Modifier la date |
Description de la modification |
---|---|
17 juillet 2023 |
Ajout de MMIO et de descriptions spécifiques des valeurs de sortie dans la section « Sortie ayant toutes les atténuations activées » |
Résumé
Pour vous aider à vérifier l’état des atténuations de canal auxiliaire d’exécution spéculative, nous avons publié un script PowerShell (SpeculativeControl) qui peut être exécuté sur vos appareils. Cet article explique comment exécuter le script SpeculationControl et quelle est la signification des sorties.
Les avis de sécurité ADV180002, ADV180012, ADV180018 et ADV190013 couvrent les neuf vulnérabilités suivantes :
-
CVE-2017-5715 (injection de cible de branche)
-
CVE-2017-5753 (contournement de la vérification des limites)
Remarque La protection pour CVE-2017-5753 (vérification des limites) ne nécessite pas de paramètres de registre supplémentaires ni de mises à jour du microprogramme.
-
CVE-2017-5754 ( chargement de la mémoire cache des données non autorisées)
-
CVE-2018-3639 (contournement du magasin spéculatif)
-
CVE-2018-3620 (Défaut du terminal L1 – système d’exploitation)
-
CVE-2018-11091 (Mémoire microarchitecturale à échantillonnage de données non cachable (MDSUM))
-
CVE-2018-12126 (Echantillonnage des données de la mémoire tampon du magasin microarchitectural (MSBDS))
-
CVE-2018-12127 (Échantillonnage des données de port de charge microarchitectural (MLPDS))
-
CVE-2018-12130 (Échantillonnage des données de mémoire tampon de remplissage microarchitectural (MFBDS))
L’avis ADV220002 couvre les vulnérabilités supplémentaires liées aux E/S mappées en mémoire (MMIO) :
-
CVE-2022-21123 – Lecture des données de mémoire tampon partagée (SBDR)
-
CVE-2022-21125 – Échantillonnage des données de mémoire tampon partagée (SBDS)
-
CVE-2022-21127 – Mise à jour spéciale de l’échantillonnage des données du tampon de registre (mise à jour SRBDS)
-
CVE-2022-21166 – Écriture partielle du registre de l'appareil (DRPW)
Cet article fournit des détails sur le script PowerShell SpeculationControl qui permet de déterminer l’état des atténuations pour les CVE répertoriées qui nécessitent des paramètres de Registre supplémentaires et, dans certains cas, des mises à jour du microprogramme.
Informations supplémentaires
Script PowerShell SpeculationControl
Installez et exécutez le script SpeculationControl à l’aide de l’une des méthodes suivantes.
Méthode 1 : vérification PowerShell à l’aide de la PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1) |
Installation du module PowerShell PS> Install-Module SpeculationControl Exécuter le module PowerShell SpeculationControl pour vérifier que les protections sont activées PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Méthode 2 : vérification PowerShell à l’aide d’un téléchargement à partir de TechNet (versions antérieures du système d’exploitation/versions antérieures de WMF) |
Installation du module PowerShell à partir de TechNet ScriptCenter :
Exécuter le module PowerShell pour vérifier que les protections sont activées Démarrer PowerShell, puis copier et exécuter les commandes suivantes (en utilisant l’exemple précédent) : PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Sortie du script PowerShell
La sortie du script PowerShell SpeculationControl ressemblera à la sortie suivante. Les protections activées apparaissent dans la sortie sous « True. »
PS C:\> Obtenir-SpeculationControlSettings
Paramètres de contrôle de la vulnérabilité CVE-2017-5715 [injection cible de branche]
La prise en charge matérielle de l’atténuation par injection de cibles de branche : False
La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection cible de branche est présente : True La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cibles de branche est activée : False La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cibles de branche est désactivée par la stratégie système : True La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cibles de branche est désactivée en l’absence de prise en charge matérielle : TrueParamètres de contrôle de la vulnérabilité CVE-2017-5754 [chargement de cache de données non autorisées]
Le matériel est vulnérable à la charge de cache de données non autorisées : True
La prise en charge du système d’exploitation Windows pour l’atténuation de la charge de cache de données non autorisées est présente : True La prise en charge du système d’exploitation Windows pour l’atténuation de la charge du cache de données non autorisées est activée : True Le matériel requiert un ombrage VA du noyau : True La prise en charge du système d’exploitation Windows pour l’ombrage d’adresses réseau du noyau est présente : False La prise en charge par le système d'exploitation Windows de l'ombre VA du noyau est activée : False La prise en charge du système d’exploitation Windows pour l’optimisation PCID est activée : False Paramètres de contrôle de la spéculation pour CVE-2018-3639 [contournement du magasin spéculatif].Le matériel est vulnérable au contournement de magasin spéculatif : True
La prise en charge matérielle pour l’atténuation du contournement de magasin spéculatif est présente : False La prise en charge du système d’exploitation Windows pour l’atténuation de contournement de magasin spéculative est présente : True La prise en charge du système d’exploitation Windows pour l’atténuation de contournement de magasin spéculative est activée à l’échelle du système : FalseParamètres de contrôle de la vulnérabilité CVE-2018-3620 [Défaut de terminal L1]
Le matériel est vulnérable au défaut du terminal L1 : True
La prise en charge par le système d'exploitation Windows de l'atténuation des défauts du terminal L1 est présente : True La prise en charge du système d’exploitation Windows pour l’atténuation des défauts du terminal L1 est activée : TrueParamètres de contrôle de la spéculation pour MDS [échantillonnage de données microarchitecturales].
La prise en charge du système d’exploitation Windows pour l’atténuation MDS est présente : True
Le matériel est vulnérable à MDS : True La prise en charge du système d’exploitation Windows pour l’atténuation MDS est activée : TrueParamètres de contrôle de la spéculation pour SBDR [lecture de données en mémoire tampon partagée]
La prise en charge du système d’exploitation Windows pour l’atténuation SBDR est présente : True
Le matériel est vulnérable à SBDR : True La prise en charge du système d’exploitation Windows pour l’atténuation SBDR est activée : TrueLes paramètres de contrôle de la vulnérabilité pour FBSDP [propagation de données obsolètes de mémoire tampon de remplissage]
La prise en charge du système d’exploitation Windows pour l’atténuation FBSDP est présente : True Le matériel est vulnérable à FBSDP : True La prise en charge du système d’exploitation Windows pour l’atténuation FBSDP est activée : TrueLes paramètres de contrôle de la spéculation pour PSDP [propagateur de données obsolètes principal]
La prise en charge du système d’exploitation Windows pour l’atténuation PSDP est présente : True
Le matériel est vulnérable à PSDP : True La prise en charge du système d’exploitation Windows pour l’atténuation PSDP est activée : TrueBTIHardwarePresent : True
BTIWindowsSupportPresent : True BTIWindowsSupportEnabled : True BTIDisabledBySystemPolicy : False BTIDisabledByNoHardwareSupport : False BTIKernelRetpolineEnabled : True BTIKernelImportOptimizationEnabled : True RdclHardwareProtectedReported : True RdclHardwareProtected : False KVAShadowRequired : True KVAShadowWindowsSupportPresent : True KVAShadowWindowsSupportEnabled : True KVAShadowPcidEnabled : True SSBDWindowsSupportPresent : True SSBDHardwareVulnerable : True SSBDHardwarePresent : False SSBDWindowsSupportEnabledSystemWide : False L1TFHardwareVulnerable : True L1TFWindowsSupportPresent : True L1TFWindowsSupportEnabled : True L1TFInvalidPteBit : 45 L1DFlushSupported : False HvL1tfStatusAvailable : True HvL1tfProcessorNotAffected : True MDSWindowsSupportPresent : True MDSHardwareVulnerable : True MDSWindowsSupportEnabled : True FBClearWindowsSupportPresent : True SBDRSSDPHardwareVulnerable : True FBSDPHardwareVulnerable : True PSDPHardwareVulnerable : TrueExplication de la sortie du script PowerShell SpeculationControl
La grille de sortie finale correspond à la sortie des lignes précédentes. Cela s’affiche, car PowerShell imprime l’objet retourné par une fonction. Le tableau suivant décrit chaque ligne dans la sortie du script PowerShell.
Sortie |
Explication |
Paramètres de contrôle de la vulnérabilité CVE-2017-5715 [injection cible de branche] |
Cette section fournit des status système pour la variante 2, CVE-2017-5715, injection de cible de branche. |
La prise en charge matérielle de l’atténuation de l’injection de cible de branche est présente |
Correspond à BTIHardwarePresent. Cette ligne vous indique si des fonctionnalités matérielles sont présentes pour prendre en charge l’atténuation de l’injection de cible de branche. L’OEM de l’appareil est chargé de fournir le BIOS/microprogramme mis à jour qui contient le microcode fourni par les fabricants de processeurs. Si cette ligne a la valeur True, les fonctionnalités matérielles requises sont présentes. Si la ligne a la valeur False, les fonctionnalités matérielles requises ne sont pas présentes. Par conséquent, l’atténuation de l’injection de cible de branche ne peut pas être activée. Remarque BTIHardwarePresent aura la valeur True dans les machines virtuelles invitées si la mise à jour OEM est appliquée à l’hôte et que les instructionssont suivies. |
La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cible de branche est présente |
Correspond à BTIWindowsSupportPresent. Cette ligne vous indique si la prise en charge du système d’exploitation Windows est présente pour l’atténuation de l’injection de cible de branche. Si la valeur est True, le système d’exploitation prend en charge l’activation de l’atténuation de l’injection de cible de branche (et a donc installé la mise à jour de janvier 2018). Si la valeur est False, la mise à jour de janvier 2018 n’est pas installée sur l’appareil et l’atténuation de l’injection de cible de branche ne peut pas être activée. Remarque Si une machine virtuelle invitée ne peut pas détecter la mise à jour matérielle de l’hôte, BTIWindowsSupportEnabled aura toujours la valeur False. |
La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cible de branche est activée |
Correspond à BTIWindowsSupportEnabled. Cette ligne vous indique si la prise en charge du système d’exploitation Windows est activée pour l’atténuation de l’injection de cible de branche. Si la valeur est True, la prise en charge matérielle et la prise en charge du système d’exploitation pour l’atténuation de l’injection de cible de branche sont activées pour l’appareil, ce qui protège contre CVE-2017-5715. Si la valeur est False, l’une des conditions suivantes est vraie :
|
La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cible de branche est désactivée par la stratégie système |
Correspond à BTIDisabledBySystemPolicy. Cette ligne vous indique si l’atténuation de l’injection de cible de branche est désactivée par la stratégie système (telle qu’une stratégie définie par l’administrateur). La stratégie système fait référence aux contrôles de Registre comme indiqué dans KB4072698. Si la valeur est True, la stratégie système est responsable de la désactivation de l’atténuation. Si la valeur est False, l’atténuation est désactivée pour une autre cause. |
La prise en charge du système d’exploitation Windows pour l’atténuation de l’injection de cible de branche est désactivée en l’absence de prise en charge matérielle |
Correspond à BTIDisabledByNoHardwareSupport. Cette ligne vous indique si l’atténuation de l’injection de cible de branche est désactivée en raison de l’absence de prise en charge matérielle. Si la valeur est True, l’absence de prise en charge matérielle est responsable de la désactivation de l’atténuation. Si la valeur est False, l’atténuation est désactivée pour une autre cause. Remarque Si une machine virtuelle invitée ne peut pas détecter la mise à jour du matériel hôte, BTIDisabledByNoHardwareSupport sera toujours True. |
Paramètres de contrôle de la vulnérabilité CVE-2017-5754 [chargement de cache de données non autorisées] |
Cette section fournit un résumé de l’état du système pour la variante 3, CVE-2017-5754, du chargement de cache de données non autorisées. L’atténuation de ce problème est appelée ombre d’adresse virtuelle du noyau (VA) ou atténuation de la charge du cache de données non autorisées. |
Le matériel est vulnérable à la charge du cache de données non autorisées |
Correspond à RdclHardwareProtected. Cette ligne vous indique si le matériel est vulnérable à CVE-2017-5754. Si la valeur est True, le matériel est considéré comme vulnérable à CVE-2017-5754. Si la valeur est False, le matériel n’est pas vulnérable à CVE-2017-5754. |
La prise en charge du système d’exploitation Windows pour l’atténuation de la charge du cache de données non autorisées est présente |
Correspond à KVAShadowWindowsSupportPres. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour la fonctionnalité d’ombre VA du noyau est présente. |
La prise en charge du système d’exploitation Windows pour l’atténuation de la charge du cache de données non autorisées est activée |
Correspond à KVAShadowWindowsSupportEnabled. Cette ligne vous indique si la fonctionnalité d’ombre VA du noyau est activée. Si la valeur est True, le matériel est considéré comme vulnérable à CVE-2017-5754, la prise en charge du système d’exploitation Windows est présente et la fonctionnalité est activée. |
Le matériel nécessite l’ombrage de l’analyse des vulnérabilités du noyau |
Correspond à KVAShadowRequired. Cette ligne vous indique si votre système nécessite l’ombrage VA du noyau pour atténuer une vulnérabilité. |
La prise en charge du système d’exploitation Windows pour l’ombre VA du noyau est présente |
Correspond à KVAShadowWindowsSupportPres. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour la fonctionnalité d’ombre VA du noyau est présente. Si la valeur est True, la mise à jour de janvier 2018 est installée sur l’appareil et l’ombre VA du noyau est prise en charge. Si elle a la valeur False, la mise à jour de janvier 2018 n’est pas installée et la prise en charge de l’ombre VA du noyau n’existe pas. |
La prise en charge du système d’exploitation Windows pour l’ombre VA du noyau est activée |
Correspond à KVAShadowWindowsSupportEnabled. Cette ligne vous indique si la fonctionnalité d’ombre VA du noyau est activée. Si la valeur est True, la prise en charge du système d’exploitation Windows est présente et la fonctionnalité est activée. La fonctionnalité d’ombre VA du noyau est actuellement activée par défaut sur les versions clientes de Windows et désactivée par défaut sur les versions de Windows Server. Si la valeur est False, la prise en charge du système d’exploitation Windows n’est pas présente ou la fonctionnalité n’est pas activée. |
La prise en charge du système d’exploitation Windows pour l’optimisation des performances PCID est activée Remarque PCID n’est pas nécessaire pour la sécurité. Il indique uniquement si une amélioration des performances est activée. PCID n’est pas pris en charge avec Windows Server 2008 R2 |
Correspond à KVAShadowPcidEnabled. Cette ligne vous indique si une optimisation supplémentaire des performances est activée pour l’ombre VA du noyau. Si la valeur est True, l’ombre VA du noyau est activée, la prise en charge matérielle du PCID est présente et l’optimisation PCID pour l’ombre VA du noyau est activée. Si la valeur est False, le matériel ou le système d’exploitation peut ne pas prendre en charge PCID. Ce n’est pas une faille de sécurité pour que l’optimisation PCID ne soit pas activée. |
La prise en charge du système d’exploitation Windows pour la désactivation de la déviation du magasin spéculatif est présente |
Correspond à SSBDWindowsSupportPres. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour la désactivation de contournement du magasin spéculatif est présente. Si la valeur est True, la mise à jour de janvier 2018 est installée sur l’appareil et l’ombre VA du noyau est prise en charge. Si la valeur est False, la mise à jour de janvier 2018 n’est pas installée et la prise en charge de l’ombre VA du noyau n’existe pas. |
Le matériel nécessite la désactivation de la déviation du magasin spéculatif |
Correspond à SSBDHardwareVulnerablePresent. Cette ligne vous indique si le matériel est vulnérable à CVE-2018-3639. Si la valeur est True, le matériel est considéré comme vulnérable à CVE-2018-3639. Si la valeur est False, le matériel n’est pas vulnérable à CVE-2018-3639. |
La prise en charge matérielle de la désactivation de la déviation du magasin spéculatif est présente |
Correspond à SSBDHardwarePresent. Cette ligne vous indique si des fonctionnalités matérielles sont présentes pour prendre en charge la désactivation de contournement du magasin spéculatif. L’OEM de l’appareil est chargé de fournir le BIOS/microprogramme mis à jour qui contient le microcode fourni par Intel. Si cette ligne a la valeur True, les fonctionnalités matérielles requises sont présentes. Si la ligne a la valeur False, les fonctionnalités matérielles requises ne sont pas présentes. Par conséquent, la désactivation de la déviation du magasin spéculatif ne peut pas être activée. Remarque SSBDHardwarePresent aura la valeur True dans les machines virtuelles invitées si la mise à jour OEM est appliquée à l’hôte. |
La prise en charge du système d’exploitation Windows pour la désactivation de la déviation du magasin spéculatif est activée |
Correspond à SSBDWindowsSupportEnabledSystemWide. Cette ligne vous indique si la désactivation de la déviation du magasin spéculatif est activée dans le système d’exploitation Windows. Si la valeur est True, la prise en charge matérielle et la prise en charge du système d’exploitation pour la désactivation de la déviation du magasin spéculatif sont activées pour l’appareil, ce qui empêche une déviation du magasin spéculatif de se produire, éliminant ainsi complètement le risque de sécurité. Si la valeur est False, l’une des conditions suivantes est vrai :
|
Paramètres de contrôle de la vulnérabilité CVE-2018-3620 [Défaut de terminal L1] |
Cette section fournit un résumé des états système pour L1TF (système d’exploitation) référencé par CVE-2018-3620. Cette atténuation garantit que les bits de trame de page sécurisés sont utilisés pour les entrées de table de pages non présentes ou non valides. Remarque Cette section ne fournit pas de résumé des états d’atténuation pour L1TF (VMM) référencées par CVE-2018-3646. |
Le matériel est vulnérable au défaut du terminal L1 : True |
Correspond à L1TFHardwareVulnerable. Cette ligne vous indique si le matériel est vulnérable au défaut du terminal L1 (L1TF, CVE-2018-3620). Si la valeur est True, le matériel est considéré comme vulnérable à CVE-2018-3620. Si la valeur est False, le matériel n’est pas vulnérable à CVE-2018-3620. |
La prise en charge du système d’exploitation Windows pour l’atténuation des défauts du terminal L1 est présente : True |
Correspond à L1TFWindowsSupportPresent. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour l’atténuation des défauts du terminal L1 (L1TF) est présente. Si la valeur est True, la mise à jour d’août 2018 est installée sur l’appareil et l’atténuation de CVE-2018-3620 est présente. Si la valeur est False, la mise à jour d’août 2018 n’est pas installée et l’atténuation pour CVE-2018-3620 n’est pas présente. |
La prise en charge du système d’exploitation Windows pour l’atténuation des erreurs de terminal L1 est activée : True |
Correspond à L1TFWindowsSupportEnabled. Cette ligne vous indique si l’atténuation du système d’exploitation Windows pour le défaut du terminal L1 (L1TF, CVE-2018-3620) est activée. Si la valeur est True, le matériel est considéré comme vulnérable à CVE-2018-3620, la prise en charge du système d’exploitation Windows pour l’atténuation est présente et l’atténuation est activée. Si la valeur est False, le matériel n’est pas vulnérable, la prise en charge du système d’exploitation Windows n’est pas présente ou l’atténuation n’est pas activée. |
Paramètres de contrôle de la spéculation pour MDS [Échantillonnage des données microarchitecturales] |
Cette section fournit des états système pour l’ensemble de vulnérabilités MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et ADV220002. |
La prise en charge du système d’exploitation Windows pour l’atténuation MDS est présente |
Correspond à MDSWindowsSupportPresent. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour l’atténuation du système d’exploitation MDS (Échantillonnage des données microarchitecturales) est présente. Si la valeur est True, la mise à jour de mai 2019 est installée sur l’appareil et l’atténuation de MDS est présente. Si la valeur est False, la mise à jour de mai 2019 n’est pas installée et l’atténuation pour MDS n’est pas présente. |
Le matériel est vulnérable à MDS |
Correspond à MDSHardwareVulnerable. Cette ligne vous indique si le matériel est exposé aux vulnérabilités de l’échantillonnage de données microarchitecturales (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Si la valeur est True, le matériel est considéré comme affecté par ces vulnérabilités. Si la valeur est False, le matériel n’est pas vulnérable. |
La prise en charge du système d’exploitation Windows pour l’atténuation MDS est activée |
Correspond à MDSWindowsSupportEnabled. Cette ligne vous indique si l’atténuation du système d’exploitation Windows pour l’échantillonnage des données microarchitecturales (MDS) est activée. Si la valeur est True, le matériel est considéré comme affecté par les vulnérabilités MDS, la prise en charge du système d’exploitation Windows pour l’atténuation est présente et l’atténuation est activée. Si la valeur est False, le matériel n’est pas vulnérable, la prise en charge du système d’exploitation Windows n’est pas présente ou l’atténuation n’est pas activée. |
La prise en charge du système d’exploitation Windows pour l’atténuation SBDR est présente |
Correspond à FBClearWindowsSupportPres. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour l’atténuation du système d’exploitation SBDR est présente. Si la valeur est True, la mise à jour de juin 2022 est installée sur l’appareil et l’atténuation pour SBDR est présente. Si la valeur est False, la mise à jour de juin 2022 n’est pas installée et l’atténuation pour SBDR n’est pas présente. |
Le matériel est vulnérable à SBDR |
Correspond à SBDRSSDPHardwareVulnerable. Cette ligne vous indique si le matériel est exposé au jeu de vulnérabilités SBDR [données lues des mémoires tampons partagées] (CVE-2022-21123). Si la valeur est True, le matériel est considéré comme affecté par ces vulnérabilités. Si la valeur est False, le matériel n’est pas vulnérable. |
La prise en charge du système d’exploitation Windows pour l’atténuation SBDR est activée |
Correspond à FBClearWindowsSupportEnabled. Cette ligne vous indique si l’atténuation du système d’exploitation Windows pour SBDR [données lues des mémoires tampons partagées] est activée. Si la valeur est True, le matériel est considéré comme affecté par les vulnérabilités SBDR, la prise en charge du fonctionnement Windows pour l’atténuation est présente et l’atténuation est activée. Si la valeur est False, le matériel n’est pas vulnérable, la prise en charge du système d’exploitation Windows n’est pas présente ou l’atténuation n’est pas activée. |
La prise en charge du système d’exploitation Windows pour l’atténuation FBSDP est présente |
Correspond à FBClearWindowsSupportPres. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour l’atténuation du système d’exploitation FBSDP est présente. Si la valeur est True, la mise à jour de juin 2022 est installée sur l’appareil et l’atténuation de FBSDP est présente. Si la valeur est False, la mise à jour de juin 2022 n’est pas installée et l’atténuation pour FBSDP n’est pas présente. |
Le matériel est vulnérable à FBSDP |
Correspond à FBSDPHardwareVulnerable. Cette ligne vous indique si le matériel est exposé au jeu de vulnérabilités FBSDP [propagateur de données obsolètes de remplissage de mémoire tampon] (CVE-2022-21125, CVE-2022-21127 et CVE-2022-21166). Si la valeur est True, le matériel est considéré comme affecté par ces vulnérabilités. Si la valeur est False, le matériel n’est pas vulnérable. |
La prise en charge du système d’exploitation Windows pour l’atténuation FBSDP est activée |
Correspond à FBClearWindowsSupportEnabled. Cette ligne vous indique si l’atténuation du système d’exploitation Windows pour FBSDP [propagateur de données obsolètes de remplissage de mémoire tampon] est activée. Si la valeur est True, le matériel est considéré comme affecté par les vulnérabilités FBSDP, le support d’exploitation Windows pour l’atténuation est présent et l’atténuation est activée. Si la valeur est False, le matériel n’est pas vulnérable, la prise en charge du système d’exploitation Windows n’est pas présente ou l’atténuation n’est pas activée. |
La prise en charge du système d’exploitation Windows pour l’atténuation PSDP est présente |
Correspond à FBClearWindowsSupportPres. Cette ligne vous indique si la prise en charge du système d’exploitation Windows pour l’atténuation du système d’exploitation PSDP est présente. Si la valeur est True, la mise à jour de juin 2022 est installée sur l’appareil et l’atténuation de PSDP est présente. Si la valeur est False, la mise à jour de juin 2022 n’est pas installée et l’atténuation pour PSDP n’est pas présente. |
Le matériel est vulnérable au PSDP |
Correspond à PSDPHardwareVulnerable. Cette ligne vous indique si le matériel est vulnérable au jeu de vulnérabilités PSDP [propagateur de données obsolètes principal]. Si la valeur est True, le matériel est considéré comme affecté par ces vulnérabilités. Si la valeur est False, le matériel n’est pas vulnérable. |
La prise en charge du système d’exploitation Windows pour l’atténuation PSDP est activée |
Correspond à FBClearWindowsSupportEnabled. Cette ligne vous indique si l’atténuation du système d’exploitation Windows pour PSDP [propagateur de données obsolètes principal] est activée. Si la valeur est True, le matériel est considéré comme affecté par les vulnérabilités PSDP, la prise en charge du fonctionnement Windows pour l’atténuation est présente et l’atténuation est activée. Si la valeur est False, le matériel n’est pas vulnérable, la prise en charge du système d’exploitation Windows n’est pas présente ou l’atténuation n’est pas activée. |
Sortie pour laquelle toutes les atténuations sont activées
La sortie suivante est attendue pour un appareil pour lequel toutes les atténuations sont activées, ainsi que ce qui est nécessaire pour satisfaire chaque condition.
BTIHardwarePresent : true -> mise à jour du BIOS/microprogramme OEM appliquéeinstructions. BTIDisabledBySystemPolicy : False -> assurez-vous que la stratégie n’est pas désactivée. BTIDisabledByNoHardwareSupport : False -> vérifier que la mise à jour du BIOS/microprogramme OEM est appliquée. BTIKernelRetpolineEnabled : False BTIKernelImportOptimizationEnabled : true KVAShadowRequired : true ou False -> aucune action, il s’agit d’une fonction du processeur que l’ordinateur utilise Si KVAShadowRequired a la valeur true KVAShadowWindowsSupportPresent : true -> installer la mise à jour de janvier 2018 KVAShadowWindowsSupportEnabled : true -> sur le client, aucune action n’est requise. Sur le serveur, suivez les instructions. KVAShadowPcidEnabled : True ou False -> aucune action, il s’agit d’une fonction du processeur utilisé par l’ordinateur
BTIWindowsSupportPresent : true -> mise à jour de janvier 2018 installée BTIWindowsSupportEnabled : true -> sur le client, aucune action n’est requise. Sur le serveur, suivez lesSi SSBDHardwareVulnerablePresent a la valeur trueADV180012 SSBDHardwarePresent : true -> installer la mise à jour du BIOS/microprogramme avec prise en charge de SSBD à partir de votre appareil OEM SSBDWindowsSupportEnabledSystemWide : true -> suivez les actions recommandées pour activer SSBD
SSBDWindowsSupportPresent : true -> installer les mises à jour Windows comme indiqué dansSi L1TFHardwareVulnerable a la valeur trueADV180018 L1TFWindowsSupportEnabled : true -> suivez les actions décrites dans ADV180018 pour Windows Server ou Client, le cas échéant, afin d’activer l’atténuation L1TFInvalidPteBit : 0 L1DFlushSupported : true MDSWindowsSupportPresent : true -> installer la mise à jour de juin 2022 MDSHardwareVulnerable : False -> le hardware est connu pour ne pas être vulnérable MDSWindowsSupportEnabled : true ->mitigation for Microarchitectural Data Sampling (MDS) est activé FBClearWindowsSupportPresent : true ->installer la mise à jour de juin 2022 SBDRSSDPHardwareVulnerable : true ->le matériel est considéré comme affecté par ces vulnérabilités FBSDPHardwareVulnerable : true ->le matériel est considéré comme affecté par ces vulnérabilités PSDPHardwareVulnerable : true ->le matériel est considéré comme affecté par ces vulnérabilités FBClearWindowsSupportEnabled : true ->Représente l’activation de la prévention pour SBDR/FBSDP/PSDP. Vérifiez que le BIOS/microprogramme OEM est mis à jour, que FBClearWindowsSupportPresent a la valeur True, que les préventions sont activées comme indiqué dans ADV220002 et KVAShadowWindowsSupportEnabled a la valeur True.
L1TFWindowsSupportPresent : true -> installer les mises à jour Windows comme indiqué dansRegistre
Le tableau suivant fait correspondre la sortie aux clés de Registre couvertes dans KB4072698 : Conseils Windows Server et Azure Stack HCI pour se protéger contre les vulnérabilités des canaux latéraux d'exécution spéculative et microarchitecturales basées sur le silicium.
Clé de Registre |
d’ingestion |
FeatureSettingsOverride – Bit 0 |
Correspond à – Injection de cible de branche – BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Correspond à – Chargement du cache de données non autorisées – VAShadowWindowsSupportEnabled |
Références
Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.