Applies ToWindows 11 Windows 10

Cambiar fecha

Descripción de cambio

17 de julio de 2023

Se ha agregado MMIO y descripciones específicas de los valores de salida en la sección "Salida que tiene todas las mitigaciones habilitadas".

Resumen

Para ayudarlo a verificar el estado de las mitigaciones de los canales laterales de ejecución especulativa, hemos publicado un script PowerShell (SpeculationControl) que se puede ejecutar en sus dispositivos. Este artículo explica cómo ejecutar el script SpeculationControl y qué significa el resultado.

Los avisos de seguridad ADV180002ADV180012, ADV180018 y ADV190013 cubren las nueve vulnerabilidades siguientes:

  • CVE-2017-5715 (inserción de destino de bifurcación)

  • CVE-2017-5753 (omisión de la comprobación de límites)

    Nota La protección para CVE-2017-5753 (comprobación de límites) no requiere configuraciones adicionales del registro ni actualizaciones del firmware.  

  • CVE-2017-5754 (carga fraudulenta de la caché de datos)

  • CVE-2018-3639 (derivación del almacenamiento especulativo)

  • CVE-2018-3620 (error del terminal L1 - SO)

  • CVE-2018-11091 (Muestreo de datos con microarquitectura de memoria no almacenable en caché (MDSUM))

  • CVE-2018-12126 (Muestreo de datos con microarquitectura del búfer de almacenamiento (MSBDS))

  • CVE-2018-12127 (Muestreo de datos con microarquitectura de puerto de carga (MLPDS))

  • CVE-2018-12130 (Muestreo de datos con microarquitectura de búfer de relleno (MFBDS))

El aviso ADV220002 cubre vulnerabilidades adicionales relacionadas con la E/S mapeada en memoria (MMIO):

  • CVE-2022-21123 | Lectura de datos del búfer compartido (SBDR)

  • CVE-2022-21125 | Muestreo de datos en búfer compartido (SBDS)

  • CVE-2022-21127 | Actualización del muestreo de datos del búfer de registro especial (actualización SRBDS)

  • CVE-2022-21166 | Escritura parcial del registro del dispositivo (DRPW)

Este artículo proporciona detalles sobre la secuencia de comandos SpeculationControl PowerShell que ayuda a determinar el estado de las mitigaciones para los CVE enumerados que requieren configuraciones de registro adicionales y, en algunos casos, actualizaciones de firmware.

Más información

Script PowerShell de SpeculationControl

Instale y ejecute el script SpeculationControl mediante uno de los siguientes métodos.

Método 1: verificación PowerShell mediante la Galería PowerShell (Windows Server 2016 o WMF 5.0/5.1)

Instalar el módulo de PowerShell:

PS> Install-Module SpeculationControl

Ejecute el módulo PowerShell SpeculationControl para verificar que las protecciones están activadas

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Método 2: verificación de PowerShell mediante una descarga de TechNet (versiones anteriores del SO/versiones anteriores de WMF)

Instalar el módulo PowerShell desde TechNet ScriptCenter

  1. Vaya a https://aka.ms/SpeculationControlPS.

  2. Descargue SpeculationControl.zip en una carpeta local.

  3. Extraiga el contenido en una carpeta local, por ejemplo, C:\ADV180002.

Ejecute el módulo PowerShell para verificar que las protecciones están habilitadas

Inicie PowerShell, y luego (siguiendo el ejemplo anterior), copie y ejecute los siguientes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Salida del script PowerShell

La salida del script PowerShell SpeculationControl se parecerá a la siguiente salida. Las protecciones activadas aparecen en la salida como "True".

PS C:\> Get-SpeculationControlSettings

Configuración del control de especulación para CVE-2017-5715 [inserción de destino de bifurcación].

El hardware es compatible con la mitigación de inserción de destino de bifurcación: Falso El sistema operativo Windows es compatible con la mitigación de la inserción del destino de bifurcación: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de la inserción del destino de bifurcación está habilitada: Falso La compatibilidad del sistema operativo Windows con la mitigación de inserción del destino de bifurcación está deshabilitada por la directiva del sistema: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de la inserción del destino de bifurcación está deshabilitada por falta de compatibilidad de hardware: Verdadero

Configuración del control de especulación para CVE-2017-5754 [carga de caché de datos fraudulenta].

El hardware es vulnerable a la carga fraudulenta de la caché de datos: Verdadero El sistema operativo Windows es compatible con la mitigación de la carga de caché de datos fraudulenta: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de carga de caché de datos fraudulenta está habilitada: Verdadero El hardware requiere vigilancia del kernel VA: Verdadero El sistema operativo Windows es compatible con la vigilancia del kernel VA: Falso La compatibilidad del sistema operativo Windows para la vigilancia del kernel VA está habilitado: Falso La compatibilidad del sistema operativo Windows para la optimización del PCID está habilitado: Falso Ajustes de control de especulación para CVE-2018-3639 [derivación del almacenamiento especulativo.]

El hardware es vulnerable a la derivación del almacenamiento especulativo: Verdadero El hardware es compatible con la mitigación de la derivación del almacenamiento especulativo: Falso El sistema operativo Windows es compatible con la mitigación de la derivación del almacenamiento especulativo: Verdadero La compatibilidad del sistema operativo Windows con la mitigación de la derivación del almacenamiento especulativo está habiltada en todo el sistema: Falso

Configuración del control de especulación para CVE-2018-3620 [Error del terminal L1].

El hardware es vulnerable al error del terminal L1: Verdadero El sistema operativo Windows es compatible con la mitigación de errores del terminal L1: Verdadero La compatibilidad del sistema operativo Windows para la mitigación de errores del terminal L1 está habilitado: Verdadero

Configuración del control de especulación para MDS [muestreo de datos con microarquitectura].

El sistema operativo Windows es compatible con la mitigación MDS: Verdadero El hardware es vulnerable a MDS: Verdadero La compatibilidad del sistema operativo Windows para la mitigación MDS está habilitado: True

Configuración de control de especulación para SBDR [datos leídos de búferes compartidos] 

El sistema operativo Windows es compatible con la mitigación SBDR: Verdadero  El hardware es vulnerable a SBDR: Verdadero  La compatibilidad del sistema operativo Windows con la mitigación de SBDR está habilitada: Verdadero 

Ajustes de control de especulación para FBSDP [propagador de datos obsoletos del búfer de relleno]  El sistema operativo Windows es compatible con la mitigación FBSDP: Verdadero  El hardware es vulnerable a FBSDP: Verdadero  La compatibilidad del sistema operativo Windows para la mitigación de FBSDP está habilitado: Verdadero 

Configuración del control de especulación para PSDP [propagador primario de datos obsoletos].

El sistema operativo Windows es compatible con la mitigación PSDP: Verdadero El hardware es vulnerable a PSDP: Verdadero La compatibilidad del sistema operativo Windows con la mitigación PSDP está habilitada: Verdadero

BTIHardwarePresent: Verdadero BTIWindowsSupportPresent: Verdadero BTIWindowsSupportEnabled: Verdadero BTIDisabledBySystemPolicy: Falso BTIDisabledByNoHardwareSupport: Falso BTIKernelRetpolineEnabled: Verdadero BTIKernelImportOptimizationEnabled: Verdadero RdclHardwareProtectedReported: Verdadero RdclHardwareProtected: Falso KVAShadowRequired: Verdadero KVAShadowWindowsSupportPresent: Verdadero KVAShadowWindowsSupportEnabled: Verdadero KVAShadowPcidEnabled: Verdadero SSBDWindowsSupportPresent: Verdadero SSBDHardwareVulnerable: Verdadero SSBDHardwarePresentar: Falso SSBDWindowsSupportEnabledSystemWide: Falso L1TFHardwareVulnerable: Verdadero L1TFWindowsSupportPresent: Verdadero L1TFWindowsSupportEnabled: Verdadero L1TFInvalidPteBit: 45 L1DFlushSupported: Falso HvL1tfStatusAvailable: Verdadero HvL1tfProcessorNotAffected: Verdadero MDSWindowsSupportPresent: Verdadero MDSHardwareVulnerable: Verdadero MDSWindowsSupportEnabled: Verdadero FBClearWindowsSupportPresent: Verdadero SBDRSSDPHardwareVulnerable: Verdadero FBSDPHardwareVulnerable: Verdadero PSDPHardwareVulnerable: Verdadero

Explicación de la salida del script PowerShell SpeculationControl

La cuadrícula de salida final corresponde a la salida de las líneas anteriores. Esto aparece porque PowerShell imprime el objeto devuelto por una función. La siguiente tabla explica cada línea de la salida del script PowerShell.

Flujo

Explicación

Configuración del control de especulación para CVE-2017-5715 [inserción de destino de bifurcación].

Esta sección proporciona el estado del sistema para la variante 2, CVE-2017-5715, inserción de destino de bifurcación.

El hardware es compatibilidad con la mitigación de la inserción de destino de bifurcación

Se asigna a BTIHardwarePresent. Esta línea le indica si las características de hardware están presentes para soportar la mitigación de inserción de destino de bifurcación. El OEM del dispositivo es responsable de proporcionar el BIOS/firmware actualizado que contiene el microcódigo proporcionado por los fabricantes de CPU. Si esta línea es Verdadero, las características de hardware requeridas están presentes. Si la línea es Falso, las características de hardware requeridas no están presentes. Por lo tanto, no se puede activar la mitigación de inserción de destino de bifurcación.

Nota BTIHardwarePresent será Verdadero en las máquinas virtuales invitadas si se aplica la actualización OEM al host y se siguen las directrices .

El sistema operativo Windows es compatible con la mitigación de la inserción de destino de bifurcación

Corresponde a BTIWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación de inserción de destino de bifurcación. Si es Verdadero, el sistema operativo admite habilitar la mitigación de inserción de destino de bifurcación (y, por lo tanto, ha instalado la actualización de enero de 2018). Si es Falso, la actualización de enero de 2018 no está instalada en el dispositivo y no se puede activar la mitigación de inserción de destino de bifurcación.

Nota Si una máquina virtual huésped no puede detectar la actualización del hardware del host, BTIWindowsSupportEnabled será siempre Falso.

Se activa la compatibilidad del sistema operativo Windows con la mitigación de la inserción de destino de bifurcación

Se asigna a BTIWindowsSupportEnabled. Esta línea le indica si la compatibilidad con el sistema operativo Windows está activada para la mitigación de la inserción de destino de bifurcación. Si es Verdadero, el soporte de hardware y el soporte de SO para la mitigación de inserción de destino de bifurcación. está habilitado para el dispositivo, protegiendo así contra CVE-2017-5715. Si es Falso, se cumple una de las siguientes condiciones:

  • El hardware no es compatible.

  • El sistema operativo no es compatible.

  • La mitigación está desactivada por la directiva del sistema.

El soporte del sistema operativo Windows para la mitigación de la inserción de destino de bifurcación está deshabilitado por la directiva del sistema

Se asigna a BTIDisabledBySystemPolicy. Esta línea le indica si la mitigación de inserción de destino de bifurcación está deshabilitada por la directiva del sistema (como una directiva definida por el administrador). La directiva del sistema hace referencia a los controles del registro tal y como se documenta en KB4072698. Si es Verdadero, la directiva del sistema es responsable de desactivar la mitigación. Si es Falso, la mitigación está desactivada por una causa diferente.

El soporte del sistema operativo Windows para la mitigación de la inserción de destino de bifurcación se desactiva por la ausencia de soporte de hardware

Se asigna a BTIDisabledByNoHardwareSupport. Esta línea le indica si la mitigación de inserción de destino de bifurcación está desactivada debido a la ausencia de soporte de hardware. Si es Verdadero, la ausencia de soporte de hardware es responsable de deshabilitar la mitigación. Si es Falso, la mitigación está desactivada por una causa diferente.

Nota Si una máquina virtual huésped no puede detectar la actualización del hardware del host, BTIDisabledByNoHardwareSupport será siempre Verdadero .

Configuración del control de especulación para CVE-2017-5754 [carga de caché de datos fraudulenta].

Esta sección proporciona un resumen del estado del sistema para la variante 3, CVE-2017-5754, carga de caché de datos fraudulenta. La mitigación para esto se conoce como sombra de dirección virtual del kernel (VA) o mitigación de carga de caché de datos no autorizada.

El hardware es vulnerable a la carga fraudulenta de la caché de datos

Se asigna a RdclHardwareProtected. Esta línea le indica si el hardware es vulnerable a CVE-2017-5754. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2017-5754. Si es Falso, se sabe que el hardware no es vulnerable a CVE-2017-5754.

El sistema operativo Windows es compatible con la mitigación de la carga de caché de datos no autorizados

Se asigna a KVAShadowWindowsSupportPresent. Esta línea indica si la compatibilidad del sistema operativo Windows para la característica de vigilancia del kernel VA está presente.

Se activa la compatibilidad del sistema operativo Windows con la mitigación de la carga de caché de datos no autorizados

Asignado a KVAShadowWindowsSupportEnabled. Esta línea le indica si la función de sombra VA del kernel está habilitada. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2017-5754, el sistema operativo Windows es compatible y la función está habilitada.

El hardware requiere la vigilancia del kernel VA

Se asigna a KVAShadowRequired. Esta línea le indica si su sistema requiere la vigilancia del kernel VA para mitigar una vulnerabilidad.

El sistema operativo Windows es compatible con la vigilancia del kernel VA

Se asigna a KVAShadowWindowsSupportPresent. Esta línea indica si la compatibilidad del sistema operativo Windows para la característica de vigilancia del kernel VA está presente. Si es Verdadero, la actualización de enero de 2018 está instalada en el dispositivo, y la vigilancia del kernel VA es compatible. Si es Falso, la actualización de enero de 2018 no está instalada, y no existe soporte para la vigilancia del kernel VA.

Se activa la compatibilidad del sistema operativo Windows con la vigilancia del kernel VA

Asignado a KVAShadowWindowsSupportEnabled. Esta línea le indica si la función de sombra VA del kernel está habilitada. Si es Verdadero, el sistema operativo Windows es compatible y la función está habilitada. La característica de vigilancia del Kernel VA está actualmente habilitada por defecto en las versiones cliente de Windows y deshabilitada por defecto en las versiones de Windows Server. Si es Falso, o bien no existe compatibilidad con el sistema operativo Windows, o bien la función no está habilitada.

Se activa la compatibilidad del sistema operativo Windows con la optimización del rendimiento del PCID

Nota El PCID no es necesario para la seguridad. Solo indica si está activada una mejora del rendimiento. PCID no es compatible con Windows Server 2008 R2

Se asigna a KVAShadowPcidEnabled. Esta línea le indica si está habilitada una optimización de rendimiento adicional para la vigilancia del kernel VA. Si es Verdadero, la vigilancia del kernel VA está habilitada, el hardware es compatible con PCID, y la optimización de PCID para la vigilancia del kernel VA está habilitada. Si es Falso, es posible que el hardware o el sistema operativo no admitan PCID. No es una debilidad de seguridad que la optimización del PCID no esté habilitada.

Existe compatibilidad con el sistema operativo Windows para la derivación del almacenamiento especulativo

Se asigna a SSBDWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la opción de la derivación del almacenamiento especulativo. Si es Verdadero, la actualización de enero de 2018 está instalada en el dispositivo, y la vigilancia kernel VA es compatible. Si es Falso, la actualización de enero de 2018 no está instalada, y no existe soporte para la vigilancia del kernel VA.

El hardware requiere la derivación del almacenamiento especulativo

Se asigna a SSBDHardwareVulnerablePresent. Esta línea le indica si el hardware es vulnerable a CVE-2018-3639. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2018-3639. Si es Falso, se sabe que el hardware no es vulnerable a CVE-2018-3639.

El hardware es compatible con la derivación del almacenamiento especulativo.

Se asigna a SSBDHardwarePresent. Esta línea indica si las características de hardware están presentes para admitir la derivación del almacenamiento especulativo. El OEM del dispositivo es responsable de proporcionar el BIOS/firmware actualizado que contiene el microcódigo proporcionado por Intel. Si esta línea es Verdadero, las características de hardware requeridas están presentes. Si la línea es Falso, las características de hardware requeridas no están presentes. Por lo tanto, no se puede activar la derivación del almacenamiento especulativo.

Nota: SSBDHardwarePresent será Verdadero en las máquinas virtuales invitadas si se aplica la actualización OEM al host.

Se ha activado la compatibilidad con el SISTEMA OPERATIVO Windows para la derivación del almacenamiento especulativo

Se asigna a SSBDWindowsSupportEnabledSystemWide. Esta línea indica si la derivación del almacenamiento especulativo está activada en el sistema operativo Windows. Si es Verdadero, el soporte de hardware y el soporte de sistema operativo para la derivación del almacenamiento especulativo están habilitados para el dispositivo evitando que ocurra una derivación del almacenamiento especulativo, eliminando así el riesgo de seguridad por completo. Si es Falso, se cumple una de las siguientes condiciones:

Configuración del control de especulación para CVE-2018-3620 [Error del terminal L1].

Esta sección proporciona un resumen del estado del sistema para L1TF (sistema operativo) al que hace referencia CVE-2018-3620. Esta mitigación garantiza que se utilicen bits de marco de página seguros para entradas de tabla de páginas no presentes o no válidas.

Nota Esta sección no proporciona un resumen del estado de mitigación de L1TF (VMM) a que se refiere CVE-2018-3646.

El hardware es vulnerable al error del terminal L1: Verdadero

Asignado a L1TFHardwareVulnerable. Esta línea indica si el hardware es vulnerable a errores del terminal L1 (L1TF, CVE-2018-3620). Si es Verdadero, se cree que el hardware es vulnerable a CVE-2018-3620. Si es Falso, se sabe que el hardware no es vulnerable a CVE-2018-3620.

El sistema operativo Windows es compatible con la mitigación de errores del terminal L1: Verdadero

Se asigna a L1TFWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación del sistema operativo del error del terminal L1 (L1TF). Si es Verdadero, la actualización de agosto de 2018 está instalada en el dispositivo, y la mitigación para CVE-2018-3620 está presente. Si es Falso, la actualización de agosto de 2018 no está instalada, y la mitigación para CVE-2018-3620 no está presente.

El soporte del sistema operativo Windows para la mitigación de errores del terminal L1 está activado: Verdadero

Se asigna a L1TFWindowsSupportEnabled. Esta línea le indica si la mitigación del sistema operativo Windows para el error del terminal L1 (L1TF, CVE-2018-3620) está habilitada. Si es Verdadero, se cree que el hardware es vulnerable a CVE-2018-3620, la compatibilidad del sistema operativo Windows con la mitigación está presente y la mitigación está habilitada. Si es Falso, o bien el hardware no es vulnerable, el sistema operativo Windows no es compatible, o la mitigación no está habilitada.

Configuración del control de especulación para MDS [Muestreo de datos con microarquitectura].

Esta sección proporciona el estado del sistema para el conjunto de vulnerabilidades CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, y ADV220002.

El sistema operativo Windows es compatible con la mitigación MDS

Asignado a MDSWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación del sistema operativo Muestreo de datos con microarquitectura (MDS). Si es Verdadero, la actualización de mayo de 2019 está instalada en el dispositivo y la mitigación para MDS está presente. Si es Falso, la actualización de mayo de 2019 no está instalada y la mitigación para MDS no está presente.

El hardware es vulnerable a MDS

Asignado a MDSHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades Muestreo de datos con microarquitectura (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable.

Se activa la compatibilidad del sistema operativo Windows con la mitigación MDS

Asignado a MDSWindowsSupportEnabled. Esta línea le indica si está activada la mitigación del sistema operativo Windows para el muestreo de datos con microarquitectura (MDS). Si es Verdadero, se cree que el hardware está afectado por las vulnerabilidades MDS, el sistema operativo Windows es compatible con la mitigación y ésta está habilitada. Si es Falso, o bien el hardware no es vulnerable, la compatibilidad del sistema operativo Windows no está presente, o la mitigación no está habilitada.

La compatibilidad del sistema operativo Windows para mitigación SBDR está presente

Asignado a FBClearWindowsSupportPresent. Esta línea indica si la compatibilidad del sistema operativo Windows para la mitigación del sistema operativo SBDR está presente. Si es Verdadero, la actualización de junio de 2022 está instalada en el dispositivo, y la mitigación para SBDR está presente. Si es Falso, la actualización de junio de 2022 no está instalada, y la mitigación para SBDR no está presente.

El hardware es vulnerable a SBDR

Asignado a SBDRSSDPHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades SBDR [datos leídos de búferes compartidos] (CVE-2022-21123). Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable.

La compatibilidad del sistema operativo Windows con la mitigación SBDR está habilitada

Asignado a FBClearWindowsSupportEnabled. Esta línea indica si la mitigación del sistema operativo Windows para SBDR [búferes compartidos de datos leídos] está habilitada. Si es Verdadero, se cree que el hardware está afectado por las vulnerabilidades SBDR, el sistema operativo de Windows para la mitigación está es compatible y la mitigación está habilitada. Si es Falso, o bien el hardware no es vulnerable, la compatibilidad del sistema operativo Windows no está presente, o la mitigación no está habilitada.

La compatibilidad del sistema operativo Windows para mitigación FBSDP está presente

Asignado a FBClearWindowsSupportPresent. Esta línea le dice si el sistema operativo Windows es compatible con la mitigación del sistema operativo FBSDP. Si es Verdadero, la actualización de junio de 2022 está instalada en el dispositivo, y la mitigación para FBSDP está presente. Si es Falso, la actualización de junio de 2022 no está instalada y la mitigación para FBSDP no está presente.

El hardware es vulnerable a FBSDP

Asignado a FBSDPHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades FBSDP [propagador de datos obsoletos del búfer de relleno] (CVE-2022-21125, CVE-2022-21127, and CVE-2022-21166 Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable.

La compatibilidad del sistema operativo windows para la mitigación FBSDP está habilitada

Asignado a FBClearWindowsSupportEnabled. Esta línea le indica si la mitigación del sistema operativo Windows para FBSDP [propagador de datos obsoletos del búfer de relleno] está habilitada. Si es Verdadero, se cree que el hardware está afectado por las vulnerabilidades FBSDP, el sistema operativo Windows es compatible con la mitigación y ésta está habilitada. Si es Falso, o bien el hardware no es vulnerable, el sistema operativo Windows no es compatible, o la mitigación no está habilitada.

Existe compatibilidad con el sistema operativo Windows para mitigación PSDP

Asignado a FBClearWindowsSupportPresent. Esta línea le indica si el sistema operativo Windows es compatible con la mitigación del sistema operativo PSDP. Si es Verdadero, la actualización de junio de 2022 se instala en el dispositivo y la mitigación para PSDP está presente. Si es Falso, la actualización de junio de 2022 no está instalada y la mitigación para PSDP no está presente.

El hardware es vulnerable a PSDP

Asignado a PSDPHardwareVulnerable. Esta línea le indica si el hardware es vulnerable al conjunto de vulnerabilidades PSDP [propagador primario de datos obsoletos]. Si es Verdadero, se cree que el hardware está afectado por estas vulnerabilidades. Si es Falso, se sabe que el hardware no es vulnerable.

La compatibilidad del sistema operativo Windows para la mitigación PSDP está habilitada

Asignado a FBClearWindowsSupportEnabled. Esta línea le indica si la mitigación del sistema operativo Windows para PSDP [propagador de datos obsoletos principal] está habilitada. Si es Verdadero, se cree que el hardware se ve afectado por las vulnerabilidades de PSDP, el sistema operativo windows es compatible con la mitigación y la mitigación está habilitada. Si es Falso, el hardware no es vulnerable, la compatibilidad del sistema operativo Windows no está presente o la mitigación no está habilitada.

Salida que tiene habilitadas todas las mitigaciones

Se espera la siguiente salida para un dispositivo que tiene todas las mitigaciones activadas, junto con lo necesario para satisfacer cada condición.

BTIHardwarePresent: True -> Actualización de BIOS/firmware OEM aplicada BTIWindowsSupportPresent: True -> actualización de enero de 2018 instalada BTIWindowsSupportEnabled: True -> en cliente, no requiere acción. En el servidor, siga instrucciones. BTIDisabledBySystemPolicy: Falso -> asegúrese que no está deshabilitado por directiva. BTIDisabledByNoHardwareSupport: Falso -> asegúrese de que se aplica la actualización de BIOS/firmware OEM. BTIKernelRetpolineEnabled: False       BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True o False -> ninguna acción, esto es una función de la CPU que utiliza el ordenador Si KVAShadowRequired es True KVAShadowWindowsSupportPresent: True -> instalar la actualización de enero de 2018 KVAShadowWindowsSupportEnabled: True -> en cliente, no requiere ninguna acción. En el servidor, siga instrucciones. KVAShadowPcidEnabled: Verdadero o Falso -> ninguna acción, esto es una función de la CPU que utiliza el ordenador

Si SSBDHardwareVulnerablePresent es True SSBDWindowsSupportPresent: True -> instale las actualizaciones de Windows como se documenta en ADV180012 SSBDHardwarePresent: True -> instale la actualización de BIOS/firmware compatible con SSBD del OEM de su dispositivo SSBDWindowsSupportEnabledSystemWide: True -> siga las acciones rrecomendadas para activar SSBD

Si L1TFHardwareVulnerable es True L1TFWindowsSupportPresent: True -> instale las actualizaciones de Windows como se documenta en ADV180018 L1TFWindowsSupportEnabled: True -> siga las acciones descritas en ADV180018 para Windows Server o Client según corresponda para habilitar la mitigación L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> instalar actualización de junio de 2022 MDSHardwareVulnerable: False -> se sabe que el hardware no es vulnerable MDSWindowsSupportEnabled: True -> la mitigación del muestreo de datos microarquitectónicos (MDS) está habilitada FBClearWindowsSupportPresent: True -> instalar la actualización de junio de 2022 SBDRSSDPHardwareVulnerable: True -> se cree que el hardware está afectado por estas vulnerabilidades FBSDPHardwareVulnerable: True -> se cree que el hardware está afectado por estas vulnerabilidades PSDPHardwareVulnerable: True -> se cree que el hardware está afectado por estas vulnerabilidades FBClearWindowsSupportEnabled: True -> Representa la habilitación de mitigación para SBDR/FBSDP/PSDP. Asegúrese de que el BIOS/firmware del OEM esté actualizado, que FBClearWindowsSupportPresent sea True, que las mitigaciones estén activadas como se indica en ADV220002 y que KVAShadowWindowsSupportEnabled sea True.

Registro

La siguiente tabla asigna la salida a las claves de registro que se tratan en KB4072698: Windows Server y Azure Stack HCI orientación para proteger contra microarquitectura basada en silicon y vulnerabilidades de canal lateral de ejecución especulativa.

Clave del registro

Asignación

FeatureSettingsOverride: bit 0

Se asigna a - Inserción de destino de rama - BTIWindowsSupportEnabled

FeatureSettingsOverride: bit 1

Asignado a: Carga de la caché de datos - VAShadowWindowsSupportEnabled

Referencias

Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.