تغيير التاريخ |
وصف التغيير |
---|---|
17 يوليو 2023 |
تمت إضافة MMIO ووصف محدد لقيم الإخراج في قسم "الإخراج الذي تم تمكين جميع عوامل التخفيف منه" |
الملخص
لمساعدتك في التحقق من حالة التخفيف من القنوات الجانبية للتنفيذ التخميني، نشرنا برنامج PowerShell النصي (SpeculationControl) الذي يمكن تشغيله على أجهزتك. توضح هذه المقالة كيفية تشغيل البرنامج النصي SpeculationControl وما يعنيه الإخراج.
تغطي النصائح الأمنية ADV180002 و ADV180012 و ADV180018 و ADV190013 نقاط الضعف التسع التالية:
-
CVE-2017-5715 (حقن هدف الفرع)
-
CVE-2017-5753 (تجاوز التحقق من الحدود)
ملاحظة لا تتطلب الحماية ل CVE-2017-5753 (فحص الحدود) إعدادات تسجيل إضافية أو تحديثات البرامج الثابتة.
-
CVE-2017-5754 (تحميل ذاكرة التخزين المؤقت للبيانات المارقة)
-
CVE-2018-3639 (تجاوز مخزن تخميني)
-
CVE-2018-3620 (خطأ طرفي L1 - نظام التشغيل)
-
CVE-2018-11091 (ذاكرة أخذ عينات البيانات الدقيقة غير القابلة للتغيير (MDSUM))
-
CVE-2018-12126 (أخذ عينات بيانات المخزن المؤقت لمخزن Microarchitectural (MSBDS))
-
CVE-2018-12127 (أخذ عينات بيانات منفذ التحميل Microarchitectural (MLPDS))
-
CVE-2018-12130 (أخذ عينات بيانات المخزن المؤقت للتعبئة الدقيقة (MFBDS))
يغطي ADV220002 الاستشارية الثغرات الأمنية الإضافية Memory-Mapped الإدخال/الإخراج (MMIO):
-
CVE-2022-21123 | قراءة بيانات المخزن المؤقت المشترك (SBDR)
-
CVE-2022-21125 | أخذ عينات بيانات المخزن المؤقت المشترك (SBDS)
-
CVE-2022-21127 | تحديث أخذ عينات بيانات المخزن المؤقت للتسجيل الخاص (تحديث SRBDS)
-
CVE-2022-21166 | تسجيل الجهاز الكتابة الجزئية (DRPW)
توفر هذه المقالة تفاصيل حول البرنامج النصي SpeculationControl PowerShell الذي يساعد في تحديد حالة عوامل التخفيف من المخاطر ل CVEs المدرجة التي تتطلب إعدادات تسجيل إضافية، وفي بعض الحالات، تحديثات البرامج الثابتة.
مزيد من المعلومات
برنامج نصي ل SpeculationControl PowerShell
قم بتثبيت وتشغيل البرنامج النصي SpeculationControl باستخدام إحدى الطرق التالية.
الطريقة 1: التحقق من PowerShell باستخدام معرض PowerShell (Windows Server 2016 أو WMF 5.0/5.1) |
تثبيت وحدة PowerShell النمطية PS> Install-Module SpeculationControl قم بتشغيل الوحدة النمطية SpeculationControl PowerShell للتحقق من تمكين الحماية PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
الطريقة 2: التحقق من PowerShell باستخدام تنزيل من TechNet (إصدارات نظام التشغيل السابقة/إصدارات WMF السابقة) |
تثبيت وحدة PowerShell النمطية من TechNet ScriptCenter
تشغيل وحدة PowerShell للتحقق من تمكين الحماية ابدأ تشغيل PowerShell، ثم (باستخدام المثال أعلاه) انسخ الأوامر التالية وقم بتشغيلها: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
إخراج البرنامج النصي PowerShell
سيكون إخراج البرنامج النصي SpeculationControl PowerShell مشابها للإخراج التالي. تظهر الحماية الممكنة في الإخراج على أنها "True".
PS C:\> Get-SpeculationControlSettings
إعدادات التحكم في التكهنات ل CVE-2017-5715 [حقن هدف الفرع]
دعم الأجهزة للتخفيف من حقن هدف الفرع موجود: False
دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع موجود: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع: False تم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بواسطة نهج النظام: True يتم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بسبب عدم وجود دعم للأجهزة: Trueإعدادات التحكم في التكهنات ل CVE-2017-5754 [تحميل ذاكرة التخزين المؤقت للبيانات المخادعة]
الأجهزة عرضة لتحميل ذاكرة التخزين المؤقت للبيانات المخادعة: True
دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة موجود: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة: True يتطلب الجهاز تظليل kernel VA: True دعم نظام التشغيل Windows لظل kernel VA موجود: False يتم تمكين دعم نظام التشغيل Windows لظل kernel VA: False تم تمكين دعم نظام التشغيل Windows لتحسين PCID: False إعدادات التحكم في المضاربة ل CVE-2018-3639 [تجاوز المخزن التخميني]الأجهزة عرضة لتجاوز المتجر التخميني: صحيح
دعم الأجهزة للتخفيف من تجاوز المخزن التخميني موجود: False دعم نظام التشغيل Windows للتخفيف من تجاوز المخزن التخميني موجود: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من تجاوز المخزن التخميني على مستوى النظام: خطأإعدادات التحكم في التكهنات ل CVE-2018-3620 [خطأ طرفي L1]
الأجهزة عرضة لخطأ L1 terminal: True
دعم نظام التشغيل Windows للتخفيف من الأخطاء الطرفية L1 موجود: True تم تمكين دعم نظام التشغيل Windows للتخفيف من أخطاء المحطة الطرفية L1: Trueإعدادات التحكم في المضاربة ل MDS [أخذ عينات بيانات microarchitectural]
دعم نظام التشغيل Windows للتخفيف من مخاطر MDS موجود: True
الأجهزة عرضة ل MDS: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر MDS: Trueإعدادات التحكم في التكهنات ل SBDR [قراءة بيانات المخازن المؤقتة المشتركة]
دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR موجود: True
الأجهزة عرضة ل SBDR: True تم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR: Trueإعدادات التحكم في التكهنات ل FBSDP [نشر البيانات القديمة للمخزن المؤقت]
دعم نظام التشغيل Windows للتخفيف من FBSDP موجود: True الأجهزة عرضة ل FBSDP: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من FBSDP: Trueإعدادات التحكم في التكهنات ل PSDP [نشر البيانات الأساسية القديمة]
دعم نظام التشغيل Windows للتخفيف من PSDP موجود: True
الأجهزة عرضة ل PSDP: True تم تمكين دعم نظام التشغيل Windows للتخفيف من PSDP: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: Trueشرح إخراج البرنامج النصي SpeculationControl PowerShell
تعين شبكة الإخراج النهائية إلى إخراج الأسطر السابقة. يظهر هذا لأن PowerShell يطبع الكائن الذي يتم إرجاعه بواسطة دالة. يشرح الجدول التالي كل سطر في إخراج البرنامج النصي PowerShell.
الاخراج |
تفسير |
إعدادات التحكم في التكهنات ل CVE-2017-5715 [حقن هدف الفرع] |
يوفر هذا القسم حالة النظام للمتغير 2، CVE-2017-5715، حقن هدف الفرع. |
دعم الأجهزة للتخفيف من حقن هدف الفرع موجود |
تعيين إلى BTIHardwarePresent. يخبرك هذا السطر ما إذا كانت ميزات الأجهزة موجودة لدعم تخفيف حقن هدف الفرع. الشركة المصنعة للمعدات الأصلية للجهاز مسؤولة عن توفير BIOS/البرنامج الثابت المحدث الذي يحتوي على الرمز الصغير الذي توفره الشركات المصنعة لوحدة المعالجة المركزية. إذا كان هذا السطر صحيحا، فإن ميزات الأجهزة المطلوبة موجودة. إذا كان السطر خطأ، فلن تكون ميزات الأجهزة المطلوبة موجودة. لذلك، لا يمكن تمكين التخفيف من حقن هدف الفرع. ملاحظة سيكون BTIHardwarePresent صحيحا في الأجهزة الظاهرية الضيف إذا تم تطبيق تحديث الشركة المصنعة للمعدات الأصلية على المضيف وتم اتباع الإرشادات. |
دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع موجود |
تعيين إلى BTIWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام التشغيل Windows موجودا للتخفيف من حقن هدف الفرع. إذا كان صحيحا، يدعم نظام التشغيل تمكين تخفيف حقن هدف الفرع (وبالتالي قام بتثبيت تحديث يناير 2018). إذا كان خطأ، فلن يتم تثبيت تحديث يناير 2018 على الجهاز، ولا يمكن تمكين التخفيف من حقن هدف الفرع. ملاحظة إذا لم يتمكن جهاز ظاهري ضيف من اكتشاف تحديث الأجهزة المضيفة، فسيكون BTIWindowsSupportEnabled دائما False. |
تم تمكين دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع |
تعيين إلى BTIWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان دعم نظام التشغيل Windows ممكنا للتخفيف من حقن هدف الفرع. إذا كان صحيحا، يتم تمكين دعم الأجهزة ودعم نظام التشغيل للتخفيف من حقن هدف الفرع للجهاز، وبالتالي الحماية من CVE-2017-5715. إذا كان خطأ، فإن أحد الشروط التالية صحيح:
|
تم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بواسطة نهج النظام |
تعيين إلى BTIDisabledBySystemPolicy. يخبرك هذا السطر ما إذا كان تخفيف حقن هدف الفرع معطلا بواسطة نهج النظام (مثل نهج معرف من قبل المسؤول). يشير نهج النظام إلى عناصر تحكم التسجيل كما هو موثق في KB4072698. إذا كان صحيحا، فإن نهج النظام مسؤول عن تعطيل التخفيف. إذا كان خطأ، يتم تعطيل التخفيف بسبب مختلف. |
يتم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بسبب عدم وجود دعم للأجهزة |
تعيين إلى BTIDisabledByNoHardwareSupport. يخبرك هذا السطر ما إذا كان تخفيف حقن هدف الفرع معطلا بسبب عدم وجود دعم للأجهزة. إذا كان صحيحا، فإن عدم وجود دعم للأجهزة مسؤول عن تعطيل التخفيف. إذا كان خطأ، يتم تعطيل التخفيف بسبب مختلف. ملاحظهإذا لم يتمكن جهاز ظاهري ضيف من الكشف عن تحديث الأجهزة المضيفة، فسيكون BTIDisabledByNoHardwareSupport دائما True. |
إعدادات التحكم في التكهنات ل CVE-2017-5754 [تحميل ذاكرة التخزين المؤقت للبيانات المخادعة] |
يوفر هذا القسم حالة النظام الموجزة للمتغير 3، CVE-2017-5754، تحميل ذاكرة التخزين المؤقت للبيانات المارقة. يعرف التخفيف من المخاطر لهذا باسم ظل عنوان kernel الظاهري (VA) أو التخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المارقة. |
الأجهزة عرضة لتحميل ذاكرة التخزين المؤقت للبيانات المخادعة |
تعيين إلى RdclHardwareProtected. يخبرك هذا السطر ما إذا كان الجهاز عرضة ل CVE-2017-5754. إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2017-5754. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة ل CVE-2017-5754. |
دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة موجود |
تعيين إلى KVAShadowWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows لميزة ظل kernel VA موجودا. |
يتم تمكين دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة |
تعيين إلى KVAShadowWindowsSupportEnabled. يخبرك هذا السطر ما إذا كانت ميزة ظل kernel VA ممكنة. إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2017-5754، ودعم نظام تشغيل Windows موجود، ويتم تمكين الميزة. |
يتطلب الجهاز تظليل kernel VA |
تعيين إلى KVAShadowRequired. يخبرك هذا السطر ما إذا كان نظامك يتطلب تظليل kernel VA للتخفيف من الثغرة الأمنية. |
دعم نظام التشغيل Windows لظل kernel VA موجود |
تعيين إلى KVAShadowWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows لميزة ظل kernel VA موجودا. إذا كان صحيحا، يتم تثبيت تحديث يناير 2018 على الجهاز، ويتم دعم ظل kernel VA. إذا كان False، فلن يتم تثبيت تحديث يناير 2018، ولا يوجد دعم ظل kernel VA. |
تم تمكين دعم نظام التشغيل Windows لظل kernel VA |
تعيين إلى KVAShadowWindowsSupportEnabled. يخبرك هذا السطر ما إذا كانت ميزة ظل kernel VA ممكنة. إذا كان صحيحا، يكون دعم نظام التشغيل Windows موجودا، ويتم تمكين الميزة. يتم حاليا تمكين ميزة ظل Kernel VA بشكل افتراضي على إصدارات العميل من Windows ويتم تعطيلها افتراضيا على إصدارات Windows Server. إذا كان خطأ، إما أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين الميزة. |
تم تمكين دعم نظام التشغيل Windows لتحسين أداء PCID ملاحظهPCID غير مطلوب للأمان. يشير فقط إلى ما إذا تم تمكين تحسين الأداء. PCID غير مدعوم مع Windows Server 2008 R2 |
تعيين إلى KVAShadowPcidEnabled. يخبرك هذا السطر ما إذا كان قد تم تمكين تحسين أداء إضافي لظل kernel VA. إذا كان صحيحا، يتم تمكين ظل kernel VA، ودعم الأجهزة ل PCID موجود، ويتم تمكين تحسين PCID لظل kernel VA. إذا كان خطأ، فقد لا يدعم الجهاز أو نظام التشغيل PCID. إنها ليست نقطة ضعف أمنية لعدم تمكين تحسين PCID. |
دعم نظام التشغيل Windows لتعطيل تجاوز مخزن Speculative موجود |
تعيين إلى SSBDWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows لتعطيل تجاوز مخزن Speculative موجودا. إذا كان صحيحا، يتم تثبيت تحديث يناير 2018 على الجهاز، ويتم دعم ظل kernel VA. إذا كان False، فلن يتم تثبيت تحديث يناير 2018، ولا يوجد دعم ظل kernel VA. |
يتطلب الجهاز تعطيل تجاوز مخزن المضاربة |
تعيين إلى SSBDHardwareVulnerablePresent. يخبرك هذا السطر ما إذا كان الجهاز عرضة ل CVE-2018-3639. إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2018-3639. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة ل CVE-2018-3639. |
دعم الأجهزة لتعطيل تجاوز مخزن Speculative موجود |
تعيين إلى SSBDHardwarePresent. يخبرك هذا السطر ما إذا كانت ميزات الأجهزة موجودة لدعم تعطيل تجاوز مخزن Speculative. الشركة المصنعة للمعدات الأصلية للجهاز مسؤولة عن توفير BIOS/البرنامج الثابت المحدث الذي يحتوي على الرمز الصغير الذي توفره Intel. إذا كان هذا السطر صحيحا، فإن ميزات الأجهزة المطلوبة موجودة. إذا كان السطر خطأ، فلن تكون ميزات الأجهزة المطلوبة موجودة. لذلك، لا يمكن تشغيل تعطيل تجاوز مخزن المضاربة. ملاحظه سيكون SSBDHardwarePresent صحيحا في الأجهزة الظاهرية الضيف إذا تم تطبيق تحديث الشركة المصنعة للمعدات الأصلية على المضيف. |
دعم نظام التشغيل Windows لتعطيل تجاوز مخزن Speculative قيد التشغيل |
تعيين إلى SSBDWindowsSupportEnabledSystemWide. يخبرك هذا السطر ما إذا كان تم تشغيل تعطيل تجاوز مخزن Speculative في نظام التشغيل Windows. إذا كان صحيحا، فإن دعم الأجهزة ودعم نظام التشغيل لتعطيل تجاوز مخزن Speculative قيد التشغيل للجهاز الذي يمنع حدوث تجاوز مخزن Speculative، وبالتالي القضاء على مخاطر الأمان تماما. إذا كان خطأ، فإن أحد الشروط التالية صحيح:
|
إعدادات التحكم في التكهنات ل CVE-2018-3620 [خطأ طرفي L1] |
يوفر هذا القسم حالة النظام الموجزة ل L1TF (نظام التشغيل) المشار إليه بواسطة CVE-2018-3620. يضمن التخفيف هذا استخدام بتات إطار الصفحة الآمنة لإدخالات جدول الصفحة غير الموجودة أو غير الصالحة. ملاحظة لا يوفر هذا القسم ملخصا لحالة التخفيف ل L1TF (VMM) المشار إليها بواسطة CVE-2018-3646. |
الأجهزة عرضة لخطأ L1 terminal: True |
تعيين إلى L1TFHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لخطأ L1 Terminal (L1TF، CVE-2018-3620). إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2018-3620. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة ل CVE-2018-3620. |
دعم نظام التشغيل Windows للتخفيف من الأخطاء الطرفية L1 موجود: True |
تعيين إلى L1TFWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من أخطاء الوحدة الطرفية L1 (L1TF) موجودا. إذا كان صحيحا، يتم تثبيت تحديث أغسطس 2018 على الجهاز، ويتواجد التخفيف من المخاطر ل CVE-2018-3620 . إذا كان خطأ، فلن يتم تثبيت تحديث أغسطس 2018، ولن يكون التخفيف من المخاطر ل CVE-2018-3620 موجودا. |
تم تمكين دعم نظام التشغيل Windows للتخفيف من أخطاء المحطة الطرفية L1: True |
تعيين إلى L1TFWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان قد تم تمكين تخفيف نظام تشغيل Windows ل L1 Terminal Fault (L1TF، CVE-2018-3620). إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2018-3620، ودعم نظام تشغيل Windows للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف. |
إعدادات التحكم في التكهنات ل MDS [أخذ عينات بيانات Microarchitectural] |
يوفر هذا القسم حالة النظام لمجموعة MDS من الثغرات الأمنية، CVE-2018-11091، CVE-2018-12126، CVE-2018-12127، CVE-2018-12130، وDV220002. |
دعم نظام التشغيل Windows للتخفيف من مخاطر MDS موجود |
تعيين إلى MDSWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من نظام التشغيل Microarchitectural Data Sampling (MDS) موجودا. إذا كان صحيحا، يتم تثبيت تحديث مايو 2019 على الجهاز، ويتواجد التخفيف من المخاطر ل MDS. إذا كان خطأ، فلن يتم تثبيت تحديث مايو 2019، ولن يكون التخفيف من المخاطر ل MDS موجودا. |
الأجهزة عرضة ل MDS |
تعيين إلى MDSHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة عينات البيانات الدقيقة (MDS) من الثغرات الأمنية (CVE-2018-11091، CVE-2018-12126، CVE-2018-12127، CVE-2018-12139). إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر. |
تم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر MDS |
تعيين إلى MDSWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان تخفيف نظام التشغيل Windows لأخذ عينات البيانات Microarchitectural (MDS) ممكنا. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بثغرات MDS الأمنية، ودعم نظام تشغيل Windows للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف. |
دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR موجود |
تعيين إلى FBClearWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من مخاطر نظام تشغيل SBDR موجودا. إذا كان صحيحا، يتم تثبيت تحديث يونيو 2022 على الجهاز، ويتواجد التخفيف من المخاطر ل SBDR. إذا كان خطأ، فلن يتم تثبيت تحديث يونيو 2022، ولا يوجد تخفيف ل SBDR. |
الأجهزة عرضة ل SBDR |
تعيين إلى SBDRSSDPHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة SBDR [قراءة بيانات المخازن المؤقتة المشتركة] من الثغرات الأمنية (CVE-2022-21123). إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر. |
تم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR |
تعيين إلى FBClearWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان تخفيف نظام التشغيل Windows ل SBDR [قراءة بيانات المخازن المؤقتة المشتركة] ممكنا. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بثغرات SBDR الأمنية، ودعم تشغيل النوافذ للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف. |
دعم نظام التشغيل Windows للتخفيف من FBSDP موجود |
تعيين إلى FBClearWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من نظام التشغيل FBSDP موجودا. إذا كان صحيحا، يتم تثبيت تحديث يونيو 2022 على الجهاز، ويتواجد التخفيف من المخاطر ل FBSDP. إذا كان خطأ، فلن يتم تثبيت تحديث يونيو 2022، ولا يوجد التخفيف من المخاطر ل FBSDP. |
الأجهزة عرضة ل FBSDP |
تعيين إلى FBSDPHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة FBSDP [تعبئة نشر البيانات القديمة للمخزن المؤقت] من الثغرات الأمنية (CVE-2022-21125وCVE-2022-21127وCVE-2022-21166). إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر. |
تم تمكين دعم نظام التشغيل Windows للتخفيف من FBSDP |
تعيين إلى FBClearWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان قد تم تمكين تخفيف نظام التشغيل Windows ل FBSDP [نشر البيانات القديمة للمخزن المؤقت للتعبئة]. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بثغرات FBSDP الأمنية، ودعم تشغيل Windows للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف. |
دعم نظام التشغيل Windows للتخفيف من PSDP موجود |
تعيين إلى FBClearWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام التشغيل Windows للتخفيف من مخاطر نظام التشغيل PSDP موجودا. إذا كان صحيحا، يتم تثبيت تحديث يونيو 2022 على الجهاز، ويتواجد التخفيف من المخاطر ل PSDP. إذا كان خطأ، فلن يتم تثبيت تحديث يونيو 2022، ولن يكون التخفيف من المخاطر ل PSDP موجودا. |
الأجهزة عرضة ل PSDP |
تعيين إلى PSDPHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة PSDP [نشر البيانات الأساسية القديمة] من الثغرات الأمنية. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر. |
تم تمكين دعم نظام التشغيل Windows للتخفيف من PSDP |
تعيين إلى FBClearWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان تخفيف نظام التشغيل Windows ل PSDP [نشر البيانات الأساسية القديمة] ممكنا. إذا كان صحيحا، يعتقد أن الأجهزة تتأثر بثغرات PSDP الأمنية، ودعم تشغيل النوافذ للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف. |
الإخراج الذي تم تمكين جميع عوامل تخفيف المخاطر فيه
من المتوقع أن يكون الإخراج التالي لجهاز تم تمكين جميع عوامل التخفيف فيه، جنبا إلى جنب مع ما هو ضروري لتلبية كل شرط.
BTIHardwarePresent: True -> OEM BIOS/تحديث البرنامج الثابت المطبقالإرشادات. BTIDisabledBySystemPolicy: False -> تأكد من عدم تعطيلها بواسطة النهج. BTIDisabledByNoHardwareSupport: False -> تأكد من تطبيق تحديث OEM BIOS/البرنامج الثابت. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: صواب أو خطأ -> أي إجراء، هذه دالة لوحدة المعالجة المركزية التي يستخدمها الكمبيوتر إذا كان KVAShadowRequired صحيحا KVAShadowWindowsSupportPresent: True -> تثبيت تحديث يناير 2018 KVAShadowWindowsSupportEnabled: True -> على العميل، لا يلزم اتخاذ أي إجراء. على الخادم، اتبع الإرشادات. KVAShadowPcidEnabled: صواب أو خطأ -> أي إجراء، هذه دالة لوحدة المعالجة المركزية التي يستخدمها الكمبيوتر
BTIWindowsSupportPresent: تم تثبيت تحديث True -> يناير 2018 BTIWindowsSupportEnabled: True -> على العميل، لا يلزم اتخاذ أي إجراء. على الخادم، اتبعإذا كان SSBDHardwareVulnerablePresent صحيحاADV180012 SSBDHardwarePresent: True -> تثبيت تحديث BIOS/البرنامج الثابت مع دعم SSBD من الشركة المصنعة للمعدات الأصلية لجهازك SSBDWindowsSupportEnabledSystemWide: True -> اتبع الإجراءات الموصى بها لتشغيل SSBD
SSBDWindowsSupportPresent: True -> تثبيت تحديثات Windows كما هو موثق فيإذا كان L1TFHardwareVulnerable صحيحاADV180018 L1TFWindowsSupportEnabled: True -> اتبع الإجراءات الموضحة في ADV180018 ل Windows Server أو العميل حسب الاقتضاء لتمكين التخفيف من المخاطر L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> تثبيت تحديث يونيو 2022 MDSHardwareVulnerable: من المعروف أن الأجهزة false -> ليست عرضة للخطر MDSWindowsSupportEnabled: تم تمكين التخفيف من المخاطر > الحقيقي لأخذ عينات البيانات الدقيقة (MDS) FBClearWindowsSupportPresent: True -> تثبيت تحديث يونيو 2022 SBDRSSDPHardwareVulnerable: يعتقد أن الأجهزة true -> تتأثر بهذه الثغرات الأمنية FBSDPHardwareVulnerable: يعتقد أن الأجهزة true -> تتأثر بهذه الثغرات الأمنية PSDPHardwareVulnerable: يعتقد أن الأجهزة true -> تتأثر بهذه الثغرات الأمنية FBClearWindowsSupportEnabled: True -> يمثل تمكين التخفيف ل SBDR/FBSDP/PSDP. تأكد من تحديث OEM BIOS/البرنامج الثابت، وFBClearWindowsSupportPresent هو True، وتمكين التخفيف كما هو موضح في ADV220002 وKVAShadowWindowsSupportEnabled هو True.
L1TFWindowsSupportPresent: True -> تثبيت تحديثات Windows كما هو موثق فيالتسجيل
يعين الجدول التالي الإخراج إلى مفاتيح التسجيل المغطاة في KB4072698: إرشادات Windows Server وAzure Stack HCI للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ الجزئي والمضارب المستند إلى السيليكون.
مفتاح التسجيل |
تعيين |
FeatureSettingsOverride – Bit 0 |
Maps to - Branch target injection - BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
الخرائط إلى - تحميل ذاكرة التخزين المؤقت للبيانات المحتالة - VAShadowWindowsSupportEnabled |
مراجع
نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.