KB4072698: คําแนะนําสําหรับ Windows Server และ Azure Stack HCI เพื่อป้องกันช่องโหว่ที่อาศัย microarchitectural และการดําเนินการแบบคาดการณ์จากแชนเนล

เปลี่ยนวันที่	การถอดรหัสการเปลี่ยนแปลง
วันที่ 20 เมษายน 2023	เพิ่มข้อมูลรีจิสทรี MMIO แล้ว
วันที่ 8 สิงหาคม 2566	นําเนื้อหาเกี่ยวกับ CVE-2022-23816 ออกเนื่องจากไม่ได้ใช้หมายเลข CVE เพิ่ม "Branch Type Confusion" ภายใต้ส่วน "ช่องโหว่" เพิ่มข้อมูลเพิ่มเติมลงใน "CVE-2022-23825 \| ส่วนรีจิสทรี AMD CPU Branch Type Confusion (BTC)"
วันที่ 9 สิงหาคม 2566	อัปเดต "CVE-2022-23825 \| ส่วนรีจิสทรี AMD CPU Branch Type Confusion (BTC)" เพิ่ม "CVE-2023-20569 \| ตัวคาดเดาที่อยู่ผู้ส่งของ AMD CPU" เป็นส่วน "สรุป" เพิ่ม "CVE-2023-20569 \| ส่วนรีจิสทรี AMD CPU Return Address Predictor"
9 เมษายน 2024	เพิ่ม CVE-2022-0001 \| การฉีดประวัติสาขาของ Intel
วันที่ 16 เมษายน 2024	เพิ่มส่วน "การเปิดใช้งานการลดหลายรายการ"

บทสรุป

บทความนี้จะให้คําแนะนําสําหรับช่องโหว่ที่อาศัยสถาปัตยกรรมไมโครแบบซิลิคอนแบบคลาสใหม่และช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ที่มีผลต่อตัวประมวลผลและระบบปฏิบัติการที่ทันสมัยจํานวนมาก ซึ่งรวมถึง Intel, AMD และ ARM รายละเอียดเฉพาะสําหรับช่องโหว่ที่ใช้ซิลิคอนเหล่านี้สามารถพบได้ใน ADVs (คําแนะนําด้านความปลอดภัย) และ CVEs (ช่องโหว่และความเสี่ยงทั่วไป):

สิ่งสำคัญ: ปัญหาเหล่านี้ยังส่งผลต่อระบบปฏิบัติการอื่นๆ เช่น Android, Chrome, iOS และ MacOS เราแนะนําให้ลูกค้าขอคําแนะนําจากผู้ขายเหล่านั้น

เราได้เผยแพร่การอัปเดตหลายอย่างเพื่อช่วยบรรเทาช่องโหว่เหล่านี้ นอกจากนี้ เรายังได้ดําเนินการเพื่อรักษาความปลอดภัยให้กับบริการระบบคลาวด์ของเราอีกด้วย ดูส่วนต่อไปนี้สําหรับรายละเอียดเพิ่มเติม

เรายังไม่ได้รับข้อมูลใดๆ เพื่อระบุว่าช่องโหว่เหล่านี้ถูกใช้เพื่อโจมตีลูกค้า เรากําลังทํางานอย่างใกล้ชิดกับคู่ค้าในอุตสาหกรรม รวมถึงผู้ผลิตชิป OEM ฮาร์ดแวร์ และผู้จําหน่ายแอปพลิเคชันเพื่อปกป้องลูกค้า หากต้องการรับการป้องกันที่พร้อมใช้งานทั้งหมด จําเป็นต้องอัปเดตเฟิร์มแวร์ (microcode) และซอฟต์แวร์ ซึ่งรวมถึง Microcode จาก OEM ของอุปกรณ์ และในบางกรณีจะมีการอัปเดตซอฟต์แวร์ป้องกันไวรัส

ช่อง โหว่

บทความนี้ระบุถึงช่องโหว่ของการดําเนินการแบบคาดการณ์ต่อไปนี้:

นอกจากนี้ Windows Update ยังมีการบรรเทาจาก Internet Explorer และ Edge อีกด้วย เราจะปรับปรุงการบรรเทาปัญหาเหล่านี้ต่อช่องโหว่ประเภทนี้ต่อไป

เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ประเภทนี้ โปรดดู

ในวันที่ 14 พฤษภาคม 2019 Intel ได้เผยแพร่ข้อมูลเกี่ยวกับคลาสย่อยใหม่ของช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ที่เรียกว่าการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมไมโครและบันทึกไว้ใน ADV190013 | Intel การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมไมโคร พวกเขาได้รับมอบหมาย CVEs ต่อไปนี้:

สิ่งสำคัญ: ปัญหาเหล่านี้จะส่งผลต่อระบบอื่นๆ เช่น Android, Chrome, iOS และ MacOS เราแนะนําให้ลูกค้าขอคําแนะนําจากผู้ขายเหล่านั้น

Microsoft ได้เผยแพร่การอัปเดตเพื่อช่วยลดช่องโหว่เหล่านี้ หากต้องการรับการป้องกันที่พร้อมใช้งานทั้งหมด จําเป็นต้องอัปเดตเฟิร์มแวร์ (microcode) และซอฟต์แวร์ ซึ่งอาจรวมถึง Microcode จาก OEM ของอุปกรณ์ ในบางกรณี การติดตั้งการอัปเดตเหล่านี้จะมีผลต่อประสิทธิภาพการทํางาน นอกจากนี้ เรายังได้ดําเนินการเพื่อรักษาความปลอดภัยของบริการระบบคลาวด์ของเราอีกด้วย เราขอแนะนําให้ปรับใช้การอัปเดตเหล่านี้

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ ดูคําแนะนําด้านความปลอดภัยต่อไปนี้และใช้คําแนะนําตามสถานการณ์สมมติเพื่อระบุการดําเนินการที่จําเป็นเพื่อลดภัยคุกคาม:

หมายเหตุ: เราขอแนะนําให้คุณติดตั้งการอัปเดตล่าสุดทั้งหมดจาก Windows Update ก่อนที่คุณจะติดตั้งการอัปเดต Microcode ใดๆ

ในวันที่ 6 สิงหาคม 2019 Intel ได้เผยแพร่รายละเอียดเกี่ยวกับช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows ช่องโหว่นี้เป็นตัวแปรของช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ตัวแปรที่ 1 และได้รับการกําหนด CVE-2019-1125

เมื่อวันที่ 9 กรกฎาคม 2019 เราได้เผยแพร่การอัปเดตความปลอดภัยสําหรับระบบปฏิบัติการ Windows เพื่อช่วยบรรเทาปัญหานี้ โปรดทราบว่าเราได้จัดเอกสารฉบับนี้ต่อสาธารณชนจนกว่าการเปิดเผยอุตสาหกรรมประสานงานในวันอังคารที่ 6 สิงหาคม 2019

ลูกค้าที่เปิดใช้งาน Windows Update และใช้การอัปเดตความปลอดภัยที่เผยแพร่ในวันที่ 9 กรกฎาคม 2019 จะได้รับการป้องกันโดยอัตโนมัติ ไม่มีการกําหนดค่าเพิ่มเติมที่จําเป็น

หมายเหตุ: ช่องโหว่นี้ไม่จําเป็นต้องมีการอัปเดต Microcode จากผู้ผลิตอุปกรณ์ของคุณ (OEM)

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และการอัปเดตที่เกี่ยวข้อง โปรดดู คู่มือการอัปเดตความปลอดภัย Microsoft:

CVE-2019-1125 | CVE ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows

ในวันที่ 12 พฤศจิกายน 2019 Intel ได้เผยแพร่คําแนะนําทางเทคนิคเกี่ยวกับช่องโหว่ Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ที่กําหนด CVE-2019-11135 Microsoft ได้เผยแพร่การอัปเดตเพื่อช่วยลดช่องโหว่นี้ และการป้องกันระบบปฏิบัติการจะเปิดใช้งานตามค่าเริ่มต้นสําหรับ Windows Server 2019 แต่ปิดใช้งานตามค่าเริ่มต้นสําหรับ Windows Server 2016 และระบบปฏิบัติการ Windows Server เวอร์ชันก่อนหน้า

เมื่อวันที่ 14 มิถุนายน 2022 เราได้เผยแพร่ ADV220002 คําแนะนําของ Microsoft เกี่ยวกับช่องโหว่ MMIO ข้อมูลลวงตาของตัวประมวลผล Intel และกําหนด CVEs เหล่านี้:

การดำเนินการที่แนะนำ

คุณควรดําเนินการต่อไปนี้เพื่อป้องกันช่องโหว่:

ใช้การอัปเดตระบบปฏิบัติการ Windows ที่พร้อมใช้งานทั้งหมด รวมถึงการอัปเดตความปลอดภัยของ Windows รายเดือน
ใช้การอัปเดตเฟิร์มแวร์ (microcode) ที่เกี่ยวข้องที่ได้รับจากผู้ผลิตอุปกรณ์
ประเมินความเสี่ยงต่อสภาพแวดล้อมของคุณตามข้อมูลที่ระบุในคําแนะนําด้านความปลอดภัยของ Microsoft: ADV180002 ADV180012 ADV190013 ADV220002 นอกเหนือจากข้อมูลที่ระบุไว้ในบทความฐานความรู้นี้
ดําเนินการตามที่จําเป็นโดยใช้คําแนะนําและข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้

หมายเหตุ: ลูกค้า Surface จะได้รับการอัปเดต Microcode ผ่าน Windows Update สําหรับรายการการอัปเดตเฟิร์มแวร์อุปกรณ์ Surface (microcode) ล่าสุด โปรดดูที่ KB4073065

เมื่อวันที่ 12 กรกฎาคม 2022 เราได้เผยแพร่ CVE-2022-23825 | AMD CPU Branch Type Confusion ซึ่งอธิบายว่านามแฝงในตัวคาดเดาสาขาอาจทําให้ตัวประมวลผล AMD บางตัวคาดการณ์ชนิดของสาขาที่ไม่ถูกต้อง ปัญหานี้อาจนําไปสู่การเปิดเผยข้อมูล

เพื่อช่วยป้องกันช่องโหว่นี้ เราขอแนะนําให้ติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากเดือนกรกฎาคม 2022 แล้วดําเนินการตามที่จําเป็นโดย CVE-2022-23825 และข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้

สําหรับข้อมูลเพิ่มเติม โปรดดูประกาศด้านความปลอดภัยของ AMD-SB-1037

เมื่อวันที่ 8 สิงหาคม 2023 เราได้เผยแพร่ CVE-2023-20569 | Return Address Predictor (หรือที่เรียกว่า Inception) ซึ่งอธิบายการโจมตีช่องทางด้านข้างแบบคาดการณ์ใหม่ซึ่งอาจส่งผลให้เกิดการดําเนินการแบบคาดการณ์ที่ที่อยู่ที่ควบคุมโดยผู้โจมตี ปัญหานี้มีผลต่อตัวประมวลผล AMD บางตัว และอาจนําไปสู่การเปิดเผยข้อมูล

เพื่อช่วยป้องกันช่องโหว่นี้ เราขอแนะนําให้ติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากเดือนสิงหาคม 2023 แล้วดําเนินการตามที่จําเป็นโดย CVE-2023-20569 และข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้

สําหรับข้อมูลเพิ่มเติม โปรดดูประกาศด้านความปลอดภัยของ AMD-SB-7005

เมื่อวันที่ 9 เมษายน 2024 เราได้เผยแพร่ CVE-2022-0001 | การฉีดประวัติสาขาของ Intel ซึ่งอธิบายการฉีดประวัติสาขา (BHI) ซึ่งเป็นรูปแบบเฉพาะของ BTI ภายในโหมด ช่องโหว่นี้เกิดขึ้นเมื่อผู้โจมตีอาจจัดการประวัติสาขาก่อนที่จะเปลี่ยนจากผู้ใช้เป็นโหมดผู้ดูแล (หรือจากโหมดที่ไม่ใช่ราก/ผู้เยี่ยมชม VMX ไปเป็นโหมดราก) การจัดการนี้อาจทําให้ตัวทํานายสาขาทางอ้อมเลือกรายการตัวทํานายเฉพาะสําหรับสาขาทางอ้อม และโปรแกรมเบ็ดเตล็ดการเปิดเผยที่เป้าหมายที่ทํานายจะดําเนินการแบบชั่วคราว ซึ่งอาจเป็นไปได้เนื่องจากประวัติสาขาที่เกี่ยวข้องอาจมีสาขาที่นํามาในบริบทความปลอดภัยก่อนหน้านี้ และโดยเฉพาะอย่างยิ่ง โหมดตัวคาดเดาอื่นๆ

การตั้งค่าการลดปัญหาสําหรับ Windows Server และ Azure Stack HCI

คําแนะนําด้านความปลอดภัย (ADVs) และ CVEs จะให้ข้อมูลเกี่ยวกับความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้ นอกจากนี้ยังช่วยคุณระบุช่องโหว่และระบุสถานะเริ่มต้นของการลดปัญหาสําหรับระบบ Windows Server ตารางด้านล่างสรุปความต้องการของ Microcode CPU และสถานะเริ่มต้นของการลดปัญหาบน Windows Server

CVE	จําเป็นต้องมี MICROCODE/เฟิร์มแวร์ CPU หรือไม่	สถานะค่าเริ่มต้นของการลดปัญหา
CVE-2017-5753	ไม่ใช่	เปิดใช้งานตามค่าเริ่มต้น (ไม่มีตัวเลือกสําหรับปิดใช้งาน) โปรดดูข้อมูลเพิ่มเติมจาก ADV180002
CVE-2017-5715	ใช่	ปิดใช้งานตามค่าเริ่มต้น โปรดดู ADV180002 สําหรับข้อมูลเพิ่มเติมและบทความ KB นี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง หมาย เหตุ "Retpoline" จะเปิดใช้งานตามค่าเริ่มต้นสําหรับอุปกรณ์ที่ใช้ Windows 10 เวอร์ชัน 1809 และใหม่กว่า ถ้าเปิดใช้งาน Spectre ตัวแปรที่ 2 (CVE-2017-5715) สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ "Retpoline" ให้ทําตาม การลด Spectre Variant 2 ด้วย Retpoline ในบล็อกโพสต์ของ Windows
CVE-2017-5754	ไม่ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้นWindows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น โปรดดูข้อมูลเพิ่มเติมจาก ADV180002
CVE-2018-3639	Intel: ใช่ AMD: ไม่ใช่	ปิดใช้งานตามค่าเริ่มต้น ดู ADV180012 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้
CVE-2018-11091	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้นWindows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้
CVE-2018-12126	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้นWindows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้
CVE-2018-12127	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้นWindows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้
CVE-2018-12130	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้นWindows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้
CVE-2019-11135	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้นWindows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2019-11135 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2022-21123 (ส่วนของ MMIO ADV220002)	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้น Windows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น* ดู CVE-2022-21123 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2022-21125 (ส่วนของ MMIO ADV220002)	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้น Windows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น* ดู CVE-2022-21125 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2022-21127 (ส่วนของ MMIO ADV220002)	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้น Windows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น* ดู CVE-2022-21127 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2022-21166 (ส่วนของ MMIO ADV220002)	Intel: ใช่	Windows Server 2019, Windows Server 2022 และ Azure Stack HCI: เปิดใช้งานตามค่าเริ่มต้น Windows Server 2016 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น* ดู CVE-2022-21166 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2022-23825 (AMD CPU Branch Type Confusion)	AMD: ไม่ใช่	ดู CVE-2022-23825 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับ การตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2023-20569 (AMD CPU Return Address Predictor)	AMD: ใช่	ดู CVE-2023-20569 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง
CVE-2022-0001	Intel: No	ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2022-0001 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้

* ทําตามคําแนะนําในการลดปัญหาสําหรับ Meltdown ด้านล่าง

หากคุณต้องการรับการป้องกันช่องโหว่เหล่านี้ทั้งหมด คุณต้องทําการเปลี่ยนแปลงรีจิสทรีคีย์เพื่อเปิดใช้งานการแก้ไขเหล่านี้ที่ปิดใช้งานตามค่าเริ่มต้น

การเปิดใช้งานการบรรเทาเหล่านี้อาจส่งผลต่อประสิทธิภาพการทํางาน ขนาดของผลกระทบต่อประสิทธิภาพการทํางานจะขึ้นอยู่กับปัจจัยหลายอย่าง เช่น ชิปเซ็ตเฉพาะในโฮสต์ทางกายภาพของคุณและปริมาณงานที่กําลังทํางานอยู่ เราขอแนะนําให้คุณประเมินผลกระทบต่อประสิทธิภาพการทํางานสําหรับสภาพแวดล้อมของคุณและทําการปรับเปลี่ยนที่จําเป็น

เซิร์ฟเวอร์ของคุณมีความเสี่ยงเพิ่มขึ้นหากอยู่ในประเภทใดประเภทหนึ่งต่อไปนี้:

โฮสต์ Hyper-V: จําเป็นต้องมีการป้องกันการโจมตี VM-to-VM และ VM-to-host
โฮสต์บริการเดสก์ท็อประยะไกล (RDSH): จําเป็นต้องมีการป้องกันจากเซสชันหนึ่งไปยังเซสชันอื่นหรือการโจมตีจากเซสชันถึงโฮสต์
โฮสต์ทางกายภาพหรือเครื่องเสมือนที่ใช้ โค้ดที่ไม่น่าเชื่อถือ เช่น คอนเทนเนอร์หรือส่วนขยายที่ไม่น่าเชื่อถือสําหรับฐานข้อมูล เนื้อหาเว็บที่ไม่น่าเชื่อถือ หรือปริมาณงานที่เรียกใช้โค้ดที่มาจากแหล่งภายนอก ซึ่งจําเป็นต้องมีการป้องกันจากการโจมตีกระบวนการที่ไม่น่าเชื่อถือไปยังกระบวนการอื่นหรือไม่น่าเชื่อถือในกระบวนการไปยังเคอร์เนล

ใช้การตั้งค่ารีจิสทรีคีย์ต่อไปนี้เพื่อเปิดใช้งานการลดปัญหาบนเซิร์ฟเวอร์ และเริ่มการทํางานของอุปกรณ์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล

หมายเหตุ: ตามค่าเริ่มต้น การเปิดใช้งานการลดปัญหาที่ปิดอยู่อาจส่งผลต่อประสิทธิภาพการทํางาน ผลกระทบด้านประสิทธิภาพจริงขึ้นอยู่กับหลายปัจจัย เช่น ชิปเซ็ตเฉพาะในอุปกรณ์และปริมาณงานที่กําลังทํางานอยู่

การตั้งค่ารีจิสทรี

เราจะให้ข้อมูลรีจิสทรีต่อไปนี้เพื่อเปิดใช้งานการแก้ไขที่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น ตามที่ระบุไว้ในคําแนะนําด้านความปลอดภัย (ADVs) และ CVEs นอกจากนี้ เรายังมีการตั้งค่ารีจิสทรีคีย์สําหรับผู้ใช้ที่ต้องการปิดใช้งานการแก้ไขเมื่อสามารถใช้ได้กับไคลเอ็นต์ Windows

สำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกวิธีเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะเปลี่ยนแปลง จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่ารีจิสทรี โปรดดูบทความต่อไปนี้ใน Microsoft Knowledge Base:

KB322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows

สำคัญตามค่าเริ่มต้น Retpoline จะถูกกําหนดค่าดังนี้ถ้าเปิดใช้งาน Spectre, Variant 2 Mitigation (CVE-2017-5715):

- การบรรเทา Retpoline ถูกเปิดใช้งานใน Windows 10 เวอร์ชัน 1809 และ Windows รุ่นที่ใหม่กว่า

- การลด Retpoline ถูกปิดใช้งานบน Windows Server 2019 และ Windows Server เวอร์ชันที่ใหม่กว่า

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการกําหนดค่า Retpoline โปรดดูการลด Spectre Variant 2 ด้วย Retpoline บน Windows

เพื่อเปิดใช้งานการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) CVE-2017-5754 (Meltdown) และ CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

หากนี่คือโฮสต์ Hyper-V และมีการนําการอัปเดตเฟิร์มแวร์ไปใช้: ปิดเครื่องเสมือนทั้งหมด ซึ่งจะทําให้สามารถนําการแก้ไขที่เกี่ยวข้องกับเฟิร์มแวร์ไปใช้กับโฮสต์ก่อนเริ่ม VM ดังนั้น VM จะได้รับการอัปเดตเมื่อรีสตาร์ต

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล
เมื่อต้องการปิดใช้งานการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) CVE-2017-5754 (Meltdown) และ CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

หมายเหตุ: การตั้งค่า FeatureSettingsOverrideMask เป็น 3 ถูกต้องสําหรับการตั้งค่า "เปิดใช้งาน" และ "ปิดใช้งาน" (ดูส่วน "คําถามที่ถามบ่อย " สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์)

เมื่อต้องการปิดใช้งานตัวแปรที่ 2: (CVE-2017-5715 | การฉีดเป้าหมายสาขา) บรรเทา:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานตัวแปรที่ 2: (CVE-2017-5715 | การฉีดเป้าหมายสาขา) บรรเทา:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

ตามค่าเริ่มต้น การป้องกันผู้ใช้ถึงเคอร์เนลสําหรับ CVE-2017-5715 จะถูกปิดใช้งานสําหรับ CPU AMD ลูกค้าต้องเปิดใช้งานการบรรเทาเพื่อรับการป้องกันเพิ่มเติมสําหรับ CVE-2017-5715 ดูข้อมูลเพิ่มเติมได้ที่ คําถามที่ถามบ่อย #15 ใน ADV180002

เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD พร้อมกับการป้องกันอื่นๆ สําหรับ CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

หากนี่คือโฮสต์ Hyper-V และมีการนําการอัปเดตเฟิร์มแวร์ไปใช้: ปิดเครื่องเสมือนทั้งหมด ซึ่งจะทําให้สามารถนําการแก้ไขที่เกี่ยวข้องกับเฟิร์มแวร์ไปใช้กับโฮสต์ก่อนเริ่ม VM ดังนั้น VM จะได้รับการอัปเดตเมื่อรีสตาร์ต

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการบรรเทาสําหรับ CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

หากต้องการปิดใช้งานการลดปัญหาสําหรับ CVE-2018-3639 (Speculative Store Bypass) และการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

ตามค่าเริ่มต้น การป้องกันผู้ใช้ถึงเคอร์เนลสําหรับ CVE-2017-5715 จะถูกปิดใช้งานสําหรับตัวประมวลผล AMD ลูกค้าต้องเปิดใช้งานการบรรเทาเพื่อรับการป้องกันเพิ่มเติมสําหรับ CVE-2017-5715 ดูข้อมูลเพิ่มเติมได้ที่ คําถามที่ถามบ่อย #15 ใน ADV180002

เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD พร้อมกับการป้องกันอื่นๆ สําหรับ CVE 2017-5715 และการป้องกันสําหรับ CVE-2018-3639 (การเลี่ยงผ่าน Speculative Store):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการลดช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ช่องโหว่ (CVE-2019-11135) และการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมจุลภาค ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12126 CVE-2018-12127 , CVE-2018-12130 ) พร้อมกับ Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] ตัวแปร, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 และ CVE-2022-21166) รวมถึง Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] เช่นเดียวกับ L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646] โดยไม่ต้องปิดใช้งานไฮเปอร์เธรดดิ้ง:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการแก้ไขช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ช่องโหว่ (CVE-2019-11135) และการเก็บตัวอย่างข้อมูล Microarchitectural ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) พร้อมกับ Spectre [CVE-2017-5753 & CVE-2017-5715] และ Meltdown [CVE-2017-5754] ตัวแปร, รวมถึงการปิดใช้งานการเลี่ยงผ่านสโตร์แบบคาดการณ์ (SSBD) [CVE-2018-3639] รวมทั้ง L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646] โดย Hyper-Threading ปิดใช้งาน:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการปิดใช้งานการลดช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) และการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมจุลภาค ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) พร้อมกับ Spectre [CVE-2017-5753 & CVE-2017-5715] และ Meltdown [CVE-2017-5754] ตัวแปร, รวมถึงการปิดใช้งานการเลี่ยงผ่านสโตร์แบบคาดการณ์ (SSBD) [CVE-2018-3639] รวมทั้ง L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล

เมื่อต้องการเปิดใช้งานการลดปัญหาสําหรับ CVE-2022-23825 บนตัวประมวลผล AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

เพื่อให้ได้รับการปกป้องอย่างเต็มรูปแบบ ลูกค้าอาจจําเป็นต้องปิดใช้งาน Hyper-Threading (หรือที่เรียกว่า Simultaneous Multi Threading (SMT)) โปรดดู KB4073757 สําหรับคําแนะนําเกี่ยวกับการปกป้องอุปกรณ์ Windows

เมื่อต้องการเปิดใช้งานการลดปัญหาสําหรับ CVE-2023-20569 บนตัวประมวลผล AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

เมื่อต้องการเปิดใช้งานการลดสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

การเปิดใช้งานการบรรเทาหลายรายการ

เมื่อต้องการเปิดใช้งานการบรรเทาหลายรายการ คุณต้องเพิ่มค่า REG_DWORD ของการบรรเทาแต่ละรายการพร้อมกัน

ตัวอย่างเช่น:

FeatureSettingsOverride FeatureSettingsOverrideMask

การลดช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูล Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF) ที่ปิดใช้งาน Hyper-Threading	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
NOTE 8264 (เป็นทศนิยม) = 0x2048 (ในฐานสิบหก) เมื่อต้องการเปิดใช้งาน BHI พร้อมกับการตั้งค่าอื่นๆ ที่มีอยู่ คุณจะต้องใช้ BITWISE OR ของค่าปัจจุบันกับ 8,388,608 (0x800000) 0x800000 OR 0x2048(8264 เป็นทศนิยม) และจะกลายเป็น 8,396,872(0x802048) เหมือนกับ FeatureSettingsOverrideMask
การลดปัญหาสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
การบรรเทารวม	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

การลดช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูล Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF) ที่ปิดใช้งาน Hyper-Threading	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"
การลดปัญหาสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
การบรรเทารวม	reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

การตรวจสอบว่ามีการเปิดใช้งานการป้องกันแล้ว

เพื่อช่วยตรวจสอบว่ามีการเปิดใช้งานการป้องกัน เราได้เผยแพร่สคริปต์ PowerShell ที่คุณสามารถเรียกใช้บนอุปกรณ์ของคุณได้ ติดตั้งและเรียกใช้สคริปต์โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้

ติดตั้งโมดูล PowerShell:

PS> Install-Module SpeculationControl

เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

ติดตั้งโมดูล PowerShell จาก Technet ScriptCenter:

ไปที่ https://aka.ms/SpeculationControlPS
ดาวน์โหลด SpeculationControl.zip ลงในโฟลเดอร์ภายในเครื่อง
แยกเนื้อหาไปยังโฟลเดอร์ภายในเครื่อง ตัวอย่างเช่น: C:\ADV180002

เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน:

เริ่ม PowerShell แล้วใช้ตัวอย่างก่อนหน้าเพื่อคัดลอกและเรียกใช้คําสั่งต่อไปนี้:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

สําหรับคําอธิบายโดยละเอียดของผลลัพธ์ของสคริปต์ PowerShell ให้ดูที่ KB4074629

คำถามที่ถามบ่อย

เพื่อช่วยหลีกเลี่ยงปัญหาที่ส่งผลเสียต่ออุปกรณ์ของลูกค้า การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในเดือนมกราคมและกุมภาพันธ์ 2018 จึงไม่ได้เสนอให้กับลูกค้าทุกคน สําหรับรายละเอียด ให้ดูที่ KB407269

Microcode ส่งผ่านการอัปเดตเฟิร์มแวร์ ดู OEM ของคุณเกี่ยวกับเวอร์ชันเฟิร์มแวร์ที่มีการอัปเดตที่เหมาะสมสําหรับคอมพิวเตอร์ของคุณ

มีตัวแปรหลายตัวที่มีผลต่อประสิทธิภาพตั้งแต่เวอร์ชันของระบบไปจนถึงปริมาณงานที่กําลังรันอยู่ สําหรับบางระบบ ผลการทํางานจะเล็กน้อย สําหรับคนอื่น ๆ มันจะมาก

เราขอแนะนําให้คุณประเมินผลกระทบต่อประสิทธิภาพการทํางานในระบบของคุณและทําการปรับเปลี่ยนตามความจําเป็น

นอกเหนือจากคําแนะนําที่อยู่ในบทความนี้เกี่ยวกับเครื่องเสมือน คุณควรติดต่อผู้ให้บริการของคุณเพื่อให้แน่ใจว่าโฮสต์ที่ใช้งานเครื่องเสมือนของคุณได้รับการป้องกันอย่างเพียงพอสําหรับเครื่องเสมือน Windows Server ที่ทํางานใน Azure ดูคําแนะนําสําหรับการลดช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ใน Azure สําหรับคําแนะนําเกี่ยวกับการใช้ Azure Update Management เพื่อลดปัญหานี้บนเครื่องเสมือน guest ดูที่ KB4077467

การอัปเดตที่เผยแพร่สําหรับคอนเทนเนอร์อิมเมจของ Windows Server สําหรับ Windows Server 2016 และ Windows 10 เวอร์ชัน 1709 มีการลดช่องโหว่สําหรับช่องโหว่ชุดนี้ ไม่จําเป็นต้องกําหนดค่าเพิ่มเติมหมาย เหตุ คุณต้องตรวจสอบให้แน่ใจว่าโฮสต์ที่คอนเทนเนอร์เหล่านี้กําลังทํางานอยู่ได้รับการกําหนดค่าให้เปิดใช้งานการบรรเทาที่เหมาะสม

ไม่ ลําดับการติดตั้งไม่สําคัญ

ใช่ คุณต้องเริ่มระบบใหม่หลังจากอัปเดตเฟิร์มแวร์ (microcode) จากนั้นอีกครั้งหลังจากการอัปเดตระบบ

ต่อไปนี้เป็นรายละเอียดสําหรับรีจิสทรีคีย์:

FeatureSettingsOverride แสดงบิตแมปที่แทนที่การตั้งค่าเริ่มต้นและตัวควบคุมที่การลดปัญหาจะถูกปิดใช้งาน Bit 0 ควบคุมการลดปัญหาที่สอดคล้องกับ CVE-2017-5715 Bit 1 ควบคุมการลดปัญหาที่สอดคล้องกับ CVE-2017-5754 บิตจะถูกตั้งค่าเป็น 0 เพื่อเปิดใช้งานการลดปัญหาและ เป็น 1 เพื่อปิดใช้งานการลดปัญหา

FeatureSettingsOverrideMask แสดงรูปแบบบิตแมปที่ใช้ร่วมกับ FeatureSettingsOverride ในสถานการณ์นี้ เราใช้ค่า 3 (แสดงเป็น 11 ในเลขฐานสองหรือระบบตัวเลขฐาน 2) เพื่อระบุสองบิตแรกที่สอดคล้องกับการลดปัญหาที่พร้อมใช้งาน รีจิสทรีคีย์นี้ตั้งค่าเป็น 3 ทั้งสองอย่างเพื่อเปิดใช้งานหรือปิดใช้งานการแก้ไข

MinVmVersionForCpuBasedMitigations มีไว้สําหรับโฮสต์ Hyper-V รีจิสทรีคีย์นี้จะกําหนดเวอร์ชัน VM ขั้นต่ําที่จําเป็นสําหรับคุณในการใช้ความสามารถของเฟิร์มแวร์ที่อัปเดต (CVE-2017-5715) ตั้งค่าเป็น 1.0 เพื่อให้ครอบคลุม VM ทุกเวอร์ชัน โปรดสังเกตว่าค่ารีจิสทรีนี้จะถูกละเว้น (อ่อนโยน) บนโฮสต์ที่ไม่ใช่ Hyper-V สําหรับรายละเอียดเพิ่มเติม โปรดดูที่ การป้องกันเครื่องเสมือนแบบ Guest จาก CVE-2017-5715 (การใส่เป้าหมายสาขา)

ใช่ จะไม่มีผลข้างเคียงหากการตั้งค่ารีจิสทรีเหล่านี้ถูกนําไปใช้ก่อนที่จะติดตั้งการแก้ไขที่เกี่ยวข้องกับเดือนมกราคม 2018

ดูคําอธิบายโดยละเอียดของผลลัพธ์สคริปต์ที่ KB4074629: ทําความเข้าใจเอาต์พุตสคริปต์ SpeculationControl PowerShell

ได้ สําหรับโฮสต์ Hyper-V ของ Windows Server 2016 ที่ยังไม่มีการอัปเดตเฟิร์มแวร์ เราได้เผยแพร่คําแนะนําทางเลือกที่สามารถช่วยบรรเทา VM เป็น VM หรือ VM เพื่อโฮสต์การโจมตี ดู การป้องกันสํารองสําหรับ Windows Server 2016 Hyper-V Hosts จากช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์

การอัปเดตความปลอดภัยเท่านั้นไม่ใช่การอัปเดตแบบสะสม คุณอาจต้องติดตั้งการอัปเดตความปลอดภัยหลายรายการเพื่อการป้องกันเต็มรูปแบบ ทั้งนี้ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการของคุณ โดยทั่วไป ลูกค้าจะต้องติดตั้งการอัปเดตประจําเดือนมกราคม กุมภาพันธ์ มีนาคม และเมษายน 2018 ระบบที่มีตัวประมวลผล AMD ต้องการการอัปเดตเพิ่มเติมดังที่แสดงในตารางต่อไปนี้:

เวอร์ชันของระบบปฏิบัติการ	การอัปเดตการรักษาความปลอดภัย
Windows 8.1, Windows Server 2012 R2	KB4338815 - ชุดรวมอัปเดตรายเดือน
	KB4338824- ความปลอดภัยเท่านั้น
Windows 7 SP1, Windows Server 2008 R2 SP1 หรือ Windows Server 2008 R2 SP1 (การติดตั้ง Server Core)	KB4284826 - ชุดรวมอัปเดตรายเดือน
	KB4284867 - ความปลอดภัยเท่านั้น
Windows Server 2008 SP2	KB4340583 - การอัปเดตความปลอดภัย

เราขอแนะนําให้คุณติดตั้งการอัปเดตความปลอดภัยเท่านั้นตามลําดับการเผยแพร่

หมายเหตุ: คําถามที่ถามบ่อยเวอร์ชันก่อนหน้าระบุอย่างไม่ถูกต้องว่าการอัปเดตความปลอดภัยเท่านั้นในเดือนกุมภาพันธ์มีการแก้ไขข้อบกพร่องด้านความปลอดภัยที่เผยแพร่ในเดือนมกราคม ในความเป็นจริงมันไม่ได้

ไม่ได้ การอัปเดตความปลอดภัย KB4078130 เป็นการแก้ไขเฉพาะเพื่อป้องกันลักษณะการทํางานของระบบที่คาดเดาไม่ได้ ปัญหาด้านประสิทธิภาพ และการเริ่มระบบใหม่ที่ไม่คาดคิดหลังจากการติดตั้ง Microcode การใช้การอัปเดตความปลอดภัยบนระบบปฏิบัติการไคลเอ็นต์ Windows ช่วยให้สามารถบรรเทาปัญหาทั้งสามอย่างได้ บนระบบปฏิบัติการ Windows Server คุณยังคงต้องเปิดใช้งานการลดปัญหาหลังจากที่คุณทําการทดสอบที่เหมาะสม สําหรับข้อมูลเพิ่มเติม ให้ดูที่ KB4072698

ปัญหานี้แก้ไขได้ใน KB4093118

ในเดือนกุมภาพันธ์ 2018 Intel ประกาศ ว่าพวกเขาได้ทําการตรวจสอบความถูกต้องและเริ่มเผยแพร่ Microcode สําหรับแพลตฟอร์ม CPU ที่ใหม่กว่า Microsoft กําลังทําให้การอัปเดต Microcode ที่ได้รับการตรวจสอบของ Intel ซึ่งเกี่ยวข้องกับ Spectre ตัวแปรที่ 2 Spectre ตัวแปรที่ 2 (CVE-2017-5715 | การฉีดเป้าหมายสาขา) KB4093836 แสดงรายการบทความฐานความรู้ที่เฉพาะเจาะจงตามเวอร์ชันของ Windows แต่ละบทความ KB มีการอัปเดต Microcode ของ Intel ที่พร้อมใช้งานตาม CPU

เมื่อวันที่ 11 มกราคม 2018 Intel ได้รายงานปัญหา ใน Microcode ที่เผยแพร่ล่าสุดซึ่งหมายถึง Spectre ตัวแปรที่ 2 (CVE-2017-5715 | การฉีดเป้าหมายสาขา) โดยเฉพาะอย่างยิ่ง Intel สังเกตว่า Microcode นี้อาจทําให้เกิด "การเริ่มต้นระบบใหม่ที่สูงกว่าที่คาดไว้และลักษณะการทํางานของระบบที่คาดเดาไม่ได้อื่นๆ" และสถานการณ์เหล่านี้อาจทําให้เกิด "ข้อมูลสูญหายหรือเสียหาย" ประสบการณ์ของเราคือความไม่เสถียรของระบบอาจทําให้เกิดการสูญเสียข้อมูลหรือความเสียหายในบางสถานการณ์ ในวันที่ 22 มกราคม Intel แนะนําให้ลูกค้า หยุดการปรับใช้ Microcode เวอร์ชันปัจจุบัน ในตัวประมวลผลที่ได้รับผลกระทบ ในขณะที่ Intel ทําการทดสอบเพิ่มเติมเกี่ยวกับโซลูชันที่อัปเดตแล้ว เราเข้าใจว่า Intel ยังคงตรวจสอบผลกระทบที่อาจเกิดขึ้นของ Microcode เวอร์ชันปัจจุบัน เราขอแนะนําให้ลูกค้าทบทวนคําแนะนําของพวกเขาอย่างต่อเนื่องเพื่อแจ้งการตัดสินใจของพวกเขา

ในขณะที่ Intel ทําการทดสอบ อัปเดต และปรับใช้ Microcode ใหม่ เรากําลังทําให้การอัปเดต (OOB) (OOB) พร้อมใช้งาน KB4078130 ซึ่งจะปิดใช้งานเฉพาะการลดปัญหาจาก CVE-2017-5715 เท่านั้น ในการทดสอบของเรา พบการอัปเดตนี้เพื่อป้องกันลักษณะการทํางานที่อธิบายไว้ สําหรับรายการอุปกรณ์ทั้งหมด ดูที่ คําแนะนําการแก้ไข microcode จาก Intel การอัปเดตนี้ครอบคลุม Windows 7 Service Pack 1 (SP1), Windows 8.1 และ Windows 10 ทุกเวอร์ชัน ทั้งไคลเอ็นต์และเซิร์ฟเวอร์ หากคุณกําลังใช้งานอุปกรณ์ที่ได้รับผลกระทบ คุณสามารถนําการอัปเดตนี้ไปใช้ได้โดยการดาวน์โหลดจากเว็บไซต์ Microsoft Update Catalog แอปพลิเคชันของส่วนข้อมูลนี้จะปิดใช้งานเฉพาะการลดปัญหาจาก CVE-2017-5715 เท่านั้น

ณ เวลานี้ ไม่มีรายงานที่ทราบแล้วที่ระบุว่า Spectre ตัวแปรที่ 2 นี้ (CVE-2017-5715 | ใช้การฉีดเป้าหมายสาขา) เพื่อโจมตีลูกค้า เราขอแนะนําให้ผู้ใช้ Windows เปิดใช้งานการลดปัญหาจาก CVE-2017-5715 อีกครั้งเมื่อ Intel รายงานว่าลักษณะการทํางานของระบบที่คาดเดาไม่ได้นี้ได้รับการแก้ไขสําหรับอุปกรณ์ของคุณแล้ว

ในเดือนกุมภาพันธ์ 2018 Intelประกาศ ว่าพวกเขาได้ทําการตรวจสอบความถูกต้องและเริ่มเผยแพร่ Microcode สําหรับแพลตฟอร์ม CPU ที่ใหม่กว่า Microsoft กําลังทําการอัปเดต Microcode ที่ได้รับการตรวจสอบโดย Intel ซึ่งเกี่ยวข้องกับ Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Microsoft การฉีดเป้าหมายสาขา) KB4093836 แสดงรายการบทความฐานความรู้ที่เฉพาะเจาะจงตามเวอร์ชันของ Windows รายการ KB มีการอัปเดต Microcode ของ Intel ตาม CPU

สําหรับข้อมูลเพิ่มเติม ให้ดู Updates ความปลอดภัยของ AMD และเอกสารขาวของ AMD: คําแนะนําด้านสถาปัตยกรรมเกี่ยวกับ Indirect Branch Control ตัวเลือกเหล่านี้จะพร้อมใช้งานจากช่องสัญญาณเฟิร์มแวร์ OEM

เรากําลังทําการอัปเดต Microcode ที่ได้รับการตรวจสอบโดย Intel ที่เกี่ยวกับ Spectre ตัวแปรที่ 2 (CVE-2017-5715 | การฉีดเป้าหมายสาขา) เมื่อต้องการรับการอัปเดต Microcode ของ Intel ผ่าน Windows Update ลูกค้าต้องติดตั้ง Microcode ของ Intel บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows 10 ก่อนที่จะอัปเกรดเป็นการปรับปรุง Windows 10 เดือนเมษายน 2561 (เวอร์ชัน 1803)

การอัปเดต Microcode จะพร้อมใช้งานโดยตรงจาก Microsoft Update Catalog หากไม่ได้ติดตั้งบนอุปกรณ์ก่อนที่จะอัปเกรดระบบ Microcode ของ Intel สามารถใช้งานได้ผ่าน Windows Update, Windows Server Update Services (WSUS) หรือ Microsoft Update Catalog สําหรับข้อมูลเพิ่มเติมและคําแนะนําในการดาวน์โหลด โปรดดูที่ KB4100347

สําหรับข้อมูลเพิ่มเติม ให้ดูแหล่งข้อมูลต่อไปนี้:

ดูส่วน "การดําเนินการที่แนะนํา" และ "คําถามที่ถามบ่อย" ของ ADV180012 | คําแนะนําของ Microsoft สําหรับการเลี่ยงผ่าน Store แบบคาดการณ์

เพื่อตรวจสอบสถานะของ SSBD สคริปต์ Get-SpeculationControlSettings PowerShell ได้รับการอัปเดตเพื่อตรวจหาตัวประมวลผลที่ได้รับผลกระทบ สถานะของการอัปเดตระบบปฏิบัติการ SSBD และสถานะของ Microcode ตัวประมวลผล ถ้ามี สําหรับข้อมูลเพิ่มเติมและรับสคริปต์ PowerShell โปรดดูที่ KB4074629

ในวันที่ 13 มิถุนายน 2018 ช่องโหว่เพิ่มเติมที่เกี่ยวข้องกับการดําเนินการแบบคาดการณ์ของช่องทางด้านข้าง ที่เรียกว่าการคืนค่าสถานะ Lazy FP ได้รับการประกาศและกําหนด CVE-2018-3665 สําหรับข้อมูลเกี่ยวกับช่องโหว่นี้และการดําเนินการที่แนะนํา โปรดดู ADV180016 คําแนะนําด้านความปลอดภัย | คําแนะนําของ Microsoft สําหรับการคืนค่าสถานะ Lazy FP

หมายเหตุ ไม่มีการตั้งค่าการกําหนดค่า (รีจิสทรี) ที่จําเป็นสําหรับการคืนค่า FP แบบ Lazy

Bounds Check Bypass Store (BCBS) ถูกเปิดเผยเมื่อวันที่ 10 กรกฎาคม 2018 และกําหนด CVE-2018-3693 เราพิจารณาว่า BCBS อยู่ในระดับช่องโหว่เดียวกันกับช่องโหว่ขอบเขต ตรวจสอบบายพาส (ตัวแปรที่ 1) ขณะนี้เรายังไม่ทราบถึงอินสแตนซ์ของ BCBS ในซอฟต์แวร์ของเรา อย่างไรก็ตาม เรายังคงค้นคว้าระดับช่องโหว่นี้อย่างต่อเนื่อง และจะทํางานร่วมกับคู่ค้าในอุตสาหกรรมเพื่อเผยแพร่การแก้ไขปัญหาตามที่ต้องการ เราสนับสนุนให้นักวิจัยส่งผลการค้นหาที่เกี่ยวข้องไปยังโปรแกรม Microsoft Speculative Execution Side Bounty Channel รวมถึงอินสแตนซ์ที่ใช้ประโยชน์ได้ของ BCBS นักพัฒนาซอฟต์แวร์ควรตรวจสอบคําแนะนําสําหรับนักพัฒนาที่ได้รับการอัปเดตสําหรับ BCBS ที่ C++ คําแนะนําสําหรับนักพัฒนาสําหรับช่องทางที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์

ในวันที่ 14 สิงหาคม 2018 มีการประกาศและกําหนด L1 Terminal Fault (L1TF) หลายรายการ ช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ใหม่เหล่านี้สามารถใช้เพื่ออ่านเนื้อหาของหน่วยความจําในขอบเขตที่เชื่อถือได้ และหากถูกนําไปใช้อาจทําให้เกิดการเปิดเผยข้อมูลได้ มีเวกเตอร์หลายรายการที่ผู้โจมตีอาจทริกเกอร์ช่องโหว่ ขึ้นอยู่กับสภาพแวดล้อมที่กําหนดค่าไว้ L1TF มีผลต่อตัวประมวลผล Intel® Core® และตัวประมวลผล Intel® Xeon®

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และมุมมองโดยละเอียดของสถานการณ์ที่ได้รับผลกระทบ รวมถึงแนวทางของ Microsoft ในการลด L1TF ให้ดูแหล่งข้อมูลต่อไปนี้:

ขั้นตอนในการปิดใช้งาน Hyper-Threading แตกต่างจาก OEM เป็น OEM แต่โดยทั่วไปแล้วเป็นส่วนหนึ่งของ BIOS หรือการตั้งค่าเฟิร์มแวร์และเครื่องมือการกําหนดค่า

ลูกค้าที่ใช้ตัวประมวลผล ARM รุ่น 64 บิตควรติดต่อ OEM ของอุปกรณ์เพื่อรับการสนับสนุนเฟิร์มแวร์เนื่องจากการป้องกันระบบปฏิบัติการ ARM64 ที่ลด CVE-2017-5715 | การใส่เป้าหมายสาขา (Spectre, Variant 2) ต้องการการอัปเดตเฟิร์มแวร์ล่าสุดจาก OEM ของอุปกรณ์เพื่อให้มีผล

สําหรับข้อมูลเพิ่มเติม โปรดดูคําแนะนําด้านความปลอดภัยต่อไปนี้

สามารถดูคําแนะนําเพิ่มเติมได้ใน คําแนะนําของ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์

โปรดดูคําแนะนําในคําแนะนําของ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์

สําหรับคําแนะนําของ Azure โปรดดูบทความนี้: คําแนะนําสําหรับการลดช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ใน Azure

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งาน Retpoline โปรดดูบล็อกโพสต์ของเรา: การลด Spectre ตัวแปรที่ 2 ด้วย Retpoline บน Windows

สําหรับรายละเอียดเกี่ยวกับช่องโหว่นี้ ดูคู่มือความปลอดภัยของ Microsoft: CVE-2019-1125 | ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows

เราไม่ทราบถึงอินสแตนซ์ของช่องโหว่การเปิดเผยข้อมูลนี้ที่ส่งผลกระทบต่อโครงสร้างพื้นฐานบริการระบบคลาวด์ของเรา

ทันทีที่เราตระหนักถึงปัญหานี้ เราทํางานอย่างรวดเร็วเพื่อแก้ไขปัญหาและเผยแพร่การอัปเดต เราเชื่อเป็นอย่างยิ่งในการเป็นหุ้นส่วนที่ใกล้ชิดกับทั้งนักวิจัยและคู่ค้าในอุตสาหกรรมเพื่อทําให้ลูกค้าปลอดภัยมากขึ้นและไม่ได้เผยแพร่รายละเอียดจนถึงวันอังคารที่ 6 สิงหาคมสอดคล้องกับแนวทางการเปิดเผยช่องโหว่ที่ประสานงาน

สามารถดูคําแนะนําเพิ่มเติมได้ในคําแนะนําของ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์

สามารถดูคําแนะนําเพิ่มเติมได้ใน คําแนะนําสําหรับการปิดใช้งานความสามารถ Intel Transactional Synchronization Extensions (Intel TSX)

แหล่งอ้างอิง

ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ ผลิตโดยบริษัทที่ไม่เกี่ยวข้องกับ Microsoft เราไม่รับประกันไม่ว่าโดยนัยหรือโดยอื่นใดเกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้

บทสรุป

ช่อง โหว่

การตั้งค่าการลดปัญหาสําหรับ Windows Server และ Azure Stack HCI

การตั้งค่ารีจิสทรี

การเปิดใช้งานการบรรเทาหลายรายการ

การตรวจสอบว่ามีการเปิดใช้งานการป้องกันแล้ว

คำถามที่ถามบ่อย

แหล่งอ้างอิง

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!

เปลี่ยนล็อก

บทสรุป

ช่อง โหว่

การดําเนินการแบบคาดการณ์

ช่องโหว่การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมไมโคร

ช่องโหว่ Spectre, ตัวแปรที่ 1

ช่องโหว่ Transaction Asynchronous Abort

ช่องโหว่การสุ่มตัวอย่างข้อมูล MMIO ล้น

ความสับสนเกี่ยวกับชนิดสาขา

ตัวคาดเดาที่อยู่ผู้ส่ง

การฉีดประวัติสาขา

การตั้งค่าการลดปัญหาสําหรับ Windows Server และ Azure Stack HCI

การตั้งค่ารีจิสทรี

จัดการการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) และ CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

จัดการการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2)

ตัวประมวลผล AMD เท่านั้น: เปิดใช้งานการลดปัญหาเต็มรูปแบบสําหรับ CVE-2017-5715 (Spectre Variant 2)

จัดการการลดปัญหาสําหรับ CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown)

ตัวประมวลผล AMD เท่านั้น: เปิดใช้งานการลดปัญหาเต็มรูปแบบสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE 2018-3639 (Speculative Store Bypass)

จัดการช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF)

CVE-2022-23825 | CVE AMD CPU Branch Type Confusion (BTC)

CVE-2023-20569 | CVE ตัวคาดเดาที่อยู่ผู้ส่งของ AMD CPU

CVE-2022-0001 | CVE การฉีดประวัติสาขาของ Intel

การเปิดใช้งานการบรรเทาหลายรายการ

การตรวจสอบว่ามีการเปิดใช้งานการป้องกันแล้ว

วิธีที่ 1: การตรวจสอบ PowerShell โดยใช้ PowerShell Gallery (Windows Server 2016 หรือ WMF 5.0/5.1)

วิธีที่ 2: การตรวจสอบ PowerShell โดยใช้การดาวน์โหลดจาก Technet (ระบบปฏิบัติการเวอร์ชันก่อนหน้าและ WMF เวอร์ชันก่อนหน้า)

คำถามที่ถามบ่อย

ฉันไม่ได้รับการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในเดือนมกราคมและกุมภาพันธ์ 2018 ฉันควรทำอย่างไร

ฉันจะทราบได้อย่างไรว่าฉันมีรุ่นที่ถูกต้องของ CPU microcode?

ผลกระทบต่อประสิทธิภาพของการบรรเทาคืออะไร?

ฉันใช้ Windows Server ในสภาพแวดล้อมที่โฮสต์ของบริษัทอื่นหรือบนระบบคลาวด์ ฉันควรทำอย่างไร

มีคําแนะนําเฉพาะคอนเทนเนอร์ของ Windows Server หรือไม่

การอัปเดตซอฟต์แวร์และฮาร์ดแวร์ต้องได้รับการติดตั้งตามลําดับหรือไม่

จะมีการรีสตาร์ตหลายครั้งหรือไม่

คุณสามารถให้รายละเอียดเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์ได้หรือไม่

คุณสามารถให้รายละเอียดเพิ่มเติมเกี่ยวกับผลลัพธ์ของสคริปต์การตรวจสอบ PowerShell ได้หรือไม่

หากการอัปเดตเฟิร์มแวร์ (microcode) ยังไม่พร้อมใช้งานจาก OEM ของฉัน ยังคงมีวิธีปกป้องโฮสต์ Hyper-V ของฉันอยู่หรือไม่

หากฉันใช้ Security-only Branch ฉันจําเป็นต้องติดตั้งการอัปเดตความปลอดภัยเท่านั้นใดเพื่อป้องกันช่องโหว่เหล่านี้

Intel ได้ระบุปัญหาการเริ่มระบบใหม่ที่เกี่ยวข้องกับ Microcode ในตัวประมวลผลรุ่นเก่าบางรุ่น ฉันควรทำอย่างไร

ฉันได้ยินมาว่า Intel ได้เผยแพร่การอัปเดต Microcode แล้ว ฉันจะสามารถพบได้จากที่ใด

ฉันสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับการสนับสนุน Windows สําหรับ Speculative Store Bypass Disable (SSBD) ในตัวประมวลผล Intel ได้จากที่ใด

How do I ตรวจสอบว่า SSBD เปิดใช้งานหรือปิดใช้งานอยู่หรือไม่

ฉันได้ยินเกี่ยวกับ "การคืนค่าสถานะ Lazy FP" (CVE-2018-3665) Microsoft จะเผยแพร่การบรรเทาปัญหาหรือไม่

How do I ปิดใช้งาน Hyper-Threading สําหรับ L1TF บนอุปกรณ์ของฉันได้อย่างไร

ฉันจะรับเฟิร์มแวร์ ARM64 ที่ช่วยลด CVE-2017-5715 ได้ที่ไหน การใส่เป้าหมายสาขา (Spectre Variant 2) หรือไม่

How do I ปิดใช้งาน Hyper-Threading สําหรับ MDS บนอุปกรณ์ของฉันได้อย่างไร

ฉันสามารถค้นหาคําแนะนําสําหรับ Azure ได้จากที่ใด

ฉันจะเรียนรู้เพิ่มเติมเกี่ยวกับการเปิดใช้งาน Retpoline บน Windows 10 เวอร์ชัน 1809 ได้จากที่ใด

CVE-2019-1125 | CVE-2019 ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows มีผลต่อบริการคลาวด์ของ Microsoft หรือไม่

ฉันจําเป็นต้องปิดใช้งาน Hyper-Threading สําหรับช่องโหว่ Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) บนอุปกรณ์ของฉันหรือไม่

มีวิธีปิดใช้งานความสามารถ Intel Transactional Synchronization Extensions (Intel TSX) หรือไม่

แหล่งอ้างอิง

การปฏิเสธความรับผิดชอบข้อมูลของบริษัทอื่น

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!