Applies ToWindows 11 Windows 10

تغيير التاريخ

وصف التغيير

17 يوليو 2023

تمت إضافة MMIO ووصف محدد لقيم الإخراج في قسم "الإخراج الذي تم تمكين جميع عوامل التخفيف منه"

الملخص

لمساعدتك في التحقق من حالة التخفيف من القنوات الجانبية للتنفيذ التخميني، نشرنا برنامج PowerShell النصي (SpeculationControl) الذي يمكن تشغيله على أجهزتك. توضح هذه المقالة كيفية تشغيل البرنامج النصي SpeculationControl وما يعنيه الإخراج.

تغطي النصائح الأمنية ADV180002 و ADV180012 و ADV180018 و ADV190013 نقاط الضعف التسع التالية:

  • CVE-2017-5715 (حقن هدف الفرع)

  • CVE-2017-5753 (تجاوز التحقق من الحدود)

    ‏ملاحظة لا تتطلب الحماية ل CVE-2017-5753 (فحص الحدود) إعدادات تسجيل إضافية أو تحديثات البرامج الثابتة.  

  • CVE-2017-5754 (تحميل ذاكرة التخزين المؤقت للبيانات المارقة)

  • CVE-2018-3639 (تجاوز مخزن تخميني)

  • CVE-2018-3620 (خطأ طرفي L1 - نظام التشغيل)

  • CVE-2018-11091 (ذاكرة أخذ عينات البيانات الدقيقة غير القابلة للتغيير (MDSUM))

  • CVE-2018-12126 (أخذ عينات بيانات المخزن المؤقت لمخزن Microarchitectural (MSBDS))

  • CVE-2018-12127 (أخذ عينات بيانات منفذ التحميل Microarchitectural (MLPDS))

  • CVE-2018-12130 (أخذ عينات بيانات المخزن المؤقت للتعبئة الدقيقة (MFBDS))

يغطي ADV220002 الاستشارية الثغرات الأمنية الإضافية Memory-Mapped الإدخال/الإخراج (MMIO):

  • CVE-2022-21123 | قراءة بيانات المخزن المؤقت المشترك (SBDR)

  • CVE-2022-21125 | أخذ عينات بيانات المخزن المؤقت المشترك (SBDS)

  • CVE-2022-21127 | تحديث أخذ عينات بيانات المخزن المؤقت للتسجيل الخاص (تحديث SRBDS)

  • CVE-2022-21166 | تسجيل الجهاز الكتابة الجزئية (DRPW)

توفر هذه المقالة تفاصيل حول البرنامج النصي SpeculationControl PowerShell الذي يساعد في تحديد حالة عوامل التخفيف من المخاطر ل CVEs المدرجة التي تتطلب إعدادات تسجيل إضافية، وفي بعض الحالات، تحديثات البرامج الثابتة.

مزيد من المعلومات

برنامج نصي ل SpeculationControl PowerShell

قم بتثبيت وتشغيل البرنامج النصي SpeculationControl باستخدام إحدى الطرق التالية.

الطريقة 1: التحقق من PowerShell باستخدام معرض PowerShell (Windows Server 2016 أو WMF 5.0/5.1)

تثبيت وحدة PowerShell النمطية

PS> Install-Module SpeculationControl

قم بتشغيل الوحدة النمطية SpeculationControl PowerShell للتحقق من تمكين الحماية

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

الطريقة 2: التحقق من PowerShell باستخدام تنزيل من TechNet (إصدارات نظام التشغيل السابقة/إصدارات WMF السابقة)

تثبيت وحدة PowerShell النمطية من TechNet ScriptCenter

  1. انتقل إلى https://aka.ms/SpeculationControlPS.

  2. قم بتنزيل SpeculationControl.zip إلى مجلد محلي.

  3. استخراج المحتويات إلى مجلد محلي، على سبيل المثال C:\ADV180002

تشغيل وحدة PowerShell للتحقق من تمكين الحماية

ابدأ تشغيل PowerShell، ثم (باستخدام المثال أعلاه) انسخ الأوامر التالية وقم بتشغيلها:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

إخراج البرنامج النصي PowerShell

سيكون إخراج البرنامج النصي SpeculationControl PowerShell مشابها للإخراج التالي. تظهر الحماية الممكنة في الإخراج على أنها "True".

PS C:\> Get-SpeculationControlSettings

إعدادات التحكم في التكهنات ل CVE-2017-5715 [حقن هدف الفرع]

دعم الأجهزة للتخفيف من حقن هدف الفرع موجود: False دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع موجود: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع: False تم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بواسطة نهج النظام: True يتم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بسبب عدم وجود دعم للأجهزة: True

إعدادات التحكم في التكهنات ل CVE-2017-5754 [تحميل ذاكرة التخزين المؤقت للبيانات المخادعة]

الأجهزة عرضة لتحميل ذاكرة التخزين المؤقت للبيانات المخادعة: True دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة موجود: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة: True يتطلب الجهاز تظليل kernel VA: True دعم نظام التشغيل Windows لظل kernel VA موجود: False يتم تمكين دعم نظام التشغيل Windows لظل kernel VA: False تم تمكين دعم نظام التشغيل Windows لتحسين PCID: False إعدادات التحكم في المضاربة ل CVE-2018-3639 [تجاوز المخزن التخميني]

الأجهزة عرضة لتجاوز المتجر التخميني: صحيح دعم الأجهزة للتخفيف من تجاوز المخزن التخميني موجود: False دعم نظام التشغيل Windows للتخفيف من تجاوز المخزن التخميني موجود: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من تجاوز المخزن التخميني على مستوى النظام: خطأ

إعدادات التحكم في التكهنات ل CVE-2018-3620 [خطأ طرفي L1]

الأجهزة عرضة لخطأ L1 terminal: True دعم نظام التشغيل Windows للتخفيف من الأخطاء الطرفية L1 موجود: True تم تمكين دعم نظام التشغيل Windows للتخفيف من أخطاء المحطة الطرفية L1: True

إعدادات التحكم في المضاربة ل MDS [أخذ عينات بيانات microarchitectural]

دعم نظام التشغيل Windows للتخفيف من مخاطر MDS موجود: True الأجهزة عرضة ل MDS: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر MDS: True

إعدادات التحكم في التكهنات ل SBDR [قراءة بيانات المخازن المؤقتة المشتركة] 

دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR موجود: True الأجهزة عرضة ل SBDR: True تم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR: True 

إعدادات التحكم في التكهنات ل FBSDP [نشر البيانات القديمة للمخزن المؤقت] دعم نظام التشغيل Windows للتخفيف من FBSDP موجود: True الأجهزة عرضة ل FBSDP: True يتم تمكين دعم نظام التشغيل Windows للتخفيف من FBSDP: True 

إعدادات التحكم في التكهنات ل PSDP [نشر البيانات الأساسية القديمة]

دعم نظام التشغيل Windows للتخفيف من PSDP موجود: True الأجهزة عرضة ل PSDP: True تم تمكين دعم نظام التشغيل Windows للتخفيف من PSDP: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

شرح إخراج البرنامج النصي SpeculationControl PowerShell

تعين شبكة الإخراج النهائية إلى إخراج الأسطر السابقة. يظهر هذا لأن PowerShell يطبع الكائن الذي يتم إرجاعه بواسطة دالة. يشرح الجدول التالي كل سطر في إخراج البرنامج النصي PowerShell.

الاخراج

تفسير

إعدادات التحكم في التكهنات ل CVE-2017-5715 [حقن هدف الفرع]

يوفر هذا القسم حالة النظام للمتغير 2، CVE-2017-5715، حقن هدف الفرع.

دعم الأجهزة للتخفيف من حقن هدف الفرع موجود

تعيين إلى BTIHardwarePresent. يخبرك هذا السطر ما إذا كانت ميزات الأجهزة موجودة لدعم تخفيف حقن هدف الفرع. الشركة المصنعة للمعدات الأصلية للجهاز مسؤولة عن توفير BIOS/البرنامج الثابت المحدث الذي يحتوي على الرمز الصغير الذي توفره الشركات المصنعة لوحدة المعالجة المركزية. إذا كان هذا السطر صحيحا، فإن ميزات الأجهزة المطلوبة موجودة. إذا كان السطر خطأ، فلن تكون ميزات الأجهزة المطلوبة موجودة. لذلك، لا يمكن تمكين التخفيف من حقن هدف الفرع.

‏ملاحظة سيكون BTIHardwarePresent صحيحا في الأجهزة الظاهرية الضيف إذا تم تطبيق تحديث الشركة المصنعة للمعدات الأصلية على المضيف وتم اتباع الإرشادات.

دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع موجود

تعيين إلى BTIWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام التشغيل Windows موجودا للتخفيف من حقن هدف الفرع. إذا كان صحيحا، يدعم نظام التشغيل تمكين تخفيف حقن هدف الفرع (وبالتالي قام بتثبيت تحديث يناير 2018). إذا كان خطأ، فلن يتم تثبيت تحديث يناير 2018 على الجهاز، ولا يمكن تمكين التخفيف من حقن هدف الفرع.

‏ملاحظة إذا لم يتمكن جهاز ظاهري ضيف من اكتشاف تحديث الأجهزة المضيفة، فسيكون BTIWindowsSupportEnabled دائما False.

تم تمكين دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع

تعيين إلى BTIWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان دعم نظام التشغيل Windows ممكنا للتخفيف من حقن هدف الفرع. إذا كان صحيحا، يتم تمكين دعم الأجهزة ودعم نظام التشغيل للتخفيف من حقن هدف الفرع للجهاز، وبالتالي الحماية من CVE-2017-5715. إذا كان خطأ، فإن أحد الشروط التالية صحيح:

  • دعم الأجهزة غير موجود.

  • دعم نظام التشغيل غير موجود.

  • يتم تعطيل التخفيف من المخاطر بواسطة نهج النظام.

تم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بواسطة نهج النظام

تعيين إلى BTIDisabledBySystemPolicy. يخبرك هذا السطر ما إذا كان تخفيف حقن هدف الفرع معطلا بواسطة نهج النظام (مثل نهج معرف من قبل المسؤول). يشير نهج النظام إلى عناصر تحكم التسجيل كما هو موثق في KB4072698. إذا كان صحيحا، فإن نهج النظام مسؤول عن تعطيل التخفيف. إذا كان خطأ، يتم تعطيل التخفيف بسبب مختلف.

يتم تعطيل دعم نظام التشغيل Windows للتخفيف من حقن هدف الفرع بسبب عدم وجود دعم للأجهزة

تعيين إلى BTIDisabledByNoHardwareSupport. يخبرك هذا السطر ما إذا كان تخفيف حقن هدف الفرع معطلا بسبب عدم وجود دعم للأجهزة. إذا كان صحيحا، فإن عدم وجود دعم للأجهزة مسؤول عن تعطيل التخفيف. إذا كان خطأ، يتم تعطيل التخفيف بسبب مختلف.

ملاحظهإذا لم يتمكن جهاز ظاهري ضيف من الكشف عن تحديث الأجهزة المضيفة، فسيكون BTIDisabledByNoHardwareSupport دائما True.

إعدادات التحكم في التكهنات ل CVE-2017-5754 [تحميل ذاكرة التخزين المؤقت للبيانات المخادعة]

يوفر هذا القسم حالة النظام الموجزة للمتغير 3، CVE-2017-5754، تحميل ذاكرة التخزين المؤقت للبيانات المارقة. يعرف التخفيف من المخاطر لهذا باسم ظل عنوان kernel الظاهري (VA) أو التخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المارقة.

الأجهزة عرضة لتحميل ذاكرة التخزين المؤقت للبيانات المخادعة

تعيين إلى RdclHardwareProtected. يخبرك هذا السطر ما إذا كان الجهاز عرضة ل CVE-2017-5754. إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2017-5754. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة ل CVE-2017-5754.

دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة موجود

تعيين إلى KVAShadowWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows لميزة ظل kernel VA موجودا.

يتم تمكين دعم نظام التشغيل Windows للتخفيف من تحميل ذاكرة التخزين المؤقت للبيانات المخادعة

تعيين إلى KVAShadowWindowsSupportEnabled. يخبرك هذا السطر ما إذا كانت ميزة ظل kernel VA ممكنة. إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2017-5754، ودعم نظام تشغيل Windows موجود، ويتم تمكين الميزة.

يتطلب الجهاز تظليل kernel VA

تعيين إلى KVAShadowRequired. يخبرك هذا السطر ما إذا كان نظامك يتطلب تظليل kernel VA للتخفيف من الثغرة الأمنية.

دعم نظام التشغيل Windows لظل kernel VA موجود

تعيين إلى KVAShadowWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows لميزة ظل kernel VA موجودا. إذا كان صحيحا، يتم تثبيت تحديث يناير 2018 على الجهاز، ويتم دعم ظل kernel VA. إذا كان False، فلن يتم تثبيت تحديث يناير 2018، ولا يوجد دعم ظل kernel VA.

تم تمكين دعم نظام التشغيل Windows لظل kernel VA

تعيين إلى KVAShadowWindowsSupportEnabled. يخبرك هذا السطر ما إذا كانت ميزة ظل kernel VA ممكنة. إذا كان صحيحا، يكون دعم نظام التشغيل Windows موجودا، ويتم تمكين الميزة. يتم حاليا تمكين ميزة ظل Kernel VA بشكل افتراضي على إصدارات العميل من Windows ويتم تعطيلها افتراضيا على إصدارات Windows Server. إذا كان خطأ، إما أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين الميزة.

تم تمكين دعم نظام التشغيل Windows لتحسين أداء PCID

ملاحظهPCID غير مطلوب للأمان. يشير فقط إلى ما إذا تم تمكين تحسين الأداء. PCID غير مدعوم مع Windows Server 2008 R2

تعيين إلى KVAShadowPcidEnabled. يخبرك هذا السطر ما إذا كان قد تم تمكين تحسين أداء إضافي لظل kernel VA. إذا كان صحيحا، يتم تمكين ظل kernel VA، ودعم الأجهزة ل PCID موجود، ويتم تمكين تحسين PCID لظل kernel VA. إذا كان خطأ، فقد لا يدعم الجهاز أو نظام التشغيل PCID. إنها ليست نقطة ضعف أمنية لعدم تمكين تحسين PCID.

دعم نظام التشغيل Windows لتعطيل تجاوز مخزن Speculative موجود

تعيين إلى SSBDWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows لتعطيل تجاوز مخزن Speculative موجودا. إذا كان صحيحا، يتم تثبيت تحديث يناير 2018 على الجهاز، ويتم دعم ظل kernel VA. إذا كان False، فلن يتم تثبيت تحديث يناير 2018، ولا يوجد دعم ظل kernel VA.

يتطلب الجهاز تعطيل تجاوز مخزن المضاربة

تعيين إلى SSBDHardwareVulnerablePresent. يخبرك هذا السطر ما إذا كان الجهاز عرضة ل CVE-2018-3639. إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2018-3639. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة ل CVE-2018-3639.

دعم الأجهزة لتعطيل تجاوز مخزن Speculative موجود

تعيين إلى SSBDHardwarePresent. يخبرك هذا السطر ما إذا كانت ميزات الأجهزة موجودة لدعم تعطيل تجاوز مخزن Speculative. الشركة المصنعة للمعدات الأصلية للجهاز مسؤولة عن توفير BIOS/البرنامج الثابت المحدث الذي يحتوي على الرمز الصغير الذي توفره Intel. إذا كان هذا السطر صحيحا، فإن ميزات الأجهزة المطلوبة موجودة. إذا كان السطر خطأ، فلن تكون ميزات الأجهزة المطلوبة موجودة. لذلك، لا يمكن تشغيل تعطيل تجاوز مخزن المضاربة.

ملاحظه سيكون SSBDHardwarePresent صحيحا في الأجهزة الظاهرية الضيف إذا تم تطبيق تحديث الشركة المصنعة للمعدات الأصلية على المضيف.

دعم نظام التشغيل Windows لتعطيل تجاوز مخزن Speculative قيد التشغيل

تعيين إلى SSBDWindowsSupportEnabledSystemWide. يخبرك هذا السطر ما إذا كان تم تشغيل تعطيل تجاوز مخزن Speculative في نظام التشغيل Windows. إذا كان صحيحا، فإن دعم الأجهزة ودعم نظام التشغيل لتعطيل تجاوز مخزن Speculative قيد التشغيل للجهاز الذي يمنع حدوث تجاوز مخزن Speculative، وبالتالي القضاء على مخاطر الأمان تماما. إذا كان خطأ، فإن أحد الشروط التالية صحيح:

إعدادات التحكم في التكهنات ل CVE-2018-3620 [خطأ طرفي L1]

يوفر هذا القسم حالة النظام الموجزة ل L1TF (نظام التشغيل) المشار إليه بواسطة CVE-2018-3620. يضمن التخفيف هذا استخدام بتات إطار الصفحة الآمنة لإدخالات جدول الصفحة غير الموجودة أو غير الصالحة.

‏ملاحظة لا يوفر هذا القسم ملخصا لحالة التخفيف ل L1TF (VMM) المشار إليها بواسطة CVE-2018-3646.

الأجهزة عرضة لخطأ L1 terminal: True

تعيين إلى L1TFHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لخطأ L1 Terminal (L1TF، CVE-2018-3620). إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2018-3620. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة ل CVE-2018-3620.

دعم نظام التشغيل Windows للتخفيف من الأخطاء الطرفية L1 موجود: True

تعيين إلى L1TFWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من أخطاء الوحدة الطرفية L1 (L1TF) موجودا. إذا كان صحيحا، يتم تثبيت تحديث أغسطس 2018 على الجهاز، ويتواجد التخفيف من المخاطر ل CVE-2018-3620 . إذا كان خطأ، فلن يتم تثبيت تحديث أغسطس 2018، ولن يكون التخفيف من المخاطر ل CVE-2018-3620 موجودا.

تم تمكين دعم نظام التشغيل Windows للتخفيف من أخطاء المحطة الطرفية L1: True

تعيين إلى L1TFWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان قد تم تمكين تخفيف نظام تشغيل Windows ل L1 Terminal Fault (L1TF، CVE-2018-3620). إذا كان صحيحا، فمن المعتقد أن الأجهزة عرضة ل CVE-2018-3620، ودعم نظام تشغيل Windows للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف.

إعدادات التحكم في التكهنات ل MDS [أخذ عينات بيانات Microarchitectural]

يوفر هذا القسم حالة النظام لمجموعة MDS من الثغرات الأمنية، CVE-2018-11091، CVE-2018-12126، CVE-2018-12127، CVE-2018-12130، وDV220002.

دعم نظام التشغيل Windows للتخفيف من مخاطر MDS موجود

تعيين إلى MDSWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من نظام التشغيل Microarchitectural Data Sampling (MDS) موجودا. إذا كان صحيحا، يتم تثبيت تحديث مايو 2019 على الجهاز، ويتواجد التخفيف من المخاطر ل MDS. إذا كان خطأ، فلن يتم تثبيت تحديث مايو 2019، ولن يكون التخفيف من المخاطر ل MDS موجودا.

الأجهزة عرضة ل MDS

تعيين إلى MDSHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة عينات البيانات الدقيقة (MDS) من الثغرات الأمنية (CVE-2018-11091، CVE-2018-12126، CVE-2018-12127، CVE-2018-12139). إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر.

تم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر MDS

تعيين إلى MDSWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان تخفيف نظام التشغيل Windows لأخذ عينات البيانات Microarchitectural (MDS) ممكنا. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بثغرات MDS الأمنية، ودعم نظام تشغيل Windows للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف.

دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR موجود

تعيين إلى FBClearWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من مخاطر نظام تشغيل SBDR موجودا. إذا كان صحيحا، يتم تثبيت تحديث يونيو 2022 على الجهاز، ويتواجد التخفيف من المخاطر ل SBDR. إذا كان خطأ، فلن يتم تثبيت تحديث يونيو 2022، ولا يوجد تخفيف ل SBDR.

الأجهزة عرضة ل SBDR

تعيين إلى SBDRSSDPHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة SBDR [قراءة بيانات المخازن المؤقتة المشتركة] من الثغرات الأمنية (CVE-2022-21123). إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر.

تم تمكين دعم نظام التشغيل Windows للتخفيف من مخاطر SBDR

تعيين إلى FBClearWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان تخفيف نظام التشغيل Windows ل SBDR [قراءة بيانات المخازن المؤقتة المشتركة] ممكنا. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بثغرات SBDR الأمنية، ودعم تشغيل النوافذ للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف.

دعم نظام التشغيل Windows للتخفيف من FBSDP موجود

تعيين إلى FBClearWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام تشغيل Windows للتخفيف من نظام التشغيل FBSDP موجودا. إذا كان صحيحا، يتم تثبيت تحديث يونيو 2022 على الجهاز، ويتواجد التخفيف من المخاطر ل FBSDP. إذا كان خطأ، فلن يتم تثبيت تحديث يونيو 2022، ولا يوجد التخفيف من المخاطر ل FBSDP.

الأجهزة عرضة ل FBSDP

تعيين إلى FBSDPHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة FBSDP [تعبئة نشر البيانات القديمة للمخزن المؤقت] من الثغرات الأمنية (CVE-2022-21125وCVE-2022-21127وCVE-2022-21166). إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر.

تم تمكين دعم نظام التشغيل Windows للتخفيف من FBSDP

تعيين إلى FBClearWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان قد تم تمكين تخفيف نظام التشغيل Windows ل FBSDP [نشر البيانات القديمة للمخزن المؤقت للتعبئة]. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بثغرات FBSDP الأمنية، ودعم تشغيل Windows للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف.

دعم نظام التشغيل Windows للتخفيف من PSDP موجود

تعيين إلى FBClearWindowsSupportPresent. يخبرك هذا السطر ما إذا كان دعم نظام التشغيل Windows للتخفيف من مخاطر نظام التشغيل PSDP موجودا. إذا كان صحيحا، يتم تثبيت تحديث يونيو 2022 على الجهاز، ويتواجد التخفيف من المخاطر ل PSDP. إذا كان خطأ، فلن يتم تثبيت تحديث يونيو 2022، ولن يكون التخفيف من المخاطر ل PSDP موجودا.

الأجهزة عرضة ل PSDP

تعيين إلى PSDPHardwareVulnerable. يخبرك هذا السطر ما إذا كان الجهاز عرضة لمجموعة PSDP [نشر البيانات الأساسية القديمة] من الثغرات الأمنية. إذا كان صحيحا، فمن المعتقد أن الأجهزة تتأثر بهذه الثغرات الأمنية. إذا كان خطأ، فمن المعروف أن الأجهزة ليست عرضة للخطر.

تم تمكين دعم نظام التشغيل Windows للتخفيف من PSDP

تعيين إلى FBClearWindowsSupportEnabled. يخبرك هذا السطر ما إذا كان تخفيف نظام التشغيل Windows ل PSDP [نشر البيانات الأساسية القديمة] ممكنا. إذا كان صحيحا، يعتقد أن الأجهزة تتأثر بثغرات PSDP الأمنية، ودعم تشغيل النوافذ للتخفيف من المخاطر موجود، ويتم تمكين التخفيف. إذا كان خطأ، إما أن الجهاز غير عرضة للخطر، أو أن دعم نظام التشغيل Windows غير موجود، أو لم يتم تمكين التخفيف.

الإخراج الذي تم تمكين جميع عوامل تخفيف المخاطر فيه

من المتوقع أن يكون الإخراج التالي لجهاز تم تمكين جميع عوامل التخفيف فيه، جنبا إلى جنب مع ما هو ضروري لتلبية كل شرط.

BTIHardwarePresent: True -> OEM BIOS/تحديث البرنامج الثابت المطبق BTIWindowsSupportPresent: تم تثبيت تحديث True -> يناير 2018 BTIWindowsSupportEnabled: True -> على العميل، لا يلزم اتخاذ أي إجراء. على الخادم، اتبع الإرشادات.BTIDisabledBySystemPolicy: False -> تأكد من عدم تعطيلها بواسطة النهج.BTIDisabledByNoHardwareSupport: False -> تأكد من تطبيق تحديث OEM BIOS/البرنامج الثابت.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: صواب أو خطأ -> أي إجراء، هذه دالة لوحدة المعالجة المركزية التي يستخدمها الكمبيوتر إذا كان KVAShadowRequired صحيحا KVAShadowWindowsSupportPresent: True -> تثبيت تحديث يناير 2018 KVAShadowWindowsSupportEnabled: True -> على العميل، لا يلزم اتخاذ أي إجراء. على الخادم، اتبع الإرشادات.KVAShadowPcidEnabled: صواب أو خطأ -> أي إجراء، هذه دالة لوحدة المعالجة المركزية التي يستخدمها الكمبيوتر

إذا كان SSBDHardwareVulnerablePresent صحيحا SSBDWindowsSupportPresent: True -> تثبيت تحديثات Windows كما هو موثق في ADV180012 SSBDHardwarePresent: True -> تثبيت تحديث BIOS/البرنامج الثابت مع دعم SSBD من الشركة المصنعة للمعدات الأصلية لجهازك SSBDWindowsSupportEnabledSystemWide: True -> اتبع الإجراءات الموصى بها لتشغيل SSBD

إذا كان L1TFHardwareVulnerable صحيحا L1TFWindowsSupportPresent: True -> تثبيت تحديثات Windows كما هو موثق في ADV180018 L1TFWindowsSupportEnabled: True -> اتبع الإجراءات الموضحة في ADV180018 ل Windows Server أو العميل حسب الاقتضاء لتمكين التخفيف من المخاطر L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> تثبيت تحديث يونيو 2022 MDSHardwareVulnerable: من المعروف أن الأجهزة false -> ليست عرضة للخطر MDSWindowsSupportEnabled: تم تمكين التخفيف من المخاطر > الحقيقي لأخذ عينات البيانات الدقيقة (MDS) FBClearWindowsSupportPresent: True -> تثبيت تحديث يونيو 2022 SBDRSSDPHardwareVulnerable: يعتقد أن الأجهزة true -> تتأثر بهذه الثغرات الأمنية FBSDPHardwareVulnerable: يعتقد أن الأجهزة true -> تتأثر بهذه الثغرات الأمنية PSDPHardwareVulnerable: يعتقد أن الأجهزة true -> تتأثر بهذه الثغرات الأمنية FBClearWindowsSupportEnabled: True -> يمثل تمكين التخفيف ل SBDR/FBSDP/PSDP. تأكد من تحديث OEM BIOS/البرنامج الثابت، وFBClearWindowsSupportPresent هو True، وتمكين التخفيف كما هو موضح في ADV220002 وKVAShadowWindowsSupportEnabled هو True.

التسجيل

يعين الجدول التالي الإخراج إلى مفاتيح التسجيل المغطاة في KB4072698: إرشادات Windows Server وAzure Stack HCI للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ الجزئي والمضارب المستند إلى السيليكون.

مفتاح التسجيل

تعيين

FeatureSettingsOverride – Bit 0

Maps to - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

الخرائط إلى - تحميل ذاكرة التخزين المؤقت للبيانات المحتالة - VAShadowWindowsSupportEnabled

مراجع

نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.