Applies ToWindows 11 Windows 10

Skift dato

Beskrivelse af ændring

17. juli 2023

Der er tilføjet mmio og specifikke beskrivelser af outputværdier i afsnittet "Output, hvor alle afhjælpninger er aktiveret"

Sammendrag

Som en hjælp til at kontrollere status for speculative execution side-channel-afhjælpninger har vi udgivet et PowerShell-script (SpeculationControl), der kan køre på dine enheder. I denne artikel forklares det, hvordan du kører scriptet Spekulationskontrol, og hvad outputtet betyder.

Sikkerhedsrådgivere ADV180002, ADV180012, ADV180018 og ADV190013 dækker følgende ni sårbarheder:

  • CVE-2017-5715 (branch target injection)

  • CVE-2017-5753 (grænsekontrol bypass)

    Bemærk! Beskyttelse af CVE-2017-5753 (grænsekontrol) kræver ikke yderligere indstillinger i registreringsdatabasen eller firmwareopdateringer.  

  • CVE-2017-5754 (rogue data cache load)

  • CVE-2018-3639 (speculative store bypass)

  • CVE-2018-3620 (L1-terminalfejl – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (dataprøvetagning af mikroarkitektisk udfyldningsbuffer (MFBDS))

Advisory ADV220002 dækker yderligere Memory-Mapped I/O-relaterede sårbarheder (MMIO):

  • CVE-2022-21123 | Læsning af delte bufferdata (SBDR)

  • CVE-2022-21125 | Delt bufferdataprøvetagning (SBDS)

  • CVE-2022-21127 | Særlig opdatering til registrering af bufferdataudtagning (SRBDS-opdatering)

  • CVE-2022-21166 | Device Register Partial Write (DRPW)

Denne artikel indeholder oplysninger om Scriptet SpeculationControl PowerShell, der hjælper med at bestemme tilstanden for afhjælpninger for de angivne CVEs, der kræver yderligere indstillinger i registreringsdatabasen og i nogle tilfælde firmwareopdateringer.

Flere oplysninger

SpeculationControl PowerShell-script

Installér og kør scriptet Spekulationskontrol ved hjælp af en af følgende metoder.

Metode 1: PowerShell-godkendelse ved hjælp af PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installér PowerShell-modulet

PS> Install-Module SpeculationControl

Kør ModuleControl PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metode 2: PowerShell-godkendelse ved hjælp af en download fra TechNet (tidligere OS-versioner/tidligere WMF-versioner)

Installér PowerShell-modulet fra TechNet ScriptCenter

  1. Gå til https://aka.ms/SpeculationControlPS.

  2. Download SpeculationControl.zip til en lokal mappe.

  3. Udpak indholdet til en lokal mappe, f.eks. C:\ADV180002

Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret

Start PowerShell, og kopiér derefter (i eksemplet ovenfor), og kør følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-scriptoutput

Outputtet fra Scriptet SpeculationControl PowerShell vil ligne følgende output. Aktiverede beskyttelser vises i outputtet som "Sand".

PS C:\> Get-SpeculationControlSettings

Spekulationskontrolindstillinger for CVE-2017-5715 [branch target injection]

Hardwareunderstøttelse af afhjælpning af indsprøjtning til branch-mål findes: Falsk Understøttelse af Windows-operativsystemet til afhjælpning af forgrening af destinationsinjicering findes: Sand Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning med forgreningsmål er aktiveret: Falsk Understøttelse af Windows-operativsystemet til afhjælpning af branch-destinationsinjicering er deaktiveret af systempolitikken: True Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning med forgreningsmål er deaktiveret på grund af manglende hardwareunderstøttelse: True

Spekulationskontrolindstillinger for CVE-2017-5754 [useriøs datacacheindlæsning]

Hardware er sårbar over for uautoriserede datacacheindlæsning: True Understøttelse af Windows-operativsystemet til afhjælpning af belastningen af datacachen, der ikke fungerer som bruger, er til stede: Sand Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacachebelastning er aktiveret: Sand Hardware kræver kerne-VA-skygge: Sand Understøttelse af Windows-operativsystemet for kerne-VA-skygge findes: Falsk Understøttelse af Windows-operativsystemet for kerne-VA-skygge er aktiveret: Falsk Understøttelse af Windows-operativsystemet til pcID-optimering er aktiveret: Falsk Indstillinger for spekulationskontrol for CVE-2018-3639 [speculative store bypass]

Hardware er sårbar over for speculative store bypass: True Hardwareunderstøttelse for speculative store bypass mitigation findes: False Understøttelse af Windows-operativsystemet for speculative store bypass mitigation findes: True Understøttelse af Windows-operativsystemet til speculative store bypass mitigation er aktiveret for hele systemet: Falsk

Spekulationsindstillinger for CVE-2018-3620 [L1-terminalfejl]

Hardware er sårbar over for L1-terminalfejl: Sand Windows-operativsystemets understøttelse af L1-terminalfejlhjælp er til stede: Sand Understøttelse af Windows-operativsystemet til afhjælpning af L1-terminalfejl er aktiveret: Sand

Indstillinger for spekulationskontrol for MDS [microarchitectural data sampling]

Understøttelse af Windows-operativsystemet til afhjælpning af MDS er til stede: True Hardware er sårbar over for MDS: True Understøttelse af Windows-operativsystemet til afhjælpning af MDS er aktiveret: Sand

Indstillinger for spekulationskontrol for SBDR [delte bufferdata læst] 

Understøttelse af Windows-operativsystemet til SBDR-afhjælpning er til stede: True Hardware er sårbar over for SBDR: True Understøttelse af Windows-operativsystemet til SBDR-afhjælpning er aktiveret: True 

Indstillinger for spekulationskontrol for FBSDP [fyldbufferforældede dataoverførsel] Windows OS-understøttelse af FBSDP-afhjælpning er til stede: True Hardware er sårbar over for FBSDP: True Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP er aktiveret: True 

Indstillinger for spekulationskontrol for PSDP [primær forældet dataoverførsel]

Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er til stede: True Hardware er sårbar over for PSDP: True Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er aktiveret: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Forklaring af SpeculationControl PowerShell-scriptoutput

Det endelige outputgitter er knyttet til outputtet fra de foregående linjer. Dette vises, fordi PowerShell udskriver det objekt, der returneres af en funktion. I følgende tabel beskrives hver linje i PowerShell-scriptoutputtet.

Output

Forklaring

Spekulationskontrolindstillinger for CVE-2017-5715 [branch target injection]

Dette afsnit indeholder systemstatus for variant 2, CVE-2017-5715, grendestinationsinjicering.

Hardwareunderstøttelse af afhjælpning af indsprøjtning til branch-mål findes

Kort til BTIHardwarePresent. Denne linje fortæller dig, om der findes hardwarefunktioner, der understøtter afhjælpning af indskydning af grenens mål. Enhedens OEM er ansvarlig for at levere den opdaterede BIOS/firmware, der indeholder den mikrokode, der leveres af CPU-producenter. Hvis denne linje er Sand, er de nødvendige hardwarefunktioner til stede. Hvis linjen er Falsk, er de nødvendige hardwarefunktioner ikke til stede. Derfor kan indskydningsreduktion af grenens mål ikke aktiveres.

Bemærk! BTIHardwarePresent vil være Sand i virtuelle gæste-VM'er, hvis OEM-opdateringen anvendes på værten, og vejledningenfølges.

Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning af forgreningsmål findes

Kort til BTIWindowsSupportPresent. Denne linje fortæller dig, om Der findes understøttelse af Windows-operativsystemet til afhjælpning af indskydning af grenens mål. Hvis det er sandt, understøtter operativsystemet aktivering af afhjælpning af indsprøjtning af branch-destinationen (og har derfor installeret januar 2018-opdateringen). Hvis den er Falsk, er opdateringen for januar 2018 ikke installeret på enheden, og indskydningsreduktion af grenmålet kan ikke aktiveres.

Bemærk! Hvis en gæste-VM ikke kan registrere værtshardwareopdateringen, vil BTIWindowsSupportEnabled altid være Falsk.

Understøttelse af Windows-operativsystemet til afhjælpning af forgrening af destinationsinjicering er aktiveret

Kort til BTIWindowsSupportEnabled. Denne linje fortæller dig, om understøttelse af Windows-operativsystemet er aktiveret til afhjælpning af indskydning af forgreningsmål. Hvis det er sandt, er hardwareunderstøttelse og OS-understøttelse til afhjælpning af forgreningsdestinationen aktiveret for enheden og beskytter dermed mod CVE-2017-5715. Hvis den er Falsk, er en af følgende betingelser sand:

  • Hardwaresupport er ikke til stede.

  • Understøttelse af operativsystemet findes ikke.

  • Afhjælpningen er deaktiveret af systempolitikken.

Understøttelse af Windows-operativsystemet til afhjælpning af indskydning af grensmål er deaktiveret af systempolitik

Kort til BTIDisabledBySystemPolicy. Denne linje fortæller dig, om afhjælpning af indskydning af grenmål er deaktiveret af systempolitikken (f.eks. en politik, der er defineret af administratoren). Systempolitik henviser til kontrolelementerne i registreringsdatabasen som beskrevet i KB4072698. Hvis det er sandt, er systempolitikken ansvarlig for at deaktivere afhjælpningen. Hvis det er Falsk, deaktiveres afhjælpningen af en anden årsag.

Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning af branch-destination er deaktiveret på grund af manglende hardwareunderstøttelse

Kort til BTIDisabledByNoHardwareSupport. Denne linje fortæller dig, om afhjælpning af indskydning af grensmål er deaktiveret på grund af manglende hardwaresupport. Hvis det er sandt, er fraværet af hardwaresupport ansvarlig for at deaktivere afhjælpningen. Hvis det er Falsk, deaktiveres afhjælpningen af en anden årsag.

BemærkHvis en gæste-VM ikke kan registrere værtshardwareopdateringen, vil BTIDisabledByNoHardwareSupport altid være Sand.

Spekulationskontrolindstillinger for CVE-2017-5754 [useriøs datacacheindlæsning]

Dette afsnit indeholder oversigtssystemstatus for variant 3, CVE-2017-5754, useriøse datacacheindlæsning. Afhjælpningen for dette kaldes VA-skygge (Kernel Virtual Address) eller afhjælpning af belastningen af useriøse datacachebelastning.

Hardware er sårbar over for uautoriseret datacacheindlæsning

Kort til RdclHardwareProtected. Denne linje fortæller dig, om hardwaren er sårbar over for CVE-2017-5754. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2017-5754. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2017-5754.

Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacachebelastninger findes

Kort til KVAShadowWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter kerne-VA-skyggefunktionen.

Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacacheindlæsning er aktiveret

Kort til KVAShadowWindowsSupportEnabled. Denne linje fortæller dig, om kerne-VA-skyggefunktionen er aktiveret. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2017-5754, understøttelse af Windows-operativsystemet findes, og funktionen er aktiveret.

Hardware kræver kerne-VA-skygge

Kort til KVAShadowRequired. Denne linje fortæller dig, om systemet kræver kernel VA-skygge for at afhjælpe en sikkerhedsrisiko.

Understøttelse af Windows-operativsystem til kerne-VA-skygge findes

Kort til KVAShadowWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter kerne-VA-skyggefunktionen. Hvis den er sand, installeres opdateringen for januar 2018 på enheden, og kerne-VA-skygge understøttes. Hvis den er Falsk, installeres opdateringen for januar 2018 ikke, og understøttelse af kerne-VA-skygge findes ikke.

Understøttelse af Windows-operativsystem til kerne-VA-skygge er aktiveret

Kort til KVAShadowWindowsSupportEnabled. Denne linje fortæller dig, om kerne-VA-skyggefunktionen er aktiveret. Hvis det er sandt, er understøttelsen af Windows-operativsystemet til stede, og funktionen er aktiveret. Kerne VA-skyggefunktionen er i øjeblikket aktiveret som standard på klientversioner af Windows og er som standard deaktiveret på versioner af Windows Server. Hvis det er falsk, findes der enten ikke support til Windows-operativsystemet, eller også er funktionen ikke aktiveret.

Understøttelse af Windows-operativsystemet til optimering af pc-id'ets ydeevne er aktiveret

BemærkPCID er ikke påkrævet af sikkerhedsmæssige årsager. Den angiver kun, om en forbedring af ydeevnen er aktiveret. PCID understøttes ikke med Windows Server 2008 R2

Kort til KVAShadowPcidEnabled. Denne linje fortæller dig, om en ekstra optimering af ydeevnen er aktiveret for kerne-VA-skygge. Hvis det er Sandt, aktiveres kerne-VA-skygge, hardwareunderstøttes til PCID, og PCID-optimering for kerne-VA-skygge er aktiveret. Hvis det er Falsk, understøtter hardwaren eller operativsystemet muligvis ikke PCID. Det er ikke en sikkerhedssvaghed for PCID-optimeringen, der ikke skal aktiveres.

Understøttelse af Windows-operativsystemet for Speculative Store Bypass Disable findes

Kort til SSBDWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter Speculative Store Bypass Disable. Hvis den er sand, installeres opdateringen for januar 2018 på enheden, og kerne-VA-skygge understøttes. Hvis den er Falsk, installeres opdateringen for januar 2018 ikke, og understøttelse af kerne-VA-skygge findes ikke.

Hardware kræver deaktivering af Speculative Store Bypass

Kort til SSBDHardwareVulnerablePresent. Denne linje fortæller dig, om hardwaren er sårbar over for CVE-2018-3639. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3639. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2018-3639.

Hardwareunderstøttelse for Speculative Store Bypass Disable findes

Kort til SSBDHardwarePresent. Denne linje fortæller dig, om der findes hardwarefunktioner, der understøtter "Speculative Store Bypass Disable". Enhedens OEM er ansvarlig for at levere den opdaterede BIOS/firmware, der indeholder den mikrokode, der leveres af Intel. Hvis denne linje er Sand, er de nødvendige hardwarefunktioner til stede. Hvis linjen er Falsk, er de nødvendige hardwarefunktioner ikke til stede. Derfor kan Speculative Store Bypass Disable ikke aktiveres.

Bemærk SSBDHardwarePresent er sand i virtuelle gæste-VM'er, hvis OEM-opdateringen anvendes på værten.

Understøttelse af Windows-operativsystemet for Speculative Store Bypass Disable er slået til

Kort til SSBDWindowsSupportEnabledSystemWide. Denne linje fortæller dig, om Speculative Store Bypass Disable er slået til i Windows-operativsystemet. Hvis det er sandt, er hardwaresupport og OS-understøttelse for Speculative Store Bypass Disable slået til for den enhed, der forhindrer, at en Speculative Store Bypass finder sted, hvilket eliminerer sikkerhedsrisikoen fuldstændigt. Hvis den er Falsk, er en af følgende betingelser sand:

Spekulationsindstillinger for CVE-2018-3620 [L1-terminalfejl]

Dette afsnit indeholder en oversigt over systemstatus for L1TF (operativsystem), der henvises til af CVE-2018-3620. Denne afhjælpning sikrer, at sikre siderammebit bruges til ikke at præsentere eller ugyldige sidetabelposter.

Bemærk! Dette afsnit indeholder ikke en oversigt over den afhjælpningsstatus for L1TF (VMM), der henvises til i CVE-2018-3646.

Hardware er sårbar over for L1-terminalfejl: Sand

Kort til L1TFHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for L1 Terminal Fault (L1TF, CVE-2018-3620). Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3620. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2018-3620.

Windows-operativsystemets understøttelse af L1-terminalfejlhjælp er til stede: Sand

Kort til L1TFWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter L1 Terminal Fault (L1TF)-operativsystemets afhjælpning. Hvis det er sandt, er august 2018-opdateringen installeret på enheden, og afhjælpningen af CVE-2018-3620 er til stede. Hvis den er falsk, installeres august 2018-opdateringen ikke, og afhjælpningen for CVE-2018-3620 findes ikke.

Understøttelse af Windows-operativsystemet til afhjælpning af L1-terminalfejl er aktiveret: Sand

Kort til L1TFWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af L1 Terminal Fault (L1TF, CVE-2018-3620) er aktiveret. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3620, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Indstillinger for spekulationskontrol for MDS [Microarchitectural Data Sampling]

Dette afsnit indeholder systemstatus for MDS-sættet af sårbarheder, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og ADV220002.

Understøttelse af Windows-operativsystemet til afhjælpning af MDS findes

Kort til MDSWindowsSupportPresent. Denne linje fortæller dig, om Understøttelse af Windows-operativsystemet til afhjælpning af MDS-operativsystemet (Microarchitectural Data Sampling) er til stede. Hvis det er sandt, er maj 2019-opdateringen installeret på enheden, og afhjælpningen af MDS er til stede. Hvis den er Falsk, installeres maj 2019-opdateringen ikke, og afhjælpningen for MDS findes ikke.

Hardware er sårbar over for MDS

Kort til MDSHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for MDS-sæt (Microarchitectural Data Sampling) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af MDS er aktiveret

Kort til MDSWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af Microarchitectural Data Sampling (MDS) er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af MDS-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Understøttelse af Windows-operativsystemet til afhjælpning af SBDR findes

Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter afhjælpning af SBDR-operativsystemet. Hvis det er sandt, installeres opdateringen fra juni 2022 på enheden, og afhjælpningen af SBDR er til stede. Hvis den er Falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for SBDR findes ikke.

Hardware er sårbar over for SBDR

Kort til SBDRSSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for SBDR [delte bufferdata læst] sæt sårbarheder (CVE-2022-21123). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af SBDR er aktiveret

Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Afhjælpning af Windows-operativsystemet for SBDR [delte bufferdata læst] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af SBDR-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP findes

Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP-operativsystemet er til stede. Hvis den er sand, er opdateringen fra juni 2022 installeret på enheden, og afhjælpningen af FBSDP er til stede. Hvis den er falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for FBSDP findes ikke.

Hardware er sårbar over for FBSDP

Tilknytninger til FBSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for FBSDP [fyldbufferforældede dataoverførsel] sæt sårbarheder (CVE-2022-21125, CVE-2022-21127 og CVE-2022-21166). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP er aktiveret

Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af FBSDP [fyldbufferforældede dataoverførsel] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af FBSDP-sikkerhedsrisiciene, Windows-operativsystemet til afhjælpning findes, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Understøttelse af Windows-operativsystemet til afhjælpning af PSDP findes

Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter afhjælpning af PSDP-operativsystemet. Hvis den er sand, er opdateringen fra juni 2022 installeret på enheden, og afhjælpningen af PSDP er til stede. Hvis den er falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for PSDP findes ikke.

Hardware er sårbar over for PSDP

Kort til PSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for PSDP [primær forældet dataoverførsel] sæt sårbarheder. Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er aktiveret

Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af PSDP [primær forældet dataoverførsel] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af PSDP-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Output, hvor alle afhjælpninger er aktiveret

Følgende output forventes for en enhed, der har aktiveret alle afhjælpninger, sammen med det, der er nødvendigt for at opfylde hver betingelse.

BTIHardwarePresent: True -> OEM BIOS/firmware update applied BTIWindowsSupportPresent: True -> januar 2018-opdatering installeret BTIWindowsSupportEnabled: True -> på klienten. Der kræves ingen handling. Følg vejledningen på serveren.BTIDisabledBySystemPolicy: False -> sikre, at den ikke er deaktiveret af politikken.BTIDisabledByNoHardwareSupport: False -> sikre, at OEM BIOS/firmware-opdateringen anvendes.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: Sand eller Falsk -> ingen handling, dette er en funktion af den CPU, computeren bruger Hvis KVAShadowRequired er sand KVAShadowWindowsSupportPresent: True -> installér januar 2018-opdatering KVAShadowWindowsSupportEnabled: True -> på klienten. Der kræves ingen handling. Følg vejledningen på serveren.KVAShadowPcidEnabled: Sand eller Falsk -> ingen handling, dette er en funktion af den CPU, computeren bruger

Hvis SSBDHardwareVulnerablePresent er sand SSBDWindowsSupportPresent: True -> installere Windows-opdateringer som beskrevet i ADV180012 SSBDHardwarePresent: True -> installere BIOS-/firmwareopdatering med understøttelse af SSBD fra din enheds-OEM SSBDWindowsSupportEnabledSystemWide: True -> følge anbefalede handlinger for at slå SSBD til

Hvis L1TFHardwareVulnerable er Sand L1TFWindowsSupportPresent: True -> installere Windows-opdateringer som beskrevet i ADV180018 L1TFWindowsSupportEnabled: Sand –> følge de handlinger, der er beskrevet i ADV180018 til Windows Server eller Klient, for at aktivere afhjælpningen L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> installér juni 2022-opdatering MDSHardwareVulnerable: False -> hardware er kendt for ikke at være sårbar MDSWindowsSupportEnabled: True -> afhjælpning af Microarchitectural Data Sampling (MDS) er aktiveret FBClearWindowsSupportPresent: True -> installér juni 2022-opdatering SBDRSSDPHardwareVulnerable: True -> hardware menes at være påvirket af disse sårbarheder FBSDPHardwareVulnerable: True -> hardware menes at være påvirket af disse sårbarheder PSDPHardwareVulnerable: True -> hardware menes at være påvirket af disse sårbarheder FBClearWindowsSupportEnabled: True -> Repræsenterer afhjælpningsaktivering for SBDR/FBSDP/PSDP. Sørg for, at OEM BIOS/firmware opdateres, FBClearWindowsSupportPresent er sand, og at afhjælpninger, der er aktiveret som beskrevet i ADV220002 og KVAShadowWindowsSupportEnabled, er sande.

Registreringsdatabasen

Følgende tabel tilknytter outputtet til de registreringsdatabasenøgler, der er dækket af KB4072698: Vejledning i Windows Server og Azure Stack HCI for at beskytte mod silicon-baserede microarchitectural- og speculative execution side-channel-sikkerhedsrisici.

Registreringsdatabasenøgle

Kortlægning

FeatureSettingsOverride – Bit 0

Maps to - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled

Referencer

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.