Skift dato |
Beskrivelse af ændring |
---|---|
17. juli 2023 |
Der er tilføjet mmio og specifikke beskrivelser af outputværdier i afsnittet "Output, hvor alle afhjælpninger er aktiveret" |
Sammendrag
Som en hjælp til at kontrollere status for speculative execution side-channel-afhjælpninger har vi udgivet et PowerShell-script (SpeculationControl), der kan køre på dine enheder. I denne artikel forklares det, hvordan du kører scriptet Spekulationskontrol, og hvad outputtet betyder.
Sikkerhedsrådgivere ADV180002, ADV180012, ADV180018 og ADV190013 dækker følgende ni sårbarheder:
-
CVE-2017-5715 (branch target injection)
-
CVE-2017-5753 (grænsekontrol bypass)
Bemærk! Beskyttelse af CVE-2017-5753 (grænsekontrol) kræver ikke yderligere indstillinger i registreringsdatabasen eller firmwareopdateringer.
-
CVE-2017-5754 (rogue data cache load)
-
CVE-2018-3639 (speculative store bypass)
-
CVE-2018-3620 (L1-terminalfejl – OS)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (dataprøvetagning af mikroarkitektisk udfyldningsbuffer (MFBDS))
Advisory ADV220002 dækker yderligere Memory-Mapped I/O-relaterede sårbarheder (MMIO):
-
CVE-2022-21123 | Læsning af delte bufferdata (SBDR)
-
CVE-2022-21125 | Delt bufferdataprøvetagning (SBDS)
-
CVE-2022-21127 | Særlig opdatering til registrering af bufferdataudtagning (SRBDS-opdatering)
-
CVE-2022-21166 | Device Register Partial Write (DRPW)
Denne artikel indeholder oplysninger om Scriptet SpeculationControl PowerShell, der hjælper med at bestemme tilstanden for afhjælpninger for de angivne CVEs, der kræver yderligere indstillinger i registreringsdatabasen og i nogle tilfælde firmwareopdateringer.
Flere oplysninger
SpeculationControl PowerShell-script
Installér og kør scriptet Spekulationskontrol ved hjælp af en af følgende metoder.
Metode 1: PowerShell-godkendelse ved hjælp af PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1) |
Installér PowerShell-modulet PS> Install-Module SpeculationControl Kør ModuleControl PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metode 2: PowerShell-godkendelse ved hjælp af en download fra TechNet (tidligere OS-versioner/tidligere WMF-versioner) |
Installér PowerShell-modulet fra TechNet ScriptCenter
Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret Start PowerShell, og kopiér derefter (i eksemplet ovenfor), og kør følgende kommandoer: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-scriptoutput
Outputtet fra Scriptet SpeculationControl PowerShell vil ligne følgende output. Aktiverede beskyttelser vises i outputtet som "Sand".
PS C:\> Get-SpeculationControlSettings
Spekulationskontrolindstillinger for CVE-2017-5715 [branch target injection]
Hardwareunderstøttelse af afhjælpning af indsprøjtning til branch-mål findes: Falsk
Understøttelse af Windows-operativsystemet til afhjælpning af forgrening af destinationsinjicering findes: Sand Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning med forgreningsmål er aktiveret: Falsk Understøttelse af Windows-operativsystemet til afhjælpning af branch-destinationsinjicering er deaktiveret af systempolitikken: True Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning med forgreningsmål er deaktiveret på grund af manglende hardwareunderstøttelse: TrueSpekulationskontrolindstillinger for CVE-2017-5754 [useriøs datacacheindlæsning]
Hardware er sårbar over for uautoriserede datacacheindlæsning: True
Understøttelse af Windows-operativsystemet til afhjælpning af belastningen af datacachen, der ikke fungerer som bruger, er til stede: Sand Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacachebelastning er aktiveret: Sand Hardware kræver kerne-VA-skygge: Sand Understøttelse af Windows-operativsystemet for kerne-VA-skygge findes: Falsk Understøttelse af Windows-operativsystemet for kerne-VA-skygge er aktiveret: Falsk Understøttelse af Windows-operativsystemet til pcID-optimering er aktiveret: Falsk Indstillinger for spekulationskontrol for CVE-2018-3639 [speculative store bypass]Hardware er sårbar over for speculative store bypass: True
Hardwareunderstøttelse for speculative store bypass mitigation findes: False Understøttelse af Windows-operativsystemet for speculative store bypass mitigation findes: True Understøttelse af Windows-operativsystemet til speculative store bypass mitigation er aktiveret for hele systemet: FalskSpekulationsindstillinger for CVE-2018-3620 [L1-terminalfejl]
Hardware er sårbar over for L1-terminalfejl: Sand
Windows-operativsystemets understøttelse af L1-terminalfejlhjælp er til stede: Sand Understøttelse af Windows-operativsystemet til afhjælpning af L1-terminalfejl er aktiveret: SandIndstillinger for spekulationskontrol for MDS [microarchitectural data sampling]
Understøttelse af Windows-operativsystemet til afhjælpning af MDS er til stede: True
Hardware er sårbar over for MDS: True Understøttelse af Windows-operativsystemet til afhjælpning af MDS er aktiveret: SandIndstillinger for spekulationskontrol for SBDR [delte bufferdata læst]
Understøttelse af Windows-operativsystemet til SBDR-afhjælpning er til stede: True
Hardware er sårbar over for SBDR: True Understøttelse af Windows-operativsystemet til SBDR-afhjælpning er aktiveret: TrueIndstillinger for spekulationskontrol for FBSDP [fyldbufferforældede dataoverførsel]
Windows OS-understøttelse af FBSDP-afhjælpning er til stede: True Hardware er sårbar over for FBSDP: True Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP er aktiveret: TrueIndstillinger for spekulationskontrol for PSDP [primær forældet dataoverførsel]
Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er til stede: True
Hardware er sårbar over for PSDP: True Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er aktiveret: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueForklaring af SpeculationControl PowerShell-scriptoutput
Det endelige outputgitter er knyttet til outputtet fra de foregående linjer. Dette vises, fordi PowerShell udskriver det objekt, der returneres af en funktion. I følgende tabel beskrives hver linje i PowerShell-scriptoutputtet.
Output |
Forklaring |
Spekulationskontrolindstillinger for CVE-2017-5715 [branch target injection] |
Dette afsnit indeholder systemstatus for variant 2, CVE-2017-5715, grendestinationsinjicering. |
Hardwareunderstøttelse af afhjælpning af indsprøjtning til branch-mål findes |
Kort til BTIHardwarePresent. Denne linje fortæller dig, om der findes hardwarefunktioner, der understøtter afhjælpning af indskydning af grenens mål. Enhedens OEM er ansvarlig for at levere den opdaterede BIOS/firmware, der indeholder den mikrokode, der leveres af CPU-producenter. Hvis denne linje er Sand, er de nødvendige hardwarefunktioner til stede. Hvis linjen er Falsk, er de nødvendige hardwarefunktioner ikke til stede. Derfor kan indskydningsreduktion af grenens mål ikke aktiveres. Bemærk! BTIHardwarePresent vil være Sand i virtuelle gæste-VM'er, hvis OEM-opdateringen anvendes på værten, og vejledningenfølges. |
Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning af forgreningsmål findes |
Kort til BTIWindowsSupportPresent. Denne linje fortæller dig, om Der findes understøttelse af Windows-operativsystemet til afhjælpning af indskydning af grenens mål. Hvis det er sandt, understøtter operativsystemet aktivering af afhjælpning af indsprøjtning af branch-destinationen (og har derfor installeret januar 2018-opdateringen). Hvis den er Falsk, er opdateringen for januar 2018 ikke installeret på enheden, og indskydningsreduktion af grenmålet kan ikke aktiveres. Bemærk! Hvis en gæste-VM ikke kan registrere værtshardwareopdateringen, vil BTIWindowsSupportEnabled altid være Falsk. |
Understøttelse af Windows-operativsystemet til afhjælpning af forgrening af destinationsinjicering er aktiveret |
Kort til BTIWindowsSupportEnabled. Denne linje fortæller dig, om understøttelse af Windows-operativsystemet er aktiveret til afhjælpning af indskydning af forgreningsmål. Hvis det er sandt, er hardwareunderstøttelse og OS-understøttelse til afhjælpning af forgreningsdestinationen aktiveret for enheden og beskytter dermed mod CVE-2017-5715. Hvis den er Falsk, er en af følgende betingelser sand:
|
Understøttelse af Windows-operativsystemet til afhjælpning af indskydning af grensmål er deaktiveret af systempolitik |
Kort til BTIDisabledBySystemPolicy. Denne linje fortæller dig, om afhjælpning af indskydning af grenmål er deaktiveret af systempolitikken (f.eks. en politik, der er defineret af administratoren). Systempolitik henviser til kontrolelementerne i registreringsdatabasen som beskrevet i KB4072698. Hvis det er sandt, er systempolitikken ansvarlig for at deaktivere afhjælpningen. Hvis det er Falsk, deaktiveres afhjælpningen af en anden årsag. |
Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning af branch-destination er deaktiveret på grund af manglende hardwareunderstøttelse |
Kort til BTIDisabledByNoHardwareSupport. Denne linje fortæller dig, om afhjælpning af indskydning af grensmål er deaktiveret på grund af manglende hardwaresupport. Hvis det er sandt, er fraværet af hardwaresupport ansvarlig for at deaktivere afhjælpningen. Hvis det er Falsk, deaktiveres afhjælpningen af en anden årsag. BemærkHvis en gæste-VM ikke kan registrere værtshardwareopdateringen, vil BTIDisabledByNoHardwareSupport altid være Sand. |
Spekulationskontrolindstillinger for CVE-2017-5754 [useriøs datacacheindlæsning] |
Dette afsnit indeholder oversigtssystemstatus for variant 3, CVE-2017-5754, useriøse datacacheindlæsning. Afhjælpningen for dette kaldes VA-skygge (Kernel Virtual Address) eller afhjælpning af belastningen af useriøse datacachebelastning. |
Hardware er sårbar over for uautoriseret datacacheindlæsning |
Kort til RdclHardwareProtected. Denne linje fortæller dig, om hardwaren er sårbar over for CVE-2017-5754. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2017-5754. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2017-5754. |
Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacachebelastninger findes |
Kort til KVAShadowWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter kerne-VA-skyggefunktionen. |
Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacacheindlæsning er aktiveret |
Kort til KVAShadowWindowsSupportEnabled. Denne linje fortæller dig, om kerne-VA-skyggefunktionen er aktiveret. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2017-5754, understøttelse af Windows-operativsystemet findes, og funktionen er aktiveret. |
Hardware kræver kerne-VA-skygge |
Kort til KVAShadowRequired. Denne linje fortæller dig, om systemet kræver kernel VA-skygge for at afhjælpe en sikkerhedsrisiko. |
Understøttelse af Windows-operativsystem til kerne-VA-skygge findes |
Kort til KVAShadowWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter kerne-VA-skyggefunktionen. Hvis den er sand, installeres opdateringen for januar 2018 på enheden, og kerne-VA-skygge understøttes. Hvis den er Falsk, installeres opdateringen for januar 2018 ikke, og understøttelse af kerne-VA-skygge findes ikke. |
Understøttelse af Windows-operativsystem til kerne-VA-skygge er aktiveret |
Kort til KVAShadowWindowsSupportEnabled. Denne linje fortæller dig, om kerne-VA-skyggefunktionen er aktiveret. Hvis det er sandt, er understøttelsen af Windows-operativsystemet til stede, og funktionen er aktiveret. Kerne VA-skyggefunktionen er i øjeblikket aktiveret som standard på klientversioner af Windows og er som standard deaktiveret på versioner af Windows Server. Hvis det er falsk, findes der enten ikke support til Windows-operativsystemet, eller også er funktionen ikke aktiveret. |
Understøttelse af Windows-operativsystemet til optimering af pc-id'ets ydeevne er aktiveret BemærkPCID er ikke påkrævet af sikkerhedsmæssige årsager. Den angiver kun, om en forbedring af ydeevnen er aktiveret. PCID understøttes ikke med Windows Server 2008 R2 |
Kort til KVAShadowPcidEnabled. Denne linje fortæller dig, om en ekstra optimering af ydeevnen er aktiveret for kerne-VA-skygge. Hvis det er Sandt, aktiveres kerne-VA-skygge, hardwareunderstøttes til PCID, og PCID-optimering for kerne-VA-skygge er aktiveret. Hvis det er Falsk, understøtter hardwaren eller operativsystemet muligvis ikke PCID. Det er ikke en sikkerhedssvaghed for PCID-optimeringen, der ikke skal aktiveres. |
Understøttelse af Windows-operativsystemet for Speculative Store Bypass Disable findes |
Kort til SSBDWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter Speculative Store Bypass Disable. Hvis den er sand, installeres opdateringen for januar 2018 på enheden, og kerne-VA-skygge understøttes. Hvis den er Falsk, installeres opdateringen for januar 2018 ikke, og understøttelse af kerne-VA-skygge findes ikke. |
Hardware kræver deaktivering af Speculative Store Bypass |
Kort til SSBDHardwareVulnerablePresent. Denne linje fortæller dig, om hardwaren er sårbar over for CVE-2018-3639. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3639. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2018-3639. |
Hardwareunderstøttelse for Speculative Store Bypass Disable findes |
Kort til SSBDHardwarePresent. Denne linje fortæller dig, om der findes hardwarefunktioner, der understøtter "Speculative Store Bypass Disable". Enhedens OEM er ansvarlig for at levere den opdaterede BIOS/firmware, der indeholder den mikrokode, der leveres af Intel. Hvis denne linje er Sand, er de nødvendige hardwarefunktioner til stede. Hvis linjen er Falsk, er de nødvendige hardwarefunktioner ikke til stede. Derfor kan Speculative Store Bypass Disable ikke aktiveres. Bemærk SSBDHardwarePresent er sand i virtuelle gæste-VM'er, hvis OEM-opdateringen anvendes på værten. |
Understøttelse af Windows-operativsystemet for Speculative Store Bypass Disable er slået til |
Kort til SSBDWindowsSupportEnabledSystemWide. Denne linje fortæller dig, om Speculative Store Bypass Disable er slået til i Windows-operativsystemet. Hvis det er sandt, er hardwaresupport og OS-understøttelse for Speculative Store Bypass Disable slået til for den enhed, der forhindrer, at en Speculative Store Bypass finder sted, hvilket eliminerer sikkerhedsrisikoen fuldstændigt. Hvis den er Falsk, er en af følgende betingelser sand:
|
Spekulationsindstillinger for CVE-2018-3620 [L1-terminalfejl] |
Dette afsnit indeholder en oversigt over systemstatus for L1TF (operativsystem), der henvises til af CVE-2018-3620. Denne afhjælpning sikrer, at sikre siderammebit bruges til ikke at præsentere eller ugyldige sidetabelposter. Bemærk! Dette afsnit indeholder ikke en oversigt over den afhjælpningsstatus for L1TF (VMM), der henvises til i CVE-2018-3646. |
Hardware er sårbar over for L1-terminalfejl: Sand |
Kort til L1TFHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for L1 Terminal Fault (L1TF, CVE-2018-3620). Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3620. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2018-3620. |
Windows-operativsystemets understøttelse af L1-terminalfejlhjælp er til stede: Sand |
Kort til L1TFWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter L1 Terminal Fault (L1TF)-operativsystemets afhjælpning. Hvis det er sandt, er august 2018-opdateringen installeret på enheden, og afhjælpningen af CVE-2018-3620 er til stede. Hvis den er falsk, installeres august 2018-opdateringen ikke, og afhjælpningen for CVE-2018-3620 findes ikke. |
Understøttelse af Windows-operativsystemet til afhjælpning af L1-terminalfejl er aktiveret: Sand |
Kort til L1TFWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af L1 Terminal Fault (L1TF, CVE-2018-3620) er aktiveret. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3620, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret. |
Indstillinger for spekulationskontrol for MDS [Microarchitectural Data Sampling] |
Dette afsnit indeholder systemstatus for MDS-sættet af sårbarheder, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og ADV220002. |
Understøttelse af Windows-operativsystemet til afhjælpning af MDS findes |
Kort til MDSWindowsSupportPresent. Denne linje fortæller dig, om Understøttelse af Windows-operativsystemet til afhjælpning af MDS-operativsystemet (Microarchitectural Data Sampling) er til stede. Hvis det er sandt, er maj 2019-opdateringen installeret på enheden, og afhjælpningen af MDS er til stede. Hvis den er Falsk, installeres maj 2019-opdateringen ikke, og afhjælpningen for MDS findes ikke. |
Hardware er sårbar over for MDS |
Kort til MDSHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for MDS-sæt (Microarchitectural Data Sampling) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar. |
Understøttelse af Windows-operativsystemet til afhjælpning af MDS er aktiveret |
Kort til MDSWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af Microarchitectural Data Sampling (MDS) er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af MDS-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret. |
Understøttelse af Windows-operativsystemet til afhjælpning af SBDR findes |
Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter afhjælpning af SBDR-operativsystemet. Hvis det er sandt, installeres opdateringen fra juni 2022 på enheden, og afhjælpningen af SBDR er til stede. Hvis den er Falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for SBDR findes ikke. |
Hardware er sårbar over for SBDR |
Kort til SBDRSSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for SBDR [delte bufferdata læst] sæt sårbarheder (CVE-2022-21123). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar. |
Understøttelse af Windows-operativsystemet til afhjælpning af SBDR er aktiveret |
Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Afhjælpning af Windows-operativsystemet for SBDR [delte bufferdata læst] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af SBDR-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret. |
Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP findes |
Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP-operativsystemet er til stede. Hvis den er sand, er opdateringen fra juni 2022 installeret på enheden, og afhjælpningen af FBSDP er til stede. Hvis den er falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for FBSDP findes ikke. |
Hardware er sårbar over for FBSDP |
Tilknytninger til FBSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for FBSDP [fyldbufferforældede dataoverførsel] sæt sårbarheder (CVE-2022-21125, CVE-2022-21127 og CVE-2022-21166). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar. |
Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP er aktiveret |
Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af FBSDP [fyldbufferforældede dataoverførsel] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af FBSDP-sikkerhedsrisiciene, Windows-operativsystemet til afhjælpning findes, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret. |
Understøttelse af Windows-operativsystemet til afhjælpning af PSDP findes |
Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter afhjælpning af PSDP-operativsystemet. Hvis den er sand, er opdateringen fra juni 2022 installeret på enheden, og afhjælpningen af PSDP er til stede. Hvis den er falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for PSDP findes ikke. |
Hardware er sårbar over for PSDP |
Kort til PSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for PSDP [primær forældet dataoverførsel] sæt sårbarheder. Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar. |
Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er aktiveret |
Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af PSDP [primær forældet dataoverførsel] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af PSDP-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret. |
Output, hvor alle afhjælpninger er aktiveret
Følgende output forventes for en enhed, der har aktiveret alle afhjælpninger, sammen med det, der er nødvendigt for at opfylde hver betingelse.
BTIHardwarePresent: True -> OEM BIOS/firmware update appliedvejledningen på serveren. BTIDisabledBySystemPolicy: False -> sikre, at den ikke er deaktiveret af politikken. BTIDisabledByNoHardwareSupport: False -> sikre, at OEM BIOS/firmware-opdateringen anvendes. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: Sand eller Falsk -> ingen handling, dette er en funktion af den CPU, computeren bruger Hvis KVAShadowRequired er sand KVAShadowWindowsSupportPresent: True -> installér januar 2018-opdatering KVAShadowWindowsSupportEnabled: True -> på klienten. Der kræves ingen handling. Følg vejledningen på serveren. KVAShadowPcidEnabled: Sand eller Falsk -> ingen handling, dette er en funktion af den CPU, computeren bruger
BTIWindowsSupportPresent: True -> januar 2018-opdatering installeret BTIWindowsSupportEnabled: True -> på klienten. Der kræves ingen handling. FølgHvis SSBDHardwareVulnerablePresent er sandADV180012 SSBDHardwarePresent: True -> installere BIOS-/firmwareopdatering med understøttelse af SSBD fra din enheds-OEM SSBDWindowsSupportEnabledSystemWide: True -> følge anbefalede handlinger for at slå SSBD til
SSBDWindowsSupportPresent: True -> installere Windows-opdateringer som beskrevet iHvis L1TFHardwareVulnerable er SandADV180018 L1TFWindowsSupportEnabled: Sand –> følge de handlinger, der er beskrevet i ADV180018 til Windows Server eller Klient, for at aktivere afhjælpningen L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> installér juni 2022-opdatering MDSHardwareVulnerable: False -> hardware er kendt for ikke at være sårbar MDSWindowsSupportEnabled: True -> afhjælpning af Microarchitectural Data Sampling (MDS) er aktiveret FBClearWindowsSupportPresent: True -> installér juni 2022-opdatering SBDRSSDPHardwareVulnerable: True -> hardware menes at være påvirket af disse sårbarheder FBSDPHardwareVulnerable: True -> hardware menes at være påvirket af disse sårbarheder PSDPHardwareVulnerable: True -> hardware menes at være påvirket af disse sårbarheder FBClearWindowsSupportEnabled: True -> Repræsenterer afhjælpningsaktivering for SBDR/FBSDP/PSDP. Sørg for, at OEM BIOS/firmware opdateres, FBClearWindowsSupportPresent er sand, og at afhjælpninger, der er aktiveret som beskrevet i ADV220002 og KVAShadowWindowsSupportEnabled, er sande.
L1TFWindowsSupportPresent: True -> installere Windows-opdateringer som beskrevet iRegistreringsdatabasen
Følgende tabel tilknytter outputtet til de registreringsdatabasenøgler, der er dækket af KB4072698: Vejledning i Windows Server og Azure Stack HCI for at beskytte mod silicon-baserede microarchitectural- og speculative execution side-channel-sikkerhedsrisici.
Registreringsdatabasenøgle |
Kortlægning |
FeatureSettingsOverride – Bit 0 |
Maps to - Branch target injection - BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled |
Referencer
Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.