Αλλαγή ημερομηνίας |
Περιγραφή αλλαγής |
---|---|
17 Ιουλίου 2023 |
Προστέθηκε MMIO και συγκεκριμένες περιγραφές των τιμών εξόδου στην ενότητα "Έξοδος που έχει ενεργοποιημένους όλους τους μετριασμούς" |
Σύνοψη
Για να σας βοηθήσουμε να επαληθεύσετε την κατάσταση των μετριαστικών εκτέλεσης πλευρικού καναλιού, δημοσιεύσαμε μια δέσμη ενεργειών PowerShell (SpeculationControl) που μπορεί να εκτελεστεί στις συσκευές σας. Αυτό το άρθρο εξηγεί πώς μπορείτε να εκτελέσετε τη δέσμη ενεργειών SpeculationControl και τι σημαίνει το αποτέλεσμα.
Οι προειδοποιήσεις ασφαλείας ADV180002, ADV180012, ADV180018 και ADV190013 καλύπτουν τις ακόλουθες εννέα ευπάθειες:
-
CVE-2017-5715 (εισαγωγή προορισμού κλάδου)
-
CVE-2017-5753 (παράκαμψη ελέγχου ορίων)
Σημείωση Για την προστασία για CVE-2017-5753 (έλεγχος ορίων) δεν απαιτούνται πρόσθετες ρυθμίσεις μητρώου ή ενημερώσεις υλικολογισμικού.
-
CVE-2017-5754 (μη παραπλανητικός φόρτος cache δεδομένων)
-
CVE-2018-3639 (κερδοσκοπική παράκαμψη καταστήματος)
-
CVE-2018-3620 (Σφάλμα τερματικού L1 – OS)
-
CVE-2018-11091 (Microarchitectural Data Sampling Unacheable Memory (MDSUM))
-
CVE-2018-12126 (Δειγματοληψία δεδομένων buffer μικροαρχιτεκτωνικού χώρου αποθήκευσης (MSBDS))
-
CVE-2018-12127 (Δειγματοληψία δεδομένων θύρας φορτίου μικροαρχιτιστικών (MLPDS))
-
CVE-2018-12130 (δειγματοληψία δεδομένων buffer μικροαρχιτεκτικής συμπλήρωσης (MFBDS))
Το Advisory ADV220002 καλύπτει πρόσθετες ευπάθειες που σχετίζονται με Memory-Mapped I/O (MMIO):
-
CVE-2022-21123 | Ανάγνωση κοινόχρηστων δεδομένων buffer (SBDR)
-
CVE-2022-21125 | Δειγματοληψία κοινόχρηστων δεδομένων buffer (SBDS)
-
CVE-2022-21127 | Ενημέρωση δειγματοληψίας buffer ειδικών καταχωρήσεων (ενημέρωση SRBDS)
-
CVE-2022-21166 | Καταχώρηση μερικής εγγραφής συσκευής (DRPW)
Αυτό το άρθρο παρέχει λεπτομέρειες σχετικά με τη δέσμη ενεργειών SpeculationControl PowerShell που σας βοηθά να προσδιορίσετε την κατάσταση των μετριασμών για τα CVEs που παρατίθενται, οι οποίες απαιτούν πρόσθετες ρυθμίσεις μητρώου και, σε ορισμένες περιπτώσεις, ενημερώσεις υλικολογισμικού.
Περισσότερες πληροφορίες
Δέσμη ενεργειών του PowerShell SpeculationControl
Εγκαταστήστε και εκτελέστε τη δέσμη ενεργειών SpeculationControl χρησιμοποιώντας μία από τις παρακάτω μεθόδους.
Μέθοδος 1: Επαλήθευση PowerShell με χρήση της Συλλογής PowerShell (Windows Server 2016 ή WMF 5.0/5.1) |
Εγκατάσταση της λειτουργικής μονάδας PowerShell PS> Install-Module SpeculationControl Εκτελέστε τη λειτουργική μονάδα SpeculationControl PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Μέθοδος 2: Επαλήθευση PowerShell με χρήση λήψης από το TechNet (παλαιότερες εκδόσεις λειτουργικού συστήματος/παλαιότερες εκδόσεις WMF) |
Εγκατάσταση της λειτουργικής μονάδας PowerShell από το TechNet ScriptCenter
Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας Εκκινήστε το PowerShell και, στη συνέχεια, (χρησιμοποιώντας το παραπάνω παράδειγμα) αντιγράψτε και εκτελέστε τις ακόλουθες εντολές: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Έξοδος δέσμης ενεργειών PowerShell
Το αποτέλεσμα της δέσμης ενεργειών SpeculationControl PowerShell θα μοιάζει με το ακόλουθο αποτέλεσμα. Τα ενεργοποιημένα μέτρα προστασίας εμφανίζονται στο αποτέλεσμα ως "True".
PS C:\> Get-SpeculationControlSettings
Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2017-5715 [εισαγωγή προορισμού κλάδου]
Υπάρχει υποστήριξη υλικού για μετριασμός εισαγωγής προορισμού κλάδου: False
Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου είναι παρούσα: True Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου είναι ενεργοποιημένη: False Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου απενεργοποιείται από την πολιτική συστήματος: True Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου απενεργοποιείται λόγω απουσίας υποστήριξης υλικού: TrueΡυθμίσεις ελέγχου εικοτολογιών για CVE-2017-5754 [μη παραπλανητικός φόρτος cache δεδομένων]
Το υλικό είναι ευάλωτο σε παραπλανητικό φόρτο cache δεδομένων: True
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητικούς μετριασμούς φόρτου cache δεδομένων: True Η υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητικούς μετριασμούς φόρτου cache δεδομένων είναι ενεργοποιημένη: True Το υλικό απαιτεί σκίαση VA πυρήνα: True Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα: False Η υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα είναι ενεργοποιημένη: False Η υποστήριξη λειτουργικού συστήματος Windows για βελτιστοποίηση PCID είναι ενεργοποιημένη: False Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2018-3639 [κερδοσκοπική παράκαμψη καταστήματος]Το υλικό είναι ευάλωτο σε υποθετική παράκαμψη του store: True
Υπάρχει υποστήριξη υλικού για μη κερδοσκοπικούς μετριασμούς παράκαμψης καταστήματος: False Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μη κερδοσκοπικούς μετριασμούς παράκαμψης του store: True Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της παράκαμψης του speculative store ενεργοποιείται σε ολόκληρο το σύστημα: FalseΡυθμίσεις ελέγχου κερδοσκοπίας για CVE-2018-3620 [Σφάλμα τερματικού L1]
Το υλικό είναι ευάλωτο σε σφάλμα τερματικού L1: True
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1 είναι ενεργοποιημένη: TrueΡυθμίσεις ελέγχου εικοτολογιών για MDS [δειγματοληψία μικροαρχιτεκτωνικών δεδομένων]
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμού MDS: True
Το υλικό είναι ευάλωτο στο MDS: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό MDS είναι ενεργοποιημένη: TrueΡυθμίσεις ελέγχου κερδοσκοπίας για SBDR [ανάγνωση κοινόχρηστων δεδομένων buffer]
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμού SBDR: True
Το υλικό είναι ευάλωτο σε SBDR: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό SBDR είναι ενεργοποιημένη: TrueΡυθμίσεις ελέγχου κερδοσκοπίας για το FBSDP [μετάδοση μη ενημερωμένων δεδομένων γεμίσματος buffer]
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP: True Το υλικό είναι ευάλωτο στο FBSDP: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP είναι ενεργοποιημένη: TrueΡυθμίσεις ελέγχου εικοτολογιών για PSDP [μη ενημερωμένος πολλαπλασιασμός δεδομένων]
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό της psdp: True
Το υλικό είναι ευάλωτο σε PSDP: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό της psdp είναι ενεργοποιημένη: TrueBTIHardwarePresent: True
BTIWindowsSupportΠροετοιμασία: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportΠρόσμενο: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueΕπεξήγηση της εξόδου δέσμης ενεργειών SpeculationControl του PowerShell
Το τελικό πλέγμα εξόδου αντιστοιχεί στην έξοδο των προηγούμενων γραμμών. Αυτό εμφανίζεται επειδή το PowerShell εκτυπώνει το αντικείμενο που επιστρέφεται από μια συνάρτηση. Ο παρακάτω πίνακας εξηγεί κάθε γραμμή στο αποτέλεσμα της δέσμης ενεργειών PowerShell.
Εξόδου |
Εξήγηση |
Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2017-5715 [εισαγωγή προορισμού κλάδου] |
Αυτή η ενότητα παρέχει την κατάσταση συστήματος για την παραλλαγή 2, CVE-2017-5715, ένεση προορισμού κλάδου. |
Υποστήριξη υλικού για τον μετριασμό της ένεσης προορισμού κλάδου υπάρχει |
Αντιστοιχίζει σε BTIHardwarePresent. Αυτή η γραμμή σάς ενημερώνει εάν υπάρχουν δυνατότητες υλικού που υποστηρίζουν τον μετριασμό της ένεσης προορισμού κλάδου. Ο OEM της συσκευής είναι υπεύθυνος για την παροχή του ενημερωμένου BIOS/υλικολογισμικού που περιέχει τον μικροκώδικα που παρέχεται από κατασκευαστές CPU. Εάν αυτή η γραμμή είναι Αληθής, υπάρχουν οι απαιτούμενες δυνατότητες υλικού. Εάν η γραμμή είναι False, οι απαιτούμενες δυνατότητες υλικού δεν υπάρχουν. Επομένως, ο μετριασμός της έγχυσης προορισμού κλάδου δεν μπορεί να ενεργοποιηθεί. Σημείωση Το BTIHardwarePresent θα είναι True στις εικονικές κάρτες επισκεπτών, αν η ενημέρωση OEM εφαρμοστεί στον κεντρικό υπολογιστή καιακολουθηθούν οδηγίες. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου |
Αντιστοιχίζει σε BTIWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου. Αν είναι αληθές, το λειτουργικό σύστημα υποστηρίζει την ενεργοποίηση του μετριασμού του branch target injection (και, επομένως, έχει εγκαταστήσει την ενημέρωση του Ιανουαρίου 2018). Αν είναι False, η ενημέρωση του Ιανουαρίου 2018 δεν είναι εγκατεστημένη στη συσκευή και δεν είναι δυνατή η ενεργοποίηση του μετριασμού της εισαγωγής προορισμού κλάδου. Σημείωση Αν μια φιλοξενούμενη εικονική μηχανή δεν μπορεί να εντοπίσει την ενημέρωση υλικού κεντρικού υπολογιστή, το BTIWindowsSupportEnabled θα είναι πάντα False. |
Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου είναι ενεργοποιημένη |
Χάρτες σε BTIWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν έχει ενεργοποιηθεί η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου. Αν είναι Αληθές, η υποστήριξη υλικού και η υποστήριξη λειτουργικού συστήματος για τον μετριασμό της ένεσης προορισμού κλάδου είναι ενεργοποιημένη για τη συσκευή, προστατεύοντας έτσι από το CVE-2017-5715. Εάν είναι False, ισχύει μία από τις ακόλουθες συνθήκες:
|
Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου απενεργοποιείται από την πολιτική συστήματος |
Αντιστοιχίσεις σε BTIDisabledBySystemPolicy. Αυτή η γραμμή σάς ενημερώνει εάν ο μετριασμός της εισαγωγής προορισμού κλάδου είναι απενεργοποιημένος από την πολιτική συστήματος (όπως μια πολιτική που ορίζεται από διαχειριστή). Η πολιτική συστήματος αναφέρεται στους ελέγχους μητρώου όπως τεκμηριώνεται στην ενημέρωση KB4072698. Εάν είναι αληθές, η πολιτική συστήματος είναι υπεύθυνη για την απενεργοποίηση του μετριασμού. Εάν είναι False, ο μετριασμός απενεργοποιείται από διαφορετική αιτία. |
Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου είναι απενεργοποιημένη λόγω απουσίας υποστήριξης υλικού |
Αντιστοιχίζει σε BTIDisabledByNoHardwareSupport. Αυτή η γραμμή σάς ενημερώνει αν ο μετριασμός της ένεσης προορισμού κλάδου είναι απενεργοποιημένος λόγω απουσίας υποστήριξης υλικού. Αν είναι αληθές, η απουσία υποστήριξης υλικού είναι υπεύθυνη για την απενεργοποίηση της μετριασμού. Εάν είναι False, ο μετριασμός απενεργοποιείται από διαφορετική αιτία. ΣημείωσηΑν μια φιλοξενούμενη εικονική μηχανή δεν μπορεί να εντοπίσει την ενημέρωση υλικού κεντρικού υπολογιστή, η BTIDisabledByNoHardwareSupport θα είναι πάντα αληθής. |
Ρυθμίσεις ελέγχου εικοτολογιών για CVE-2017-5754 [μη παραπλανητικός φόρτος cache δεδομένων] |
Αυτή η ενότητα παρέχει συνοπτική κατάσταση συστήματος για τη μεταβλητή 3, CVE-2017-5754, μη παραπλανητική φόρτωση cache δεδομένων. Ο μετριασμός για αυτό είναι γνωστός ως σκιά εικονικής διεύθυνσης πυρήνα (VA) ή μετριασμός του μη παραπλανητικού φόρτου cache δεδομένων. |
Το υλικό είναι ευάλωτο σε παραπλανητικό φόρτο cache δεδομένων |
Χάρτες προς RdclHardwareProtected. Αυτή η γραμμή σάς ενημερώνει αν το υλικό είναι ευάλωτο στο CVE-2017-5754. Εάν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2017-5754. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο στο CVE-2017-5754. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητική μετεγκατάσταση φόρτου cache δεδομένων |
Χάρτες προς KVAShadowWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη δυνατότητα σκίασης πυρήνα VA. |
Η υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητικούς περιορισμούς φόρτωσης cache δεδομένων είναι ενεργοποιημένη |
Χάρτες σε KVAShadowWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει εάν είναι ενεργοποιημένη η δυνατότητα σκίασης VA πυρήνα. Αν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2017-5754, η υποστήριξη του λειτουργικού συστήματος Windows είναι παρούσα και η δυνατότητα είναι ενεργοποιημένη. |
Για το υλικό απαιτείται σκίαση πυρήνα VA |
Χάρτες για την KVAShadowRequired. Αυτή η γραμμή σάς ενημερώνει εάν το σύστημά σας απαιτεί σκίαση VA πυρήνα για τον μετριασμό μιας ευπάθειας. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα |
Χάρτες προς KVAShadowWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη δυνατότητα σκίασης πυρήνα VA. Αν είναι αληθές, η ενημέρωση του Ιανουαρίου 2018 εγκαθίσταται στη συσκευή και η σκιά VA πυρήνα υποστηρίζεται. Εάν είναι False, η ενημέρωση του Ιανουαρίου 2018 δεν εγκαθίσταται και δεν υπάρχει υποστήριξη σκιάς VA πυρήνα. |
Η υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα είναι ενεργοποιημένη |
Χάρτες σε KVAShadowWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει εάν είναι ενεργοποιημένη η δυνατότητα σκίασης VA πυρήνα. Αν είναι αληθές, υπάρχει υποστήριξη για το λειτουργικό σύστημα Windows και η δυνατότητα είναι ενεργοποιημένη. Η δυνατότητα σκιάς KERNEL VA είναι ενεργοποιημένη από προεπιλογή στις εκδόσεις προγράμματος-πελάτη των Windows και είναι απενεργοποιημένη από προεπιλογή στις εκδόσεις του Windows Server. Αν είναι False, είτε η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει είτε η δυνατότητα δεν είναι ενεργοποιημένη. |
Η υποστήριξη λειτουργικού συστήματος Windows για βελτιστοποίηση επιδόσεων PCID είναι ενεργοποιημένη ΣημείωσηΤο PCID δεν απαιτείται για την ασφάλεια. Υποδεικνύει μόνο εάν έχει ενεργοποιηθεί μια βελτίωση επιδόσεων. Το PCID δεν υποστηρίζεται με τον Windows Server 2008 R2 |
Χάρτες σε KVAShadowPcidEnabled. Αυτή η γραμμή σάς ενημερώνει εάν έχει ενεργοποιηθεί πρόσθετη βελτιστοποίηση επιδόσεων για τη σκιά VA πυρήνα. Εάν είναι αληθές, η σκιά VA πυρήνα είναι ενεργοποιημένη, υπάρχει υποστήριξη υλικού για PCID και είναι ενεργοποιημένη η βελτιστοποίηση PCID για τη σκιά VA πυρήνα. Εάν είναι False, το υλικό ή το λειτουργικό σύστημα ενδέχεται να μην υποστηρίζουν PCID. Δεν αποτελεί αδυναμία ασφαλείας για να μην ενεργοποιηθεί η βελτιστοποίηση PCID. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για speculative Store Bypass Disable |
Αντιστοιχίζει στο SSBDWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για speculative Store Bypass Disable. Αν είναι αληθές, η ενημέρωση του Ιανουαρίου 2018 εγκαθίσταται στη συσκευή και η σκιά VA πυρήνα υποστηρίζεται. Εάν είναι False, η ενημέρωση του Ιανουαρίου 2018 δεν εγκαθίσταται και δεν υπάρχει υποστήριξη σκιάς VA πυρήνα. |
Το υλικό απαιτεί την απενεργοποίηση της μη κερδοσκοπικής παράκαμψης του Store |
Αντιστοιχίζει σε SSBDHardwareVulnerablePresent. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο στο CVE-2018-3639. Εάν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2018-3639. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο στο CVE-2018-3639. |
Υπάρχει υποστήριξη υλικού για υποθετική απενεργοποίηση παράκαμψης του store |
Αντιστοιχίζει στο SSBDHardwarePresent. Αυτή η γραμμή σάς ενημερώνει εάν υπάρχουν δυνατότητες υλικού για την υποστήριξη της απενεργοποίησης speculative store bypass. Ο OEM της συσκευής είναι υπεύθυνος για την παροχή του ενημερωμένου BIOS/υλικολογισμικού που περιέχει τον μικροκώδικα που παρέχεται από την Intel. Εάν αυτή η γραμμή είναι Αληθής, υπάρχουν οι απαιτούμενες δυνατότητες υλικού. Εάν η γραμμή είναι False, οι απαιτούμενες δυνατότητες υλικού δεν υπάρχουν. Επομένως, δεν είναι δυνατή η ενεργοποίηση της δυνατότητας Speculative Store Bypass Disable. Σημείωση SSBDHardwarePresent will be True in guest VMs if the OEM update is applied to the host. |
Η υποστήριξη λειτουργικού συστήματος Windows για την Υποθετική απενεργοποίηση παράκαμψης του Store είναι ενεργοποιημένη |
Αντιστοιχίζει στο SSBDWindowsSupportEnabledSystemWide. Αυτή η γραμμή σάς ενημερώνει εάν είναι ενεργοποιημένη η Δυνατότητα απενεργοποίησης μη κερδοσκοπικής παράκαμψης του Store στο λειτουργικό σύστημα Windows. Εάν είναι αληθές, η υποστήριξη υλικού και η υποστήριξη λειτουργικού συστήματος για την Speculative Store Bypass Disable είναι ενεργοποιημένη για τη συσκευή που αποτρέπει την εμφάνιση μιας παράκαμψης speculative Store, εξαλείφοντας έτσι πλήρως τον κίνδυνο ασφαλείας. Εάν είναι False, ισχύει μία από τις ακόλουθες συνθήκες:
|
Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2018-3620 [Σφάλμα τερματικού L1] |
Αυτή η ενότητα παρέχει την κατάσταση του συστήματος σύνοψης για το L1TF (λειτουργικό σύστημα) στο οποίο αναφέρεται το CVE-2018-3620. Αυτός ο μετριασμός εξασφαλίζει ότι χρησιμοποιούνται ασφαλή bit πλαισίου σελίδας για μη παρούσες ή μη έγκυρες καταχωρήσεις πίνακα σελίδων. Σημείωση Αυτή η ενότητα δεν παρέχει σύνοψη της κατάστασης μετριασμού για το L1TF (VMM) στο οποίο αναφέρεται το CVE-2018-3646. |
Το υλικό είναι ευάλωτο σε σφάλμα τερματικού L1: True |
Αντιστοιχεί στο L1TFHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε σφάλμα τερματικού L1 (L1TF, CVE-2018-3620). Εάν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2018-3620. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο στο CVE-2018-3620. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1: True |
Αντιστοιχίζει στο L1TFWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος L1 Terminal Fault (L1TF). Αν είναι αληθές, η ενημέρωση του Αυγούστου 2018 είναι εγκατεστημένη στη συσκευή και υπάρχει ο μετριασμός για το CVE-2018-3620 . Αν είναι False, η ενημέρωση του Αυγούστου 2018 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για το CVE-2018-3620. |
Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1 είναι ενεργοποιημένη: True |
Αντιστοιχίζει σε L1TFWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός του λειτουργικού συστήματος Windows για σφάλμα τερματικού L1 (L1TF, CVE-2018-3620). Αν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2018-3620, υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος. |
Ρυθμίσεις ελέγχου εικοτολογιών για MDS [Μικροαρχιτεκτωνική δειγματοληψία δεδομένων] |
Αυτή η ενότητα παρέχει κατάσταση συστήματος για το σύνολο ευπαθειών MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 και ADV220002. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό mds |
Αντιστοιχίζει στο MDSWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος Microarchitectural Data Sampling (MDS). Αν είναι αληθές, η ενημέρωση του Μαΐου 2019 εγκαθίσταται στη συσκευή και υπάρχει ο μετριασμός για το MDS. Εάν είναι False, η ενημέρωση του Μαΐου 2019 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για το MDS. |
Το υλικό είναι ευάλωτο στο MDS |
Αντιστοιχίζει στο MDSHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο στο σύνολο ευπαθειών Microarchitectural Data Sampling (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο. |
Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό MDS είναι ενεργοποιημένη |
Αντιστοιχίζει στο MDSWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός λειτουργικού συστήματος Windows για microarchitectural Data Sampling (MDS). Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες MDS, υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό SBDR |
Χάρτες προς FBClearWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος SBDR. Αν είναι αληθές, η ενημέρωση του Ιουνίου 2022 είναι εγκατεστημένη στη συσκευή και υπάρχει ο μετριασμός για την ενημέρωση SBDR. Αν είναι False, η ενημέρωση του Ιουνίου 2022 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για την ενημέρωση SBDR. |
Το υλικό είναι ευάλωτο σε SBDR |
Αντιστοιχίζει στο SBDRSSDPHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε SBDR [ανάγνωση κοινόχρηστων δεδομένων buffer] σύνολο ευπαθειών (CVE-2022-21123). Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο. |
Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό SBDR είναι ενεργοποιημένη |
Χάρτες προς FBClearWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός του λειτουργικού συστήματος Windows για SBDR [ανάγνωση κοινόχρηστων δεδομένων buffer]. Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες SBDR, υπάρχει η υποστήριξη windows που λειτουργεί για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP |
Χάρτες προς FBClearWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος FBSDP. Αν είναι αληθές, η ενημέρωση του Ιουνίου 2022 είναι εγκατεστημένη στη συσκευή και υπάρχει ο μετριασμός για το FBSDP. Εάν είναι False, η ενημέρωση του Ιουνίου 2022 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για το FBSDP. |
Το υλικό είναι ευάλωτο στο FBSDP |
Αντιστοιχίζει στο FBSDPHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε ένα σύνολο ευπαθειών (CVE-2022-21125, CVE-2022-2022-CVE-2022-21127 και CVE-2022-21166). Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο. |
Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP είναι ενεργοποιημένη |
Χάρτες προς FBClearWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός λειτουργικού συστήματος Windows για FBSDP [μετάδοση μη ενημερωμένων δεδομένων buffer γεμίσματος]. Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες FBSDP, η λειτουργική υποστήριξη των Windows για τον μετριασμό υπάρχει και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος. |
Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό της PSDP |
Χάρτες προς FBClearWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος PSDP. Αν είναι αληθές, η ενημέρωση του Ιουνίου 2022 εγκαθίσταται στη συσκευή και υπάρχει ο μετριασμός για το PSDP. Αν είναι False, η ενημέρωση του Ιουνίου 2022 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για την PSDP. |
Το υλικό είναι ευάλωτο σε PSDP |
Αντιστοιχεί στο PSDPHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε ευπάθειες PSDP [πρωτεύων μη ενημερωμένων δεδομένων]. Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο. |
Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του PSDP είναι ενεργοποιημένη |
Χάρτες προς FBClearWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός λειτουργικού συστήματος Windows για PSDP [πρωτεύων μπαγιάτικος πολλαπλασιασμός δεδομένων]. Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες PSDP, υπάρχει η υποστήριξη windows που λειτουργεί για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος. |
Έξοδος που έχει ενεργοποιημένους όλους τους μετριασμούς
Αναμένεται η ακόλουθη έξοδος για μια συσκευή με όλες τις μετριασμούς ενεργοποιημένες, μαζί με ό,τι είναι απαραίτητο για την ικανοποίηση κάθε συνθήκης.
BTIHardwarePresent: Εφαρμόστηκε ενημέρωση True -> OEM BIOS/υλικολογισμικούτις οδηγίες. BTIDisabledBySystemPolicy: False -> εξασφαλίσετε ότι δεν θα απενεργοποιηθεί από την πολιτική. BTIDisabledByNoHardwareSupport: False -> βεβαιωθείτε ότι έχει εφαρμοστεί η ενημέρωση OEM BIOS/υλικολογισμικού. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True ή False -> καμία ενέργεια, αυτή είναι μια συνάρτηση της CPU που χρησιμοποιεί ο υπολογιστής Εάν το KVAShadowRequired είναι αληθές KVAShadowWindowsSupportPresent: True -> εγκατάσταση της ενημέρωσης Ιανουαρίου 2018 KVAShadowWindowsSupportEnabled: True -> στον υπολογιστή-πελάτη, δεν απαιτείται καμία ενέργεια. Στο διακομιστή, ακολουθήστε τις οδηγίες. KVAShadowPcidEnabled: True ή False -> καμία ενέργεια, αυτή είναι μια συνάρτηση της CPU που χρησιμοποιεί ο υπολογιστής
BTIWindowsSupportPresent: Εγκατεστημένη ενημέρωση True -> Ιανουαρίου 2018 BTIWindowsSupportEnabled: True -> στον υπολογιστή-πελάτη, δεν απαιτείται καμία ενέργεια. Στο διακομιστή, ακολουθήστεΕάν το SSBDHardwareVulnerablePresent είναι TrueADV180012 SSBDHardwarePresent: True -> εγκαταστήσετε την ενημέρωση BIOS/υλικολογισμικού με υποστήριξη για SSBD από τον OEM της συσκευής σας SSBDWindowsSupportEnabledSystemWide: True -> ακολουθήστε τις προτεινόμενες ενέργειες για να ενεργοποιήσετε το SSBD
SSBDWindowsSupportPresent: True -> εγκαταστήσετε ενημερώσεις των Windows όπως τεκμηριώνεται στοΕάν το L1TFHardwareVulnerable είναι trueADV180018 L1TFWindowsSupportEnabled: True -> ακολουθήστε τις ενέργειες που περιγράφονται στο ADV180018 για Windows Server ή Client, ανάλογα με την περίπτωση, για να ενεργοποιήσετε τον μετριασμό L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> εγκατάσταση της ενημέρωσης Ιουνίου 2022 MDSHardwareVulnerable: Το υλικό False -> είναι γνωστό ότι δεν είναι ευάλωτο MDSWindowsSupportEnabled: Είναι ενεργοποιημένος ο μετριασμός True -> για τη δειγματοληψία δεδομένων μικροαρχιτεκτών (MDS) FBClearWindowsSupportPresent: True -> εγκατάσταση της ενημέρωσης Ιουνίου 2022 SBDRSSDPHardwareVulnerable: Το υλικό True -> πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες FBSDPHardwareVulnerable: Το υλικό True -> πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες PSDPHardwareVulnerable: Το υλικό True-> πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες FBClearWindowsSupportEnabled: True -> Αντιπροσωπεύει την ενεργοποίηση μετριασμού για SBDR/FBSDP/PSDP. Βεβαιωθείτε ότι το OEM BIOS/υλικολογισμικό έχει ενημερωθεί, ότι το FBClearWindowsSupportPresent είναι True, οι μετριασμούς ενεργοποιούνται όπως περιγράφεται στα ADV220002 και KVAShadowWindowsSupportEnabled είναι True.
L1TFWindowsSupportPresent: True -> εγκαταστήστε ενημερώσεις των Windows όπως τεκμηριώνεται στοΜητρώου
Ο παρακάτω πίνακας αντιστοιχίσει το αποτέλεσμα με τα κλειδιά μητρώου που καλύπτονται στην ενημέρωση KB4072698: Οδηγίες για Windows Server και Azure Stack HCI για προστασία από μικροαρχιτεκτώματα και ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού που βασίζονται σε silicon.
Κλειδί μητρώου |
Αντιστοίχιση |
FeatureSettingsOverride – Bit 0 |
Χάρτες προς - Εισαγωγή προορισμού κλάδου - BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Αντιστοιχίζει σε - Φορτίο cache δεδομένων Rogue - VAShadowWindowsSupportEnabled |
Αναφορές
Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.