Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

變更日期

變更描述

2023 年 4 月 20 日

  • 已新增 MMIO 登錄資訊

2023 年 8 月 8 日

  • 已將 CVE-2022-23816 有關內容移除,因為未使用 CVE 號碼

  • 已將「分支類型混淆」新增至「弱點」章節下

  • 已將更多資訊新增至「CVE-2022-23825 | AMD CPU 分支類型混淆 (BTC)」登錄章節

2023 年 8 月 9 日

  • 已更新「CVE-2022-23825 | AMD CPU 分支類型混淆 (BTC)」登錄章節

  • 已將「CVE-2023-20569 | AMD CPU 傳回位址預測器」新增至「摘要」章節

  • 已將「CVE-2023-20569 | AMD CPU 傳回位址預測器」新增至登錄章節

2024 年 4 月 9 日

  • 已新增 CVE-2022-0001 |Intel 分支歷程記錄導入

2024 年 4 月 16 日

  • 已新增「啟用多重風險降低」一節

安全性漏洞

本文探討下列推測執行弱點:

Windows Update 也將提供 Internet Explorer 和 Edge 緩和措施。 我們會持續改善這些緩和措施,以防範這個弱點等級。

若要深入了解這個弱點等級,請參閱

於 2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之推測執行旁路弱點新子類別的資訊,並將這些弱點記錄在:ADV190013 | 微結構資料取樣。 這些弱點已指派為下列 CVE:

重要: 這些問題將會影響其他系統,例如 Android、Chrome、iOS 和 MacOS。 我們建議客戶向這些廠商尋求指導。

Microsoft 已經發行更新,可協助防範這些弱點。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下,安裝這些更新將會對效能造成影響。 我們也已採取行動,保護我們的雲端服務。 強烈建議您部署這些更新。

如需有關這個問題的詳細資訊,請參閱下列資訊安全諮詢,並運用案例指引,判斷防範威脅所需執行的動作:

附註: 建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。

Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 這個弱點是 Spectre, Variant 1 推測執行旁路的變體,並且已指派CVE-2019-1125

2019 年 7 月 9 日,我們已為 Windows 作業系統發行安全性更新,以協助防範此問題。 請注意,我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間,才公開記載這項緩和措施。

若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 不需要進行進一步設定。

附註: 此弱點不需要裝置製造商 (OEM) 的微碼更新。

如需有關此弱點和適用更新的詳細資訊,請參閱 Microsoft 安全性更新導覽:

於 2019 年 11 月 12 日,英特爾發佈了有關英特爾®事務同步擴 (Intel TSX) 交易非同步中止弱點的技術公告,該弱點被分配為 CVE-2019-11135。 Microsoft 已發佈更新,以協助防範此弱點,且 WINDOWS Server 2019 預設會啟用作業系統保護,但根據預設,Windows Server 2016 及較舊版的 Windows Server OS 版本會停用。

我們已在 2022 年 6 月 14 日發佈 ADV220002 |有關 Intel 處理器 MMIO 過時資料弱點的 Microsoft 指引,並指派下列 CVE: 

建議動作

您應採取下列動作,以協助防範弱點:

  1. 套用所有可用的 Windows 作業系統更新,其中包括每月 Windows 安全性更新。

  2. 套用裝置製造商所提供的適用韌體 (微碼) 更新。

  3. 除了本知識庫文章中提供的資訊外,請根據 Microsoft 資訊安全建議: ADV180002ADV180012ADV190013ADV220002 來評估您的環境風險。

  4. 運用資訊安全諮詢,和這篇知識庫文章提供的登錄機碼資訊採取必要動作。

附註: Surface 客戶將會透過 Windows Update 接收微碼更新。 如需 Surface 裝置韌體 (微碼) 更新的最新清單,請參閱 KB4073065

我們已在 2022 年 7 月 12 日發佈 CVE-2022-23825 | AMD CPU 分支類型混淆,描述分支預測器中的別名可能會導致某些 AMD 處理器預測錯誤的分支類型。 此問題可能會導致資訊洩漏。

為了協助防範此弱點,建議您安裝日期為 2022 年 7 月或之後的 Windows 更新,然後按照本知識庫文章中所提供的CVE-2022-23825登錄機碼資訊 的要求來執行動作。

如需詳細資訊,請參閱 AMD-SB-1037 安全性佈告欄。

我們已在 2023 年 8 月 8 日發佈 CVE-2023-20569 | 傳回位址預測器 (也稱為「Inception」),它描述新的推測端通道攻擊,可能會導致攻擊者控制之位址的推測執行。 此問題會影響特定 AMD 處理器,並可能導致資訊洩漏。

為了協助防範此弱點,建議您安裝日期為 2023 年 8 月或之後的 Windows 更新,然後按照本知識庫文章中所提供的 CVE-2023-20569 和登錄機碼資訊的要求來執行動作。

如需詳細資訊,請參閱 AMD-SB-7005 安全性佈告欄。

我們已在 2024 年 4 月 9 日發佈 CVE-2022-0001 | Intel 分支歷程記錄導入 其描述分支歷程記錄導入 (BHI),這是一種特定的內部模式 BTI 形式。 當攻擊者可能會在從使用者轉換到主管模式 (或從 VMX 非根/來賓轉換為根模式) 之前,先操作分支歷程記錄時,就會發生此弱點。 此操作可能會導致間接分支預測器為間接分支選取特定的預測器項目,而預測目標的揭露小工具將暫時執行。 這可能是因為相關的分支歷程記錄可能包含先前安全性內容中所採用的分支,尤其是其他預測器模式。

Windows 伺服器和 Azure Stack HCI 的風險降低設定

安全公告 (ADV) 和 CVE 提供資訊提供有關這些漏洞所造成風險的資訊。 並可協助您識別弱點及針對 Windows 伺服器系統的防範措施預設狀態。 下列表格摘要說明 CPU 微碼的需求和 Windows Server 上的緩和措施預設狀態。

CVE

需要 CPU 微碼/韌體?

緩和措施預設狀態

CVE-2017-5753

預設為啟用 (無停用選項)

請參閱 ADV180002,以取得其他資訊

CVE-2017-5715

預設為停用。

請參閱 ADV180002,以了解其他資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定

注意“Retpoline”在執行 Windows 10 版本 1809 或更新版本的裝置上預設為啟用 (若 Spectre Variant 2 (CVE-2017-5715) 已啟用)。 如需有關 “Retpoline” 的詳細資訊,請參閱 在 Windows 使用 Retpoline 防範 Spectre Variant 2 威脅 (英文)部落格文章。

CVE-2017-5754

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。

請參閱 ADV180002,以取得其他資訊。

CVE-2018-3639

Intel: 是

AMD: 否

預設為停用。 請參閱 ADV180012,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2018-11091

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。

請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2018-12126

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。

請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2018-12127

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。

請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2018-12130

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。

請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2019-11135

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。

請參閱 CVE-2019-11135,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2022-21123 (MMIO ADV220002 部分)

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。  Windows Server 2016 及較舊版本: 預設為停用。* 

請參閱 CVE-2022-21123 以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2022-21125 (MMIO ADV220002 部分)

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。  Windows Server 2016 及較舊版本: 預設為停用。* 

請參閱 CVE-2022-21125,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2022-21127 (MMIO ADV220002 部分)

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。  Windows Server 2016 及較舊版本: 預設為停用。* 

請參閱 CVE-2022-21127,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2022-21166 (MMIO ADV220002 部分)

Intel: 是

Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。  Windows Server 2016 及較舊版本: 預設為停用。* 

請參閱 CVE-2022-21166,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2022-23825 (AMD CPU 分支類型混淆)

AMD: 否

請參閱 CVE-2022-23825,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定

CVE-2023-20569 (AMD CPU 傳回位址預測器)

AMD:是

請參閱 CVE-2023-20569,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。

CVE-2022-0001

Intel: 否

預設為停用

請參閱 CVE-2022-0001,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。

* 請遵循下方 Meltdown 的風險降低指引。

若您希望取得可防範這些弱點的所有可用保護,則必須進行登錄機碼變更,以啟用這些預設為停用的風險降低措施。

啟用這些緩和措施可能會影響效能。 效能影響範圍取決於多個因素,例如實體主機中的特定晶片組,以及執行的工作負載。 我們建議您評估對您環境的效能影響,並進行任何必要的調整。

如果您的伺服器屬於下列其中一個類別,則會增加風險:

  • Hyper-V 主機: 需要 VM 對 VM 和 VM 對主機攻擊的保護。

  • 遠端桌面服務主機 (RDSH): 需要從一個工作階段到另一個工作階段或從工作階段到主機攻擊的保護。

  • 執行「未受信任程式碼」的實體主機或虛擬機器,例如資料庫的容器或未受信任的延伸模組、未受信任的 Web 內容,或是執行外部來源所提供之程式碼的工作負載。 這些都需要未受信任的處理程序到另一個處理程序或未受信任的處理程序到核心攻擊的保護。

請使用下列登錄機碼設定,在伺服器上啟用風險降低措施,然後重新啟動裝置,使變更生效。

附註: 啟用預設為停用的風險降低措施可能會影響效能。 實際的效能影響取決於多個因素,例如裝置中的特定晶片組,以及執行的工作負載。

登錄設定

下列提供的登錄資訊可用來啟用如資訊安全諮詢 (ADV) 和 CVE 所述,未預設為啟用的緩和措施。 此外,若使用者想要停用適用於 Windows 用戶端的緩和措施,我們提供的下列登錄機碼設定可供參考。

重要  這部分、方法或工作包含如何變更登錄的步驟。 然而,不當修改登錄可能會發生嚴重問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫中的下列文章:

KB322756 如何在 Windows 中備份及還原登錄

重要 根據預設,如果已啟用 Spectre, Variant 2 風險降低措施 (CVE-2017-5715),則 Retpoline 的設定如下:

- Windows 10 版本 1809 及更新版本的 Windows 上已啟用 Retpoline 風險降低措施。

- Windows Server 2019 及更新版本的 Windows Server 上已停用 Retpoline 風險降低措施。

如需有關 Retpoline 設定的詳細資訊,請參閱 在 Windows 使用 Retpoline 以防範 Spectre variant 2

  • 若要啟用 CVE-2017-5715 (Spectre Variant 2)、CVE-2017-5754 (Meltdown) 和 CVE-2022-21123CVE-2022-21125CVE-2022-21127CVE-2022-21166 (MMIO) 的風險降低措施

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    如果已安裝 Hyper-V 功能,請新增下列登錄設定:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。

    重新啟動裝置讓變更生效。

  • 若要停用 CVE-2017-5715 (Spectre Variant 2)、CVE-2017-5754 (Meltdown) 和 CVE-2022-21123CVE-2022-21125CVE-2022-21127CVE-2022-21166 (MMIO) 的風險降低措施

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    重新啟動裝置讓變更生效。

附註: 將 FeatureSettingsOverrideMask 設定為 3 對於 [啟用] 和 [停用]設定都是正確的。 (請參閱常見問題集,取得有關登錄機碼的詳細資訊)。

若要停用 Variant 2:(CVE-2017-5715) 風險降低措施:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新啟動裝置讓變更生效。

若要啟用 Variant 2:(CVE-2017-5715 | 分支目標導入) 風險降低措施:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新啟動裝置讓變更生效。

根據預設,AMD CPU 對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。  如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。

在 AMD 處理器上啟用使用者至核心保護,以及對 CVE 2017-5715 的其他保護:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果已安裝 Hyper-V 功能,請新增下列登錄設定:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。

重新啟動裝置讓變更生效。

若要啟用 CVE-2018-3639{%} (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的風險降低措施:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果已安裝 Hyper-V 功能,請新增下列登錄設定:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。

重新啟動裝置讓變更生效。

若要停用 CVE-2018-3639 (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的風險降低措施

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新啟動裝置讓變更生效。

根據預設,AMD 處理器對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。  如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。

在 AMD 處理器上啟用使用者至核心保護,以及對 CVE 2017-5715 的其他保護和對 CVE-2018-3639 (理論式儲存略過) 的保護:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果已安裝 Hyper-V 功能,請新增下列登錄設定:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。

重新啟動裝置讓變更生效。

若要啟用英特爾®事務同步擴展 (Intel TSX) 交易非同步中止弱點 (CVE-2019-11135) 及微結構資料取樣 (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) 和 Spectre (CVE-2017-5753 與 CVE-2017-5715)、Meltdown (CVE-2017-5754) 變體、MMIO (CVE-2022-21123CVE-2022-21125CVE-2022-21127CVE-2022-21166) 包括推測儲存旁路停用 (SSBD) [CVE-2018-3639 ] 以及 L1 終端機錯誤 (L1TF) [CVE-2018-3615、CVE-2018-3620CVE-2018-3646] 的風險降低措施,而不停用超執行緒:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果已安裝 Hyper-V 功能,請新增下列登錄設定:

登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。

重新啟動裝置讓變更生效。

若要啟用英特爾事務同步擴展 (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 和微結構資料取樣 (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) 以及 Spectre [CVE-2017-5753CVE-2017-5715] 和 Meltdown [CVE-2017-5754] 變體,包括推測儲存旁路停用 (SSBD) [CVE-2018-3639] 以及 L1 終端機錯誤 (L1TF) [CVE-2018-3615CVE-2018-3620CVE-2018-3646] 的風險降低措施,並且停用超執行緒:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果已安裝 Hyper-V 功能,請新增下列登錄設定:

登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。

重新啟動裝置讓變更生效。

若要停用英特爾事務同步擴展 (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 和微結構資料取樣 (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) 以及 Spectre [CVE-2017-5753CVE-2017-5715] 和 Meltdown [CVE-2017-5754] 變種,包括推測儲存旁路停用 (SSBD) [CVE-2018-3639] 以及 L1 終端機錯誤 (L1TF) [CVE-2018-3615CVE-2018-3620CVE-2018-3646] 的風險降低措施:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新啟動裝置讓變更生效。

若要在 AMD 處理器上啟用 CVE-2022-23825 風險降低:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

若要受到完整保護,客戶可能也需要停用超執行緒 (也稱為同步多執行緒 (SMT))。 如需有關保護 Windows 裝置的指引,請參閱 KB4073757

若要在 AMD 處理器上啟用 CVE-2023-20569 風險降低:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

若要在 Intel 處理器上啟用 CVE-2022-0001 風險降低:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

啟用多重風險降低

若要啟用多種風險降低,您必須新增每個風險降低的 REG_DWORD 值。

例如:

交易非同步中止弱點的風險降低、微結構資料取樣、Spectre、Meltdown、MMIO、推測儲存旁路停用 (SSBD),以及已停用超執行緒的 L1 終端機錯誤 (L1TF)

reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

備註 8264 (十進位) = 0x2048 (十六進位)

若要啟用 BHI 及其他現有設定,您必須以 8,388,608 (0x800000) 使用目前值的位元 OR。 

0x800000 OR 0x2048 (十進位為 8264),它會變成 8,396,872(0x802048)。 與 FeatureSettingsOverrideMask 相同。

Intel 處理器上 CVE-2022-0001 的風險降低

reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

合併的風險降低

reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

交易非同步中止弱點的風險降低、微結構資料取樣、Spectre、Meltdown、MMIO、推測儲存旁路停用 (SSBD),以及已停用超執行緒的 L1 終端機錯誤 (L1TF)

reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Intel 處理器上 CVE-2022-0001 的風險降低

reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

合併的風險降低

reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

驗證已啟用保護

為協助客戶驗證已啟用保護,我們已經發行 PowerShell 指令碼,可讓您在您的裝置上執行。 使用下列其中一種方法來安裝及執行指令碼。

安裝 PowerShell 模組:

PS> Install-Module SpeculationControl

執行 PowerShell 模組,以驗證已啟用保護:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

安裝 Technet 指令碼中心的 PowerShell 模組:

  1. 前往 https://aka.ms/SpeculationControlPS

  2. 將 SpeculationControl.zip 下載到本機資料夾。

  3. 將內容解壓縮到本機資料夾中。 例如: C:\ADV180002

執行 PowerShell 模組,以驗證已啟用保護:

啟動 PowerShell,然後使用先前的範例複製並執行下列命令:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

如需有關 PowerShell 指令碼輸出的詳細說明,請參閱 KB4074629。 

常見問題集

為協助避免對客戶裝置造成負面影響,2018 年 1 月和 2 月發行的 Windows 安全性更新未提供給所有客戶。 如需詳細資料,請參閱 KB407269

微碼是透過韌體更新提供。 請洽詢您的 OEM,以取得具有您電腦適用更新的韌體版本。

有多個變數會影響效能,例如系統版本、正在執行的工作負載等。 對於某些系統,效果影響將無關緊要。 對於其他系統則值得考慮。

建議您根據系統評估效能影響,並視需要進行調整。

除了本文中有關虛擬機器的指引外,您還應連絡您的服務提供者,以確保執行您虛擬機器的主機適當地受到保護。 對於在 Azure 中執行的 Windows 伺服器虛擬機器,請參閱防範 Azure 中推測執行旁路弱點的指引。 若要在客體 VM 使用Azure 更新管理防範此問題的指導,請參閱 KB4077467

針對 Windows Server 2016 和 Windows 10 1709 版的 Windows Server 容器映像而發行的更新,包含適用於這組弱點的緩和措施。 並且不需要額外設定。注意: 您仍必須確認執行這些容器所在的主機已設定為啟用適當的風險降低措施。

否,安裝順序不重要。

是,您必須在韌體 (微碼) 更新後重新啟動,然後在系統更新後再次重新啟動。

下列是登錄機碼的詳細資訊:

FeatureSettingsOverride 代表覆寫預設設定及控制停用哪個緩和措施的點陣圖。 Bit 0 控制對應至 CVE-2017-5715 的緩和措施。 Bit 1 控制對應至 CVE-2017-5754 的緩和措施。 位元設定為 0 可以啟用緩和措施,設定為 1 可以停用緩和措施。

FeatureSettingsOverrideMask 代表與 FeatureSettingsOverride 搭配使用的點陣圖遮罩。  在這個情況中,我們使用值 3 (在二進位數字或 base-2 數字系統中,以 11 表示),表示對應至可用風險降低措施的前兩個位元。 啟用及停用緩和措施時,都會將此登錄機碼設定為 3

MinVmVersionForCpuBasedMitigations 是用於 Hyper-V 主機。 此登錄機碼會定義使用更新韌體功能的最小 VM 版本 (CVE-2017-5715)。 將此機碼設定為 1.0,以涵蓋所有 VM 版本。 請注意,在非 Hyper-V 主機上,此登錄值將會遭到忽略 (有益的)。 如需更多詳細資訊,請參閱 客體虛擬機器防範 CVE-2017-5715 (分支目標導入)

可以,在安裝 2018 年 1 月相關修正程式之前套用這些登錄設定,沒有任何副作用。

如需有關指令碼輸出的詳細說明,請參閱 KB4074629: 了解 SpeculationControl PowerShell 指令碼輸出

可以,對於尚無可用韌體更新的 Windows Server 2016 Hyper-V 主機,我們已經發行替代指引,有助於避免 VM 對 VM 或 VM 對主機的攻擊。 請參閱 Windows Server 2016 Hyper-V 主機防範推測執行旁路弱點的替代保護措施

僅限安全性更新不是累積更新。 根據您的作業系統版本,您可能需要安裝多個安全更新才能獲得全面防護。 一般而言,客戶需要安裝 2018 年一月、二月、三月和四月更新。 搭載 AMD 處理器的系統需要下表中顯示的額外更新:

作業系統版本

安全性更新

Windows 8.1、Windows Server 2012 R2

KB4338815: 每月彙總套件

KB4338824: 僅限安全性

Windows 7 SP1、Windows Server 2008 R2 SP1 或 Windows Server 2008 R2 SP1 (Server Core 安裝)

KB4284826: 每月彙總套件

KB4284867: 僅限安全性

Windows Server 2008 SP2

KB4340583: 安全性更新

建議您依發行順序安裝僅限安全性更新。

附註: 先前的<常見問題集>版本不正確地指出,2 月僅限安全性更新包含 1 月發行的安全性修正程式。 其實並非如此。

否。 安全性更新 KB4078130 是特定的修正程式,用來防範安裝微碼後出現無法預測的系統行為、效能問題,以及未預期的重新啟動情形。 在 Windows 用戶端作業系統上套用安全性更新,可啟用全部三個緩和措施。 在 Windows 伺服器作業系統上,經過適當的測試之後,您仍必須啟用緩和措施。 如需詳細資訊,請參閱 KB4072698

此問題已在 KB4093118 解決。

2018 年 2 月,Intel 宣布,他們已經完成驗證,並開始為新版 CPU 平台發行微碼。 Microsoft 正在推出經 Intel 驗證、與 Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | 分支目標導入) 相關的微碼更新。 KB4093836 依 Windows 版本列出特定知識庫文章。 每個特定知識庫文章都包含依 CPU 排列、可用的 Intel 微碼更新。

2018 年 1 月 11 日: Intel 已經針對最近發行為解決 Spectre Variant 2 (CVE-2017-5715 | 分支目標導入) 的微碼回報問題。 具體而言,Intel 發現此微碼可能會導致「重新開機次數多於預期,以及其他無法預測的系統行為」,並且這些情況可能導致「資料遺失或損毀。我們的經驗是,系統不穩定可能會在某些情況下造成資料遺失或損毀。 在 1 月 22 日,Intel 已建議客戶,停止在受影響的處理器上部署目前版本微碼,因為 Intel 正在對更新的解決方案進行其他測試。 我們了解 Intel 會持續調查目前微碼版本的潛在影響, 並鼓勵客戶繼續檢閱指引,以掌握 Intel 的決定。

在 Intel 測試、更新和部署新微碼的同時,我們會推出頻外 (OOB) 更新,KB4078130,此更新只會特別停用防範 CVE-2017-5715 的風險降低措施。 依據我們測試的結果,發現此更新能防範所述的行為。 如需完整裝置清單,請參閱 Intel 的微碼修訂指引。 此更新涵蓋 Windows 7 Service Pack 1 (SP1)、Windows 8.1,以及適用於用戶端和伺服器的所有 Windows 10 版本。 如果您正在執行受影響的裝置,請從 Microsoft Update Catalog 網站下載並套用此更新。 此裝載的應用程式只會特別停用防範 CVE-2017-5715 的緩和措施。

到目前為止,我們尚未收到任何回報,指出客戶已遭受此 Spectre Variant 2 (CVE-2017-5715 | 分支目標導入) 的攻擊。 當 Intel 報告裝置的這個無法預測的系統行為已經解決時,我們建議 Windows 客戶適時重新啟用防範 CVE-2017-5715 的緩和措施。

2018 年 2 月,Intel 已宣布他們已經完成驗證,並開始為新版 CPU 平台發行微碼。 Microsoft 會推出經 Intel 驗證、與 Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | 分支目標導入) 相關的微碼更新。 KB4093836 依 Windows 版本列出特定知識庫文章。 KB 會列出依 CPU 排列、可用的 Intel 微碼更新。

如需詳細資訊,請參閱 AMD 安全性更新AMD 白皮書: 有關間分支接控制的架構指引。 這些可從 OEM 韌體管道取得。

我們即將推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715 | 分支目標導入) 有關的微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。

此外,升級系統之前,也可以從 Microsoft Update Catalog 直接取得微碼更新 (若在裝置上未安裝)。 Intel 微碼會透過 Windows Update、Windows Server Update Services 或 Microsoft Update Catalog 提供。 如需詳細資訊及下載指示,請參閱 KB4100347

若要確認 SSBD 的狀態,Get-SpeculationControlSettings PowerShell 指令碼已經過更新,可偵測受影響的處理器、SSBD 作業系統更新的狀態,以及處理器微碼的狀態 (若適用)。 如需詳細資訊,並且若要取得 PowerShell 指令碼,請參閱 KB4074629

在 2018 年 6 月 13 日,我們已宣布另一個與旁路推測執行有關、名為「消極式 FP 狀態還原」的弱點,並指派為 CVE-2018-3665 。 如需有關這個弱點和建議動作的詳細資訊,請參閱資訊安全諮詢 ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引

附註: 消極式還原 FP 還原不需要設定 (登錄) 設定。

範圍檢查旁路儲存 (Bounds Check Bypass Store,BCBS) 已於 2018 年 7 月 10 日揭露,並指派為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 我們目前未在軟體中發現 BCBS 實例。 不過我們會繼續研究這個弱點等級並與業界合作夥伴合作,視需要發行緩和措施。 我們鼓勵研究人員向 Microsoft 推測執行端通道獎金計劃提交任何相關發現,包括任何可利用進行攻擊的 BCBS 實例。 軟體開發人員應於適用於推測執行端通道的 C++ 開發人員指引檢閱已針對 BCBS 更新的開發人員指引。 

在 2018 年 8 月 14 日,我們已宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。

如需有關此弱點的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:

停用「超執行緒」的步驟會依 OEM 而有所不同,但一般來說,屬於 BIOS 或韌體設定和組態工具的內容。

使用 64 位元 ARM 處理器的客戶應連絡裝置 OEM 以取得韌體支援,因為採用可防範 CVE-2017-5715 | 分支目標導入 (Spectre,Variant 2) 威脅的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,才會發揮作用。

如需進一步指引,請參閱 防範推測執行旁路弱點的 Windows 指引

如需 Azure 指引,請參閱這篇文章: 防範 Azure 中推測執行旁路弱點的指引

如需有關啟用 Retpoline 的詳細資訊,請參閱我們的部落格文章: 在 Windows 使用 Retpoline 防範 Spectre variant 2

如需此弱點的詳細資訊,請參閱 Microsoft 資訊安全指南: CVE-2019-1125 |Windows 核心資訊揭露弱點

我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。

我們一發現這個問題,即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全,並且依照一貫的協調弱點洩漏作法,直到 8 月 6 日星期二才發佈詳細資料。

參考

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。

我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。