Промяна на датата |
Описание на промяната |
---|---|
17 юли 2023 г. |
Добавен MMIO и конкретни описания на изходните стойности в раздела "Изход, който има всички смекчавания разрешено" |
Резюме
За да ви помогнем да проверите състоянието на предпазните мерки за страничен канал при спекулативно изпълнение, публикувахме скрипт на PowerShell (SpeculationControl), който може да се изпълнява на вашите устройства. Тази статия обяснява как да изпълните скрипта SpeculationControl и какво означава резултатът.
Съветите за сигурността ADV180002, ADV180012, ADV180018 и ADV190013 покриват следните девет уязвимости:
-
CVE-2017-5715 (branch target injection)
-
CVE-2017-5753 (границите проверка заобикаляне)
Забележка Защитата за CVE-2017-5753 (проверка на границите) не изисква допълнителни настройки на системния регистър или актуализации на фърмуера.
-
CVE-2017-5754 (неясно зареждане на кеша за данни)
-
CVE-2018-3639 (спекулативно заобикаляне на магазина)
-
CVE-2018-3620 (L1 терминална грешка – ОС)
-
CVE-2018-11091 (Микроархитектурни данни за вземане на некачетируема памет (MDSUM))
-
CVE-2018-12126 (Извадка за данни на буфера за микроархитектурно хранилище (MSBDS))
-
CVE-2018-12127 (Извадка за данни за порт за микроархитектурно натоварване (MLPDS))
-
CVE-2018-12130 (Извадка за данни на микроархитектурен буфер за запълване (MFBDS))
Advisory ADV220002 обхваща допълнителни уязвимости, свързани с в/и (MMIO) Memory-Mapped:
-
CVE-2022-21123 | Четене на данни за споделен буфер (SBDR)
-
CVE-2022-21125 | Извадка от данни за споделен буфер (SBDS)
-
CVE-2022-21127 | Актуализация за вземане на извадки за буферни данни на специален регистър (актуализация на SRBDS)
-
CVE-2022-21166 | Частично записване в регистъра на устройствата (DRPW)
Тази статия предоставя подробности за скрипта на PowerShell SpeculationControl, който помага да се определи състоянието на смекчаванията на последствията за изброените CVEs, които изискват допълнителни настройки на системния регистър, а в някои случаи и актуализации на фърмуера.
Още информация
Скрипт на PowerShell в SpeculationControl
Инсталирайте и изпълнете скрипта SpeculationControl, като използвате един от следните методи.
Метод 1: Проверка на PowerShell с помощта на галерията на PowerShell (Windows Server 2016 или WMF 5.0/5.1) |
Инсталиране на модула на PowerShell PS> Install-Module SpeculationControl Изпълнете модула на PowerShell SpeculationControl, за да проверите дали защитите са разрешени PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Метод 2: Проверка на PowerShell с помощта на изтегляне от TechNet (по-стари версии на ОС/по-стари WMF версии) |
Инсталиране на модула на PowerShell от TechNet ScriptCenter
Изпълнете модула на PowerShell, за да проверите дали защитата е разрешена Стартирайте PowerShell и след това (като използвате примера по-горе) копирайте и изпълнете следните команди: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Резултат от скрипт на PowerShell
Резултатът от скрипта на PowerShell SpeculationControl ще прилича на следния резултат. Разрешените защити се показват в резултата като "True".
PS C:\> Get-SpeculationControlSettings
Настройки за спекулативни контроли за CVE-2017-5715 [branch target injection]
Налична е хардуерна поддръжка за намаляване на целевото включване на клон: False
Поддръжка на операционната система Windows за намаляване на целевото разклонение е налична: True Поддръжката на ОС на Windows за смекчаване на целевото разклонение е разрешена: False Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена от системните правила: True Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена от липсата на поддръжка на хардуера: TrueНастройки за управление на спекулациите за CVE-2017-5754 [rogue data cache load]
Хардуерът е уязвим за невярно зареждане на кеша за данни: True
Поддръжка на ОПЕРАЦИОННАТА система Windows за невярно намаляване на натоварването на кеша за данни е налична: True Поддръжката на ОС Windows за намаляване на натоварването на нелоялни данни в кеша е разрешена: True Хардуерът изисква сенки на VA на ядрото: True Поддръжка на ос Windows за сянка на VA на ядрото е налична: False Поддръжката на ОС на Windows за сянка на VA на ядрото е разрешена: False Поддръжката на ОС Windows за оптимизиране на PCID е разрешена: False Настройки за спекулативен контрол за CVE-2018-3639 [спекулативно заобикаляне на магазина]Хардуерът е уязвим за спекулативно заобикаляне на магазина: Вярно
Присъства хардуерна поддръжка за спекулативно заобикаляне на заобикаляне на магазина: False Поддръжката на ОС Windows за спекулативно заобикаляне на заобикаляне на магазина е налична: True Поддръжката на ос Windows за спекулативно заобикаляне на заобикаляне на магазина е разрешена за цялата система: FalseНастройки за спекулативни контроли за CVE-2018-3620 [L1 терминал грешка]
Хардуерът е уязвим на терминална грешка L1: True
Поддръжка на ОС Windows за намаляване на грешката на терминал L1 е налична: True Поддръжката на ОС Windows за намаляване на грешката на терминал L1 е разрешена: TrueНастройки за контрол на спекулациите за MDS [извадка за микроархитектурни данни]
Поддръжка на операционната система Windows за MDS смекчаване е налична: True
Хардуерът е уязвим за MDS: True Поддръжката на ос Windows за смекчаване на MDS е разрешена: TrueНастройки за управление на спекулациите за SBDR [четене на данни за споделени буфери]
Поддръжка на ос Windows за SBDR смекчаване е налична: True
Хардуерът е уязвим за SBDR: True Поддръжката на ОС на Windows за SBDR смекчаване е разрешена: TrueНастройки за контрол на спекулациите за FBSDP [размножител на остарели данни на буфера на запълване]
Поддръжка на ос Windows за FBSDP смекчаване е налична: True Хардуерът е уязвим за FBSDP: True Поддръжка на ос Windows за FBSDP смекчаване е разрешена: TrueНастройки за спекулативни контроли за PSDP [първичен разпространител на остарели данни]
Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е налична: True
Хардуерът е уязвим за PSDP: True Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е разрешена: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: Вярно KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: Невярно L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueОбяснение на резултата от скрипта на PowerShell SpeculationControl
Крайната изходна мрежа се съпоставя с резултата от предишните редове. Това се появява, защото PowerShell отпечатва обекта, върнат от функция. Следващата таблица обяснява всеки ред в резултата от скрипта на PowerShell.
Изход |
Обяснение |
Настройки за спекулативни контроли за CVE-2017-5715 [branch target injection] |
Този раздел предоставя състоянието на системата за вариант 2, CVE-2017-5715, branch target injection. |
Налична е хардуерна поддръжка за намаляване на целевото разклонение |
Карти на BTIHardwarePresent. Тази линия ви показва дали има хардуерни функции за поддръжка на ограничаването на целевото включване на клона. OEM на устройството е отговорен за предоставяне на актуализиран BIOS/фърмуер, който съдържа микрокода, предоставен от производителите на ЦП. Ако този ред е True, са налични необходимите хардуерни функции. Ако линията е False, необходимите хардуерни функции не са налични. Затова разклонение цел включване смекчаване не може да бъде разрешена. Забележка BTIHardwarePresent ще бъде True във виртуални машини гости, ако актуализацията на OEM се прилага към хоста и се следват указания. |
Поддръжка на операционната система Windows за намаляване на целевото разклонение е налична |
Карти към BTIWindowsSupportPresent. Този ред ви показва дали поддръжката на операционната система Windows е налична за намаляването на целевото включване на клон. Ако е True, операционната система поддържа разрешаване на смекчаването на целевото разклонение (и следователно е инсталирала актуализацията от януари 2018 г.). Ако е False, актуализацията от януари 2018 г. не е инсталирана на устройството и не може да бъде разрешено смекчаването на целевото включване на клон. Забележка Ако гост VM не може да открие актуализацията на хардуера на хоста, BTIWindowsSupportEnabled винаги ще бъде False. |
Поддръжката на ОС на Windows за смекчаване на целевото разклонение е разрешена |
Карти на BTIWindowsSupportEnabled. Този ред ви казва дали поддръжката на операционната система Windows е разрешена за смекчаването на целевото разклонение. Ако е True, поддръжката на хардуера и поддръжката на ОС за целевото смекчаване на разклонената инжекция са активирани за устройството, като по този начин се защитава срещу CVE-2017-5715. Ако е False, едно от следните условия е вярно:
|
Поддръжката на ОС на Windows за намаляване на целевото разклонение е забранена от системните правила |
Карти на BTIDisabledBySystemPolicy. Този ред ви уведомява, ако смекчаването на целевото разклонение е забранено от системните правила (като например дефинирани от администратора правила). Системните правила се отнасят за контролите на системния регистър, както е документирано в KB4072698. Ако е True, системните правила са отговорни за забраняването на смекчаването. Ако е False, смекчаването е забранено от друга причина. |
Поддръжката на ОС на Windows за смекчаване на целевото разклонение е забранена поради липса на поддръжка на хардуера |
Карти на BTIDisabledByNoHardwareSupport. Тази линия ви показва дали намаляването на целевото включване на клон е забранено поради липса на поддръжка на хардуера. Ако е Вярно, липсата на хардуерна поддръжка е отговорна за забраняването на смекчаването. Ако е False, смекчаването е забранено от друга причина. ЗабележкаАко гост VM не може да открие актуализацията на хардуера на хоста, BTIDisabledByNoHardwareSupport винаги ще бъде True. |
Настройки за управление на спекулациите за CVE-2017-5754 [rogue data cache load] |
Този раздел предоставя резюмиране на състоянието на системата за зареждане на неправоносен кеш за данни от вариант 3, CVE-2017-5754. Смекчаването за това е известно като сянка на виртуален адрес на ядрото (VA) или скрито смекчаване на натоварването на кеша за данни. |
Хардуерът е уязвим за неясно зареждане на кеша за данни |
Maps to RdclHardwareProtected. Тази линия ви показва дали хардуерът е уязвим за CVE-2017-5754. Ако е True, хардуерът се смята за уязвим за CVE-2017-5754. Ако е False, за хардуера е известно, че не е уязвим за CVE-2017-5754. |
Поддръжка на ос Windows за намаляване на натоварването на нелоялни данни в кеша е налична |
Карти на KVAShadowWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за функцията за сянка на VA на ядрото. |
Поддръжката на ос Windows за намаляване на натоварването на нелоялни данни в кеша е разрешена |
Карти на KVAShadowWindowsSupportEnabled. Този ред ви показва дали функцията за сенки на VA на ядрото е разрешена. Ако е True, смята се, че хардуерът е уязвим за CVE-2017-5754, поддръжката на операционната система Windows е налична и функцията е разрешена. |
Хардуерът изисква сенки на VA на ядрото |
"Карти" към KVAShadow Задължително. Този ред ви показва дали вашата система изисква сенки за VA на ядрото, за да се смекчи уязвимостта. |
Поддръжка на ОС Windows за сянка на VA на ядрото е налична |
Карти на KVAShadowWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за функцията за сянка на VA на ядрото. Ако е True, актуализацията от януари 2018 г. е инсталирана на устройството и се поддържа сянка на VA на ядрото. Ако е False, актуализацията от януари 2018 г. не е инсталирана и поддръжката на сенки за VA на ядрото не съществува. |
Поддръжката на ос Windows за сянка на VA на ядрото е разрешена |
Карти на KVAShadowWindowsSupportEnabled. Този ред ви показва дали функцията за сенки на VA на ядрото е разрешена. Ако е True, поддръжката на операционната система Windows е налична и функцията е разрешена. Функцията за сянка на VA на ядрото в момента е разрешена по подразбиране в клиентските версии на Windows и е забранена по подразбиране във версии на Windows Server. Ако е False, или операционната система Windows не е налична, или функцията не е разрешена. |
Поддръжката на ОС Windows за оптимизиране на производителността на PCID е разрешена ЗабележкаНе се изисква PCID за защита. Това показва само дали е разрешено подобрение на производителността. PCID не се поддържа с Windows Server 2008 R2 |
Карти на KVAShadowPcidEnabled. Този ред ви показва дали е разрешено допълнително оптимизиране на производителността за сянка на VA на ядрото. Ако е True, сянката на VA на ядрото е разрешена, налична е хардуерна поддръжка за PCID и е разрешена оптимизация на PCID за VA сянка на ядрото. Ако е False, хардуерът или операционната система може да не поддържат PCID. Това не е слабост в защитата за PCID оптимизация да не бъде активиран. |
Поддръжка на ОС Windows за спекулативно заобикаляне на магазина е налице |
Карти на SSBDWindowsSupportPresent. Този ред ви показва дали е налична поддръжка на операционната система Windows за спекулативно заобикаляне на store. Ако е True, актуализацията от януари 2018 г. е инсталирана на устройството и се поддържа сянка на VA на ядрото. Ако е False, актуализацията от януари 2018 г. не е инсталирана и поддръжката на сенки за VA на ядрото не съществува. |
Хардуерът изисква спекулативно заобикаляне на магазина забраняване |
Карти на SSBDHardwareVulnerablePresent. Тази линия ви показва дали хардуерът е уязвим за CVE-2018-3639. Ако е True, хардуерът се смята за уязвим за CVE-2018-3639. Ако е False, за хардуера е известно, че не е уязвим за CVE-2018-3639. |
Присъства поддръжка на хардуера за спекулативно заобикаляне на магазина |
Карти на SSBDHardwarePresent. Тази линия ви показва дали хардуерните функции са налични, за да поддържат спекулативно заобикаляне на магазина Забраняване. OEM на устройството е отговорен за предоставянето на актуализиран BIOS/фърмуер, който съдържа микрокода, предоставен от Intel. Ако този ред е True, са налични необходимите хардуерни функции. Ако линията е False, необходимите хардуерни функции не са налични. Следователно спекулативно заобикаляне на магазина не може да бъде включено. Забележка SSBDHardwarePresent ще бъде True в гостуващи виртуални машини, ако актуализацията на OEM се приложи към хоста. |
Поддръжката на ОС Windows за спекулативно заобикаляне на магазина е включена |
Карти на SSBDWindowsSupportEnabledSystemWide. Този ред ви показва дали спекулативното заобикаляне на магазина е включено в операционната система Windows. Ако е True, поддръжката на хардуера и поддръжката на ОПЕРАЦИОННАТА система за спекулативно заобикаляне на Store е включена за устройството, което предотвратява възникването на спекулативно заобикаляне на Магазина, като по този начин се елиминира напълно рискът за защитата. Ако е False, едно от следните условия е вярно:
|
Настройки за спекулативни контроли за CVE-2018-3620 [L1 терминал грешка] |
Този раздел предоставя резюме на състоянието на системата за L1TF (операционна система), към която се обръща CVE-2018-3620. Това смекчаване гарантира, че безопасните битове за рамка на страница се използват за неналичен или невалиден запис в таблица на страница. Забележка Този раздел не предоставя резюме на състоянието на смекчаване за L1TF (VMM), посочено от CVE-2018-3646. |
Хардуерът е уязвим на терминална грешка L1: True |
Карти на L1TFHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за терминална грешка L1 (L1TF, CVE-2018-3620). Ако е True, хардуерът се смята за уязвим за CVE-2018-3620. Ако е False, за хардуера е известно, че не е уязвим за CVE-2018-3620. |
Поддръжка на ОС Windows за намаляване на грешката на терминал L1 е налична: True |
Карти на L1TFWindowsSupportPresent. Този ред ви показва дали има поддръжка на операционната система Windows за намаляването на операционната система L1 Terminal Fault (L1TF). Ако е True, актуализацията от август 2018 г. е инсталирана на устройството и има смекчаване за CVE-2018-3620 . Ако е False, актуализацията от август 2018 г. не е инсталирана и смекчаването за CVE-2018-3620 не е налично. |
Поддръжката на ОС Windows за намаляване на грешката на терминал L1 е разрешена: True |
Карти към L1TFWindowsSupportEnabled. Този ред ви показва дали намаляването на операционната система Windows за L1 Terminal Fault (L1TF, CVE-2018-3620) е разрешено. Ако е True, смята се, че хардуерът е уязвим за CVE-2018-3620, поддръжката на операционната система Windows за смекчаването е налична и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено. |
Настройки за контрол на спекулациите за MDS [Извадка за микроархитектурни данни] |
Този раздел предоставя състоянието на системата за MDS набор от уязвимости, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 и ADV220002. |
Налична е поддръжка на ОС Windows за смекчаване на MDS |
Карти на MDSWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за намаляването на извадката за микроархитектурни данни (MDS) на операционната система е налице. Ако е True, актуализацията от май 2019 г. е инсталирана на устройството и има смекчаване за MDS. Ако е False, актуализацията от май 2019 г. не е инсталирана и смекчаването за MDS не е наличен. |
Хардуерът е уязвим за MDS |
Карти на MDSHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за набор от уязвимости в извадка за микроархитектурни данни (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим. |
Поддръжката на ос Windows за смекчаване на MDS е разрешена |
Карти на MDSWindowsSupportEnabled. Този ред ви казва дали намаляването на операционната система Windows за извадка за микроархитектурни данни (MDS) е разрешено. Ако е True, хардуерът се смята, че е засегнат от уязвимостите на MDS, поддръжката на операционната система Windows за смекчаването е налична и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено. |
Поддръжка на ос Windows за SBDR смекчаване е налична |
Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за намаляването на операционната система SBDR е налична. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за SBDR. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаването за SBDR не е налично. |
Хардуерът е уязвим за SBDR |
Карти към SBDRSSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за SBDR [споделени буфери, четене на данни] набор от уязвимости (CVE-2022-21123). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим. |
Поддръжката на ОС на Windows за SBDR смекчаване е разрешена |
Карти към FBClearWindowsSupportEnabled. Този ред ви казва дали намаляването на операционната система Windows за SBDR [четене на данни за споделени буфери] е разрешено. Ако е True, смята се, че хардуерът е засегнат от уязвимостите в SBDR, присъства операционната поддръжка на Windows за смекчаването и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено. |
Поддръжка на ос Windows за FBSDP смекчаване е налична |
Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за смекчаването на операционната система FBSDP е налице. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за FBSDP. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаване за FBSDP не е налична. |
Хардуерът е уязвим към FBSDP |
Карти на FBSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за FBSDP [програма за разпространение на остарели данни на буфера на запълване] набор от уязвимости (CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166). Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим. |
Поддръжка на ос Windows за FBSDP смекчаване е разрешена |
Карти към FBClearWindowsSupportEnabled. Този ред ви казва дали е разрешено смекчаването на операционната система Windows за FBSDP [размножител на остарели данни на буфера на буфера]. Ако е True, смята се, че хардуерът е засегнат от уязвимостите на FBSDP, е налице операционната поддръжка на Windows за смекчаването на последствията и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено. |
Поддръжка на ОПЕРАЦИОННАТА система Windows за PSDP смекчаване е налична |
Карти към FBClearWindowsSupportPresent. Този ред ви казва дали поддръжката на операционната система Windows за смекчаването на операционната система PSDP е налице. Ако е True, актуализацията от юни 2022 г. е инсталирана на устройството и има смекчаване за PSDP. Ако е False, актуализацията от юни 2022 г. не е инсталирана и смекчаване за PSDP не е наличен. |
Хардуерът е уязвим за PSDP |
Карти на PSDPHardwareVulnerable. Тази линия ви показва дали хардуерът е уязвим за набор от уязвимости в PSDP [първичен разпространение на остарели данни]. Ако е True, смята се, че хардуерът е засегнат от тези уязвимости. Ако е False, хардуерът е известно, че не е уязвим. |
Поддръжката на ОС Windows за PSDP смекчаване е разрешена |
Карти към FBClearWindowsSupportEnabled. Този ред ви показва дали е разрешено смекчаването на операционната система Windows за PSDP [основен разпространение на остарели данни]. Ако е True, смята се, че хардуерът е засегнат от уязвимостите в PSDP, присъства операционната поддръжка на Windows за смекчаването и смекчаването е разрешено. Ако е False, или хардуерът не е уязвим, поддръжката на операционната система Windows не е налична, или смекчаването не е разрешено. |
Резултат, който има разрешени всички смекчавания
Следният резултат се очаква за устройство, което има разрешени всички смекчавания, както и какво е необходимо, за да удовлетворява всяко условие.
BTIHardwarePresent: Приложена актуализацияуказанията. BTIDisabledBySystemPolicy: False – > гарантират, че не са забранени от правилата. BTIDisabledByNoHardwareSupport: False – > се гарантира, че е приложена актуализация на OEM BIOS/фърмуера. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True или False - > няма действие, това е функция на процесора, използван от компютъра Ако KVAShadowRequired е True KVAShadowWindowsSupportPresent: True – > инсталиране на актуализацията от януари 2018 г. KVAShadowWindowsSupportEnabled: True - > на клиента, не се изисква действие. На сървъра следвайте указанията. KVAShadowPcidEnabled: True или False – > няма действие, това е функция на процесора, използван от компютъра
true -> OEM BIOS/фърмуер BTIWindowsSupportPresent: True – > инсталирана актуализация от януари 2018 г. BTIWindowsSupportEnabled: True - > на клиента, не се изисква действие. На сървъра следвайтеАко SSBDHardwareVulnerablePresent е trueADV180012 SSBDHardwarePresent: True -> инсталирате актуализацията на BIOS/фърмуера с поддръжка за SSBD от вашето устройство OEM SSBDWindowsSupportEnabledSystemWide: True - > следвайте препоръчителните действия , за да включите SSBD
SSBDWindowsSupportPresent: True – > инсталирате актуализациите на Windows, както е документирано вАко L1TFHardwareVulnerable е TrueADV180018 L1TFWindowsSupportEnabled: True - > следвайте действията, описани в ADV180018 за Windows Server или клиент, според случая, за да разрешите смекчаването L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True – > инсталиране на актуализацията от юни 2022 г. MDSHardwareVulnerable: False -> хардуер е известно, че не е уязвим MDSWindowsSupportEnabled: True -> смекчаването за извадка за микроархитектурни данни (MDS) е разрешено FBClearWindowsSupportPresent: True – > инсталиране на актуализацията от юни 2022 г. SBDRSSDPHardwareVulnerable: Смята се, че хардуерът True -> е засегнат от тези уязвимости FBSDPHardwareVulnerable: True -> хардуер се смята, че е засегнат от тези уязвимости PSDPHardwareVulnerable: Смята се, че хардуерът True -> е засегнат от тези уязвимости FBClearWindowsSupportEnabled: True -> представлява разрешаване на смекчаването за SBDR/FBSDP/PSDP. Уверете се, че BIOS/фърмуерът на OEM е актуализиран, FBClearWindowsSupportPresent е True, предпазните мерки са разрешени, както е описано в ADV220002 и KVAShadowWindowsSupportEnabled е Вярно.
L1TFWindowsSupportPresent: True – > инсталирате актуализациите на Windows, както е документирано вРегистратура
Следващата таблица съпоставя резултата с ключовете от системния регистър, които са обхванати в KB4072698: Указания за Windows Server и Azure Stack HCI за защита срещу базирани на силициеви микроархитектурни и спекулативни уязвимости в страничните канали при изпълнение.
Ключ от системния регистър |
Картографиране |
FeatureSettingsOverride – бит 0 |
Maps to – Branch target Injection – BTIWindowsSupportEnabled |
FeatureSettingsOverride – бит 1 |
Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled |
Справочни материали
Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.