerhetsproblemet. Som standard er OS-beskyttelsene aktivert for Windows Client OS-utgaver.

14. juni 2022 publiserte vi ADV220002 | Microsofts veiledning om sikkerhetsproblemer med MMIO-foreldede data for Intel Processor. Sikkerhetsproblemer er tilordnet i følgende CVE-er:

Anbefalte handlinger

Du bør utføre følgende tiltak for å beskytte deg mot disse sikkerhetsproblemene:

  1. Bruk alle tilgjengelige oppdateringer for Windows-operativsystemet, inkludert de månedlige Windows-sikkerhetsoppdateringene.

  2. Bruk den gjeldende fastvareoppdateringen (mikrokode) som leveres av enhetsprodusenten.

  3. Evaluer risikoen for miljøet basert på informasjonen som er oppgitt i Microsofts sikkerhetsveiledninger ADV180002, ADV180012, ADV190013 og ADV220002,i tillegg til informasjonen i denne artikkelen.

  4. Utfør handling etter behov ved hjelp av veiledningene og informasjonen om registernøkkelen som er angitt i denne artikkelen.

Obs!: Surface-kunder mottar en mikrokodeoppdatering via Windows Update. Hvis du vil ha en liste over de nyeste tilgjengelige oppdateringene for Surface-enhetens fastvare (mikrokode), kan du se KB4073065.

12. juli 2022 publiserte vi CVE-2022-23825 | AMD CPU-grentypeforvirring som beskriver at aliaser i grenforutsikten kan føre til at visse AMD-prosessorer forutser feil grentype. Dette problemet kan potensielt føre til fremlegging av informasjon.

For å beskytte deg mot dette sikkerhetsproblemet anbefaler vi at du installerer Windows-oppdateringer som er datert på eller etter juli 2022, og deretter iverksetter tiltak som kreves av CVE-2022-23825 og informasjon om registernøkkel som er angitt i denne kunnskapsbase artikkelen.

Hvis du vil ha mer informasjon, kan du se sikkerhetsbulletinen AMD-SB-1037 .

8. august 2023 publiserte vi CVE-2023-20569 | AMD CPU Return Address Predictor (også kjent som Oppstart) som beskriver et nytt spekulativt sidekanalangrep som kan resultere i spekulativ utførelse på en angriperkontrollert adresse. Dette problemet påvirker visse AMD-prosessorer og kan potensielt føre til fremlegging av informasjon.

For å beskytte deg mot dette sikkerhetsproblemet anbefaler vi at du installerer Windows-oppdateringer som er datert på eller etter august 2023, og deretter iverksetter tiltak som kreves av CVE-2023-20569 og informasjon om registernøkkel som er angitt i denne kunnskapsbase artikkelen.

Hvis du vil ha mer informasjon, kan du se sikkerhetsbulletinen AMD-SB-7005 .

9. april 2024 publiserte vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som er en bestemt form for intra-modus BTI. Dette sikkerhetsproblemet oppstår når en angriper kan manipulere grenloggen før overgangen fra bruker til tilsynsmodus (eller fra VMX ikke-rot-/gjest til rotmodus). Denne manipulasjonen kan føre til at en indirekte grenforutsiger velger en bestemt prediktoroppføring for en indirekte gren, og et miniprogram for avsløring på det forutsette målet vil kjøre midlertidig. Dette kan være mulig fordi den relevante grenloggen kan inneholde grener som er tatt i tidligere sikkerhetskontekster, og spesielt andre prediktormoduser.

Begrensningsinnstillinger for Windows-klienter

Sikkerhetsveiledninger (ADV-er) og CVE-er gir informasjon om risikoen som disse sikkerhetsproblemene utgjør, og hvordan de hjelper deg med å identifisere standardtilstanden for begrensninger for Windows-klientsystemer. Tabellen nedenfor oppsummerer kravet om CPU-mikrokode og standardstatusen for begrensningene på Windows-klienter.

– Cve

Krever CPU-mikrokode/fastvare?

Standardstatus for begrensning

CVE-2017-5753

Nei

Aktivert som standard (ingen alternativer for å deaktivere)

Se ADV180002 for mer informasjon.

CVE-2017-5715

Ja

Aktivert som standard. Brukere av systemer basert på AMD-prosessorer bør se vanlige spørsmål #15, og brukere av ARM-prosessorer bør se vanlige spørsmål nr. 20 på ADV180002 for ytterligere handling og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

Obs!   Som standard er Retpoline aktivert for enheter som kjører Windows 10, versjon 1809 eller nyere hvis Spectre Variant 2 (CVE-2017-5715) er aktivert. For mer informasjon, rundt Retpoline, følg veiledningen i Mitigating Spectre-varianten 2 med Retpoline på Windows blogginnlegg.

CVE-2017-5754

Nei

Aktivert som standard

Se ADV180002 for mer informasjon.

CVE-2018-3639

Intel: Ja AMD: Nei ARM: Ja

Intel og AMD: Deaktivert som standard. Se ADV180012 for mer informasjon og denne KB-artikkelen for gjeldende registernøkkelinnstillinger.

ARM: Aktivert som standard uten alternativ for å deaktivere.

CVE-2019-11091

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-12126

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-12127

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2018-12130

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2019-11135

Intel: Ja

Aktivert som standard.

Se CVE-2019-11135 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21123 (en del av MMIO ADV220002)

Intel: Ja

Windows 10, versjon 1809 og nyere: Aktivert som standard.  Windows 10, versjon 1607 og tidligere: Deaktivert som standard. 

Se CVE-2022-21123 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21125 (en del av MMIO ADV220002)

Intel: Ja

Windows 10, versjon 1809 og nyere: Aktivert som standard.  Windows 10, versjon 1607 og tidligere: Deaktivert som standard. 

Se CVE-2022-21125 for mer informasjon.

CVE-2022-21127 (en del av MMIO ADV220002)

Intel: Ja

Windows 10, versjon 1809 og nyere: Aktivert som standard.  Windows 10, versjon 1607 og tidligere: Deaktivert som standard. 

Se CVE-2022-21127 for mer informasjon.

CVE-2022-21166 (en del av MMIO ADV220002)

Intel: Ja

Windows 10, versjon 1809 og nyere: Aktivert som standard.  Windows 10, versjon 1607 og tidligere: Deaktivert som standard. 

Se CVE-2022-21166 for mer informasjon.

CVE-2022-23825 (AMD CPU-grentype forvirring)

AMD: Nei

Se CVE-2022-23825 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2023-20569 (AMD CPU-returadresse forutsier)

AMD: Ja

Se CVE-2023-20569 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-0001

Intel: Nei

Deaktivert som standard.

Se CVE-2022-0001 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

Obs!: Aktivering av begrensninger som er deaktivert, kan som standard påvirke enhetsytelsen. Den faktiske ytelseseffekten avhenger av flere faktorer, for eksempel det spesifikke brikkesettet i enheten og arbeidsbelastningene som kjører.

Registerinnstillinger

Vi gir følgende registerinformasjon for å aktivere begrensninger som ikke er aktivert som standard, som dokumentert i sikkerhetsveiledninger (ADV-er) og CV-er. I tillegg tilbyr vi registernøkkelinnstillinger for brukere som ønsker å deaktivere begrensningene når det er aktuelt for Windows-klienter.

Viktig!: Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Sikkerhetskopier registeret før du endrer det for ekstra beskyttelse. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, kan du se følgende artikkel i Microsoft Knowledge Base:322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

Viktig!: Som standard er Retpoline aktivert på Windows 10, versjon 1809 enheter hvis Spectre, Variant 2 (CVE-2017-5715) er aktivert. Aktivering av Retpoline på den nyeste versjonen av Windows 10 kan forbedre ytelsen på enheter som kjører Windows 10, versjon 1809 for Spectre variant 2, spesielt på eldre prosessorer.

Slik aktiverer du standard begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

For å deaktivere begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Obs!: En verdi på 3 er nøyaktig for FeatureSettingsOverrideMask for innstillingene «aktiver» og «deaktiver». (Se avsnittet Vanlige spørsmål hvis du vil ha mer informasjon om registernøkler.)

Slik deaktiverer du begrensninger for CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du standard begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD- og ARM-CPU-er. Du må aktivere begrensningen for å motta ekstra beskyttelse for CVE-2017-5715. Hvis du vil ha mer informasjon, kan du se vanlige spørsmål nr. 15 i ADV180002 for AMD-prosessorer og vanlige spørsmål #20 i ADV180002 for ARM-prosessorer.

Aktiver bruker-til-kjerne-beskyttelse på AMD- og ARM-prosessorer sammen med annen beskyttelse for CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

For å muliggjøre begrensninger for CVE-2018-3639 (Speculative Store Bypass), standard begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Obs!: AMD-prosessorer er ikke sårbare for CVE-2017-5754 (Meltdown). Denne registernøkkelen brukes i systemer med AMD-prosessorer for å aktivere standard begrensninger for CVE-2017-5715 på AMD-prosessorer og begrensningen for CVE-2018-3639.

For å deaktivere begrensninger for CVE-2018-3639 (Speculative Store Bypass) *og* begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD-prosessorer. Kunder må aktivere begrensningen for å motta ytterligere beskyttelse for CVE-2017-5715.  Hvis du vil ha mer informasjon, kan du se Vanlige spørsmål nr. 15 i ADV180002.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med annen beskyttelse for CVE 2017-5715 og beskyttelse for CVE-2018-3639 (spekulativ butikkforgåelse):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensninger for sikkerhetsproblemet Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med variantene Spectre (CVE-2017-5753 & CVE-2017-5715) og Meltdown (CVE-2017-5754), inkludert Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646) uten å deaktivere Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) med Hyper-Threading deaktivert:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensningen for CVE-2022-23825 på AMD-prosessorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

For å være fullstendig beskyttet, kan det hende at kunder også må deaktivere Hyper-Threading (også kjent som Simultaneous Multi Threading (SMT)). Se KB4073757for veiledning om beskyttelse av Windows-enheter. 

Slik aktiverer du begrensningen for CVE-2023-20569 på AMD-prosessorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Slik aktiverer du begrensningen for CVE-2022-0001 på Intel-prosessorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Aktivering av flere begrensninger

Hvis du vil aktivere flere begrensninger, må du legge til REG_DWORD verdien for hver begrensning sammen. 

Eksempler:

Begrensning for sikkerhetsproblemet transaksjon asynkron avbrudd, microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktivert

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

OBS! 8264 (i desimal) = 0x2048 (i heksadesimal)

Hvis du vil aktivere BHI sammen med andre eksisterende innstillinger, må du bruke bitvis ELLER av gjeldende verdi med 8 388 608 (0x800000). 

0x800000 ELLER 0x2048(8264 i desimal) og blir 8 396 872 (0x802048). Samme med FeatureSettingsOverrideMask.

Begrensning for CVE-2022-0001 på Intel-prosessorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinert reduksjon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Begrensning for sikkerhetsproblemet transaksjon asynkron avbrudd, microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) og L1 Terminal Fault (L1TF) med Hyper-Threading deaktivert

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Begrensning for CVE-2022-0001 på Intel-prosessorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinert reduksjon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kontroller at beskyttelse er aktivert

For å bekrefte at beskyttelse er aktivert, har vi publisert et PowerShell-skript som du kan kjøre på enhetene dine. Installer og kjør skriptet ved hjelp av én av følgende metoder.

Installer PowerShell-modulen:

PS> Install-Module SpeculationControl

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

PS> # Lagre gjeldende kjøringspolicy slik at den kan tilbakestilles

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Tilbakestille kjøringspolicyen til den opprinnelige tilstanden

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installer PowerShell-modulen fra Technet ScriptCenter:

Gå til https://aka.ms/SpeculationControlPS

Last ned SpeculationControl.zip til en lokal mappe.

Pakk ut innholdet til en lokal mappe, for eksempel C:\ADV180002

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

Start PowerShell, og kopier og kjør følgende kommandoer ved hjelp av det forrige eksemplet:

PS> # Lagre gjeldende kjøringspolicy slik at den kan tilbakestilles

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Tilbakestille kjøringspolicyen til den opprinnelige tilstanden

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Hvis du vil ha en detaljert forklaring av utdataene for PowerShell-skriptet, kan du se KB4074629.

Vanlige spørsmål

Mikrokoden leveres gjennom en fastvareoppdatering. Du bør ta kontakt med CPU-en (brikkesettet) og enhetsprodusentene om tilgjengeligheten av gjeldende sikkerhetsoppdateringer for fastvare for den bestemte enheten, inkludert Intels Microcode Revision Guidance.

Adressering av et maskinvaresårbarhet gjennom en programvareoppdatering byr på betydelige utfordringer. Begrensninger for eldre operativsystemer krever også omfattende arkitektoniske endringer. Vi samarbeider med berørte brikkeprodusenter for å finne den beste måten å levere begrensninger på, som kan leveres i fremtidige oppdateringer.

Oppdateringer for Microsoft Surface-enheter leveres til kunder gjennom Windows Update sammen med oppdateringene for Windows-operativsystemet. Hvis du vil ha en liste over tilgjengelige oppdateringer for Surface-enhetens fastvare (mikrokode), kan du se KB4073065.

Hvis enheten ikke er fra Microsoft, kan du bruke fastvare fra enhetsprodusenten. Hvis du vil ha mer informasjon, kontakter du produsenten av OEM-enheten.

I februar og mars 2018 lanserte Microsoft ekstra beskyttelse for noen x86-baserte systemer. Hvis du vil ha mer informasjon , kan du se KB4073757 og Microsoft Security Advisory ADV180002.

Oppdateringer for å Windows 10 for HoloLens er tilgjengelige for HoloLens-kunder gjennom Windows Update.

Etter å ha brukt Windows Sikkerhet Update for februar 2018, trenger ikke HoloLens-kunder å gjøre noe mer for å oppdatere fastvaren for enheten. Disse begrensningene vil også bli inkludert i alle fremtidige utgivelser av Windows 10 for HoloLens.

Nei. Bare sikkerhetsoppdateringer er ikke kumulative. Avhengig av hvilken versjon av operativsystemet du kjører, må du installere alle månedlige sikkerhetsoppdateringer som skal beskyttes mot disse sikkerhetsproblemene. Hvis du for eksempel kjører Windows 7 for 32-biters systemer på en berørt Intel CPU, må du installere alle oppdateringene bare for sikkerhet. Vi anbefaler at du installerer disse oppdateringene bare for sikkerhet i utgivelsesrekkefølgen.

Obs!   En tidligere versjon av disse vanlige spørsmålene uttalte feilaktig at oppdateringen for bare sikkerhetsoppdatering for februar inkluderte sikkerhetsoppdateringene som ble utgitt i januar. Faktisk gjør det ikke det.

Nei. Sikkerhetsoppdatering 4078130 var en bestemt løsning for å forhindre uforutsigbar systematferd, ytelsesproblemer og/eller uventede omstarter etter installasjon av mikrokode. Bruk av sikkerhetsoppdateringene for februar på operativsystemer for Windows-klienten muliggjør alle tre begrensninger.

Intel kunngjorde nylig at de har fullført valideringene sine og begynte å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 lister opp spesifikke Knowledge Base-artikler etter Windows-versjon. Hver enkelt KB inneholder tilgjengelige Intel-mikrokodeoppdateringer etter CPU.

Dette problemet ble løst i KB4093118.

AMD kunngjorde nylig at de har begynt å lansere mikrokode for nyere CPU-plattformer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Hvis du vil ha mer informasjon, kan du se AMD Security Oppdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Disse er tilgjengelige fra OEM-fastvarekanalen.

Vi gjør tilgjengelige Intel validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). For å få de nyeste Intel-mikrokodeoppdateringene gjennom Windows Update, må kunder ha installert Intel-mikrokode på enheter som kjører et Windows 10 operativsystem før de oppgraderer til Windows 10 april 2018 Update (versjon 1803).

Mikrokodeoppdateringen er også tilgjengelig direkte fra katalogen hvis den ikke ble installert på enheten før du oppgraderte operativsystemet. Intel-mikrokode er tilgjengelig via Windows Update, WSUS eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og instruksjoner for nedlasting, kan du se KB4100347.

Hvis du vil ha mer informasjon, kan du se avsnittene Anbefalte handlinger og Vanlige spørsmål i ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling.

For å bekrefte statusen for SSBD ble Get-SpeculationControlSettings PowerShell-skriptet oppdatert for å oppdage berørte prosessorer, status for SSBD-operativsystemoppdateringer og tilstanden til prosessormikrokoden hvis aktuelt. Hvis du vil ha mer informasjon og få Tak i PowerShell-skriptet, kan du se KB4074629.

Juni 13, 2018, en ekstra sårbarhet som involverer side-kanal spekulativ utførelse, kjent som Lazy FP State Restore, ble annonsert og tildelt CVE-2018-3665. Det er ikke nødvendig med konfigurasjonsinnstillinger (registerinnstillinger) for gjenoppretting av forsinket gjenoppretting.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se sikkerhetsveiledning ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Obs!: Det er ikke nødvendig med konfigurasjonsinnstillinger (registerinnstillinger) for gjenoppretting av forsinket gjenoppretting.

Bounds Check Bypass Store (BCBS) ble offentliggjort 10. juli 2018 og tilordnet CVE-2018-3693. Vi anser BCBS for å tilhøre samme klasse av sikkerhetsproblemer som Bounds Check Bypass (variant 1). Vi er for øyeblikket ikke klar over noen forekomster av BCBS i programvaren vår, men vi fortsetter å undersøke denne sårbarhetsklassen og vil samarbeide med bransjepartnere for å frigi begrensninger etter behov. Vi fortsetter å oppfordre forskere til å sende inn relevante funn til Microsofts speculative Execution Side Channel bounty program, inkludert eventuelle utnyttelige forekomster av BCBS. Programvareutviklere bør se gjennom utviklerveiledningen som ble oppdatert for BCBS på https://aka.ms/sescdevguide.

14. august 2018 ble L1 Terminal Fault (L1TF) annonsert og tilordnet flere CVE-er. Disse nye, spekulative sårbarhetene for utførelse av sidekanaler kan brukes til å lese innholdet i minnet på tvers av en klarert grense, og hvis de utnyttes, kan det føre til fremlegging av informasjon. En angriper kan utløse sårbarhetene gjennom flere vektorer, avhengig av det konfigurerte miljøet. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og en detaljert visning av berørte scenarioer, inkludert Microsofts tilnærming til å redusere L1TF, kan du se følgende ressurser:

Kunder som bruker 64-biters ARM-prosessorer, bør ta kontakt med enhetens OEM for fastvarestøtte fordi ARM64-operativsystembeskyttelse som reduserer CVE-2017-5715 | Injeksjon av grenmål (Spectre, Variant 2) krever at den nyeste fastvareoppdateringen fra enhets-OPERATIVSYSTEMET trer i kraft.

For Azure-veiledning kan du se denne artikkelen: Veiledning for å redusere spekulative sikkerhetsproblemer i sidekanaler i Azure.  

Hvis du vil ha mer informasjon om retpolineaktivering, kan du se blogginnlegget vårt: Begrense Spectre-variant 2 med Retpoline på Windows

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se Microsofts sikkerhetsveiledning: CVE-2019-1125 | Sikkerhetsproblem for offentliggjøring av Windows-kjerneinformasjon.

Vi er ikke klar over noen forekomst av dette sikkerhetsproblemet for fremlegging av informasjon som påvirker infrastrukturen for skytjenesten.

Så snart vi ble oppmerksomme på dette problemet, jobbet vi raskt for å løse det og lansere en oppdatering. Vi har stor tro på nære partnerskap med både forskere og bransjepartnere for å gjøre kundene sikrere, og publiserte ikke detaljer før tirsdag 6.

Referanser

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.