Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Zraniteľnosti

14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb na strane kanála spustenia známych ako mikroarchitekturálne vzorkovanie údajov. Tieto zraniteľné miesta sa riešia v nasledujúcich CVE:

Dôležité: Tieto problémy sa prejavia v iných operačných systémoch, ako sú napríklad Android, Chrome, iOS a MacOS. Odporúčame vám vyhľadať pomoc od týchto príslušných dodávateľov.

Vydali sme aktualizácie, ktoré pomáhajú zmierniť tieto chyby. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.

Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárového sprievodného materiálu na určenie akcií potrebných na zmiernenie hrozby:

Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.

6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Toto zraniteľnosť je variant Spectre Variant 1 špekulatívne spustenie side-kanál zraniteľnosti a bol priradený CVE-2019-1125.

9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, aby sme pomohli zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.

Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.

Poznámka: Toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódov od výrobcu zariadenia (OEM).

Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:

12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Vydali sme aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť. Predvolene sú ochrany operačného systému povolené pre vydania Windows Client OS.

14. júna 2022 sme publikovali ADV220002 | Microsoft Sprievodný materiál k zraniteľnosti údajov MMIO procesora Intel. Zraniteľnosti sú priradené v nasledujúcich CVE:

Odporúčané akcie

Na ochranu pred týmito zraniteľnosťami by ste mali vykonať nasledujúce akcie:

  1. Použite všetky dostupné aktualizácie operačného systému Windows vrátane mesačných aktualizácií zabezpečenia Windowsu.

  2. Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.

  3. Vyhodnoťte riziko pre svoje prostredie na základe informácií, ktoré sú k dispozícii v ADV180002,ADV180012, ADV190013 a ADV220002informácií uvedených v tomto článku.

  4. Vykonajte akciu podľa potreby pomocou poradenstva a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto článku.

Poznámka: Zákazníci zariadenia Surface dostanú aktualizáciu mikrokódov prostredníctvom aktualizácie Windowsu. Zoznam najnovších dostupných aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.

12. júla 2022 sme publikovali CVE-2022-23825 | Zmätok typu vetvy procesora AMD, ktorý popisuje, že aliasy v prediktore vetvy môžu spôsobiť, že určité procesory AMD predpovedajú nesprávny typ vetvy. Tento problém môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v júli 2022 alebo po jeho skončení, a potom vykonať kroky podľa požiadaviek CVE-2022-23825 a kľúčových informácií databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-1037 .

8. augusta 2023 sme publikovali CVE-2023-20569 | AMD CPU Return Address Predictor (známy aj ako Inception), ktorý popisuje nový špekulatívny útok bočného kanála, ktorý môže mať za následok špekulatívne vykonanie na adrese kontrolovanej útočníkom. Tento problém sa týka niektorých procesorov AMD a môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v auguste 2023 alebo po jeho skončení, a potom vykonať akcie podľa požiadaviek CVE-2023-20569 a informácií o kľúčoch databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-7005 .

9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection , ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.

Nastavenia obmedzenia rizík pre klientov s Windowsom

Upozornenia na zabezpečenie (ADV) a CVE poskytujú informácie o riziku, ktoré predstavujú tieto zraniteľné miesta, a o tom, ako vám pomôžu identifikovať predvolený stav zmiernení rizík pre klientske systémy Windows. Nasledujúca tabuľka obsahuje súhrn požiadaviek na mikrokód procesora a predvolený stav zmiernení rizík v klientoch s Windowsom.

CVE

Vyžaduje sa mikrokód procesora/firmvér procesora?

Stav predvoleného obmedzenia rizík

CVE-2017-5753

Nie

Predvolene povolené (bez možnosti vypnutia)

Ďalšie informácie nájdete v ADV180002 .

CVE 5715 2017

Áno

Predvolene povolené. Používateľom systémov založených na procesoroch AMD by sa mali zobrazovať najčastejšie otázky č. 15 a používateľom procesorov ARM by sa mali zobraziť najčastejšie otázky č. 20 o ADV180002 pre ďalšie akcie a tento článok vedomostnej databázy KB pre príslušné nastavenia kľúča databázy Registry.

Poznámka Predvolene je Retpoline povolená pre zariadenia s Windows 10, verziou 1809 alebo novšou, ak je povolené Spectre Variant 2 (CVE-2017-5715). Pre viac informácií, okolo Retpoline, postupujte podľa pokynov v poľahčujúce Spectre variant 2 s Retpoline na Windows blog post.

CVE-2017-5754

Nie

Predvolene povolené

Ďalšie informácie nájdete v ADV180002 .

CVE-2018-3639

Intel: Áno AMD: Nie ARM: Áno

Intel a AMD: Predvolene vypnuté. Ďalšie informácie nájdete v ADV180012 a v tomto článku vedomostnej databázy Registry nájdete príslušné nastavenia kľúča databázy Registry.

ARM: Predvolene povolené bez možnosti vypnutia.

CVE-2019-11091

Intel: Áno

Predvolene povolené.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12126

Intel: Áno

Predvolene povolené.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12127

Intel: Áno

Predvolene povolené.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12130

Intel: Áno

Predvolene povolené.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2019-11135

Intel: Áno

Predvolene povolené.

Ďalšie informácie nájdete v CVE-2019-11135 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21123 (súčasť MMIO ADV220002)

Intel: Áno

Windows 10, verzia 1809 a novšia: Predvolene povolené.  Windows 10, verzia 1607 a staršia: predvolene zakázané. 

Ďalšie informácie nájdete v CVE-2022-21123 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21125 (súčasť MMIO ADV220002)

Intel: Áno

Windows 10, verzia 1809 a novšia: Predvolene povolené.  Windows 10, verzia 1607 a staršia: predvolene zakázané. 

Ďalšie informácie nájdete v téme CVE-2022-21125 .

CVE-2022-21127 (súčasť MMIO ADV220002)

Intel: Áno

Windows 10, verzia 1809 a novšia: Predvolene povolené.  Windows 10, verzia 1607 a staršia: predvolene zakázané. 

Ďalšie informácie nájdete v cve-2022-21127 .

CVE-2022-21166 (súčasť MMIO ADV220002)

Intel: Áno

Windows 10, verzia 1809 a novšia: Predvolene povolené.  Windows 10, verzia 1607 a staršia: predvolene zakázané. 

Ďalšie informácie nájdete v cve-2022-21166 .

CVE-2022-23825 (zmätok typu vetvy procesora AMD)

AMD: Nie

Ďalšie informácie nájdete v cve-2022-23825 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2023-20569 (Prediktor návratovej adresy procesora AMD)

AMD: Áno

Ďalšie informácie nájdete v cve-2023-20569 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-0001

Intel: Nie

Predvolene vypnuté.

Ďalšie informácie nájdete v cve-2022-0001 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

Poznámka: Predvolene môže zapnutie vypnutých zmiernení ovplyvniť výkon zariadenia. Efekt skutočného výkonu závisí od viacerých faktorov, ako je napríklad konkrétna čipová súprava v zariadení a spustené vyťaženia.

Nastavenie databázy Registry

Nasledujúce informácie databázy Registry poskytujeme na povolenie zmiernení rizík, ktoré nie sú predvolene povolené, ako je to uvedené v témach Security Advisories (ADV) a CVE. Okrem toho poskytujeme nastavenia kľúča databázy Registry pre používateľov, ktorí chcú zakázať obmedzenia rizík, ak je to relevantné pre klientov s Windowsom.

Dôležité: Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledujúcom článku v databáze Microsoft Knowledge Base:322756 Ako zálohovať a obnoviť databázu Registry vo Windowse

Dôležité: Predvolene je Retpoline povolená v zariadeniach Windows 10, verzia 1809, ak je povolené Spectre, Variant 2 (CVE-2017-5715). Povolenie Retpoline na najnovšiu verziu Windows 10 môže zvýšiť výkon v zariadeniach so systémom Windows 10 verzie 1809 pre spectre variant 2, najmä v starších procesoroch.

Povolenie predvolených zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Vypnutie zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Poznámka: Hodnota 3 je pre Vlastnosť FeatureSettingsOverrideMask pre nastavenia "enable" aj "disable" presná. (Ďalšie podrobnosti o kľúčoch databázy Registry nájdete v časti Najčastejšie otázky.)

Vypnutie zmiernení pre CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie predvolených zmiernení pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Ochrana od používateľa k jadru pre CVE-2017-5715 je predvolene vypnutá pre procesory AMD a ARM. Ak chcete získať ďalšie ochrany pre CVE-2017-5715, musíte povoliť obmedzenie rizík. Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002 pre procesory AMD a najčastejšie otázky č. 20 v ADV180002 pre procesory ARM.

Umožnite ochranu od používateľa k jadru procesorom AMD a ARM spolu s ďalšími ochranami pre CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení pre CVE-2018-3639 (špekulatívne obídenie obchodu), predvolené zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Poznámka: Procesory AMD nie sú citlivé na CVE-2017-5754 (Meltdown). Tento kľúč databázy Registry sa používa v systémoch s procesormi AMD na povolenie predvolených zmiernení pre CVE-2017-5715 v procesoroch AMD a zmiernenie rizík pre CVE-2018-3639.

Vypnutie zmiernení rizík pre CVE-2018-3639 (špekulatívne obídenie obchodu) *a* zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.

Povoľte ochranu procesorov AMD od používateľa k jadru spolu s inými ochranami pre CVE 2017-5715 a ochranou cve-2018-3639 (špekulatívne obídenie obchodu):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení rizík pre rozšírenia synchronizácie transakcií Intel (Intel TSX) Transaction Asynchrónne prerušenie zraniteľnosti (CVE-2019-11135) a microarchitectural data sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 ) spolu s variantmi spectre (CVE-2017-5753 & CVE-2017-5715) a Meltdown (CVE-2017-5754) vrátane vypnutia špekulatívneho obídenia obchodu (SSBD) (CVE-2018-3639), ako aj L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) bez vypnutia hyperprocesovania:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) s vypnutým Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernenia pre CVE-2022-23825 v procesoroch AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Ak chcú byť zákazníci plne chránení, možno budú musieť vypnúť aj Hyper-Threading (známe aj ako simultánne viacprocesové (SMT)). Pokyny na ochranu zariadení s Windowsom nájdete v KB4073757

Povolenie zmiernenia pre CVE-2023-20569 v procesoroch AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Povolenie zmiernenia pre CVE-2022-0001 v procesoroch Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Povolenie viacerých zmiernení rizík

Ak chcete povoliť viacero zmiernení, musíte pridať REG_DWORD hodnotu každého zmiernenia dohromady. 

Príklad:

Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

POZNÁMKA 8264 (v desiatkovej sústave) = 0x2048 (v šestnástkovej sústave)

Ak chcete povoliť BHI spolu s ďalšími existujúcimi nastaveniami, budete musieť použiť bitový operátor OR aktuálnej hodnoty s hodnotou 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 v desiatkovej sústave) a bude 8 396 872 (0x802048). To isté platí aj pre FeatureSettingsOverrideMask.

Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinované obmedzenie rizík

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinované obmedzenie rizík

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Overenie zapnutia ochrany

Na overenie, či sú povolené ochrany, sme publikovali skript prostredia PowerShell, ktorý môžete spustiť vo svojich zariadeniach. Nainštalujte a spustite skript pomocou niektorej z nasledujúcich metód.

Nainštalujte modul prostredia PowerShell:

PS> Install-Module SpeculationControl

Spustením modulu PowerShell overte, či sú povolené ochrany:

PS> # Uložiť aktuálnu politiku spustenia, aby ju bolo možné obnoviť

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Obnoviť politiku spustenia do pôvodného stavu

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Nainštalujte modul Prostredia PowerShell z Centra skriptov lokality Technet:

Prejsť na https://aka.ms/SpeculationControlPS

Stiahnite SpeculationControl.zip do lokálneho priečinka.

Extrahujte obsah do lokálneho priečinka, napríklad C:\ADV180002

Spustením modulu PowerShell overte, či sú povolené ochrany:

Spustite prostredie PowerShell a potom (pomocou predchádzajúceho príkladu) skopírujte a spustite nasledujúce príkazy:

PS> # Uložiť aktuálnu politiku spustenia, aby ju bolo možné obnoviť

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Obnoviť politiku spustenia do pôvodného stavu

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v téme KB4074629.

Najčastejšie otázky

Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Mali by ste sa so svojím procesorom (čipovou súpravou) a výrobcami zariadení informovať o dostupnosti príslušných aktualizácií zabezpečenia firmvéru pre konkrétne zariadenie vrátane sprievodného materiálu na revíziu mikrokódu Intels.

Riešenie zraniteľnosti hardvéru prostredníctvom aktualizácie softvéru predstavuje významné výzvy. Obmedzenia rizík pre staršie operačné systémy tiež vyžadujú rozsiahle architektonické zmeny. Spolupracujeme s dotknutými výrobcami čipov, aby sme určili najlepší spôsob poskytovania zmiernení, ktoré môžu byť dodané v budúcich aktualizáciách.

Aktualizácie pre zariadenia Microsoft Surface sa zákazníkom doručia prostredníctvom Windows Update spolu s aktualizáciami operačného systému Windows. Zoznam dostupných aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.

Ak vaše zariadenie nie je od spoločnosti Microsoft, použite firmvér od výrobcu zariadenia. Ďalšie informácie získate od výrobcu zariadenia OEM.

Vo februári a marci 2018 vydala spoločnosť Microsoft pridanú ochranu pre niektoré systémy s architektúrou x86. Ďalšie informácie nájdete v téme KB4073757 a ADV180002 Microsoft Security Advisory.

Aktualizácie Windows 10 pre HoloLens sú zákazníkom okuliarov HoloLens k dispozícii prostredníctvom Windows Update.

Po použití aktualizácie Windows Zabezpečenie z februára 2018 zákazníci okuliarov HoloLens nemusia vykonať žiadne ďalšie kroky na aktualizáciu firmvéru zariadenia. Tieto obmedzenia rizík budú zahrnuté aj vo všetkých budúcich vydaniach Windows 10 pre HoloLens.

Nie. Aktualizácie iba zabezpečenia nie sú kumulatívne. V závislosti od verzie operačného systému, ktorú používate, budete musieť nainštalovať každú mesačnú aktualizáciu zabezpečenia, aby ste boli chránení pred týmito zraniteľnosťami. Ak napríklad používate Windows 7 pre 32-bitové systémy v ovplyvnenom procesore Intel, musíte nainštalovať všetky aktualizácie iba zabezpečenia. Odporúčame nainštalovať tieto aktualizácie zabezpečenia iba v poradí od vydania.

Poznámka V staršej verzii týchto najčastejších otázok sa nesprávne uvádza, že aktualizácia zabezpečenia z februára obsahovala opravy zabezpečenia vydané v januári. V skutočnosti to tak nie je.

Nie. Aktualizácia zabezpečenia 4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a/alebo neočakávaným reštartom po inštalácii mikrokódu. Použitie februárových aktualizácií zabezpečenia v operačných systémoch Windows klienta umožňuje všetky tri obmedzenia rizík.

Spoločnosť Intel nedávno oznámila , že dokončila svoje overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 uvádza konkrétne články vedomostnej databázy Knowledge Base podľa verzie Windowsu. Každý konkrétny článok KB obsahuje dostupné aktualizácie mikrokódu Intel rozdelené podľa procesora.

Tento problém bol vyriešený v KB4093118.

AMD nedávno oznámila , že začali vydávať mikrokód pre novšie procesor platformy okolo Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Ďalšie informácie nájdete v technickej dokumentácii amd security Aktualizácie and AMD: Architecture Guidelines around Indirect Branch Control. Sú k dispozícii v kanáli firmvéru OEM.

V okolí Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection ") sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel. Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.

Aktualizácia mikrokódu je k dispozícii priamo z katalógu aj vtedy, ak nebol nainštalovaný v zariadení ešte pred inováciou operačného systému. Mikrokód Intel je k dispozícii prostredníctvom Windows Update, WSUS alebo katalógu microsoft update. Ďalšie informácie a pokyny na stiahnutie nájdete v téme KB4100347.

Podrobnosti nájdete v častiach Odporúčané akcie a Najčastejšie otázky v ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.

Na overenie stavu SSBD sa aktualizoval skript Get-SpeculationControlSettings PowerShell, aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.

13. júna 2018 bola oznámená ďalšia zraniteľnosť zahŕňajúca špekulatívne spustenie bočného kanála, známe ako lenivé obnovenie stavu FP, a bola mu pridelená funkcia CVE-2018-3665. Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).

Ďalšie informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v ADV180016 zabezpečenia | Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP.

Poznámka: Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).

Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). V súčasnosti nevieme o žiadnych inštanciách BCBS v našom softvéri, ale pokračujeme vo výskume tejto triedy zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sme podľa potreby uvoľnili zmiernenia rizík. Naďalej vyzývame výskumných pracovníkov, aby predložili všetky relevantné zistenia do špekulatívneho programu odmien Side Channel spoločnosti Microsoft vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by si mali pozrieť pokyny pre vývojárov, ktoré boli aktualizované pre BCBS v https://aka.ms/sescdevguide.

Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využité, môže viesť k zverejneniu informácií. Útočník môže spustiť zraniteľnosti prostredníctvom viacerých vektorov v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.

Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:

Zákazníci používajúci 64-bitové procesory ARM by si mali skontrolovať podporu firmvéru zariadenia OEM, pretože ochrana operačného systému ARM64, ktorá zmierňuje CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.

Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.  

Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows

Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.

Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.

Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.

Referencie

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.