Applies ToWindows 11 Windows 10

Промяна на датата

Описание на промяната

17 юли 2023 г.

Добавен MMIO и конкретни описания на изходните стойности в раздела "Изход, който има всички смекчавания разрешено"

Резюме

За да ви помогнем да проверите състоянието на предпазните мерки за страничен канал при спекулативно изпълнение, публикувахме скрипт на PowerShell (SpeculationControl), който може да се изпълнява на вашите устройства. Тази статия обяснява как да изпълните скрипта SpeculationControl и какво означава резултатът.

Съветите за сигурността ADV180002, ADV180012, ADV180018 и ADV190013 покриват следните девет уязвимости:

  • CVE-2017-5715 (branch target injection)

  • CVE-2017-5753 (границите проверка заобикаляне)

    Забележка Защитата за CVE-2017-5753 (проверка на границите) не изисква допълнителни настройки на системния регистър или актуализации на фърмуера.  

  • CVE-2017-5754 (неясно зареждане на кеша за данни)

  • CVE-2018-3639 (спекулативно заобикаляне на магазина)

  • CVE-2018-3620 (L1 терминална грешка – ОС)

  • CVE-2018-11091 (Микроархитектурни данни за вземане на некачетируема памет (MDSUM))

  • CVE-2018-12126 (Извадка за данни на буфера за микроархитектурно хранилище (MSBDS))

  • CVE-2018-12127 (Извадка за данни за порт за микроархитектурно натоварване (MLPDS))

  • CVE-2018-12130 (Извадка за данни на микроархитектурен буфер за запълване (MFBDS))

Advisory ADV220002 обхваща допълнителни уязвимости, свързани с в/и (MMIO) Memory-Mapped:

  • CVE-2022-21123 | Четене на данни за споделен буфер (SBDR)

  • CVE-2022-21125 | Извадка от данни за споделен буфер (SBDS)

  • CVE-2022-21127 | Актуализация за вземане на извадки за буферни данни на специален регистър (актуализация на SRBDS)

  • CVE-2022-21166 | Частично записване в регистъра на устройствата (DRPW)

Тази статия предоставя подробности за скрипта на PowerShell SpeculationControl, който помага да се определи състоянието на смекчаванията на последствията за изброените CVEs, които изискват допълнителни настройки на системния регистър, а в някои случаи и актуализации на фърмуера.

Още информация

Скрипт на PowerShell в SpeculationControl

Инсталирайте и изпълнете скрипта SpeculationControl, като използвате един от следните методи.

Метод 1: Проверка на PowerShell с помощта на галерията на PowerShell (Windows Server 2016 или WMF 5.0/5.1)

Инсталиране на модула на PowerShell

PS> Install-Module SpeculationControl

Изпълнете модула на PowerShell SpeculationControl, за да проверите дали защитите са разрешени

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Метод 2: Проверка на PowerShell с помощта на изтегляне от TechNet (по-стари версии на ОС/по-стари WMF версии)

Инсталиране на модула на PowerShell от TechNet ScriptCenter

  1. Отидете на https://aka.ms/SpeculationControlPS.

  2. Изтеглете SpeculationControl.zip в локална папка.

  3. Извличане на съдържанието в локална папка, например C:\ADV180002

Изпълнете модула на PowerShell, за да проверите дали защитата е разрешена

Стартирайте PowerShell и след това (като използвате примера по-горе) копирайте и изпълнете следните команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Резултат от скрипт на PowerShell

Резултатът от скрипта на PowerShell SpeculationControl ще прилича на следния резултат. Разрешените защити се показват в резултата като "True".

PS C:\> Get-SpeculationControlSettings

Настройки за спекулативни контроли за CVE-2017-5715 [branch target injection]

Налична е хардуерна поддръжка за намаляване на целевото включване на клон: False Поддръжка на операционната система Windows за намаляване на целевото разклонение е налична: True Поддръжката на ОС на Windows за смекчаване на целевото разклонение е разрешена: False Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена от системните правила: True Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена от липсата на поддръжка на хардуера: True

Настройки за управление на спекулациите за CVE-2017-5754 [rogue data cache load]

Хардуерът е уязвим за невярно зареждане на кеша за данни: True Поддръжка на ОПЕРАЦИОННАТА система Windows за невярно намаляване на натоварването на кеша за данни е налична: True Поддръжката на ОС Windows за намаляване на натоварването на нелоялни данни в кеша е разрешена: True Хардуерът изисква сенки на VA на ядрото: True Поддръжка на ос Windows за сянка на VA на ядрото е налична: False Поддръжката на ОС на Windows за сянка на VA на ядрото е разрешена: False Поддръжката на ОС Windows за оптимизиране на PCID е разрешена: False Настройки за спекулативен контрол за CVE-2018-3639 [спекулативно заобикаляне на магазина]

Хардуерът е уязвим за спекулативно заобикаляне на магазина: Вярно Присъства хардуерна поддръжка за спекулативно заобикаляне на заобикаляне на магазина: False Поддръжката на ОС Windows за спекулативно заобикаляне на заобикаляне на магазина е налична: True Поддръжката на ос Windows за спекулативно заобикаляне на заобикаляне на магазина е разрешена за цялата система: False

Настройки за спекулативни контроли за CVE-2018-3620 [L1 терминал грешка]

Хардуерът е уязвим на терминална грешка L1: True Поддръжка на ОС Windows за намаляване на грешката на терминал L1 е налична: True Поддръжката на ОС Windows за намаляване на грешката на терминал L1 е разрешена: True

Настройки за контрол на спекулациите за MDS [извадка за микроархитектурни данни]

Поддръжка на операционната система Windows за MDS смекчаване е налична: True Хардуерът е уязвим за MDS: True Поддръжката на ос Windows за смекчаване на MDS е разрешена: True

Настройки за управление на спекулациите за SBDR [четене на данни за споделени буфери] 

Поддръжка на ос Windows за SBDR смекчаване е налична: True Хардуерът е уязвим за SBDR: True Поддръжката на ОС на Windows за SBDR смекчаване е разрешена: True 

Настройки за контрол на спекулациите за FBSDP [размножител на остарели данни на буфера на запълване] Поддръжка на ос Windows за FBSDP смекчаване е налична: True Хардуерът е уязвим за FBSDP: True Поддръжка на ос Windows за FBSDP смекчаване е разрешена: True 

Настройки за спекулативни контроли за PSDP [първичен разпространител на остарели данни]

Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е налична: True Хардуерът е уязвим за PSDP: True Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е разрешена: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: Вярно KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: Невярно L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Обяснение на резултата от скрипта на PowerShell SpeculationControl

Крайната изходна мрежа се съпоставя с резултата от предишните редове. Това се появява, защото PowerShell отпечатва обекта, върнат от функция. Следващата таблица обяснява всеки ред в резултата от скрипта на PowerShell.

Изход

Обяснение

Настройки за спекулативни контроли за CVE-2017-5715 [branch target injection]

Този раздел предоставя състоянието на системата за вариант 2, CVE-2017-5715, branch target injection.

Налична е хардуерна поддръжка за намаляване на целевото разклонение

Карти на BTIHardwarePresent. Тази линия ви показва дали има хардуерни функции за поддръжка на ограничаването на целевото включване на клона. OEM на устройството е отговорен за предоставяне на актуализиран BIOS/фърмуер, който съдържа микрокода, предоставен от производителите на ЦП. Ако този ред е True, са налични необходимите хардуерни функции. Ако линията е False, необходимите хардуерни функции не са налични. Затова разклонение цел включване смекчаване не може да бъде разрешена.

Забележка BTIHardwarePresent ще бъде True във виртуални машини гости, ако актуализацията на OEM се прилага към хоста и се следват указания.

Поддръжка на операционната система Windows за намаляване на целевото разклонение е налична

Карти към BTIWindowsSupportPresent. Този ред ви показва дали поддръжката на операционната система Windows е налична за намаляването на целевото включване на клон. Ако е True, операционната система поддържа разрешаване на смекчаването на целевото разклонение (и следователно е инсталирала актуализацията от януари 2018 г.). Ако е False, актуализацията от януари 2018 г. не е инсталирана на устройството и не може да бъде разрешено смекчаването на целевото включване на клон.

Забележка Ако гост VM не може да открие актуализацията на хардуера на хоста, BTIWindowsSupportEnabled винаги ще бъде False.

Поддръжката на ОС на Windows за смекчаване на целевото разклонение е разрешена

Карти на BTIWindowsSupportEnabled. Този ред ви казва дали поддръжката на операционната система Windows е разрешена за смекчаването на целевото разклонение. Ако е True, поддръжката на хардуера и поддръжката на ОС за целевото смекчаване на разклонената инжекция са активирани за устройството, като по този начин се защитава срещу CVE-2017-5715. Ако е False, едно от следните условия е вярно:

  • Хардуерната поддръжка не е налична.

  • Поддръжката на ОС не е налична.

  • Смекчаването е забранено от системните правила.

Поддръжката на ОС на Windows за намаляване на целевото разклонение е забранена от системните правила

Карти на BTIDisabledBySystemPolicy. Този ред ви уведомява, ако смекчаването на целевото разклонение е забранено от системните правила (като например дефинирани от администратора правила). Системните правила се отнасят за контролите на системния регистър, както е документирано в KB4072698. Ако е True, системните правила са отговорни за забраняването на смекчаването. Ако е False, смекчаването е забранено от друга причина.

Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена поради липса на поддръжка на хардуера

Карти на BTIDisabledByNoHardwareSupport. Тази линия ви показва дали намаляването на целевото включване на клон е забранено поради липса на поддръжка на хардуера. Ако е Вярно, липсата на хардуерна поддръжка е отговорна за забраняването на смекчаването. Ако е False, смекчаването е забранено от друга причина.

ЗабележкаАко гост VM не може да открие актуализацията на хардуера на хоста, BTIDisabledByNoHardwareSupport винаги ще бъде True.

Настройки за управление на спекулациите за CVE-2017-5754 [rogue data cache load]

Този раздел предоставя резюмиране на състоянието на системата за зареждане на неправоносен кеш за данни от вариант 3, CVE-2017-5754. Смекчаването за това е известно като сянка на виртуален адрес на ядрото (VA) или скрито смекчаване на натоварването на кеша за данни.

Хардуерът е уязвим за неясно зареждане на кеша за данни

Maps to RdclHardwareProtected. Тази линия ви показва дали хардуерът е уязвим за CVE-2017-5754. Ако е True, хардуерът се смята за уязвим за CVE-2017-5754. Ако е False, за хардуера е известно, че не е уязвим за CVE-2017-5754.

Поддръжка на ос Windows за намаляване на натоварването на нелоялни данни в кеша е налична

Карти на KVAShadowWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за функцията за сянка на VA на ядрото.

Поддръжката на ос Windows за намаляване на натоварването на нелоялни данни в кеша е разрешена

Карти на KVAShadowWindowsSupportEnabled. Този ред ви показва дали функцията за сенки на VA на ядрото е разрешена. Ако е True, смята се, че хардуерът е уязвим за CVE-2017-5754, поддръжката на операционната система Windows е налична и функцията е разрешена.

Хардуерът изисква сенки на VA на ядрото

"Карти" към KVAShadow Задължително. Този ред ви показва дали вашата система изисква сенки за VA на ядрото, за да се смекчи уязвимостта.

Поддръжка на ОС Windows за сянка на VA на ядрото е налична

Карти на KVAShadowWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за функцията за сянка на VA на ядрото. Ако е True, актуализацията от януари 2018 г. е инсталирана на устройството и се поддържа сянка на VA на ядрото. Ако е False, актуализацията от януари 2018 г. не е инсталирана и поддръжката на сенки за VA на ядрото не съществува.

Поддръжката на ос Windows за сянка на VA на ядрото е разрешена

Карти на KVAShadowWindowsSupportEnabled. Този ред ви показва дали функцията за сенки на VA на ядрото е разрешена. Ако е True, поддръжката на операционната система Windows е налична и функцията е разрешена. Функцията за сянка на VA на ядрото в момента е разрешена по подразбиране в клиентските версии на Windows и е забранена по подразбиране във версии на Windows Server. Ако е False, или операционната система Windows не е налична, или функцията не е разрешена.

Поддръжката на ОС Windows за оптимизиране на производителността на PCID е разрешена

ЗабележкаНе се изисква PCID за защита. Това показва само дали е разрешено подобрение на производителността. PCID не се поддържа с Windows Server 2008 R2

Карти на KVAShadowPcidEnabled. Този ред ви показва дали е разрешено допълнително оптимизиране на производителността за сянка на VA на ядрото. Ако е True, сянката на VA на ядрото е разрешена, налична е хардуерна поддръжка за PCID и е разрешена оптимизация на PCID за VA сянка на ядрото. Ако е False, хардуерът или операционната система може да не поддържат PCID. Това не е слабост в защитата за PCID оптимизация да не бъде активиран.

Поддръжка на ОС Windows за спекулативно заобикаляне на магазина е налице

Карти на SSBDWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за спекулативно заобикаляне на store. Ако е True, актуализацията от януари 2018 г. е инсталирана на устройството и се поддържа сянка на VA на ядрото. Ако е False, актуализацията от януари 2018 г. не е инсталирана и поддръжката на сенки за VA на ядрото не съществува.

Хардуерът изисква спекулативно заобикаляне на магазина забраняване

Карти на SSBDHardwareVulnerablePresent. Тази линия ви показва дали хардуерът е уязвим за CVE-2018-3639. Ако е True, хардуерът се смята за уязвим за CVE-2018-3639. Ако е False, за хардуера е известно, че не е уязвим за CVE-2018-3639.

Присъства поддръжка на хардуера за спекулативно заобикаляне на магазина

Карти на SSBDHardwarePresent. Тази линия ви показва дали хардуерните функции са налични, за да поддържат спекулативно заобикаляне на магазина Забраняване. OEM на устройството е отговорен за предоставянето на актуализиран BIOS/фърмуер, който съдържа микрокода, предоставен от Intel. Ако този ред е True, са налични необходимите хардуерни функции. Ако линията е False, необходимите хардуерни функции не са налични. Следователно спекулативно заобикаляне на магазина не може да бъде включено.

Забележка SSBDHardwarePresent ще бъде True в гостуващи виртуални машини, ако актуализацията на OEM се приложи към хоста.

Поддръжката на ОС Windows за спекулативно заобикаляне на магазина е включена

Карти на SSBDWindowsSupportEnabledSystemWide. Този ред ви показва дали спекулативното заобикаляне на магазина е включено в операционната система Windows. Ако е True, поддръжката на хардуера и поддръжката на ОПЕРАЦИОННАТА система за спекулативно заобикаляне на Store е включена за устройството, което предотвратява възникването на спекулативно заобикаляне на Магазина, като по този начин се елиминира напълно рискът за защитата. Ако е False, едно от следните условия е вярно:

Настройки за спекулативни контроли за CVE-2018-3620 [L1 терминал грешка]

Този раздел предоставя резюме на състоянието на системата за L1TF (операционна система), към която се обръща CVE-2018-3620. Това смекчаване гарантира, че безопасните битове за рамка на страница се използват за неналичен или невалиден запис в таблица на страница.

Забележка Този раздел не предоставя резюме на състоянието на смекчаване за L1TF (VMM), посочено от CVE-2018-3646.

Хардуерът е уязвим на терминална грешка L1: True

Карти на L1TFHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за терминална грешка L1 (L1TF, CVE-2018-3620). Ако е True, хардуерът се смята за уязвим за CVE-2018-3620. Ако е False, за хардуера е известно, че не е уязвим за CVE-2018-3620.

Поддръжка на ОС Windows за намаляване на грешката на терминал L1 е налична: True

Карти на L1TFWindowsSupportPresent. Този ред ви показва дали има поддръжка на операционната система Windows за намаляването на операционната система L1 Terminal Fault (L1TF). Ако е True, актуализацията от август 2018 г. е инсталирана на устройството и има смекчаване за CVE-2018-3620 . Ако е False, актуализацията от август 2018 г. не е инсталирана и смекчаването за CVE-2018-3620 не е налично.

Поддръжката на ОС Windows за намаляване на грешката на терминал L1 е разрешена: True

Карти към L1TFWindowsSupportEnabled. Този ред ви показва дали намаляването на операционната система Windows за L1 Terminal Fault (L1TF, CVE-2018-3620) е разрешено. Ако е True, смята се, че хардуерът е уязвим за CVE-2018-3620, поддръжката на операционната система Windows за смекчаването е налична и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Настройки за контрол на спекулациите за MDS [Извадка за микроархитектурни данни]

Този раздел предоставя състоянието на системата за MDS набор от уязвимости, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 и ADV220002.

Налична е поддръжка на ОС Windows за смекчаване на MDS

Карти на MDSWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за намаляването на извадката за микроархитектурни данни (MDS) на операционната система е налице. Ако е True, актуализацията от май 2019 г. е инсталирана на устройството и има смекчаване за MDS. Ако е False, актуализацията от май 2019 г. не е инсталирана и смекчаването за MDS не е наличен.

Хардуерът е уязвим за MDS

Карти на MDSHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за набор от уязвимости в извадка за микроархитектурни данни (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжката на ос Windows за смекчаване на MDS е разрешена

Карти на MDSWindowsSupportEnabled. Този ред ви казва дали намаляването на операционната система Windows за извадка за микроархитектурни данни (MDS) е разрешено. Ако е True, хардуерът се смята, че е засегнат от уязвимостите на MDS, поддръжката на операционната система Windows за смекчаването е налична и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Поддръжка на ос Windows за SBDR смекчаване е налична

Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за намаляването на операционната система SBDR е налична. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за SBDR. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаването за SBDR не е налично.

Хардуерът е уязвим за SBDR

Карти към SBDRSSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за SBDR [споделени буфери, четене на данни] набор от уязвимости (CVE-2022-21123). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжката на ОС на Windows за SBDR смекчаване е разрешена

Карти към FBClearWindowsSupportEnabled. Този ред ви казва дали намаляването на операционната система Windows за SBDR [четене на данни за споделени буфери] е разрешено. Ако е True, смята се, че хардуерът е засегнат от уязвимостите в SBDR, присъства операционната поддръжка на Windows за смекчаването и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Поддръжка на ос Windows за FBSDP смекчаване е налична

Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за смекчаването на операционната система FBSDP е налице. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за FBSDP. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаване за FBSDP не е налична.

Хардуерът е уязвим към FBSDP

Карти на FBSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за FBSDP [програма за разпространение на остарели данни на буфера на запълване] набор от уязвимости (CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжка на ос Windows за FBSDP смекчаване е разрешена

Карти към FBClearWindowsSupportEnabled. Този ред ви казва дали е разрешено смекчаването на операционната система Windows за FBSDP [размножител на остарели данни на буфера на буфера]. Ако е True, смята се, че хардуерът е засегнат от уязвимостите на FBSDP, е налице операционната поддръжка на Windows за смекчаването на последствията и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е налична

Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за смекчаването на операционната система PSDP е налице. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за PSDP. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаване за PSDP не е наличен.

Хардуерът е уязвим за PSDP

Карти на PSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за набор от уязвимости в PSDP [първичен разпространение на остарели данни]. Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим.

Поддръжката на ОС Windows за PSDP смекчаване е разрешена

Карти към FBClearWindowsSupportEnabled. Този ред ви показва дали е разрешено смекчаването на операционната система Windows за PSDP [основен разпространение на остарели данни]. Ако е True, смята се, че хардуерът е засегнат от уязвимостите в PSDP, присъства операционната поддръжка на Windows за смекчаването и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено.

Резултат, който има разрешени всички смекчавания

Следният резултат се очаква за устройство, което има разрешени всички смекчавания, както и какво е необходимо, за да удовлетворява всяко условие.

BTIHardwarePresent: Приложена актуализация true -> OEM BIOS/фърмуер BTIWindowsSupportPresent: True – > инсталирана актуализация от януари 2018 г. BTIWindowsSupportEnabled: True - > на клиента, не се изисква действие. На сървъра следвайте указанията.BTIDisabledBySystemPolicy: False – > гарантират, че не са забранени от правилата.BTIDisabledByNoHardwareSupport: False – > се гарантира, че е приложена актуализация на OEM BIOS/фърмуера.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True или False - > няма действие, това е функция на процесора, използван от компютъра Ако KVAShadowRequired е True KVAShadowWindowsSupportPresent: True – > инсталиране на актуализацията от януари 2018 г. KVAShadowWindowsSupportEnabled: True - > на клиента, не се изисква действие. На сървъра следвайте указанията.KVAShadowPcidEnabled: True или False – > няма действие, това е функция на процесора, използван от компютъра

Ако SSBDHardwareVulnerablePresent е true SSBDWindowsSupportPresent: True – > инсталирате актуализациите на Windows, както е документирано в ADV180012 SSBDHardwarePresent: True -> инсталирате актуализацията на BIOS/фърмуера с поддръжка за SSBD от вашето устройство OEM SSBDWindowsSupportEnabledSystemWide: True - > следвайте препоръчителните действия , за да включите SSBD

Ако L1TFHardwareVulnerable е True L1TFWindowsSupportPresent: True – > инсталирате актуализациите на Windows, както е документирано в ADV180018 L1TFWindowsSupportEnabled: True - > следвайте действията, описани в ADV180018 за Windows Server или клиент, според случая, за да разрешите смекчаването L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True – > инсталиране на актуализацията от юни 2022 г. MDSHardwareVulnerable: False -> хардуер е известно, че не е уязвим MDSWindowsSupportEnabled: True -> смекчаването за извадка за микроархитектурни данни (MDS) е разрешено FBClearWindowsSupportPresent: True – > инсталиране на актуализацията от юни 2022 г. SBDRSSDPHardwareVulnerable: Смята се, че хардуерът True -> е засегнат от тези уязвимости FBSDPHardwareVulnerable: True -> хардуер се смята, че е засегнат от тези уязвимости PSDPHardwareVulnerable: Смята се, че хардуерът True -> е засегнат от тези уязвимости FBClearWindowsSupportEnabled: True -> представлява разрешаване на смекчаването за SBDR/FBSDP/PSDP. Уверете се, че BIOS/фърмуерът на OEM е актуализиран, FBClearWindowsSupportPresent е True, предпазните мерки са разрешени, както е описано в ADV220002 и KVAShadowWindowsSupportEnabled е Вярно.

Регистратура

Следващата таблица съпоставя резултата с ключовете от системния регистър, които са обхванати в KB4072698: Указания за Windows Server и Azure Stack HCI за защита срещу базирани на силициеви микроархитектурни и спекулативни уязвимости в страничните канали при изпълнение.

Ключ от системния регистър

Картографиране

FeatureSettingsOverride – бит 0

Maps to – Branch target Injection – BTIWindowsSupportEnabled

FeatureSettingsOverride – бит 1

Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled

Справочни материали

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.