Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Sårbarheter

Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling. Dessa sårbarheter åtgärdas i följande cv:er:

Viktigt!: Dessa problem påverkar andra operativsystem, till exempel Android, Chrome, iOS och MacOS. Vi rekommenderar att du söker vägledning från dessa respektive leverantörer.

Vi har släppt uppdateringar för att minska dessa sårbarheter. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta kan inkludera mikrokod från OEM-tillverkare på enheten. I vissa fall påverkas prestandan om du installerar de här uppdateringarna. Vi har också agerat för att skydda våra molntjänster. Vi rekommenderar starkt att du distribuerar dessa uppdateringar.

Mer information om det här problemet finns i följande säkerhetsmeddelande och använda scenariobaserad vägledning för att fastställa åtgärder som är nödvändiga för att minimera hotet:

Obs!: Vi rekommenderar att du installerar de senaste uppdateringarna från Windows Update innan du installerar mikrokoduppdateringar.

Den 6 augusti 2019 släppte Intel information om en säkerhetsrisk med information om Windows kernel. Den här säkerhetsrisken är en variant av spectre variant 1-säkerhetsrisken för spekulativ exekvering och har tilldelats CVE-2019-1125.

Den 9 juli 2019 släppte vi säkerhetsuppdateringar för Windows-operativsystemet för att minimera problemet. Observera att vi höll tillbaka dokumentet om denna begränsning offentligt fram till det samordnade branschupplysningen tisdagen den 6 augusti 2019.

Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Ingen ytterligare konfiguration krävs.

Obs!: Den här säkerhetsrisken kräver ingen mikrokoduppdatering från enhetstillverkaren (OEM).

Mer information om den här säkerhetsrisken och tillämpliga uppdateringar finns i Microsoft Security Update Guide:

Den 12 november 2019 publicerade Intel en teknisk rådgivning kring säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort som tilldelas CVE-2019-11135. Vi har släppt uppdateringar för att minska den här säkerhetsrisken. Som standard är OS-skydd aktiverade för Windows-klientoperativsystem.

Den 14 juni 2022 publicerade vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Säkerhetsriskerna tilldelas i följande cv:er:

Rekommenderade åtgärder

Du bör vidta följande åtgärder för att skydda dig mot dessa sårbarheter:

  1. Tillämpa alla tillgängliga uppdateringar av Windows-operativsystemet, inklusive de månatliga Windows-säkerhetsuppdateringarna.

  2. Tillämpa tillämplig uppdatering av inbyggd programvara (mikrokod) som tillhandahålls av enhetstillverkaren.

  3. Utvärdera risken för din miljö baserat på den information som finns i Microsofts säkerhetsrådgivare ADV180002, ADV180012, ADV190013 och ADV220002,utöver informationen i den här artikeln.

  4. Vidta åtgärder som krävs med hjälp av de råd och registernyckelinformation som finns i den här artikeln.

Obs!: Surface-kunder får en mikrokoduppdatering via Windows Update. En lista över de senaste uppdateringarna för inbyggd programvara för Surface-enheter (mikrokod) finns i KB4073065.

Den 12 juli 2022 publicerade vi CVE-2022-23825 | FÖRVIRRING AV TYPEN AMD CPU Branch som beskriver att alias i grenförsägaren kan orsaka att vissa AMD-processorer förutsäger fel branchtyp. Det här problemet kan potentiellt leda till informationsläcka.

För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från juli 2022 eller senare och sedan vidtar åtgärder enligt CVE-2022-23825 och registernyckelinformation som finns i den här kunskapsbas artikeln.

Mer information finns i säkerhetsbulletinen för AMD-SB-1037 .

Den 8 augusti 2023 publicerade vi CVE-2023-20569 | AMD CPU Return Address Predictor (kallas även Förfall) som beskriver en ny spekulativ sidokanalattack som kan resultera i spekulativ körning på en adress som kontrolleras av en angripare. Det här problemet påverkar vissa AMD-processorer och kan potentiellt leda till informationsläcka.

För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från augusti 2023 eller senare och sedan vidtar åtgärder enligt CVE-2023-20569 och registernyckelinformation som finns i den här kunskapsbas artikeln.

Mer information finns i säkerhetsbulletinen för AMD-SB-7005 .

Den 9 april 2024 publicerade vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som är en specifik form av BTI i intraläge. Den här säkerhetsrisken inträffar när en angripare kan manipulera grenhistoriken innan den övergår från användare till övervakarläge (eller från VMX-icke-rot/gäst till rotläge). Den här manipulationen kan leda till att en indirekt branchförutsägare väljer en specifik prediktorpost för en indirekt gren, och en informationsgadget vid det förväntade målet körs tillfälligt. Detta kan vara möjligt eftersom den relevanta grenhistoriken kan innehålla filialer som tagits i tidigare säkerhetskontexter, och i synnerhet andra prediktorlägen.

Åtgärdsinställningar för Windows-klienter

Säkerhetsrådgivare (ADV) och CVE tillhandahåller information om den risk som dessa sårbarheter utgör och hur de hjälper dig att identifiera standardtillståndet för lösningar för Windows-klientsystem. I följande tabell sammanfattas kravet på CPU-mikrokod och standardstatus för åtgärder på Windows-klienter.

CVE

Kräver cpu-mikrokod/inbyggd programvara?

Standardstatus för åtgärd

CVE-2017-5753

Nej

Aktiverad som standard (inget alternativ för att inaktivera)

Mer information finns i ADV180002 .

CVE-2017-5715

Ja

Aktiverad som standard. Användare av system baserade på AMD-processorer bör se Vanliga frågor och svar #15 och användare av ARM-processorer bör se Vanliga frågor och svar #20 på ADV180002 för ytterligare åtgärder och den här KB-artikeln för tillämpliga registernyckelinställningar.

Obs! Som standard är Retpoline aktiverat för enheter som kör Windows 10, version 1809 eller senare om Spectre Variant 2 (CVE-2017-5715) är aktiverat. Om du vill ha mer information om Retpoline följer du anvisningarna i blogginlägget Mitigating Spectre variant 2 with Retpoline på Windows .

CVE-2017-5754

Nej

Aktiverad som standard

Mer information finns i ADV180002 .

CVE-2018-3639

Intel: Ja AMD: Nej ARM: Ja

Intel och AMD: Inaktiverad som standard. Se ADV180012 för mer information och den här KB-artikeln för tillämpliga registernyckelinställningar.

ARM: Aktiverad som standard utan alternativ för att inaktivera.

CVE-2019-11091

Intel: Ja

Aktiverad som standard.

Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2018-12126

Intel: Ja

Aktiverad som standard.

Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2018-12127

Intel: Ja

Aktiverad som standard.

Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2018-12130

Intel: Ja

Aktiverad som standard.

Se ADV190013 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2019-11135

Intel: Ja

Aktiverad som standard.

Se CVE-2019-11135 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2022-21123 (del av MMIO ADV220002)

Intel: Ja

Windows 10 version 1809 och senare: Aktiverad som standard.  Windows 10 version 1607 och tidigare: Inaktiverad som standard. 

Se CVE-2022-21123 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2022-21125 (del av MMIO ADV220002)

Intel: Ja

Windows 10 version 1809 och senare: Aktiverad som standard.  Windows 10 version 1607 och tidigare: Inaktiverad som standard. 

Mer information finns i CVE-2022-21125 .

CVE-2022-21127 (del av MMIO ADV220002)

Intel: Ja

Windows 10 version 1809 och senare: Aktiverad som standard.  Windows 10 version 1607 och tidigare: Inaktiverad som standard. 

Mer information finns i CVE-2022-21127 .

CVE-2022-21166 (del av MMIO ADV220002)

Intel: Ja

Windows 10 version 1809 och senare: Aktiverad som standard.  Windows 10 version 1607 och tidigare: Inaktiverad som standard. 

Mer information finns i CVE-2022-21166 .

CVE-2022-23825 (sammanblandning av AMD CPU Branch-typ)

AMD: Nej

Se CVE-2022-23825 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: Ja

Se CVE-2023-20569 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

CVE-2022-0001

Intel: Nej

Inaktiverad som standard.

Se CVE-2022-0001 för mer information och den här artikeln för tillämpliga registernyckelinställningar.

Obs!: Som standard kan aktivering av åtgärder som är inaktiverade påverka enhetens prestanda. Den faktiska prestandaeffekten beror på flera faktorer, till exempel den specifika kretsuppsättningen på enheten och de arbetsbelastningar som körs.

Registerinställningar

Vi tillhandahåller följande registerinformation för att aktivera åtgärder som inte är aktiverade som standard, enligt beskrivningen i Säkerhetsrådgivare och CV:er. Dessutom tillhandahåller vi registernyckelinställningar för användare som vill inaktivera de åtgärder som gäller för Windows-klienter.

Viktigt!: Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret på fel sätt. Se därför till att du följer de här stegen noggrant. Om du vill ha ytterligare skydd säkerhetskopierar du registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Mer information om hur du säkerhetskopierar och återställer registret finns i följande artikel i Microsoft Knowledge Base:322756 Så här säkerhetskopierar och återställer du registret i Windows

Viktigt!: Retpoline är aktiverat som standard på Windows 10 version 1809 enheter om Spectre, Variant 2 (CVE-2017-5715) är aktiverat. Om du aktiverar Retpoline i den senaste versionen av Windows 10 kan prestanda förbättras på enheter som kör Windows 10 version 1809 för Spectre variant 2, särskilt på äldre processorer.

Så här aktiverar du standardåtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Inaktivera lösningar för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Obs!: Värdet 3 är korrekt för FeatureSettingsOverrideMask för både inställningarna "enable" och "disable". (Mer information om registernycklar finns i avsnittet Vanliga frågor och svar.)

Så här inaktiverar du åtgärder för CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Så här aktiverar du standardåtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD- och ARM-PROCESSORer. Du måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715. Mer information finns i Vanliga frågor och svar nr 15 i ADV180002 för AMD-processorer och Vanliga frågor och svar #20 i ADV180002 för ARM-processorer.

Aktivera skydd från användare till kernel på AMD- och ARM-processorer tillsammans med andra skydd för CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

För att möjliggöra lösningar för CVE-2018-3639 (Speculative Store Bypass), standardåtgärder för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Obs! AMD-processorer är inte sårbara för CVE-2017-5754 (Meltdown). Registernyckeln används i system med AMD-processorer för att aktivera standardåtgärder för CVE-2017-5715 på AMD-processorer och begränsningen för CVE-2018-3639.

Inaktivera lösningar för CVE-2018-3639 (Speculative Store Bypass) *och* lösningar för CVE-2017-5715 (Spectre Variant 2) och CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-processorer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715.  Mer information finns i Vanliga frågor och svar #15 i ADV180002.

Aktivera skydd från användare till kernel på AMD-processorer tillsammans med andra skydd för CVE 2017-5715 och skydd för CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Så här aktiverar du lösningar för säkerhetsrisken Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) och Microarchitectural Data Sampling ( CVE-20 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) tillsammans med Spectre (CVE-2017-5753 & CVE-2017-5715) och Meltdown (CVE-2017-5754) varianter, inklusive Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 och CVE-2018-3646) utan att inaktivera Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Om Hyper-V-funktionen är installerad lägger du till följande registerinställning:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om.

Starta om enheten för att ändringarna ska börja gälla.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) med Hyper-Threading inaktiverad:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Om Hyper-V-funktionen är installerad lägger du till följande registerinställning:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Om det här är en Hyper-V-värd och uppdateringarna av den inbyggda programvaran har tillämpats: Stäng av alla Virtual Machines helt. På så sätt kan den inbyggda programvaran tillämpas på värden innan de virtuella datorerna startas. Därför uppdateras även de virtuella datorerna när de startas om.

Starta om enheten för att ändringarna ska börja gälla.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starta om enheten för att ändringarna ska börja gälla.

Så här aktiverar du begränsningen för CVE-2022-23825 på AMD-processorer :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

För att vara helt skyddad kan kunderna också behöva inaktivera Hyper-Threading (kallas även samtidig multitrådning (SMT).) Mer information om hur du skyddar Windows-enheter finns i KB4073757

Så här aktiverar du begränsningen för CVE-2023-20569 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Så här aktiverar du begränsningen för CVE-2022-0001 på Intel-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Aktivera flera åtgärder

Om du vill aktivera flera åtgärder måste du lägga till det REG_DWORD värdet för varje åtgärd tillsammans. 

Till exempel:

Åtgärd för säkerhetsproblem med transaktionssynkron abort, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) och L1 Terminal Fault (L1TF) med Hyper-Threading inaktiverat

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

OBS! 8264 (i decimal) = 0x2048 (i hex)

Om du vill aktivera BHI tillsammans med andra befintliga inställningar måste du använda bitvis ELLER aktuellt värde med 8 388 608 (0x800000). 

0x800000 ELLER 0x2048(8 264 i decimal) och det blir 8 396 872 (0x802048). Samma med FeatureSettingsOverrideMask.

Åtgärd för CVE-2022-0001 på Intel-processorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinerad begränsning

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Åtgärd för säkerhetsproblem med transaktionssynkron abort, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) och L1 Terminal Fault (L1TF) med Hyper-Threading inaktiverat

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Åtgärd för CVE-2022-0001 på Intel-processorer

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinerad begränsning

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kontrollera att skydd är aktiverat

För att verifiera att skydd är aktiverade har vi publicerat ett PowerShell-skript som du kan köra på dina enheter. Installera och kör skriptet med någon av följande metoder.

Installera PowerShell-modulen:

PS> Install-Module SpeculationControl

Kör PowerShell-modulen för att kontrollera att skydd är aktiverade:

PS> # Spara den aktuella körningsprincipen så att den kan återställas

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Återställ körningsprincipen till det ursprungliga tillståndet

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installera PowerShell-modulen från Technet ScriptCenter:

Gå till https://aka.ms/SpeculationControlPS

Ladda ned SpeculationControl.zip till en lokal mapp.

Extrahera innehållet till en lokal mapp, till exempel C:\ADV180002

Kör PowerShell-modulen för att kontrollera att skydd är aktiverade:

Starta PowerShell och kopiera sedan (med hjälp av föregående exempel) och kör följande kommandon:

PS> # Spara den aktuella körningsprincipen så att den kan återställas

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Återställ körningsprincipen till det ursprungliga tillståndet

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

En detaljerad beskrivning av utdata för PowerShell-skriptet finns i KB4074629.

Vanliga frågor och svar

Mikrokoden levereras via en uppdatering av den inbyggda programvaran. Kontrollera med din CPU (kretsuppsättning) och enhetstillverkare om tillgängligheten för tillämpliga säkerhetsuppdateringar för inbyggd programvara för deras specifika enhet, inklusive Intels Microcode Revision Guidance.

Att åtgärda en maskinvarurisk genom en programuppdatering innebär stora utmaningar. Åtgärder för äldre operativsystem kräver också omfattande arkitekturförändringar. Vi arbetar tillsammans med berörda kretstillverkare för att fastställa det bästa sättet att tillhandahålla lösningar, som kan levereras i framtida uppdateringar.

Uppdateringar för Microsoft Surface-enheter levereras till kunder via Windows Update tillsammans med uppdateringarna för Windows-operativsystemet. En lista över tillgängliga uppdateringar av inbyggd programvara för Surface-enheter (mikrokod) finns i KB4073065.

Om din enhet inte kommer från Microsoft använder du inbyggd programvara från enhetstillverkaren. Kontakta OEM-enhetstillverkaren om du vill ha mer information.

I februari och mars 2018 släppte Microsoft ytterligare skydd för vissa x86-baserade system. Mer information finns i KB4073757 och Microsoft Security Advisory ADV180002.

Uppdateringar till Windows 10 för HoloLens är tillgängliga för HoloLens-kunder via Windows Update.

Efter att ha installerat Windows-säkerhet-uppdateringen för februari 2018 behöver HoloLens-kunder inte vidta några ytterligare åtgärder för att uppdatera sin inbyggda programvara på enheten. Dessa lösningar kommer också att ingå i alla framtida versioner av Windows 10 för HoloLens.

Nej. Endast säkerhetsuppdateringar är inte kumulativa. Beroende på vilken version av operativsystemet du använder måste du installera varje månatlig endast säkerhetsrelaterad uppdatering för att skyddas mot dessa sårbarheter. Om du till exempel kör Windows 7 för 32-bitarssystem på en berörd Intel-processor måste du installera alla endast säkerhetsrelaterade uppdateringar. Vi rekommenderar att du installerar dessa endast säkerhetsrelaterade uppdateringar i utgivningsordningen.

Obs! I en tidigare version av dessa vanliga frågor och svar angavs felaktigt att februari månads säkerhetsrelaterade uppdatering innehöll säkerhetskorrigeringarna som släpptes i januari. Det gör det faktiskt inte.

Nej. Säkerhetsuppdatering 4078130 var en specifik korrigering för att förhindra oförutsägbara systembeteenden, prestandaproblem och/eller oväntade omstarter efter installationen av mikrokod. Genom att tillämpa säkerhetsuppdateringarna för februari på Windows-klientoperativsystem kan du åtgärda alla tre lösningarna.

Intel meddelade nyligen att de har slutfört sina valideringar och börjat släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 listar specifika Knowledge Base-artiklar efter Windows-version. Varje specifik KB innehåller de tillgängliga Intel-mikrokoduppdateringarna efter CPU.

Det här problemet åtgärdades i KB4093118.

AMD meddelade nyligen att de har börjat släppa mikrokod för nyare CPU-plattformar runt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Mer information finns i AMD Security Uppdateringar och AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Dessa är tillgängliga från OEM-kanalen för inbyggd programvara.

Vi gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).

Mikrokoduppdateringen finns även tillgänglig direkt från Catalog om den inte hade installerats på enheten innan operativsystemet uppgraderades. Intels mikrokod är tillgängligt via Windows Update, WSUS eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB4100347.

Mer information finns i avsnitten Rekommenderade åtgärder och Vanliga frågor och svar i ADV180012 | Microsoft Guidance for Speculative Store Bypass.

För att verifiera status för SSBD uppdaterades Get-SpeculationControlSettings PowerShell-skriptet för att identifiera berörda processorer, status för uppdateringar av SSBD-operativsystemet och status för processormikrokoden, om tillämpligt. Mer information och hur du hämtar PowerShell-skriptet finns i KB4074629.

Den 13 juni 2018 tillkännagavs en ytterligare sårbarhet med spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665. Inga konfigurationsinställningar (registerinställningar) krävs för Lazy Restore FP Restore.

Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i säkerhetsmeddelande ADV180016 | Microsofts vägledning för Lazy FP State Restore.

Obs!: Inga konfigurationsinställningar (registerinställningar) krävs för Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) avslöjades den 10 juli 2018 och tilldelades CVE-2018-3693. Vi anser att BCBS tillhör samma klass av sårbarheter som Bounds Check Bypass (Variant 1). Vi är för närvarande inte medvetna om några fall av BCBS i vår programvara, men vi fortsätter att undersöka denna sårbarhetsklass och kommer att arbeta med branschpartner för att släppa lösningar efter behov. Vi fortsätter att uppmuntra forskare att skicka in relevanta resultat till Microsofts Speculative Execution Side Channel bounty-program, inklusive alla exploaterbara fall av BCBS. Programvaruutvecklare bör läsa utvecklarvägledningen som uppdaterades för BCBS vid https://aka.ms/sescdevguide.

Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa innehållet i minnet över en betrodd gräns och, om det utnyttjas, kan leda till att information avslöjas. En angripare kan utlösa sårbarheter genom flera vektorer, beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.

Mer information om den här sårbarheten och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:

Kunder som använder 64-bitars ARM-processorer bör kontrollera med enhets-OEM-tillverkaren om stöd för inbyggd programvara eftersom ARM64-operativsystemskydd som minskar CVE-2017-5715 | Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av inbyggd programvara från oem-tillverkare på enheten börjar gälla.

Azure-vägledning finns i den här artikeln: Vägledning för att begränsa spekulativ exekvering i Azure.  

Mer information om retpoline-aktivering finns i vårt blogginlägg: Mitigating Spectre variant 2 with Retpoline on Windows

Mer information om den här säkerhetsrisken finns i Microsoft Security Guide: CVE-2019-1125 | Windows kernel informationsläcka sårbarhet.

Vi känner inte till några fall av den här säkerhetsrisken för informationsläcka som påverkar vår molntjänstinfrastruktur.

Så snart vi blev medvetna om det här problemet arbetade vi snabbt med att åtgärda det och släppa en uppdatering. Vi tror starkt på nära samarbeten med både forskare och branschpartners för att göra kunderna säkrare och publicerade inte detaljer förrän tisdagen den 6 augusti, i enlighet med samordnade metoder för avslöjande av sårbarheter.

Referenser

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.