KB4074629: Разбиране на спекулациятаКонтрол за изход от скрипт на PowerShell

Метод 1: Проверка на PowerShell с помощта на галерията на PowerShell (Windows Server 2016 или WMF 5.0/5.1)

Инсталиране на модула на PowerShell

PS> Install-Module SpeculationControl

Изпълнете модула на PowerShell SpeculationControl, за да проверите дали защитите са разрешени

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Метод 2: Проверка на PowerShell с помощта на изтегляне от TechNet (по-стари версии на ОС/по-стари WMF версии)

Инсталиране на модула на PowerShell от TechNet ScriptCenter

1. Отидете на https://aka.ms/SpeculationControlPS.

2. Изтеглете SpeculationControl.zip в локална папка.

3. Извличане на съдържанието в локална папка, например C:\ADV180002

Изпълнете модула на PowerShell, за да проверите дали защитата е разрешена

Стартирайте PowerShell и след това (като използвате примера по-горе) копирайте и изпълнете следните команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Изход

Обяснение

Настройки за спекулативни контроли за CVE-2017-5715 [branch target injection]

Този раздел предоставя състоянието на системата за вариант 2, CVE-2017-5715, branch target injection.

Налична е хардуерна поддръжка за намаляване на целевото разклонение

Карти на BTIHardwarePresent. Тази линия ви показва дали има хардуерни функции за поддръжка на ограничаването на целевото включване на клона. OEM на устройството е отговорен за предоставяне на актуализиран BIOS/фърмуер, който съдържа микрокода, предоставен от производителите на ЦП. Ако този ред е True, са налични необходимите хардуерни функции. Ако линията е False, необходимите хардуерни функции не са налични. Затова разклонение цел включване смекчаване не може да бъде разрешена.

Забележка BTIHardwarePresent ще бъде True във виртуални машини гости, ако актуализацията на OEM се прилага към хоста и се следват указания.

Поддръжка на операционната система Windows за намаляване на целевото разклонение е налична

Карти към BTIWindowsSupportPresent. Този ред ви показва дали поддръжката на операционната система Windows е налична за намаляването на целевото включване на клон. Ако е True, операционната система поддържа разрешаване на смекчаването на целевото разклонение (и следователно е инсталирала актуализацията от януари 2018 г.). Ако е False, актуализацията от януари 2018 г. не е инсталирана на устройството и не може да бъде разрешено смекчаването на целевото включване на клон.

Забележка Ако гост VM не може да открие актуализацията на хардуера на хоста, BTIWindowsSupportEnabled винаги ще бъде False.

Поддръжката на ОС на Windows за смекчаване на целевото разклонение е разрешена

Карти на BTIWindowsSupportEnabled. Този ред ви казва дали поддръжката на операционната система Windows е разрешена за смекчаването на целевото разклонение. Ако е True, поддръжката на хардуера и поддръжката на ОС за целевото смекчаване на разклонената инжекция са активирани за устройството, като по този начин се защитава срещу CVE-2017-5715. Ако е False, едно от следните условия е вярно:

• Хардуерната поддръжка не е налична.

• Поддръжката на ОС не е налична.

• Смекчаването е забранено от системните правила.

Поддръжката на ОС на Windows за намаляване на целевото разклонение е забранена от системните правила

Карти на BTIDisabledBySystemPolicy. Този ред ви уведомява, ако смекчаването на целевото разклонение е забранено от системните правила (като например дефинирани от администратора правила). Системните правила се отнасят за контролите на системния регистър, както е документирано в KB4072698. Ако е True, системните правила са отговорни за забраняването на смекчаването. Ако е False, смекчаването е забранено от друга причина.

Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена поради липса на поддръжка на хардуера

Карти на BTIDisabledByNoHardwareSupport. Тази линия ви показва дали намаляването на целевото включване на клон е забранено поради липса на поддръжка на хардуера. Ако е Вярно, липсата на хардуерна поддръжка е отговорна за забраняването на смекчаването. Ако е False, смекчаването е забранено от друга причина.

ЗабележкаАко гост VM не може да открие актуализацията на хардуера на хоста, BTIDisabledByNoHardwareSupport винаги ще бъде True.

Настройки за управление на спекулациите за CVE-2017-5754 [rogue data cache load]

Този раздел предоставя резюмиране на състоянието на системата за зареждане на неправоносен кеш за данни от вариант 3, CVE-2017-5754. Смекчаването за това е известно като сянка на виртуален адрес на ядрото (VA) или скрито смекчаване на натоварването на кеша за данни.

Хардуерът е уязвим за неясно зареждане на кеша за данни

Maps to RdclHardwareProtected. Тази линия ви показва дали хардуерът е уязвим за CVE-2017-5754. Ако е True, хардуерът се смята за уязвим за CVE-2017-5754. Ако е False, за хардуера е известно, че не е уязвим за CVE-2017-5754.

Поддръжка на ос Windows за намаляване на натоварването на нелоялни данни в кеша е налична

Карти на KVAShadowWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за функцията за сянка на VA на ядрото.

Поддръжката на ос Windows за намаляване на натоварването на нелоялни данни в кеша е разрешена

Карти на KVAShadowWindowsSupportEnabled. Този ред ви показва дали функцията за сенки на VA на ядрото е разрешена. Ако е True, смята се, че хардуерът е уязвим за CVE-2017-5754, поддръжката на операционната система Windows е налична и функцията е разрешена.

Хардуерът изисква сенки на VA на ядрото

"Карти" към KVAShadow Задължително. Този ред ви показва дали вашата система изисква сенки за VA на ядрото, за да се смекчи уязвимостта.

Поддръжка на ОС Windows за сянка на VA на ядрото е налична

Карти на KVAShadowWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за функцията за сянка на VA на ядрото. Ако е True, актуализацията от януари 2018 г. е инсталирана на устройството и се поддържа сянка на VA на ядрото. Ако е False, актуализацията от януари 2018 г. не е инсталирана и поддръжката на сенки за VA на ядрото не съществува.

Поддръжката на ос Windows за сянка на VA на ядрото е разрешена

Карти на KVAShadowWindowsSupportEnabled. Този ред ви показва дали функцията за сенки на VA на ядрото е разрешена. Ако е True, поддръжката на операционната система Windows е налична и функцията е разрешена. Функцията за сянка на VA на ядрото в момента е разрешена по подразбиране в клиентските версии на Windows и е забранена по подразбиране във версии на Windows Server. Ако е False, или операционната система Windows не е налична, или функцията не е разрешена.

Поддръжката на ОС Windows за оптимизиране на производителността на PCID е разрешена

ЗабележкаНе се изисква PCID за защита. Това показва само дали е разрешено подобрение на производителността. PCID не се поддържа с Windows Server 2008 R2

Карти на KVAShadowPcidEnabled. Този ред ви показва дали е разрешено допълнително оптимизиране на производителността за сянка на VA на ядрото. Ако е True, сянката на VA на ядрото е разрешена, налична е хардуерна поддръжка за PCID и е разрешена оптимизация на PCID за VA сянка на ядрото. Ако е False, хардуерът или операционната система може да не поддържат PCID. Това не е слабост в защитата за PCID оптимизация да не бъде активиран.

Поддръжка на ОС Windows за спекулативно заобикаляне на магазина е налице

Карти на SSBDWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за спекулативно заобикаляне на store. Ако е True, актуализацията от януари 2018 г. е инсталирана на устройството и се поддържа сянка на VA на ядрото. Ако е False, актуализацията от януари 2018 г. не е инсталирана и поддръжката на сенки за VA на ядрото не съществува.

Хардуерът изисква спекулативно заобикаляне на магазина забраняване

Карти на SSBDHardwareVulnerablePresent. Тази линия ви показва дали хардуерът е уязвим за CVE-2018-3639. Ако е True, хардуерът се смята за уязвим за CVE-2018-3639. Ако е False, за хардуера е известно, че не е уязвим за CVE-2018-3639.

Присъства поддръжка на хардуера за спекулативно заобикаляне на магазина

Карти на SSBDHardwarePresent. Тази линия ви показва дали хардуерните функции са налични, за да поддържат спекулативно заобикаляне на магазина Забраняване. OEM на устройството е отговорен за предоставянето на актуализиран BIOS/фърмуер, който съдържа микрокода, предоставен от Intel. Ако този ред е True, са налични необходимите хардуерни функции. Ако линията е False, необходимите хардуерни функции не са налични. Следователно спекулативно заобикаляне на магазина не може да бъде включено.

Забележка SSBDHardwarePresent ще бъде True в гостуващи виртуални машини, ако актуализацията на OEM се приложи към хоста.

Поддръжката на ОС Windows за спекулативно заобикаляне на магазина е включена

Карти на SSBDWindowsSupportEnabledSystemWide. Този ред ви показва дали спекулативното заобикаляне на магазина е включено в операционната система Windows. Ако е True, поддръжката на хардуера и поддръжката на ОПЕРАЦИОННАТА система за спекулативно заобикаляне на Store е включена за устройството, което предотвратява възникването на спекулативно заобикаляне на Магазина, като по този начин се елиминира напълно рискът за защитата. Ако е False, едно от следните условия е вярно:

• Хардуерната поддръжка не е налична.

• Поддръжката на ОС не е налична.

• Забраняването на спекулативно заобикаляне на магазина не е разрешено чрез ключове от системния регистър. Вижте следните статии за инструкции как да ги разрешите:

  • KB4073119: Указания за клиенти на Windows за ИТ професионалисти за защита срещу микроархитектурни и спекулативни уязвимости в страничните канали при изпълнение

  • KB4072698: Указания за Windows Server и Azure Stack HCI за защита срещу базирани на силициеви микроархитектурни и спекулативни уязвимости в страничните канали при изпълнение

Настройки за спекулативни контроли за CVE-2018-3620 [L1 терминал грешка]

Този раздел предоставя резюме на състоянието на системата за L1TF (операционна система), към която се обръща CVE-2018-3620. Това смекчаване гарантира, че безопасните битове за рамка на страница се използват за неналичен или невалиден запис в таблица на страница.

Забележка Този раздел не предоставя резюме на състоянието на смекчаване за L1TF (VMM), посочено от CVE-2018-3646.

Хардуерът е уязвим на терминална грешка L1: True

Карти на L1TFHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за терминална грешка L1 (L1TF, CVE-2018-3620). Ако е True, хардуерът се смята за уязвим за CVE-2018-3620. Ако е False, за хардуера е известно, че не е уязвим за CVE-2018-3620.

Поддръжка на ОС Windows за намаляване на грешката на терминал L1 е налична: True

Карти на L1TFWindowsSupportPresent. Този ред ви показва дали има поддръжка на операционната система Windows за намаляването на операционната система L1 Terminal Fault (L1TF). Ако е True, актуализацията от август 2018 г. е инсталирана на устройството и има смекчаване за CVE-2018-3620 . Ако е False, актуализацията от август 2018 г. не е инсталирана и смекчаването за CVE-2018-3620 не е налично.

Поддръжката на ОС Windows за намаляване на грешката на терминал L1 е разрешена: True

Карти към L1TFWindowsSupportEnabled. Този ред ви показва дали намаляването на операционната система Windows за L1 Terminal Fault (L1TF, CVE-2018-3620) е разрешено. Ако е True, смята се, че хардуерът е уязвим за CVE-2018-3620, поддръжката на операционната система Windows за смекчаването е налична и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Настройки за контрол на спекулациите за MDS [Извадка за микроархитектурни данни]

Този раздел предоставя състоянието на системата за MDS набор от уязвимости, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 и ADV220002.

Налична е поддръжка на ОС Windows за смекчаване на MDS

Карти на MDSWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за намаляването на извадката за микроархитектурни данни (MDS) на операционната система е налице. Ако е True, актуализацията от май 2019 г. е инсталирана на устройството и има смекчаване за MDS. Ако е False, актуализацията от май 2019 г. не е инсталирана и смекчаването за MDS не е наличен.

Хардуерът е уязвим за MDS

Карти на MDSHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за набор от уязвимости в извадка за микроархитектурни данни (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжката на ос Windows за смекчаване на MDS е разрешена

Карти на MDSWindowsSupportEnabled. Този ред ви казва дали намаляването на операционната система Windows за извадка за микроархитектурни данни (MDS) е разрешено. Ако е True, хардуерът се смята, че е засегнат от уязвимостите на MDS, поддръжката на операционната система Windows за смекчаването е налична и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Поддръжка на ос Windows за SBDR смекчаване е налична

Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за намаляването на операционната система SBDR е налична. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за SBDR. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаването за SBDR не е налично.

Хардуерът е уязвим за SBDR

Карти към SBDRSSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за SBDR [споделени буфери, четене на данни] набор от уязвимости (CVE-2022-21123). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжката на ОС на Windows за SBDR смекчаване е разрешена

Карти към FBClearWindowsSupportEnabled. Този ред ви казва дали намаляването на операционната система Windows за SBDR [четене на данни за споделени буфери] е разрешено. Ако е True, смята се, че хардуерът е засегнат от уязвимостите в SBDR, присъства операционната поддръжка на Windows за смекчаването и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Поддръжка на ос Windows за FBSDP смекчаване е налична

Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за смекчаването на операционната система FBSDP е налице. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за FBSDP. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаване за FBSDP не е налична.

Хардуерът е уязвим към FBSDP

Карти на FBSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за FBSDP [програма за разпространение на остарели данни на буфера на запълване] набор от уязвимости (CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжка на ос Windows за FBSDP смекчаване е разрешена

Карти към FBClearWindowsSupportEnabled. Този ред ви казва дали е разрешено смекчаването на операционната система Windows за FBSDP [размножител на остарели данни на буфера на буфера]. Ако е True, смята се, че хардуерът е засегнат от уязвимостите на FBSDP, е налице операционната поддръжка на Windows за смекчаването на последствията и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е налична

Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за смекчаването на операционната система PSDP е налице. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за PSDP. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаване за PSDP не е наличен.

Хардуерът е уязвим за PSDP

Карти на PSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за набор от уязвимости в PSDP [първичен разпространение на остарели данни]. Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжката на ОС Windows за PSDP смекчаване е разрешена

Карти към FBClearWindowsSupportEnabled. Този ред ви показва дали е разрешено смекчаването на операционната система Windows за PSDP [основен разпространение на остарели данни]. Ако е True, смята се, че хардуерът е засегнат от уязвимостите в PSDP, присъства операционната поддръжка на Windows за смекчаването и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Ключ от системния регистър

Картографиране

FeatureSettingsOverride – бит 0

Maps to – Branch target Injection – BTIWindowsSupportEnabled

FeatureSettingsOverride – бит 1

Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled