Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

漏洞

2019 年 5 月 14 日,Intel 发布了有关新的子类推理执行侧信道漏洞(称为“微架构数据采样”)的信息。 以下 CVE 中解决了这些漏洞:

重要: 这些问题将影响其他操作系统,例如 Android、Chrome、iOS 和 MacOS。 我们建议你从这些各自的供应商寻求指导。

我们已发布更新来帮助缓解此类漏洞。 若要获取所有可用保护,需要进行固件(微码)和软件更新。 这可能包括来自设备 OEM 的微码。 在某些情况下,安装这些更新会对系统性能产生影响。 我们也采取了行动来保护云服务。 我们强烈建议部署这些更新。

有关此问题的更多信息,请参阅以下安全通报,并使用基于场景的指南来确定缓解威胁所需的操作:

注意: 建议在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。

2019 年 8 月 6 日,Intel 发布了有关 Windows 内核信息泄漏漏洞的详细信息。 此漏洞是 Spectre Variant 1 推测性执行侧信道漏洞的变体,已指定为 CVE-2019-1125

2019 年 7 月 9 日,我们发布了 Windows 操作系统的安全更新,以帮助缓解此问题。 请注意,在 2019 年 8 月 6 日星期二协调行业披露之前,我们一直拒绝公开记录这种缓解措施。

已启用 Windows 更新并应用了 2019 年 7 月 9 日发布的安全更新的客户将自动受到保护。 无需进一步配置。

注意: 此漏洞不需要设备制造商(OEM)的微码更新。

有关此漏洞和适用更新的更多信息,请参阅 Microsoft 安全更新指南:

2019 年 11 月 12 日,Intel 发布了有关指定为 CVE-2019-11135 的 Intel 事务同步扩展(Intel® TSX)事务异步中止漏洞的技术公告。 我们已发布更新来帮助缓解此类漏洞。 默认情况下,为 Windows 客户端 OS 版本启用 OS 保护。

2022 年 6 月 14 日,我们发布了 ADV220002 | 有关 Intel 处理器 MMIO 过时数据漏洞的 Microsoft 指南。 以下 CVE 中分配了这些漏洞:

建议的操作

应采取以下措施以帮助防御这些漏洞:

  1. 应用所有可用的 Windows 操作系统更新,包括 月度 Windows 安全更新。

  2. 应用设备制造商提供的适用固件(微码)更新。

  3. 根据 Microsoft 安全公告(ADV180002ADV180012ADV190013ADV220002)中提供的信息以及本文章中提供的信息评估环境风险。

  4. 使用文章中提供的公告和注册表项信息,根据需要执行操作。

注意: Surface 客户将通过 Windows 更新收到微码更新。 有关最新可用 Surface 设备固件(微码)更新的列表,请参阅 KB KB4073065

2022 年 7 月 12 日,我们发布了 CVE-2022-23825 |AMD CPU 分支类型混淆,描述分支预测器中的别名可能导致某些 AMD 处理器预测错误的分支类型。 此问题可能会导致信息泄漏。

为了帮助防范此漏洞,我们建议安装日期为 2022 年 7 月或之后的 Windows 更新,然后根据本知识库文章中提供的 CVE-2022-23825和注册表项信息的要求采取措施。

有关详细信息,请参阅 AMD-SB-1037 安全公告。

2023 年 8 月 8 日,我们发布了 CVE-2023-20569 | AMD CPU 寄件人地址预测器(也称为“Inception”),它描述新的推理侧信道攻击,该攻击可能导致在攻击者控制的地址进行推理执行。 此问题会影响某些 AMD 处理器,并可能导致信息泄漏。

为了帮助防范此漏洞,我们建议安装日期为 2023 年 8 月或之后的 Windows 更新,然后根据本知识库文章中提供的 CVE-2023-20569 和注册表项信息的要求采取措施。

有关详细信息,请参阅 AMD-SB-7005 安全公告。

2024 年 4 月 9 日,我们发布了 CVE-2022-0001 | Intel 分支历史记录注入,用于描述分支历史记录注入 (BHI),它是一种特定形式的模式内 BTI。 当攻击者在从用户模式转换为监督模式(或从 VMX 非根/来宾模式转换为根模式)之前,可能操纵分支历史记录时,会出现此漏洞。 此操作可能导致间接分支预测器为间接分支选择特定的预测器条目,并且预测目标处的泄漏小工具会暂时执行。 这可能是因为相关的分支历史记录可能包含在以前的安全上下文中创建的分支,尤其是其他预测器模式下。

Windows 客户端的迁移设置

安全公告 (ADV) 和 CVE 提供有关这些漏洞所带来的风险的信息,以及它们如何帮助确定 Windows 客户端系统的默认缓解状态。 下表总结了 CPU 微码的要求以及 Windows 客户端上缓解措施的默认状态。

CVE

是否需要 CPU 微码/固件?

缓解措施默认状态

CVE-2017-5753

默认启用(无禁用选项)

有关其他信息,请参阅 ADV180002

CVE-2017-5715

默认启用。 基于 AMD 处理器的系统的用户应参阅常见问题解答 #15,ARM 处理器的用户应参阅 ADV180002 上的常见问题解答 #20,以获取其他操作,以及参阅本知识库文章以了解适用的注册表项设置。

注意 默认情况下,如果已启用 Spectre Variant 2 (CVE-2017-5715),为运行 Windows 10 1809 或更高版本的设备启用“Retpoline”。 有关 Retpoline 的详细信息,请参阅在 Windows 上使用 Retpoline 缓解 Spectre Variant 2 的指南 博客文章。

CVE-2017-5754

默认启用

有关其他信息,请参阅 ADV180002

CVE-2018-3639

Intel:是 AMD:否 ARM:是

Intel 和 AMD:默认禁用。 请参阅 ADV180012 了解更多信息,以及参阅本知识库文章了解适用的注册表项设置。

ARM:默认启用(无禁用选项)。

CVE-2019-11091

Intel:是

默认启用。

请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2018-12126

Intel:是

默认启用。

请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2018-12127

Intel:是

默认启用。

请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2018-12130

Intel:是

默认启用。

请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2019-11135

Intel:是

默认启用。

请参阅 CVE-2019-11135 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2022-21123(MMIO 的一部分 ADV220002

Intel:是

Windows 10 版本 1809 及更高版本:默认启用。  Windows 10 版本 1607 及更早版本:默认禁用。 

请参阅 CVE-2022-21123 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2022-21125(MMIO 的一部分ADV220002

Intel:是

Windows 10 版本 1809 及更高版本:默认启用。  Windows 10 版本 1607 及更早版本:默认禁用。 

有关详细信息,请参阅 CVE-2022-21125

CVE-2022-21127(MMIO 的一部分ADV220002

Intel:是

Windows 10 版本 1809 及更高版本:默认启用。  Windows 10 版本 1607 及更早版本:默认禁用。 

有关详细信息,请参阅 CVE-2022-21127

CVE-2022-21166(MMIO 的一部分ADV220002

Intel:是

Windows 10 版本 1809 及更高版本:默认启用。  Windows 10 版本 1607 及更早版本:默认禁用。 

有关详细信息,请参阅 CVE-2022-21166

CVE-2022-23825(AMD CPU 分支类型混淆)

AMD:否

请参阅 CVE-2022-23825 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2023-20569 (AMD CPU 寄信人地址预测器)

AMD:是

请参阅 CVE-2023-20569 了解详细信息,并参阅本文了解适用的注册表项设置。

CVE-2022-0001

Intel:否

默认禁用。

请参阅 CVE-2022-0001 了解详细信息,并参阅本文了解适用的注册表项设置。

注意: 默认情况下,启用关闭的缓解措施可能会影响设备性能。 实际的性能影响取决于多个因素,例如,设备中的特定芯片组和正在运行的工作负载。

注册表设置

我们将提供以下注册表信息以启用默认未启用的缓解措施,如安全通报 (ADV) 和 CVE。 此外,我们还为希望在适用于 Windows 客户端时禁用缓解措施的用户提供注册表项设置。

重要: 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请参阅以下 Microsoft 知识库文章:322756 如何在 Windows 中备份和还原注册表

重要: 默认情况下,如果已启用 Spectre Variant 2 (CVE-2017-5715),则在 Windows 10 版本 1809 设备上启用 Retpoline。 在最新版本的 Windows 10 上启用 Retpoline 可以针对 Spectre 变体 2 提高特别是在较旧处理器上运行 Windows 10 版本 1809 的设备的性能。

启用 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的默认缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

禁用 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

注意: FeatureSettingsOverrideMask 的值设置为 3 对于“启用”和“禁用”设置都是准确的。 (请参阅“常见问题解答”部分,了解有关注册表项的更多详细信息。)

禁用   CVE-2017-5715(Spectre 变体 2)的缓解措施:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

启用 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的默认缓解措施:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

默认情况下,为 AMD 和 ARM CPU 禁用针对 CVE-2017-5715 的用户到内核保护。 必须启用缓解措施才能获得针对 CVE-2017-5715 的额外保护。 有关更多信息,请参阅 ADV180002 中的常见问题解答 #15(对于 AMD 处理器)和 ADV180002 中的常见问题解答 #20(对于 ARM 处理器)。

在 AMD 和 ARM 处理器上启用用户到内核的保护以及针对 CVE 2017-5715 的其他保护:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

启用 CVE-2018-3639(推理存储绕过)的缓解措施以及 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的默认缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

注意: AMD 处理器不容易受到 CVE-2017-5754 (Meltdown) 的攻击。 此注册表项用于具有 AMD 处理器的系统,以便在 AMD 处理器上启用 CVE-2017-5715 的默认缓解措施以及 CVE-2018-3639 的缓解措施。

禁用 CVE-2018-3639(推理存储绕过)的缓解措施*以及* CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

默认情况下,为 AMD 处理器禁用针对 CVE-2017-5715 的用户到内核保护。 客户必须启用缓解措施才能获得针对 CVE-2017-5715 的额外保护。  有关详细信息,请参阅 ADV180002 中的 FAQ #15。

在 AMD 处理器上启用用户到内核保护以及针对 CVE 2017-5715 的保护和针对 CVE-2018-3639(推理存储绕过)的保护:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

要为 Intel 事务同步扩展(Intel TSX)事务异步中止漏洞(CVE-2019-11135)和微架构数据采样( CVE-2019-11091 CVE-2018-12126 CVE-2018-12127 CVE-2018-12130)以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 变体(包括推测性存储绕过禁用(SSBD) (CVE-2018-3639) 以及 L1 终端故障(L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 启用缓解措施,而不禁用超线程:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果您安装了 Hyper-V 功能,请添加以下注册表设置:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果这是 Hyper-V 主机并且已应用固件更新: 完全关闭所有虚拟机。 这允许在 VM 启动之前在主机上应用与固件相关的缓解措施。 因此,VM 在重启后也会更新。

重启设备以使更改生效。

要为 Intel 事务同步扩展(Intel TSX)事务异步中止漏洞(CVE-2019-11135)和微架构数据采样( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 )以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 变体(包括推测性存储绕过禁用(SSBD) (CVE-2018-3639) 以及 L1 终端故障(L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 启用缓解措施,并禁用超线程:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果您安装了 Hyper-V 功能,请添加以下注册表设置:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果这是 Hyper-V 主机并且已应用固件更新: 完全关闭所有虚拟机。 这允许在 VM 启动之前在主机上应用与固件相关的缓解措施。 因此,VM 在重启后也会更新。

重启设备以使更改生效。

为 Intel® 事务同步扩展 (Intel® TSX) 事务异步中止漏洞 (CVE-2019-11135) 和微架构数据采样 (CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130)及 Spectre(CVE-2017-5753 和 CVE-2017-5715)和 Meltdown (CVE-2017-5754) 变体,其中包括推理存储绕过禁用 (SSBD) (CVE-2018-3639) 以及 L1 终端故障 (L1TF)(CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646)禁用缓解:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启设备以使更改生效。

若要在 AMD 处理器上为 CVE-2022-23825 启用缓解措施,请执行以下操作

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

要获得完全保护,客户可能还需要禁用超线程(也称为同时多线程(SMT))。 有关保护 Windows 设备的指南,请参阅 KB4073757 。 

若要在 AMD 处理器上为 CVE-2023-20569 启用缓解措施,请执行以下操作:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

若要在 Intel 处理器上为 CVE-2022-0001 启用缓解措施,请执行以下操作:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

启用多个缓解措施

要启用多个缓解措施,必须同时添加每个缓解措施的 REG_DWORD 值。 

例如:

适用于已禁用超线程情况下事务异步中止漏洞、微架构数据采样、Spectre、Meltdown、MMIO、推测性存储绕过禁用 (SSBD) 和 L1 终端故障 (L1TF) 的缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

注释 8264(十进制)= 0x2048(十六进制)

若要启用 BHI 和其他现有设置,需要将当前值的按位 OR 与 8,388,608 (0x800000)一起使用。 

0x800000 OR 0x2048(十进制为 8264),它将变为 8,396,872 (0x802048)。 与 FeatureSettingsOverrideMask 相同。

适用于 Intel 处理器上 CVE-2022-0001 的缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

组合缓解

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

适用于已禁用超线程情况下事务异步中止漏洞、微架构数据采样、Spectre、Meltdown、MMIO、推测性存储绕过禁用 (SSBD) 和 L1 终端故障 (L1TF) 的缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

适用于 Intel 处理器上 CVE-2022-0001 的缓解措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

组合缓解

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

验证保护是否已启用

为了帮助验证是否已启用保护,我们发布了可在设备上运行的 PowerShell 脚本。 使用以下方法之一安装并运行脚本。

安装 PowerShell 模块:

PS> Install-Module SpeculationControl

运行 PowerShell 模块以验证保护是否已启用:

PS> # 保存当前执行策略以便重置

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # 将执行策略重置为原始状态

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

从 Technet 脚本中心安装 PowerShell 模块:

转到 https://aka.ms/SpeculationControlPS

将 SpeculationControl.zip 下载到本地文件夹。

将内容提取到本地文件夹,例如 C:\ADV180002

运行 PowerShell 模块以验证保护是否已启用:

启动 PowerShell,然后(使用上面的示例)复制并运行以下命令:

PS> # 保存当前执行策略以便重置

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # 将执行策略重置为原始状态

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

有关 PowerShell 脚本输出的详细说明,请参阅 KB4074629

常见问题

微码是通过固件更新提供的。 应向其 CPU(芯片组)和设备制造商咨询特定设备的适用固件安全更新的可用性,包括 Intel 的微码修订指南

通过软件更新修复硬件漏洞存在重大挑战。 此外,较早操作系统的缓解措施需要大量的体系结构更改。 我们正在与受影响的芯片制造商合作,以确定提供缓解措施的最佳方式,这可能会在将来的更新中提供。

Microsoft Surface 设备的更新将通过 Windows 更新,与 Windows 操作系统的更新一起提供给客户。 有关可用 Surface 设备固件(微码)更新的列表,请参阅 KB4073065

如果你的设备不是来自 Microsoft,请应用设备制造商提供的固件。 有关更多信息,请联系 OEM 设备制造商。

2018 年 2 月和 3 月,Microsoft 发布了对某些基于 x86 的系统的额外保护。 有关更多信息,请参阅 KB 4073757Microsoft 安全通报 ADV180002

HoloLens 客户可通过 Windows 更新获取适用于 HoloLens 的 Windows 10 更新。

应用 2018 年 2 月 Windows 安全更新之后,HoloLens 客户不必采取任何其他措施来更新设备固件。 这些缓解措施应包含在适用于 HoloLens 的 Windows 10 的未来版本中。

不可以。 仅安全更新不是累积的。 根据你正在运行的操作系统版本,将必须安装每个月份的仅安全更新,以免受这些漏洞的影响。 例如,如果你在受影响的 Intel CPU 上运行 Windows 7(用于 32 位系统),则必须安装所有仅安全更新。 我们建议按照发布顺序安装这些仅安全更新。

注意 此常见问题解答的较早版本错误地指出,2 月仅安全更新包含 1 月发布的安全修补程序。 事实上,并不包含。

不可以。 安全更新 4078130 是一个特定的修补程序,可用于防止在安装微码后出现不可预知的系统行为、性能问题和/或意外重新启动。 在 Windows 客户端操作系统上应用 2 月份安全更新可启用所有三种缓解措施。

Intel 最近宣布他们已经完成了验证,并开始针对较新的 CPU 平台发布微码。 Microsoft 正在围绕 Spectre 变体 2(CVE -2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB4093836 按 Windows 版本列出了特定知识库文章。 每个特定的 KB 包含 CPU 可用的 Intel 微码更新。

此问题已在 KB4093118 中解决。

AMD 最近宣布他们已经开始发布围绕 Specter 变体 2(CVE -2017-5715“分支目标注入”)的较新 CPU 平台的微码。 有关详细信息,请参阅 AMD 安全更新AMD 白皮书:有关间接分支控制的体系结构准则。 这些内容可从 OEM 固件频道获得。

我们正在围绕 Spectre 变体 2(CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 要通过 Windows 更新获取最新的 Intel 微码更新,客户必须在升级到 Windows 10 的 2018 年 4 月更新(版本 1803)之前,在运行 Windows 10 操作系统的设备上安装 Intel 微码。

如果在升级操作系统之前未在设备上安装微码更新,也可以直接从目录中获取微码更新。 可以通过 Windows 更新、WSUS 或 Microsoft 更新目录获取 Intel 微码。 有关详细信息和下载说明,请参阅 KB4100347

有关更多信息,请参阅以下资源:

为验证 SSBD 的状态,已更新 Get-SpeculationControlSettings PowerShell 脚本以检测受影响的处理器、SSBD 操作系统更新的状态和处理器微码的状态(如果适用)。 要获取详细信息和 PowerShell 脚本,请参阅 KB4074629

2018 年 6 月 13 日,我们宣布了另外一个涉及侧信道推理执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 Lazy 还原 FP 还原不需要任何配置(注册表)设置。

有关此漏洞和建议操作的更多信息,请参阅安全通报 ADV180016 | Microsoft Lazy FP 状态还原指南

注意: Lazy 还原 FP 还原不需要任何配置(注册表)设置。

边界检查绕过存储 (BCBS) 于 2018 年 7 月 10 日披露,并指定为 CVE-2018-3693。 我们认为 BCBS 与边界检查绕过(变体 1)属于同一类漏洞。 我们目前尚未发现我们的软件中存在任何 BCBS 实例,但我们正在继续研究此漏洞类别,并将与行业合作伙伴合作以发布所需的缓解措施。 我们将继续鼓励研究人员向 Microsoft 的推理执行侧信道奖励计划提交任何相关研究结果,包括任何可利用的 BCBS 实例。 软件开发人员应查看已为 BCBS 更新的开发人员指南,网址为:https://aka.ms/sescdevguide

2018 年 8 月 14 日,我们宣布了 L1 终端故障 (L1TF) 并指定为多个 CVE。 这些新的推理执行侧信道漏洞可用于读取跨越受信任边界的内存内容,如果被利用,可能会导致信息泄漏。 攻击者可以通过多种途径触发漏洞,具体取决于配置的环境。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。

有关此漏洞的更多信息以及受影响方案的详细视图(包括 Microsoft 缓解 L1TF 的方法),请参阅以下资源:

使用 64 位 ARM 处理器的客户应与设备 OEM 联系以获取固件支持,因为缓解 CVE-2017-5715“分支目标注入”(Spectre 变体 2)的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新才能生效。

有关进一步指导,请参阅 防御推测性执行侧信道漏洞的 Windows 指南

有关 Azure 指南,请参阅本文:有关在 Azure 中缓解推测性执行侧信道漏洞的指南 

有关 Retpoline 启用的详细信息,请参阅我们的博客文章:使用 Windows 上的 Retpoline 缓解 Spectre Variant 2。 

有关此漏洞的详细信息,请参阅 Microsoft 安全指南: CVE-2019-1125 | Windows 内核信息泄漏漏洞

我们未发现影响云服务基础设施的此信息泄漏漏洞的任何实例。

我们一经发现此问题,就会迅速进行解决并发布更新。 我们坚信与研究人员和行业合作伙伴建立密切的合作伙伴关系,以使客户更加安全,并且在 8 月 6 日星期二之前不发布详细信息,与协调漏洞披露做法一致。

有关进一步指导,请参阅防御推理执行侧信道漏洞的 Windows 指导

有关进一步指导,请参阅防御推理执行侧信道漏洞的 Windows 指导

参考

我们提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 我们不保证此第三方联系信息的准确性。

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。