Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Уязвимости

14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения на стороне канала, известном как выборка данных микроархитектуры. Эти уязвимости устраняются в следующих cvEs:

Важно: Эти проблемы повлияют на другие операционные системы, такие как Android, Chrome, iOS и MacOS. Мы рекомендуем вам обратиться за рекомендациями к соответствующим поставщикам.

Мы выпустили обновления, которые помогут устранить эти уязвимости. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений влияет на производительность. Мы также приняли меры для защиты наших облачных служб. Настоятельно рекомендуется развернуть эти обновления.

Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и в руководстве по использованию сценариев для определения действий, необходимых для устранения угрозы:

Примечание: Мы рекомендуем установить все последние обновления с клиентский компонент Центра обновления Windows перед установкой обновлений микрокодов.

6 августа 2019 г. корпорация Intel опубликовала сведения об уязвимости раскрытия информации в ядре Windows. Эта уязвимость является вариантом уязвимости spectre Variant 1 спекулятивного выполнения по боковому каналу и назначена CVE-2019-1125.

9 июля 2019 г. мы выпустили обновления для системы безопасности для операционной системы Windows, которые помогут устранить эту проблему. Обратите внимание, что мы сдержим публичное документирование этой меры до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.

Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Дальнейшая настройка не требуется.

Примечание: Для этой уязвимости не требуется обновление микрокода от производителя устройства (OEM).

Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:

12 ноября 2019 г. корпорация Intel опубликовала технические рекомендации по уязвимости асинхронного прерывания транзакций Intel Transactional Synchronization Extensions (Intel TSX), которой назначена cve-2019-11135. Мы выпустили обновления, которые помогут устранить эту уязвимость. По умолчанию защита ОС включена для клиентских выпусков ОС Windows.

14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессоров Intel MMIO. Уязвимости thes назначаются в следующих CVEs:

Рекомендуемые действия

Чтобы защититься от этих уязвимостей, необходимо выполнить следующие действия:

  1. Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.

  2. Примените применимое обновление встроенного ПО (микрокода), предоставленное производителем устройства.

  3. Оцените риск для вашей среды на основе информации, предоставленной в microsoft Security Advisories ADV180002, ADV180012, ADV190013 и ADV220002,в дополнение к сведениям, приведенным в этой статье.

  4. Выполните необходимые действия, используя рекомендации и сведения о разделе реестра, приведенные в этой статье.

Примечание: Клиенты Surface получат обновление микрокода через обновление Windows. Список последних доступных обновлений встроенного ПО устройства Surface (микрокода) см. в разделе KB4073065.

12 июля 2022 г. мы опубликовали CVE-2022-23825 | Ошибка типа ветви ЦП AMD, которая описывает, что псевдонимы в предикторе ветви могут привести к тому, что некоторые процессоры AMD прогнозируют неправильный тип ветви. Эта проблема может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датированные июлем 2022 г. или позже, а затем принять меры в соответствии с требованиями CVE-2022-23825 и сведениями раздела реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-1037 .

8 августа 2023 г. мы опубликовали CVE-2023-20569 | Предиктор возвращаемого адреса ЦП AMD (также известный как Начало), который описывает новую спекулятивную атаку на стороне канала, которая может привести к спекулятивному выполнению по адресу, контролируемому злоумышленником. Эта проблема затрагивает некоторые процессоры AMD и может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датируемые августом 2023 г. или позже, а затем принять меры в соответствии с требованиями CVE-2023-20569 и разделов реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-7005 .

9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel , описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.

Параметры устранения рисков для клиентов Windows

Рекомендации по безопасности (ADV) и CVEs содержат сведения о риске, создаваемом этими уязвимостями, и о том, как они помогают определить состояние по умолчанию для устранения рисков для клиентских систем Windows. В следующей таблице приведены требования к микрокоду ЦП и состояние по умолчанию для устранения рисков на клиентах Windows.

CVE

Требуется микрокод ЦП или встроенное ПО?

Состояние устранения рисков по умолчанию

CVE-2017-5753

Нет

Включено по умолчанию (нет параметра для отключения)

Дополнительные сведения см. в ADV180002 .

CVE-2017-5715

Да

Включено по умолчанию. Пользователи систем на основе процессоров AMD должны просмотреть вопросы и ответы No 15, а пользователи процессоров ARM — вопросы и ответы 20 на ADV180002 для дополнительных действий, а в этой статье базы знаний — сведения о применимых параметрах реестра.

Примечание По умолчанию Retpoline включена для устройств под управлением Windows 10 версии 1809 или более поздней, если включен Spectre Variant 2 (CVE-2017-5715). Для получения дополнительных сведений о Retpoline следуйте указаниям в записи блога Устранение рисков версии 2 с помощью Retpoline в Windows .

CVE-2017-5754

Нет

Включено по умолчанию

Дополнительные сведения см. в ADV180002 .

CVE-2018-3639

Intel: Да AMD: Нет ARM: Да

Intel и AMD: отключено по умолчанию. Дополнительные сведения см . в ADV180012 и в этой статье базы знаний о применимых параметрах реестра.

ARM: включен по умолчанию без параметра для отключения.

CVE-2019-11091

Intel: Да

Включено по умолчанию.

Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.

CVE-2018-12126

Intel: Да

Включено по умолчанию.

Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.

CVE-2018-12127

Intel: Да

Включено по умолчанию.

Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.

CVE-2018-12130

Intel: Да

Включено по умолчанию.

Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.

CVE-2019-11135

Intel: Да

Включено по умолчанию.

Дополнительные сведения см. в статье CVE-2019-11135 и в этой статье о применимых параметрах раздела реестра.

CVE-2022-21123 (часть MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и более поздних версий: включено по умолчанию.  Windows 10 версии 1607 и более ранних версий: по умолчанию отключено. 

Дополнительные сведения см. в разделе CVE-2022-21123 и в этой статье о применимых параметрах раздела реестра.

CVE-2022-21125 (часть MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и более поздних версий: включено по умолчанию.  Windows 10 версии 1607 и более ранних версий: по умолчанию отключено. 

Дополнительные сведения см. в разделе CVE-2022-21125 .

CVE-2022-21127 (часть MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и более поздних версий: включено по умолчанию.  Windows 10 версии 1607 и более ранних версий: по умолчанию отключено. 

Дополнительные сведения см. в разделе CVE-2022-21127 .

CVE-2022-21166 (часть MMIO ADV220002)

Intel: Да

Windows 10, версия 1809 и более поздних версий: включено по умолчанию.  Windows 10 версии 1607 и более ранних версий: по умолчанию отключено. 

Дополнительные сведения см. в разделе CVE-2022-21166 .

CVE-2022-23825 (путаница с типом ветви ЦП AMD)

AMD: Нет

Дополнительные сведения см. в разделе CVE-2022-23825 и в этой статье о применимых параметрах раздела реестра.

CVE-2023-20569 (Прогнозатор возвращаемого адреса ЦП AMD)

AMD: Да

Дополнительные сведения см. в статье CVE-2023-20569 и в этой статье о применимых параметрах раздела реестра.

CVE-2022-0001

Intel: Нет

Отключено по умолчанию.

Дополнительные сведения см. в разделе CVE-2022-0001 и в этой статье о применимых параметрах реестра.

Примечание: По умолчанию включение отключенных мер по устранению рисков может повлиять на производительность устройства. Фактическое влияние на производительность зависит от нескольких факторов, таких как конкретный набор микросхем на устройстве и выполняемые рабочие нагрузки.

Параметры реестра

Мы предоставляем следующие сведения о реестре для включения мер по устранению рисков, которые не включены по умолчанию, как описано в разделах Рекомендации по безопасности (ADV) и CVEs. Кроме того, мы предоставляем параметры раздела реестра для пользователей, которые хотят отключить устранение рисков, если это применимо для клиентов Windows.

Важно: В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт:322756 Резервное копирование и восстановление реестра в Windows

Важно: По умолчанию функция Retpoline включена на Windows 10, версия 1809 устройствах, если включен spectre, variant 2 (CVE-2017-5715). Включение Retpoline в последней версии Windows 10 может повысить производительность на устройствах с Windows 10, версия 1809 для Spectre версии 2, особенно на старых процессорах.

Включение мер по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Отключение мер по устранению рисков для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Примечание: Значение 3 является точным для FeatureSettingsOverrideMask для параметров "включить" и "отключить". (Дополнительные сведения о разделах реестра см. в разделе часто задаваемых вопросов.)

Чтобы отключить устранение рисков для CVE-2017-5715 (Spectre Variant 2), выполните приведенные далее действия.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Чтобы включить меры по устранению рисков по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown):

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

По умолчанию защита от пользователя до ядра для CVE-2017-5715 отключена для процессоров AMD и ARM. Необходимо включить защиту, чтобы получить дополнительные средства защиты для CVE-2017-5715. Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002 для процессоров AMD и Вопросы и ответы 20 в ADV180002 для процессоров ARM.

Включите защиту от взаимодействия пользователя с ядром на процессорах AMD и ARM вместе с другими средствами защиты для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Чтобы включить устранение рисков для CVE-2018-3639 (обход спекулятивного хранилища), по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Примечание. Процессоры AMD не уязвимы к CVE-2017-5754 (Meltdown). Этот раздел реестра используется в системах с процессорами AMD для включения мер по умолчанию для CVE-2017-5715 на процессорах AMD и для CVE-2018-3639.

Отключение мер по устранению рисков для CVE-2018-3639 (обход спекулятивного хранилища) *и* для cve-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715.  Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.

Включите защиту от взаимодействия пользователя с ядром на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715 и защитой cve-2018-3639 (speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Включение мер по устранению рисков для уязвимостей асинхронного прерывания транзакций Intel (Intel TSX) (CVE-2019-11135) и выборки данных микроархитектуры ( CVE-2019-201911091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) вместе со спецификацией вариантыtre (CVE-2017-5753 & CVE-2017-5715) и Meltdown (CVE-2017-5754), включая Спекулятивное отключение обхода хранилища (SSBD) (CVE-2018-3639), а также ошибка терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без отключения Hyper-Threading:

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Если компонент Hyper-V установлен, добавьте следующий параметр реестра:

reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.

Перезапустите устройство, чтобы изменения вступили в силу.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) если Hyper-Threading отключены:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Если компонент Hyper-V установлен, добавьте следующий параметр реестра:

reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.

Перезапустите устройство, чтобы изменения вступили в силу.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите устройство, чтобы изменения вступили в силу.

Чтобы включить устранение рисков для CVE-2022-23825 на процессорах AMD , выполните следующие действия.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известное как одновременная многопотооковая (SMT)). Рекомендации по защите устройств Windows см. в KB4073757

Чтобы включить устранение рисков для CVE-2023-20569 на процессорах AMD, выполните следующие действия:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Чтобы включить устранение рисков для CVE-2022-0001 на процессорах Intel, выполните следующие действия:

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Включение нескольких мер по устранению рисков

Чтобы включить несколько мер по устранению рисков, необходимо добавить REG_DWORD значение каждой из них вместе. 

Например:

Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

ПРИМЕЧАНИЕ 8264 (в десятичном формате) = 0x2048 (в шестнадцатеричном формате)

Чтобы включить BHI вместе с другими существующими параметрами, необходимо использовать битовую или с текущим значением с 8 388 608 (0x800000). 

0x800000 OR 0x2048 (8264 в десятичном разряде), и он станет 8 396 872 (0x802048). То же самое и с FeatureSettingsOverrideMask.

Устранение рисков для CVE-2022-0001 на процессорах Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Комбинированное устранение рисков

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Устранение рисков для CVE-2022-0001 на процессорах Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Комбинированное устранение рисков

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Проверка включения защиты

Чтобы убедиться, что защита включена, мы опубликовали сценарий PowerShell, который можно запустить на ваших устройствах. Установите и запустите скрипт с помощью одного из следующих методов.

Установите модуль PowerShell:

PS> Install-Module SpeculationControl

Запустите модуль PowerShell, чтобы убедиться, что защита включена:

PS> # Сохраните текущую политику выполнения, чтобы ее можно было сбросить

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Сброс политики выполнения в исходное состояние

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Установите модуль PowerShell из Technet ScriptCenter:

Перейдите к https://aka.ms/SpeculationControlPS

Скачайте SpeculationControl.zip в локальную папку.

Извлеките содержимое в локальную папку, например C:\ADV180002

Запустите модуль PowerShell, чтобы убедиться, что защита включена:

Запустите PowerShell, а затем (с помощью предыдущего примера) скопируйте и выполните следующие команды:

PS> # Сохраните текущую политику выполнения, чтобы ее можно было сбросить

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Сброс политики выполнения в исходное состояние

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Подробное описание выходных данных скрипта PowerShell см. в разделе KB4074629.

Вопросы и ответы

Микрокод доставляется через обновление встроенного ПО. Вы должны проверка с ЦП (набором микросхем) и производителями устройств о доступности применимых обновлений для системы безопасности встроенного ПО для конкретного устройства, включая Руководство по редакции микрокодов Intels.

Устранение уязвимости оборудования с помощью обновления программного обеспечения представляет собой значительные проблемы. Кроме того, для устранения рисков для старых операционных систем требуются значительные изменения архитектуры. Мы работаем с затронутыми производителями микросхем, чтобы определить лучший способ обеспечения мер по устранению рисков, которые могут быть поставлены в будущих обновлениях.

Обновления для устройств Microsoft Surface будут предоставляться клиентам через клиентский компонент Центра обновления Windows вместе с обновлениями для операционной системы Windows. Список доступных обновлений встроенного ПО устройства Surface (микрокодов) см. в KB4073065.

Если ваше устройство не было произведено корпорацией Microsoft, примените встроенного ПО от изготовителя устройства. За дополнительными сведениями обратитесь к изготовителю oem-устройства.

В феврале и марте 2018 г. корпорация Майкрософт выпустила дополнительную защиту для некоторых систем на базе x86. Дополнительные сведения см . в KB4073757 и ADV180002 рекомендаций по безопасности Майкрософт.

Обновления Windows 10 для HoloLens доступны клиентам HoloLens через клиентский компонент Центра обновления Windows.

После применения обновления Безопасность Windows за февраль 2018 г. пользователям HoloLens не нужно предпринимать никаких дополнительных действий для обновления встроенного ПО устройства. Эти меры по устранению рисков также будут включены во все будущие выпуски Windows 10 для HoloLens.

Нет. Обновления только для системы безопасности не являются накопительными. В зависимости от используемой версии операционной системы вам придется устанавливать ежемесячные обновления только для системы безопасности, чтобы защититься от этих уязвимостей. Например, если вы используете Windows 7 для 32-разрядных систем на затронутом ЦП Intel, необходимо установить все обновления только для системы безопасности. Рекомендуется устанавливать эти обновления только для системы безопасности в порядке выпуска.

Примечание В более ранней версии этого часто задаваемых вопросов неправильно говорилось, что февральское обновление системы безопасности включало исправления безопасности, выпущенные в январе. На самом деле, это не так.

Нет. Обновление системы безопасности 4078130 — это специальное исправление, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и (или) непредвиденные перезагрузки после установки микрокода. Применение обновлений для системы безопасности за февраль в клиентских операционных системах Windows позволяет устранить все три проблемы.

Intel недавно объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). KB4093836 перечислены определенные статьи базы знаний по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокода Intel для разных ЦП.

Эта проблема устранена в KB4093118.

AMD недавно объявила, что они начали выпускать микрокоды для новых платформ ЦП вокруг Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Дополнительные сведения см. в техническом документе AMD Security Обновления и документе AMD: Рекомендации по архитектуре по управлению непрямой ветвью. Они доступны в канале встроенного ПО OEM.

Мы делаем доступными проверенные Intel обновления микрокодов вокруг Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви "). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).

Также обновление микрокода можно получить непосредственно из каталога, если оно не было установлено на устройстве до обновления ОС. Микрокод Intel доступен через клиентский компонент Центра обновления Windows, WSUS или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в KB4100347.

Дополнительные сведения см. в разделах "Рекомендуемые действия" и "Вопросы и ответы" в ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.

Чтобы проверить состояние SSBD, скрипт PowerShell Get-SpeculationControlSettings был обновлен для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора , если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.

13 июня 2018 г. было объявлено о дополнительной уязвимости, связанной с спекулятивным выполнением по боковому каналу, известной как восстановление состояния Ленивый FP, и была назначена функция CVE-2018-3665. Параметры конфигурации (реестра) не нужны для восстановления FP с отложенным восстановлением.

Дополнительные сведения об этой уязвимости и рекомендуемые действия см. в рекомендациях по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP.

Примечание: Параметры конфигурации (реестра) не нужны для восстановления FP с отложенным восстановлением.

Хранилище обхода границ (BCBS) было раскрыто 10 июля 2018 г. и присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении, но мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами над выпуском мер по устранению рисков по мере необходимости. Мы по-прежнему призываем исследователей представить любые соответствующие результаты в программу microsoft Speculative Execution Side Channel bounty, включая любые эксплуатируемые экземпляры BCBS. Разработчикам программного обеспечения следует ознакомиться с рекомендациями для разработчиков, которые были обновлены для BCBS на https://aka.ms/sescdevguide.

14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые спекулятивные уязвимости бокового канала могут использоваться для считывания содержимого памяти через доверенные границы и в случае их использования могут привести к раскрытию информации. Злоумышленник может активировать уязвимости через несколько векторов в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.

Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:

Клиенты, использующие 64-разрядные процессоры ARM, должны проверка с OEM устройства для поддержки встроенного ПО, так как защита операционной системы ARM64, которая снижает уязвимость CVE-2017-5715 | Внедрение целевых ветвей (Spectre, Variant 2) требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.

Дополнительные сведения о включении Retpoline см. в записи блога: Устранение рисков spectre версии 2 с помощью Retpoline в Windows

Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.

Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.

Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.

Ссылки

Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.