Cambiar fecha |
Descripción de cambio |
---|---|
17 de julio de 2023 |
Se ha agregado MMIO y descripciones específicas de los valores de salida en la sección "Salida que tiene todas las mitigaciones habilitadas". |
Resumen
Para ayudarlo a verificar el estado de las mitigaciones de los canales laterales de ejecución especulativa, hemos publicado un script PowerShell (SpeculationControl) que se puede ejecutar en sus dispositivos. Este artículo explica cómo ejecutar el script SpeculationControl y qué significa el resultado.
Los avisos de seguridad ADV180002, ADV180012, ADV180018 y ADV190013 cubren las nueve vulnerabilidades siguientes:
-
CVE-2017-5715 (inserción de destino de bifurcación)
-
CVE-2017-5753 (omisión de la comprobación de límites)
Nota La protección para CVE-2017-5753 (comprobación de límites) no requiere configuraciones adicionales del registro ni actualizaciones del firmware.
-
CVE-2017-5754 (carga fraudulenta de la caché de datos)
-
CVE-2018-3639 (derivación del almacenamiento especulativo)
-
CVE-2018-3620 (error del terminal L1 - SO)
-
CVE-2018-11091 (Muestreo de datos con microarquitectura de memoria no almacenable en caché (MDSUM))
-
CVE-2018-12126 (Muestreo de datos con microarquitectura del búfer de almacenamiento (MSBDS))
-
CVE-2018-12127 (Muestreo de datos con microarquitectura de puerto de carga (MLPDS))
-
CVE-2018-12130 (Muestreo de datos con microarquitectura de búfer de relleno (MFBDS))
El aviso ADV220002 cubre vulnerabilidades adicionales relacionadas con la E/S mapeada en memoria (MMIO):
-
CVE-2022-21123 | Lectura de datos del búfer compartido (SBDR)
-
CVE-2022-21125 | Muestreo de datos en búfer compartido (SBDS)
-
CVE-2022-21127 | Actualización del muestreo de datos del búfer de registro especial (actualización SRBDS)
-
CVE-2022-21166 | Escritura parcial del registro del dispositivo (DRPW)
Este artículo proporciona detalles sobre la secuencia de comandos SpeculationControl PowerShell que ayuda a determinar el estado de las mitigaciones para los CVE enumerados que requieren configuraciones de registro adicionales y, en algunos casos, actualizaciones de firmware.
Más información
Script PowerShell de SpeculationControl
Instale y ejecute el script SpeculationControl mediante uno de los siguientes métodos.
Método 1: verificación PowerShell mediante la Galería PowerShell (Windows Server 2016 o WMF 5.0/5.1) |
Instalar el módulo de PowerShell: PS> Install-Module SpeculationControl Ejecute el módulo PowerShell SpeculationControl para verificar que las protecciones están activadas PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Método 2: verificación de PowerShell mediante una descarga de TechNet (versiones anteriores del SO/versiones anteriores de WMF) |
Instalar el módulo PowerShell desde TechNet ScriptCenter
Ejecute el módulo PowerShell para verificar que las protecciones están habilitadas Inicie PowerShell, y luego (siguiendo el ejemplo anterior), copie y ejecute los siguientes comandos: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Salida del script PowerShell
La salida del script PowerShell SpeculationControl se parecerá a la siguiente salida. Las protecciones activadas aparecen en la salida como "True".
PS C:\> Get-SpeculationControlSettings
Configuración del control de especulación para CVE-2017-5715 [inserción de destino de bifurcación].
El hardware es compatible con la mitigación de inserción de destino de bifurcación: Falso
El sistema operativo Windows es compatible con la mitigación de la inserción del destino de bifurcación: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de la inserción del destino de bifurcación está habilitada: Falso La compatibilidad del sistema operativo Windows con la mitigación de inserción del destino de bifurcación está deshabilitada por la directiva del sistema: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de la inserción del destino de bifurcación está deshabilitada por falta de compatibilidad de hardware: VerdaderoConfiguración del control de especulación para CVE-2017-5754 [carga de caché de datos fraudulenta].
El hardware es vulnerable a la carga fraudulenta de la caché de datos: Verdadero
El sistema operativo Windows es compatible con la mitigación de la carga de caché de datos fraudulenta: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de carga de caché de datos fraudulenta está habilitada: Verdadero El hardware requiere vigilancia del kernel VA: Verdadero El sistema operativo Windows es compatible con la vigilancia del kernel VA: Falso La compatibilidad del sistema operativo Windows para la vigilancia del kernel VA está habilitado: Falso La compatibilidad del sistema operativo Windows para la optimización del PCID está habilitado: Falso Ajustes de control de especulación para CVE-2018-3639 [derivación del almacenamiento especulativo.]El hardware es vulnerable a la derivación del almacenamiento especulativo: Verdadero
El hardware es compatible con la mitigación de la derivación del almacenamiento especulativo: Falso El sistema operativo Windows es compatible con la mitigación de la derivación del almacenamiento especulativo: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de la derivación del almacenamiento especulativo está habiltada en todo el sistema: FalsoConfiguración del control de especulación para CVE-2018-3620 [Error del terminal L1].
El hardware es vulnerable al error del terminal L1: Verdadero
El sistema operativo Windows es compatible con la mitigación de errores del terminal L1: Verdadero La compatibilidad del sistema operativo Windows para la mitigación de errores del terminal L1 está habilitado: VerdaderoConfiguración del control de especulación para MDS [muestreo de datos con microarquitectura].
El sistema operativo Windows es compatible con la mitigación MDS: Verdadero
El hardware es vulnerable a MDS: Verdadero La compatibilidad del sistema operativo Windows para la mitigación MDS está habilitado: TrueConfiguración de control de especulación para SBDR [datos leídos de búferes compartidos]
El sistema operativo Windows es compatible con la mitigación SBDR: Verdadero
El hardware es vulnerable a SBDR: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de SBDR está habilitada: VerdaderoAjustes de control de especulación para FBSDP [propagador de datos obsoletos del búfer de relleno]
El sistema operativo Windows es compatible con la mitigación FBSDP: Verdadero El hardware es vulnerable a FBSDP: Verdadero La compatibilidad del sistema operativo Windows para la mitigación de FBSDP está habilitado: VerdaderoConfiguración del control de especulación para PSDP [propagador primario de datos obsoletos].
El sistema operativo Windows es compatible con la mitigación PSDP: Verdadero
El hardware es vulnerable a PSDP: Verdadero La compatibilidad del sistema operativo Windows con la mitigación PSDP está habilitada: VerdaderoBTIHardwarePresent: Verdadero
BTIWindowsSupportPresent: Verdadero BTIWindowsSupportEnabled: Verdadero BTIDisabledBySystemPolicy: Falso BTIDisabledByNoHardwareSupport: Falso BTIKernelRetpolineEnabled: Verdadero BTIKernelImportOptimizationEnabled: Verdadero RdclHardwareProtectedReported: Verdadero RdclHardwareProtected: Falso KVAShadowRequired: Verdadero KVAShadowWindowsSupportPresent: Verdadero KVAShadowWindowsSupportEnabled: Verdadero KVAShadowPcidEnabled: Verdadero SSBDWindowsSupportPresent: Verdadero SSBDHardwareVulnerable: Verdadero SSBDHardwarePresentar: Falso SSBDWindowsSupportEnabledSystemWide: Falso L1TFHardwareVulnerable: Verdadero L1TFWindowsSupportPresent: Verdadero L1TFWindowsSupportEnabled: Verdadero L1TFInvalidPteBit: 45 L1DFlushSupported: Falso HvL1tfStatusAvailable: Verdadero HvL1tfProcessorNotAffected: Verdadero MDSWindowsSupportPresent: Verdadero MDSHardwareVulnerable: Verdadero MDSWindowsSupportEnabled: Verdadero FBClearWindowsSupportPresent: Verdadero SBDRSSDPHardwareVulnerable: Verdadero FBSDPHardwareVulnerable: Verdadero PSDPHardwareVulnerable: VerdaderoExplicación de la salida del script PowerShell SpeculationControl
La cuadrícula de salida final corresponde a la salida de las líneas anteriores. Esto aparece porque PowerShell imprime el objeto devuelto por una función. La siguiente tabla explica cada línea de la salida del script PowerShell.
Flujo |
Explicación |
Configuración del control de especulación para CVE-2017-5715 [inserción de destino de bifurcación]. |
Esta sección proporciona el estado del sistema para la variante 2, CVE-2017-5715, inserción de destino de bifurcación. |
El hardware es compatibilidad con la mitigación de la inserción de destino de bifurcación |
Se asigna a BTIHardwarePresent. Esta línea le indica si las características de hardware están presentes para soportar la mitigación de inserción de destino de bifurcación. El OEM del dispositivo es responsable de proporcionar el BIOS/firmware actualizado que contiene el microcódigo proporcionado por los fabricantes de CPU. Si esta línea es Verdadero, las características de hardware requeridas están presentes. Si la línea es Falso, las características de hardware requeridas no están presentes. Por lo tanto, no se puede activar la mitigación de inserción de destino de bifurcación. Nota BTIHardwarePresent será Verdadero en las máquinas virtuales invitadas si se aplica la actualización OEM al host y se siguen las directrices . |
El sistema operativo Windows es compatible con la mitigación de la inserción de destino de bifurcación |
Corresponde a BTIWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación de inserción de destino de bifurcación. Si es Verdadero, el sistema operativo admite habilitar la mitigación de inserción de destino de bifurcación (y, por lo tanto, ha instalado la actualización de enero de 2018). Si es Falso, la actualización de enero de 2018 no está instalada en el dispositivo y no se puede activar la mitigación de inserción de destino de bifurcación. Nota Si una máquina virtual huésped no puede detectar la actualización del hardware del host, BTIWindowsSupportEnabled será siempre Falso. |
Se activa la compatibilidad del sistema operativo Windows con la mitigación de la inserción de destino de bifurcación |
Se asigna a BTIWindowsSupportEnabled. Esta línea le indica si la compatibilidad con el sistema operativo Windows está activada para la mitigación de la inserción de destino de bifurcación. Si es Verdadero, el soporte de hardware y el soporte de SO para la mitigación de inserción de destino de bifurcación. está habilitado para el dispositivo, protegiendo así contra CVE-2017-5715. Si es Falso, se cumple una de las siguientes condiciones:
|
El soporte del sistema operativo Windows para la mitigación de la inserción de destino de bifurcación está deshabilitado por la directiva del sistema |
Se asigna a BTIDisabledBySystemPolicy. Esta línea le indica si la mitigación de inserción de destino de bifurcación está deshabilitada por la directiva del sistema (como una directiva definida por el administrador). La directiva del sistema hace referencia a los controles del registro tal y como se documenta en KB4072698. Si es Verdadero, la directiva del sistema es responsable de desactivar la mitigación. Si es Falso, la mitigación está desactivada por una causa diferente. |
El soporte del sistema operativo Windows para la mitigación de la inserción de destino de bifurcación se desactiva por la ausencia de soporte de hardware |
Se asigna a BTIDisabledByNoHardwareSupport. Esta línea le indica si la mitigación de inserción de destino de bifurcación está desactivada debido a la ausencia de soporte de hardware. Si es Verdadero, la ausencia de soporte de hardware es responsable de deshabilitar la mitigación. Si es Falso, la mitigación está desactivada por una causa diferente. Nota Si una máquina virtual huésped no puede detectar la actualización del hardware del host, BTIDisabledByNoHardwareSupport será siempre Verdadero . |
Configuración del control de especulación para CVE-2017-5754 [carga de caché de datos fraudulenta]. |
Esta sección proporciona un resumen del estado del sistema para la variante 3, CVE-2017-5754, carga de caché de datos fraudulenta. La mitigación para esto se conoce como sombra de dirección virtual del kernel (VA) o mitigación de carga de caché de datos no autorizada. |
El hardware es vulnerable a la carga fraudulenta de la caché de datos |
Se asigna a RdclHardwareProtected. Esta línea le indica si el hardware es vulnerable a CVE-2017-5754. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2017-5754. Si es Falso, se sabe que el hardware no es vulnerable a CVE-2017-5754. |
El sistema operativo Windows es compatible con la mitigación de la carga de caché de datos no autorizados |
Se asigna a KVAShadowWindowsSupportPresent. Esta línea indica si la compatibilidad del sistema operativo Windows para la característica de vigilancia del kernel VA está presente. |
Se activa la compatibilidad del sistema operativo Windows con la mitigación de la carga de caché de datos no autorizados |
Asignado a KVAShadowWindowsSupportEnabled. Esta línea le indica si la función de sombra VA del kernel está habilitada. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2017-5754, el sistema operativo Windows es compatible y la función está habilitada. |
El hardware requiere la vigilancia del kernel VA |
Se asigna a KVAShadowRequired. Esta línea le indica si su sistema requiere la vigilancia del kernel VA para mitigar una vulnerabilidad. |
El sistema operativo Windows es compatible con la vigilancia del kernel VA |
Se asigna a KVAShadowWindowsSupportPresent. Esta línea indica si la compatibilidad del sistema operativo Windows para la característica de vigilancia del kernel VA está presente. Si es Verdadero, la actualización de enero de 2018 está instalada en el dispositivo, y la vigilancia del kernel VA es compatible. Si es Falso, la actualización de enero de 2018 no está instalada, y no existe soporte para la vigilancia del kernel VA. |
Se activa la compatibilidad del sistema operativo Windows con la vigilancia del kernel VA |
Asignado a KVAShadowWindowsSupportEnabled. Esta línea le indica si la función de sombra VA del kernel está habilitada. Si es Verdadero, el sistema operativo Windows es compatible y la función está habilitada. La característica de vigilancia del Kernel VA está actualmente habilitada por defecto en las versiones cliente de Windows y deshabilitada por defecto en las versiones de Windows Server. Si es Falso, o bien no existe compatibilidad con el sistema operativo Windows, o bien la función no está habilitada. |
Se activa la compatibilidad del sistema operativo Windows con la optimización del rendimiento del PCID Nota El PCID no es necesario para la seguridad. Solo indica si está activada una mejora del rendimiento. PCID no es compatible con Windows Server 2008 R2 |
Se asigna a KVAShadowPcidEnabled. Esta línea le indica si está habilitada una optimización de rendimiento adicional para la vigilancia del kernel VA. Si es Verdadero, la vigilancia del kernel VA está habilitada, el hardware es compatible con PCID, y la optimización de PCID para la vigilancia del kernel VA está habilitada. Si es Falso, es posible que el hardware o el sistema operativo no admitan PCID. No es una debilidad de seguridad que la optimización del PCID no esté habilitada. |
Existe compatibilidad con el sistema operativo Windows para la derivación del almacenamiento especulativo |
Se asigna a SSBDWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la opción de la derivación del almacenamiento especulativo. Si es Verdadero, la actualización de enero de 2018 está instalada en el dispositivo, y la vigilancia kernel VA es compatible. Si es Falso, la actualización de enero de 2018 no está instalada, y no existe soporte para la vigilancia del kernel VA. |
El hardware requiere la derivación del almacenamiento especulativo |
Se asigna a SSBDHardwareVulnerablePresent. Esta línea le indica si el hardware es vulnerable a CVE-2018-3639. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2018-3639. Si es Falso, se sabe que el hardware no es vulnerable a CVE-2018-3639. |
El hardware es compatible con la derivación del almacenamiento especulativo. |
Se asigna a SSBDHardwarePresent. Esta línea indica si las características de hardware están presentes para admitir la derivación del almacenamiento especulativo. El OEM del dispositivo es responsable de proporcionar el BIOS/firmware actualizado que contiene el microcódigo proporcionado por Intel. Si esta línea es Verdadero, las características de hardware requeridas están presentes. Si la línea es Falso, las características de hardware requeridas no están presentes. Por lo tanto, no se puede activar la derivación del almacenamiento especulativo. Nota: SSBDHardwarePresent será Verdadero en las máquinas virtuales invitadas si se aplica la actualización OEM al host. |
Se ha activado la compatibilidad con el SISTEMA OPERATIVO Windows para la derivación del almacenamiento especulativo |
Se asigna a SSBDWindowsSupportEnabledSystemWide. Esta línea indica si la derivación del almacenamiento especulativo está activada en el sistema operativo Windows. Si es Verdadero, el soporte de hardware y el soporte de sistema operativo para la derivación del almacenamiento especulativo están habilitados para el dispositivo evitando que ocurra una derivación del almacenamiento especulativo, eliminando así el riesgo de seguridad por completo. Si es Falso, se cumple una de las siguientes condiciones:
|
Configuración del control de especulación para CVE-2018-3620 [Error del terminal L1]. |
Esta sección proporciona un resumen del estado del sistema para L1TF (sistema operativo) al que hace referencia CVE-2018-3620. Esta mitigación garantiza que se utilicen bits de marco de página seguros para entradas de tabla de páginas no presentes o no válidas. Nota Esta sección no proporciona un resumen del estado de mitigación de L1TF (VMM) a que se refiere CVE-2018-3646. |
El hardware es vulnerable al error del terminal L1: Verdadero |
Asignado a L1TFHardwareVulnerable. Esta línea indica si el hardware es vulnerable a errores del terminal L1 (L1TF, CVE-2018-3620). Si es Verdadero, se cree que el hardware es vulnerable a CVE-2018-3620. Si es Falso, se sabe que el hardware no es vulnerable a CVE-2018-3620. |
El sistema operativo Windows es compatible con la mitigación de errores del terminal L1: Verdadero |
Se asigna a L1TFWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación del sistema operativo del error del terminal L1 (L1TF). Si es Verdadero, la actualización de agosto de 2018 está instalada en el dispositivo, y la mitigación para CVE-2018-3620 está presente. Si es Falso, la actualización de agosto de 2018 no está instalada, y la mitigación para CVE-2018-3620 no está presente. |
El soporte del sistema operativo Windows para la mitigación de errores del terminal L1 está activado: Verdadero |
Se asigna a L1TFWindowsSupportEnabled. Esta línea le indica si la mitigación del sistema operativo Windows para el error del terminal L1 (L1TF, CVE-2018-3620) está habilitada. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2018-3620, la compatibilidad del sistema operativo Windows con la mitigación está presente y la mitigación está habilitada. Si es Falso, o bien el hardware no es vulnerable, el sistema operativo Windows no es compatible, o la mitigación no está habilitada. |
Configuración del control de especulación para MDS [Muestreo de datos con microarquitectura]. |
Esta sección proporciona el estado del sistema para el conjunto de vulnerabilidades CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, y ADV220002. |
El sistema operativo Windows es compatible con la mitigación MDS |
Asignado a MDSWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación del sistema operativo Muestreo de datos con microarquitectura (MDS). Si es Verdadero, la actualización de mayo de 2019 está instalada en el dispositivo y la mitigación para MDS está presente. Si es Falso, la actualización de mayo de 2019 no está instalada y la mitigación para MDS no está presente. |
El hardware es vulnerable a MDS |
Asignado a MDSHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades Muestreo de datos con microarquitectura (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable. |
Se activa la compatibilidad del sistema operativo Windows con la mitigación MDS |
Asignado a MDSWindowsSupportEnabled. Esta línea le indica si está activada la mitigación del sistema operativo Windows para el muestreo de datos con microarquitectura (MDS). Si es Verdadero, se cree que el hardware está afectado por las vulnerabilidades MDS, el sistema operativo Windows es compatible con la mitigación y ésta está habilitada. Si es Falso, o bien el hardware no es vulnerable, la compatibilidad del sistema operativo Windows no está presente, o la mitigación no está habilitada. |
La compatibilidad del sistema operativo Windows para mitigación SBDR está presente |
Asignado a FBClearWindowsSupportPresent. Esta línea indica si la compatibilidad del sistema operativo Windows para la mitigación del sistema operativo SBDR está presente. Si es Verdadero, la actualización de junio de 2022 está instalada en el dispositivo, y la mitigación para SBDR está presente. Si es Falso, la actualización de junio de 2022 no está instalada, y la mitigación para SBDR no está presente. |
El hardware es vulnerable a SBDR |
Asignado a SBDRSSDPHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades SBDR [datos leídos de búferes compartidos] (CVE-2022-21123). Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable. |
La compatibilidad del sistema operativo Windows con la mitigación SBDR está habilitada |
Asignado a FBClearWindowsSupportEnabled. Esta línea indica si la mitigación del sistema operativo Windows para SBDR [búferes compartidos de datos leídos] está habilitada. Si es Verdadero, se cree que el hardware está afectado por las vulnerabilidades SBDR, el sistema operativo de Windows para la mitigación está es compatible y la mitigación está habilitada. Si es Falso, o bien el hardware no es vulnerable, la compatibilidad del sistema operativo Windows no está presente, o la mitigación no está habilitada. |
La compatibilidad del sistema operativo Windows para mitigación FBSDP está presente |
Asignado a FBClearWindowsSupportPresent. Esta línea le dice si el sistema operativo Windows es compatible con la mitigación del sistema operativo FBSDP. Si es Verdadero, la actualización de junio de 2022 está instalada en el dispositivo, y la mitigación para FBSDP está presente. Si es Falso, la actualización de junio de 2022 no está instalada y la mitigación para FBSDP no está presente. |
El hardware es vulnerable a FBSDP |
Asignado a FBSDPHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades FBSDP [propagador de datos obsoletos del búfer de relleno] (CVE-2022-21125, CVE-2022-21127, and CVE-2022-21166 Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable. |
La compatibilidad del sistema operativo windows para la mitigación FBSDP está habilitada |
Asignado a FBClearWindowsSupportEnabled. Esta línea le indica si la mitigación del sistema operativo Windows para FBSDP [propagador de datos obsoletos del búfer de relleno] está habilitada. Si es Verdadero, se cree que el hardware está afectado por las vulnerabilidades FBSDP, el sistema operativo Windows es compatible con la mitigación y ésta está habilitada. Si es Falso, o bien el hardware no es vulnerable, el sistema operativo Windows no es compatible, o la mitigación no está habilitada. |
Existe compatibilidad con el sistema operativo Windows para mitigación PSDP |
Asignado a FBClearWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación del sistema operativo PSDP. Si es Verdadero, la actualización de junio de 2022 se instala en el dispositivo y la mitigación para PSDP está presente. Si es Falso, la actualización de junio de 2022 no está instalada y la mitigación para PSDP no está presente. |
El hardware es vulnerable a PSDP |
Asignado a PSDPHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades PSDP [propagador primario de datos obsoletos]. Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable. |
La compatibilidad del sistema operativo Windows para la mitigación PSDP está habilitada |
Asignado a FBClearWindowsSupportEnabled. Esta línea le indica si la mitigación del sistema operativo Windows para PSDP [propagador de datos obsoletos principal] está habilitada. Si es Verdadero, se cree que el hardware se ve afectado por las vulnerabilidades de PSDP, el sistema operativo windows es compatible con la mitigación y la mitigación está habilitada. Si es Falso, el hardware no es vulnerable, la compatibilidad del sistema operativo Windows no está presente o la mitigación no está habilitada. |
Salida que tiene habilitadas todas las mitigaciones
Se espera la siguiente salida para un dispositivo que tiene todas las mitigaciones activadas, junto con lo necesario para satisfacer cada condición.
BTIHardwarePresent: True -> Actualización de BIOS/firmware OEM aplicadainstrucciones. BTIDisabledBySystemPolicy: Falso -> asegúrese que no está deshabilitado por directiva. BTIDisabledByNoHardwareSupport: Falso -> asegúrese de que se aplica la actualización de BIOS/firmware OEM. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True o False -> ninguna acción, esto es una función de la CPU que utiliza el ordenador Si KVAShadowRequired es True KVAShadowWindowsSupportPresent: True -> instalar la actualización de enero de 2018 KVAShadowWindowsSupportEnabled: True -> en cliente, no requiere ninguna acción. En el servidor, siga instrucciones. KVAShadowPcidEnabled: Verdadero o Falso -> ninguna acción, esto es una función de la CPU que utiliza el ordenador
BTIWindowsSupportPresent: True -> actualización de enero de 2018 instalada BTIWindowsSupportEnabled: True -> en cliente, no requiere acción. En el servidor, sigaSi SSBDHardwareVulnerablePresent es TrueADV180012 SSBDHardwarePresent: True -> instale la actualización de BIOS/firmware compatible con SSBD del OEM de su dispositivo SSBDWindowsSupportEnabledSystemWide: True -> siga las acciones rrecomendadas para activar SSBD
SSBDWindowsSupportPresent: True -> instale las actualizaciones de Windows como se documenta enSi L1TFHardwareVulnerable es TrueADV180018 L1TFWindowsSupportEnabled: True -> siga las acciones descritas en ADV180018 para Windows Server o Client según corresponda para habilitar la mitigación L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> instalar actualización de junio de 2022 MDSHardwareVulnerable: False -> se sabe que el hardware no es vulnerable MDSWindowsSupportEnabled: True -> la mitigación del muestreo de datos microarquitectónicos (MDS) está habilitada FBClearWindowsSupportPresent: True -> instalar la actualización de junio de 2022 SBDRSSDPHardwareVulnerable: True -> se cree que el hardware está afectado por estas vulnerabilidades FBSDPHardwareVulnerable: True -> se cree que el hardware está afectado por estas vulnerabilidades PSDPHardwareVulnerable: True -> se cree que el hardware está afectado por estas vulnerabilidades FBClearWindowsSupportEnabled: True -> Representa la habilitación de mitigación para SBDR/FBSDP/PSDP. Asegúrese de que el BIOS/firmware del OEM esté actualizado, que FBClearWindowsSupportPresent sea True, que las mitigaciones estén activadas como se indica en ADV220002 y que KVAShadowWindowsSupportEnabled sea True.
L1TFWindowsSupportPresent: True -> instale las actualizaciones de Windows como se documenta enRegistro
La siguiente tabla asigna la salida a las claves de registro que se tratan en KB4072698: Windows Server y Azure Stack HCI orientación para proteger contra microarquitectura basada en silicon y vulnerabilidades de canal lateral de ejecución especulativa.
Clave del registro |
Asignación |
FeatureSettingsOverride: bit 0 |
Se asigna a - Inserción de destino de rama - BTIWindowsSupportEnabled |
FeatureSettingsOverride: bit 1 |
Asignado a: Carga de la caché de datos - VAShadowWindowsSupportEnabled |
Referencias
Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.