Applies ToWindows 11 Windows 10

Αλλαγή ημερομηνίας

Περιγραφή αλλαγής

17 Ιουλίου 2023

Προστέθηκε MMIO και συγκεκριμένες περιγραφές των τιμών εξόδου στην ενότητα "Έξοδος που έχει ενεργοποιημένους όλους τους μετριασμούς"

Σύνοψη

Για να σας βοηθήσουμε να επαληθεύσετε την κατάσταση των μετριαστικών εκτέλεσης πλευρικού καναλιού, δημοσιεύσαμε μια δέσμη ενεργειών PowerShell (SpeculationControl) που μπορεί να εκτελεστεί στις συσκευές σας. Αυτό το άρθρο εξηγεί πώς μπορείτε να εκτελέσετε τη δέσμη ενεργειών SpeculationControl και τι σημαίνει το αποτέλεσμα.

Οι προειδοποιήσεις ασφαλείας ADV180002, ADV180012, ADV180018 και ADV190013 καλύπτουν τις ακόλουθες εννέα ευπάθειες:

  • CVE-2017-5715 (εισαγωγή προορισμού κλάδου)

  • CVE-2017-5753 (παράκαμψη ελέγχου ορίων)

    Σημείωση Για την προστασία για CVE-2017-5753 (έλεγχος ορίων) δεν απαιτούνται πρόσθετες ρυθμίσεις μητρώου ή ενημερώσεις υλικολογισμικού.  

  • CVE-2017-5754 (μη παραπλανητικός φόρτος cache δεδομένων)

  • CVE-2018-3639 (κερδοσκοπική παράκαμψη καταστήματος)

  • CVE-2018-3620 (Σφάλμα τερματικού L1 – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Unacheable Memory (MDSUM))

  • CVE-2018-12126 (Δειγματοληψία δεδομένων buffer μικροαρχιτεκτωνικού χώρου αποθήκευσης (MSBDS))

  • CVE-2018-12127 (Δειγματοληψία δεδομένων θύρας φορτίου μικροαρχιτιστικών (MLPDS))

  • CVE-2018-12130 (δειγματοληψία δεδομένων buffer μικροαρχιτεκτικής συμπλήρωσης (MFBDS))

Το Advisory ADV220002 καλύπτει πρόσθετες ευπάθειες που σχετίζονται με Memory-Mapped I/O (MMIO):

  • CVE-2022-21123 | Ανάγνωση κοινόχρηστων δεδομένων buffer (SBDR)

  • CVE-2022-21125 | Δειγματοληψία κοινόχρηστων δεδομένων buffer (SBDS)

  • CVE-2022-21127 | Ενημέρωση δειγματοληψίας buffer ειδικών καταχωρήσεων (ενημέρωση SRBDS)

  • CVE-2022-21166 | Καταχώρηση μερικής εγγραφής συσκευής (DRPW)

Αυτό το άρθρο παρέχει λεπτομέρειες σχετικά με τη δέσμη ενεργειών SpeculationControl PowerShell που σας βοηθά να προσδιορίσετε την κατάσταση των μετριασμών για τα CVEs που παρατίθενται, οι οποίες απαιτούν πρόσθετες ρυθμίσεις μητρώου και, σε ορισμένες περιπτώσεις, ενημερώσεις υλικολογισμικού.

Περισσότερες πληροφορίες

Δέσμη ενεργειών του PowerShell SpeculationControl

Εγκαταστήστε και εκτελέστε τη δέσμη ενεργειών SpeculationControl χρησιμοποιώντας μία από τις παρακάτω μεθόδους.

Μέθοδος 1: Επαλήθευση PowerShell με χρήση της Συλλογής PowerShell (Windows Server 2016 ή WMF 5.0/5.1)

Εγκατάσταση της λειτουργικής μονάδας PowerShell

PS> Install-Module SpeculationControl

Εκτελέστε τη λειτουργική μονάδα SpeculationControl PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Μέθοδος 2: Επαλήθευση PowerShell με χρήση λήψης από το TechNet (παλαιότερες εκδόσεις λειτουργικού συστήματος/παλαιότερες εκδόσεις WMF)

Εγκατάσταση της λειτουργικής μονάδας PowerShell από το TechNet ScriptCenter

  1. Μεταβείτε στην https://aka.ms/SpeculationControlPS.

  2. Κάντε λήψη SpeculationControl.zip σε έναν τοπικό φάκελο.

  3. Εξαγωγή των περιεχομένων σε έναν τοπικό φάκελο, για παράδειγμα C:\ADV180002

Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας

Εκκινήστε το PowerShell και, στη συνέχεια, (χρησιμοποιώντας το παραπάνω παράδειγμα) αντιγράψτε και εκτελέστε τις ακόλουθες εντολές:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Έξοδος δέσμης ενεργειών PowerShell

Το αποτέλεσμα της δέσμης ενεργειών SpeculationControl PowerShell θα μοιάζει με το ακόλουθο αποτέλεσμα. Τα ενεργοποιημένα μέτρα προστασίας εμφανίζονται στο αποτέλεσμα ως "True".

PS C:\> Get-SpeculationControlSettings

Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2017-5715 [εισαγωγή προορισμού κλάδου]

Υπάρχει υποστήριξη υλικού για μετριασμός εισαγωγής προορισμού κλάδου: False Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου είναι παρούσα: True Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου είναι ενεργοποιημένη: False Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου απενεργοποιείται από την πολιτική συστήματος: True Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου απενεργοποιείται λόγω απουσίας υποστήριξης υλικού: True

Ρυθμίσεις ελέγχου εικοτολογιών για CVE-2017-5754 [μη παραπλανητικός φόρτος cache δεδομένων]

Το υλικό είναι ευάλωτο σε παραπλανητικό φόρτο cache δεδομένων: True Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητικούς μετριασμούς φόρτου cache δεδομένων: True Η υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητικούς μετριασμούς φόρτου cache δεδομένων είναι ενεργοποιημένη: True Το υλικό απαιτεί σκίαση VA πυρήνα: True Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα: False Η υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα είναι ενεργοποιημένη: False Η υποστήριξη λειτουργικού συστήματος Windows για βελτιστοποίηση PCID είναι ενεργοποιημένη: False Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2018-3639 [κερδοσκοπική παράκαμψη καταστήματος]

Το υλικό είναι ευάλωτο σε υποθετική παράκαμψη του store: True Υπάρχει υποστήριξη υλικού για μη κερδοσκοπικούς μετριασμούς παράκαμψης καταστήματος: False Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μη κερδοσκοπικούς μετριασμούς παράκαμψης του store: True Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της παράκαμψης του speculative store ενεργοποιείται σε ολόκληρο το σύστημα: False

Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2018-3620 [Σφάλμα τερματικού L1]

Το υλικό είναι ευάλωτο σε σφάλμα τερματικού L1: True Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1 είναι ενεργοποιημένη: True

Ρυθμίσεις ελέγχου εικοτολογιών για MDS [δειγματοληψία μικροαρχιτεκτωνικών δεδομένων]

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμού MDS: True Το υλικό είναι ευάλωτο στο MDS: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό MDS είναι ενεργοποιημένη: True

Ρυθμίσεις ελέγχου κερδοσκοπίας για SBDR [ανάγνωση κοινόχρηστων δεδομένων buffer] 

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμού SBDR: True Το υλικό είναι ευάλωτο σε SBDR: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό SBDR είναι ενεργοποιημένη: True 

Ρυθμίσεις ελέγχου κερδοσκοπίας για το FBSDP [μετάδοση μη ενημερωμένων δεδομένων γεμίσματος buffer] Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP: True Το υλικό είναι ευάλωτο στο FBSDP: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP είναι ενεργοποιημένη: True 

Ρυθμίσεις ελέγχου εικοτολογιών για PSDP [μη ενημερωμένος πολλαπλασιασμός δεδομένων]

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό της psdp: True Το υλικό είναι ευάλωτο σε PSDP: True Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό της psdp είναι ενεργοποιημένη: True

BTIHardwarePresent: True BTIWindowsSupportΠροετοιμασία: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportΠρόσμενο: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Επεξήγηση της εξόδου δέσμης ενεργειών SpeculationControl του PowerShell

Το τελικό πλέγμα εξόδου αντιστοιχεί στην έξοδο των προηγούμενων γραμμών. Αυτό εμφανίζεται επειδή το PowerShell εκτυπώνει το αντικείμενο που επιστρέφεται από μια συνάρτηση. Ο παρακάτω πίνακας εξηγεί κάθε γραμμή στο αποτέλεσμα της δέσμης ενεργειών PowerShell.

Εξόδου

Εξήγηση

Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2017-5715 [εισαγωγή προορισμού κλάδου]

Αυτή η ενότητα παρέχει την κατάσταση συστήματος για την παραλλαγή 2, CVE-2017-5715, ένεση προορισμού κλάδου.

Υποστήριξη υλικού για τον μετριασμό της ένεσης προορισμού κλάδου υπάρχει

Αντιστοιχίζει σε BTIHardwarePresent. Αυτή η γραμμή σάς ενημερώνει εάν υπάρχουν δυνατότητες υλικού που υποστηρίζουν τον μετριασμό της ένεσης προορισμού κλάδου. Ο OEM της συσκευής είναι υπεύθυνος για την παροχή του ενημερωμένου BIOS/υλικολογισμικού που περιέχει τον μικροκώδικα που παρέχεται από κατασκευαστές CPU. Εάν αυτή η γραμμή είναι Αληθής, υπάρχουν οι απαιτούμενες δυνατότητες υλικού. Εάν η γραμμή είναι False, οι απαιτούμενες δυνατότητες υλικού δεν υπάρχουν. Επομένως, ο μετριασμός της έγχυσης προορισμού κλάδου δεν μπορεί να ενεργοποιηθεί.

Σημείωση Το BTIHardwarePresent θα είναι True στις εικονικές κάρτες επισκεπτών, αν η ενημέρωση OEM εφαρμοστεί στον κεντρικό υπολογιστή καιακολουθηθούν οδηγίες.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου

Αντιστοιχίζει σε BTIWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου. Αν είναι αληθές, το λειτουργικό σύστημα υποστηρίζει την ενεργοποίηση του μετριασμού του branch target injection (και, επομένως, έχει εγκαταστήσει την ενημέρωση του Ιανουαρίου 2018). Αν είναι False, η ενημέρωση του Ιανουαρίου 2018 δεν είναι εγκατεστημένη στη συσκευή και δεν είναι δυνατή η ενεργοποίηση του μετριασμού της εισαγωγής προορισμού κλάδου.

Σημείωση Αν μια φιλοξενούμενη εικονική μηχανή δεν μπορεί να εντοπίσει την ενημέρωση υλικού κεντρικού υπολογιστή, το BTIWindowsSupportEnabled θα είναι πάντα False.

Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου είναι ενεργοποιημένη

Χάρτες σε BTIWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν έχει ενεργοποιηθεί η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου. Αν είναι Αληθές, η υποστήριξη υλικού και η υποστήριξη λειτουργικού συστήματος για τον μετριασμό της ένεσης προορισμού κλάδου είναι ενεργοποιημένη για τη συσκευή, προστατεύοντας έτσι από το CVE-2017-5715. Εάν είναι False, ισχύει μία από τις ακόλουθες συνθήκες:

  • Δεν υπάρχει υποστήριξη υλικού.

  • Η υποστήριξη του λειτουργικού συστήματος δεν υπάρχει.

  • Ο μετριασμός απενεργοποιείται από την πολιτική συστήματος.

Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της εισαγωγής προορισμού κλάδου απενεργοποιείται από την πολιτική συστήματος

Αντιστοιχίσεις σε BTIDisabledBySystemPolicy. Αυτή η γραμμή σάς ενημερώνει εάν ο μετριασμός της εισαγωγής προορισμού κλάδου είναι απενεργοποιημένος από την πολιτική συστήματος (όπως μια πολιτική που ορίζεται από διαχειριστή). Η πολιτική συστήματος αναφέρεται στους ελέγχους μητρώου όπως τεκμηριώνεται στην ενημέρωση KB4072698. Εάν είναι αληθές, η πολιτική συστήματος είναι υπεύθυνη για την απενεργοποίηση του μετριασμού. Εάν είναι False, ο μετριασμός απενεργοποιείται από διαφορετική αιτία.

Η υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό της ένεσης προορισμού κλάδου είναι απενεργοποιημένη λόγω απουσίας υποστήριξης υλικού

Αντιστοιχίζει σε BTIDisabledByNoHardwareSupport. Αυτή η γραμμή σάς ενημερώνει αν ο μετριασμός της ένεσης προορισμού κλάδου είναι απενεργοποιημένος λόγω απουσίας υποστήριξης υλικού. Αν είναι αληθές, η απουσία υποστήριξης υλικού είναι υπεύθυνη για την απενεργοποίηση της μετριασμού. Εάν είναι False, ο μετριασμός απενεργοποιείται από διαφορετική αιτία.

ΣημείωσηΑν μια φιλοξενούμενη εικονική μηχανή δεν μπορεί να εντοπίσει την ενημέρωση υλικού κεντρικού υπολογιστή, η BTIDisabledByNoHardwareSupport θα είναι πάντα αληθής.

Ρυθμίσεις ελέγχου εικοτολογιών για CVE-2017-5754 [μη παραπλανητικός φόρτος cache δεδομένων]

Αυτή η ενότητα παρέχει συνοπτική κατάσταση συστήματος για τη μεταβλητή 3, CVE-2017-5754, μη παραπλανητική φόρτωση cache δεδομένων. Ο μετριασμός για αυτό είναι γνωστός ως σκιά εικονικής διεύθυνσης πυρήνα (VA) ή μετριασμός του μη παραπλανητικού φόρτου cache δεδομένων.

Το υλικό είναι ευάλωτο σε παραπλανητικό φόρτο cache δεδομένων

Χάρτες προς RdclHardwareProtected. Αυτή η γραμμή σάς ενημερώνει αν το υλικό είναι ευάλωτο στο CVE-2017-5754. Εάν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2017-5754. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο στο CVE-2017-5754.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητική μετεγκατάσταση φόρτου cache δεδομένων

Χάρτες προς KVAShadowWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη δυνατότητα σκίασης πυρήνα VA.

Η υποστήριξη λειτουργικού συστήματος Windows για μη παραπλανητικούς περιορισμούς φόρτωσης cache δεδομένων είναι ενεργοποιημένη

Χάρτες σε KVAShadowWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει εάν είναι ενεργοποιημένη η δυνατότητα σκίασης VA πυρήνα. Αν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2017-5754, η υποστήριξη του λειτουργικού συστήματος Windows είναι παρούσα και η δυνατότητα είναι ενεργοποιημένη.

Για το υλικό απαιτείται σκίαση πυρήνα VA

Χάρτες για την KVAShadowRequired. Αυτή η γραμμή σάς ενημερώνει εάν το σύστημά σας απαιτεί σκίαση VA πυρήνα για τον μετριασμό μιας ευπάθειας.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα

Χάρτες προς KVAShadowWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τη δυνατότητα σκίασης πυρήνα VA. Αν είναι αληθές, η ενημέρωση του Ιανουαρίου 2018 εγκαθίσταται στη συσκευή και η σκιά VA πυρήνα υποστηρίζεται. Εάν είναι False, η ενημέρωση του Ιανουαρίου 2018 δεν εγκαθίσταται και δεν υπάρχει υποστήριξη σκιάς VA πυρήνα.

Η υποστήριξη λειτουργικού συστήματος Windows για τη σκιά VA πυρήνα είναι ενεργοποιημένη

Χάρτες σε KVAShadowWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει εάν είναι ενεργοποιημένη η δυνατότητα σκίασης VA πυρήνα. Αν είναι αληθές, υπάρχει υποστήριξη για το λειτουργικό σύστημα Windows και η δυνατότητα είναι ενεργοποιημένη. Η δυνατότητα σκιάς KERNEL VA είναι ενεργοποιημένη από προεπιλογή στις εκδόσεις προγράμματος-πελάτη των Windows και είναι απενεργοποιημένη από προεπιλογή στις εκδόσεις του Windows Server. Αν είναι False, είτε η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει είτε η δυνατότητα δεν είναι ενεργοποιημένη.

Η υποστήριξη λειτουργικού συστήματος Windows για βελτιστοποίηση επιδόσεων PCID είναι ενεργοποιημένη

ΣημείωσηΤο PCID δεν απαιτείται για την ασφάλεια. Υποδεικνύει μόνο εάν έχει ενεργοποιηθεί μια βελτίωση επιδόσεων. Το PCID δεν υποστηρίζεται με τον Windows Server 2008 R2

Χάρτες σε KVAShadowPcidEnabled. Αυτή η γραμμή σάς ενημερώνει εάν έχει ενεργοποιηθεί πρόσθετη βελτιστοποίηση επιδόσεων για τη σκιά VA πυρήνα. Εάν είναι αληθές, η σκιά VA πυρήνα είναι ενεργοποιημένη, υπάρχει υποστήριξη υλικού για PCID και είναι ενεργοποιημένη η βελτιστοποίηση PCID για τη σκιά VA πυρήνα. Εάν είναι False, το υλικό ή το λειτουργικό σύστημα ενδέχεται να μην υποστηρίζουν PCID. Δεν αποτελεί αδυναμία ασφαλείας για να μην ενεργοποιηθεί η βελτιστοποίηση PCID.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για speculative Store Bypass Disable

Αντιστοιχίζει στο SSBDWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για speculative Store Bypass Disable. Αν είναι αληθές, η ενημέρωση του Ιανουαρίου 2018 εγκαθίσταται στη συσκευή και η σκιά VA πυρήνα υποστηρίζεται. Εάν είναι False, η ενημέρωση του Ιανουαρίου 2018 δεν εγκαθίσταται και δεν υπάρχει υποστήριξη σκιάς VA πυρήνα.

Το υλικό απαιτεί την απενεργοποίηση της μη κερδοσκοπικής παράκαμψης του Store

Αντιστοιχίζει σε SSBDHardwareVulnerablePresent. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο στο CVE-2018-3639. Εάν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2018-3639. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο στο CVE-2018-3639.

Υπάρχει υποστήριξη υλικού για υποθετική απενεργοποίηση παράκαμψης του store

Αντιστοιχίζει στο SSBDHardwarePresent. Αυτή η γραμμή σάς ενημερώνει εάν υπάρχουν δυνατότητες υλικού για την υποστήριξη της απενεργοποίησης speculative store bypass. Ο OEM της συσκευής είναι υπεύθυνος για την παροχή του ενημερωμένου BIOS/υλικολογισμικού που περιέχει τον μικροκώδικα που παρέχεται από την Intel. Εάν αυτή η γραμμή είναι Αληθής, υπάρχουν οι απαιτούμενες δυνατότητες υλικού. Εάν η γραμμή είναι False, οι απαιτούμενες δυνατότητες υλικού δεν υπάρχουν. Επομένως, δεν είναι δυνατή η ενεργοποίηση της δυνατότητας Speculative Store Bypass Disable.

Σημείωση SSBDHardwarePresent will be True in guest VMs if the OEM update is applied to the host.

Η υποστήριξη λειτουργικού συστήματος Windows για την Υποθετική απενεργοποίηση παράκαμψης του Store είναι ενεργοποιημένη

Αντιστοιχίζει στο SSBDWindowsSupportEnabledSystemWide. Αυτή η γραμμή σάς ενημερώνει εάν είναι ενεργοποιημένη η Δυνατότητα απενεργοποίησης μη κερδοσκοπικής παράκαμψης του Store στο λειτουργικό σύστημα Windows. Εάν είναι αληθές, η υποστήριξη υλικού και η υποστήριξη λειτουργικού συστήματος για την Speculative Store Bypass Disable είναι ενεργοποιημένη για τη συσκευή που αποτρέπει την εμφάνιση μιας παράκαμψης speculative Store, εξαλείφοντας έτσι πλήρως τον κίνδυνο ασφαλείας. Εάν είναι False, ισχύει μία από τις ακόλουθες συνθήκες:

Ρυθμίσεις ελέγχου κερδοσκοπίας για CVE-2018-3620 [Σφάλμα τερματικού L1]

Αυτή η ενότητα παρέχει την κατάσταση του συστήματος σύνοψης για το L1TF (λειτουργικό σύστημα) στο οποίο αναφέρεται το CVE-2018-3620. Αυτός ο μετριασμός εξασφαλίζει ότι χρησιμοποιούνται ασφαλή bit πλαισίου σελίδας για μη παρούσες ή μη έγκυρες καταχωρήσεις πίνακα σελίδων.

Σημείωση Αυτή η ενότητα δεν παρέχει σύνοψη της κατάστασης μετριασμού για το L1TF (VMM) στο οποίο αναφέρεται το CVE-2018-3646.

Το υλικό είναι ευάλωτο σε σφάλμα τερματικού L1: True

Αντιστοιχεί στο L1TFHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε σφάλμα τερματικού L1 (L1TF, CVE-2018-3620). Εάν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2018-3620. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο στο CVE-2018-3620.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1: True

Αντιστοιχίζει στο L1TFWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος L1 Terminal Fault (L1TF). Αν είναι αληθές, η ενημέρωση του Αυγούστου 2018 είναι εγκατεστημένη στη συσκευή και υπάρχει ο μετριασμός για το CVE-2018-3620 . Αν είναι False, η ενημέρωση του Αυγούστου 2018 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για το CVE-2018-3620.

Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμός σφαλμάτων τερματικού L1 είναι ενεργοποιημένη: True

Αντιστοιχίζει σε L1TFWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός του λειτουργικού συστήματος Windows για σφάλμα τερματικού L1 (L1TF, CVE-2018-3620). Αν είναι αληθές, το υλικό πιστεύεται ότι είναι ευάλωτο στο CVE-2018-3620, υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος.

Ρυθμίσεις ελέγχου εικοτολογιών για MDS [Μικροαρχιτεκτωνική δειγματοληψία δεδομένων]

Αυτή η ενότητα παρέχει κατάσταση συστήματος για το σύνολο ευπαθειών MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 και ADV220002.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό mds

Αντιστοιχίζει στο MDSWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος Microarchitectural Data Sampling (MDS). Αν είναι αληθές, η ενημέρωση του Μαΐου 2019 εγκαθίσταται στη συσκευή και υπάρχει ο μετριασμός για το MDS. Εάν είναι False, η ενημέρωση του Μαΐου 2019 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για το MDS.

Το υλικό είναι ευάλωτο στο MDS

Αντιστοιχίζει στο MDSHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο στο σύνολο ευπαθειών Microarchitectural Data Sampling (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο.

Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό MDS είναι ενεργοποιημένη

Αντιστοιχίζει στο MDSWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός λειτουργικού συστήματος Windows για microarchitectural Data Sampling (MDS). Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες MDS, υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό SBDR

Χάρτες προς FBClearWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος SBDR. Αν είναι αληθές, η ενημέρωση του Ιουνίου 2022 είναι εγκατεστημένη στη συσκευή και υπάρχει ο μετριασμός για την ενημέρωση SBDR. Αν είναι False, η ενημέρωση του Ιουνίου 2022 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για την ενημέρωση SBDR.

Το υλικό είναι ευάλωτο σε SBDR

Αντιστοιχίζει στο SBDRSSDPHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε SBDR [ανάγνωση κοινόχρηστων δεδομένων buffer] σύνολο ευπαθειών (CVE-2022-21123). Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο.

Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό SBDR είναι ενεργοποιημένη

Χάρτες προς FBClearWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός του λειτουργικού συστήματος Windows για SBDR [ανάγνωση κοινόχρηστων δεδομένων buffer]. Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες SBDR, υπάρχει η υποστήριξη windows που λειτουργεί για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP

Χάρτες προς FBClearWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος FBSDP. Αν είναι αληθές, η ενημέρωση του Ιουνίου 2022 είναι εγκατεστημένη στη συσκευή και υπάρχει ο μετριασμός για το FBSDP. Εάν είναι False, η ενημέρωση του Ιουνίου 2022 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για το FBSDP.

Το υλικό είναι ευάλωτο στο FBSDP

Αντιστοιχίζει στο FBSDPHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε ένα σύνολο ευπαθειών (CVE-2022-21125, CVE-2022-2022-CVE-2022-21127 και CVE-2022-21166). Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο.

Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του FBSDP είναι ενεργοποιημένη

Χάρτες προς FBClearWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός λειτουργικού συστήματος Windows για FBSDP [μετάδοση μη ενημερωμένων δεδομένων buffer γεμίσματος]. Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες FBSDP, η λειτουργική υποστήριξη των Windows για τον μετριασμό υπάρχει και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος.

Υπάρχει υποστήριξη λειτουργικού συστήματος Windows για μετριασμό της PSDP

Χάρτες προς FBClearWindowsSupportPresent. Αυτή η γραμμή σάς ενημερώνει αν υπάρχει υποστήριξη λειτουργικού συστήματος Windows για τον μετριασμό του λειτουργικού συστήματος PSDP. Αν είναι αληθές, η ενημέρωση του Ιουνίου 2022 εγκαθίσταται στη συσκευή και υπάρχει ο μετριασμός για το PSDP. Αν είναι False, η ενημέρωση του Ιουνίου 2022 δεν εγκαθίσταται και δεν υπάρχει ο μετριασμός για την PSDP.

Το υλικό είναι ευάλωτο σε PSDP

Αντιστοιχεί στο PSDPHardwareVulnerable. Αυτή η γραμμή σάς ενημερώνει εάν το υλικό είναι ευάλωτο σε ευπάθειες PSDP [πρωτεύων μη ενημερωμένων δεδομένων]. Εάν είναι True, το υλικό πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες. Εάν είναι False, είναι γνωστό ότι το υλικό δεν είναι ευάλωτο.

Η υποστήριξη λειτουργικού συστήματος Windows για μετριασμό του PSDP είναι ενεργοποιημένη

Χάρτες προς FBClearWindowsSupportEnabled. Αυτή η γραμμή σάς ενημερώνει αν είναι ενεργοποιημένος ο μετριασμός λειτουργικού συστήματος Windows για PSDP [πρωτεύων μπαγιάτικος πολλαπλασιασμός δεδομένων]. Αν είναι αληθές, το υλικό πιστεύεται ότι επηρεάζεται από τις ευπάθειες PSDP, υπάρχει η υποστήριξη windows που λειτουργεί για τον μετριασμό και ο μετριασμός είναι ενεργοποιημένος. Αν είναι False, είτε το υλικό δεν είναι ευάλωτο, η υποστήριξη του λειτουργικού συστήματος Windows δεν υπάρχει ή ο μετριασμός δεν είναι ενεργοποιημένος.

Έξοδος που έχει ενεργοποιημένους όλους τους μετριασμούς

Αναμένεται η ακόλουθη έξοδος για μια συσκευή με όλες τις μετριασμούς ενεργοποιημένες, μαζί με ό,τι είναι απαραίτητο για την ικανοποίηση κάθε συνθήκης.

BTIHardwarePresent: Εφαρμόστηκε ενημέρωση True -> OEM BIOS/υλικολογισμικού BTIWindowsSupportPresent: Εγκατεστημένη ενημέρωση True -> Ιανουαρίου 2018 BTIWindowsSupportEnabled: True -> στον υπολογιστή-πελάτη, δεν απαιτείται καμία ενέργεια. Στο διακομιστή, ακολουθήστε τις οδηγίες.BTIDisabledBySystemPolicy: False -> εξασφαλίσετε ότι δεν θα απενεργοποιηθεί από την πολιτική.BTIDisabledByNoHardwareSupport: False -> βεβαιωθείτε ότι έχει εφαρμοστεί η ενημέρωση OEM BIOS/υλικολογισμικού.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True ή False -> καμία ενέργεια, αυτή είναι μια συνάρτηση της CPU που χρησιμοποιεί ο υπολογιστής Εάν το KVAShadowRequired είναι αληθές KVAShadowWindowsSupportPresent: True -> εγκατάσταση της ενημέρωσης Ιανουαρίου 2018 KVAShadowWindowsSupportEnabled: True -> στον υπολογιστή-πελάτη, δεν απαιτείται καμία ενέργεια. Στο διακομιστή, ακολουθήστε τις οδηγίες.KVAShadowPcidEnabled: True ή False -> καμία ενέργεια, αυτή είναι μια συνάρτηση της CPU που χρησιμοποιεί ο υπολογιστής

Εάν το SSBDHardwareVulnerablePresent είναι True SSBDWindowsSupportPresent: True -> εγκαταστήσετε ενημερώσεις των Windows όπως τεκμηριώνεται στο ADV180012 SSBDHardwarePresent: True -> εγκαταστήσετε την ενημέρωση BIOS/υλικολογισμικού με υποστήριξη για SSBD από τον OEM της συσκευής σας SSBDWindowsSupportEnabledSystemWide: True -> ακολουθήστε τις προτεινόμενες ενέργειες για να ενεργοποιήσετε το SSBD

Εάν το L1TFHardwareVulnerable είναι true L1TFWindowsSupportPresent: True -> εγκαταστήστε ενημερώσεις των Windows όπως τεκμηριώνεται στο ADV180018 L1TFWindowsSupportEnabled: True -> ακολουθήστε τις ενέργειες που περιγράφονται στο ADV180018 για Windows Server ή Client, ανάλογα με την περίπτωση, για να ενεργοποιήσετε τον μετριασμό L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> εγκατάσταση της ενημέρωσης Ιουνίου 2022 MDSHardwareVulnerable: Το υλικό False -> είναι γνωστό ότι δεν είναι ευάλωτο MDSWindowsSupportEnabled: Είναι ενεργοποιημένος ο μετριασμός True -> για τη δειγματοληψία δεδομένων μικροαρχιτεκτών (MDS) FBClearWindowsSupportPresent: True -> εγκατάσταση της ενημέρωσης Ιουνίου 2022 SBDRSSDPHardwareVulnerable: Το υλικό True -> πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες FBSDPHardwareVulnerable: Το υλικό True -> πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες PSDPHardwareVulnerable: Το υλικό True-> πιστεύεται ότι επηρεάζεται από αυτές τις ευπάθειες FBClearWindowsSupportEnabled: True -> Αντιπροσωπεύει την ενεργοποίηση μετριασμού για SBDR/FBSDP/PSDP. Βεβαιωθείτε ότι το OEM BIOS/υλικολογισμικό έχει ενημερωθεί, ότι το FBClearWindowsSupportPresent είναι True, οι μετριασμούς ενεργοποιούνται όπως περιγράφεται στα ADV220002 και KVAShadowWindowsSupportEnabled είναι True.

Μητρώου

Ο παρακάτω πίνακας αντιστοιχίσει το αποτέλεσμα με τα κλειδιά μητρώου που καλύπτονται στην ενημέρωση KB4072698: Οδηγίες για Windows Server και Azure Stack HCI για προστασία από μικροαρχιτεκτώματα και ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού που βασίζονται σε silicon.

Κλειδί μητρώου

Αντιστοίχιση

FeatureSettingsOverride – Bit 0

Χάρτες προς - Εισαγωγή προορισμού κλάδου - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Αντιστοιχίζει σε - Φορτίο cache δεδομένων Rogue - VAShadowWindowsSupportEnabled

Αναφορές

Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.