שנה תאריך |
תיאור השינוי |
---|---|
ה-17 ביולי 2023 |
נוסף MMIO ותיאורים ספציפיים של ערכי פלט בסעיף "פלט שכל צמצום הסיכונים זמין" |
סיכום
כדי לעזור לך לאמת את המצב של צמצום סיכונים ערוץ צדדי של ביצוע ספקולטיבי, פרסמנו קובץ Script של PowerShell (SpeculationControl) שעשוי לפעול במכשירים שלך. מאמר זה מסביר כיצד להפעיל את קובץ ה- Script של SpeculationControl ואת משמעות הפלט.
עדכוני אבטחה ADV180002, ADV180012, ADV180018 ו- ADV190013 מכסים את תשעת הפגיעויות הבאות:
-
CVE-2017-5715 (הזרקת יעד הסתעפות)
-
CVE-2017-5753 (מעקף בדיקת גבולות)
הערה הגנה עבור CVE-2017-5753 (בדיקת גבולות) אינה דורשת הגדרות רישום או עדכוני קושחה נוספים.
-
CVE-2017-5754 (טעינת מטמון נתונים מתחזה)
-
CVE-2018-3639 (מעקף ספקולטיבי של החנות)
-
CVE-2018-3620 (תקלה במסוף L1 – מערכת הפעלה)
-
CVE-2018-11091 (דגימה של נתונים במיקרו-ארכיון של זיכרון לא ניתן לכאב (MDSUM))
-
CVE-2018-12126 (דגימה של נתוני מאגר מאגר של מיקרו-ארכיון (MSBDS))
-
CVE-2018-12127 (דגימה של נתוני יציאת טעינה של מיקרו-ארכיון (MLPDS))
-
CVE-2018-12130 (דגימה של נתוני מאגר מילוי מיקרו-ארכיון (MFBDS))
Advisory ADV220002 מכסה פגיעויות Memory-Mapped נוספות הקשורות ל- I/O (MMIO):
-
CVE-2022-21123 | קריאת נתוני מאגר משותף (SBDR)
-
CVE-2022-21125 | דגימה של נתוני מאגר משותף (SBD)
-
CVE-2022-21127 | עדכון דגימה של נתוני מאגר רישום מיוחד (עדכון SRBDS)
-
CVE-2022-21166 | רישום מכשירים - כתיבה חלקית (DRPW)
מאמר זה מספק פרטים אודות קובץ Script של PowerShell של SpeculationControl שמסייע לקבוע את המצב של צמצום הסיכונים עבור ה- CVEs המפורטים הדורשים הגדרות רישום נוספות, ובבמקרים מסוימים, עדכוני קושחה.
מידע נוסף
קובץ Script של PowerShell של ספקולטולControl
התקן והפעל את קובץ ה- Script של SpeculationControl באמצעות אחת מהשיטות הבאות.
שיטה 1: אימות PowerShell באמצעות גלריית PowerShell (Windows Server 2016 או WMF 5.0/5.1) |
התקן את מודול PowerShell PS> Install-Module SpeculationControl הפעל את מודול PowerShell של SpeculationControl כדי לוודא הגנות זמינות PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
שיטה 2: אימות PowerShell באמצעות הורדה מ- TechNet (גירסאות קודמות של מערכת ההפעלה/גירסאות קודמות של WMF) |
התקנת מודול PowerShell מ- TechNet ScriptCenter
הפעל את מודול PowerShell כדי לוודא הגנות זמינות הפעל את PowerShell ולאחר מכן (באמצעות הדוגמה לעיל) העתק והפעל את הפקודות הבאות: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
פלט קובץ Script של PowerShell
הפלט של קובץ ה- Script של PowerShell של SpeculationControl ייראה כמו הפלט הבא. הגנות זמינות מופיעות בפלט כ- "True".
PS C:\> Get-SpeculationControlSettings
הגדרות בקרת ספקולטציה עבור CVE-2017-5715 [הזרקת יעד הסתעפות]
תמיכה בחומרה עבור צמצום סיכונים של הזרקת יעד הסתעפות קיימת: False
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות קיימת: True תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות זמינה: False התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה על-ידי מדיניות המערכת: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה בהיעדר תמיכה בחומרה: Trueהגדרות בקרת ספקולטציה עבור CVE-2017-5754 [עומס מטמון נתונים מתחזה]
החומרה חשופה לטעינת מטמון נתונים מתחזה: True
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של טעינת מטמון נתונים מתחזה קיימת: True תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של טעינת מטמון נתונים מתחזה זמינה: True חומרה דורשת הצללה של ליבה VA: True התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA קיימת: False התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA זמינה: False התמיכה של מערכת ההפעלה Windows עבור מיטוב PCID זמינה: False הגדרות בקרת ספקולטציה עבור CVE-2018-3639 [מעקף ספקולטיבי של החנות]החומרה חשופה לעקיפת מאגר ספקולטיבי: True
תמיכה בחומרה עבור צמצום סיכונים של מעקף ספקולטיבי של החנות קיימת: False התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של מעקף ספקולטיבי של החנות קיימת: True תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של עקיפת מאגר ספקולטיבי זמינה ברחבי המערכת: Falseהגדרות בקרת ספקולטציה עבור CVE-2018-3620 [תקלת נקודת חיבור של L1]
החומרה חשופה לת תקלה במסוף L1: True
התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 קיימת: True התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 זמינה: Trueהגדרות בקרת ספקולטציה עבור MDS [דגימת נתונים מיקרו-ארכיון]
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS קיימת: True
החומרה חשופה ל- MDS: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS זמינה: Trueהגדרות בקרת ספקולטציה עבור SBDR [קריאה של נתוני מאגרים משותפים]
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של SBDR קיימת: True
החומרה חשופה ל- SBDR: True התמיכה של מערכת ההפעלה Windows עבור SBDR להפחתת הסיכון זמינה: Trueהגדרות בקרת ספקולטציה עבור FBSDP [מפצה נתונים מיוקן של מאגר מילוי]
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP קיימת: True החומרה חשופה ל- FBSDP: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP זמינה: Trueהגדרות בקרת ספקולטציה עבור PSDP [מפצה נתונים מיוקן ראשי]
התמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP קיימת: True
החומרה חשופה ל- PSDP: True תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP זמינה: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowנדרש: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: Trueהסבר אודות פלט קובץ ה- Script של PowerShell של ספקולטולControl
רשת הפלט הסופית ממופה לפלט של הקווים הקודמת. שגיאה זו מופיעה מאחר ש- PowerShell מדפיס את האובייקט המוחזר על-ידי פונקציה. הטבלה הבאה מסבירה כל שורה בפלט קובץ ה- Script של PowerShell.
פלט |
הסבר |
הגדרות בקרת ספקולטציה עבור CVE-2017-5715 [הזרקת יעד הסתעפות] |
סעיף זה מספק מצב מערכת עבור גירסה 2, CVE-2017-5715, הזרקת יעד הסתעפות. |
קיימת תמיכה בחומרה עבור צמצום הזרקה של יעד ענף |
מפות ל- BTIHardwarePresent. שורה זו מציינת אם תכונות החומרה קיימות כדי לתמוך בהפחתת הסיכונים של הזרקת יעד הענף. יצרן הציוד המקורי (OEM) של המכשיר אחראי לספק את ה- BIOS/הקושחה המעודכנים המכילים את המיקרו-קוד שסופק על-ידי יצרני CPU. אם שורה זו היא True, תכונות החומרה הנדרשות קיימות. אם השורה היא False, תכונות החומרה הנדרשות אינן קיימות. לכן, לא ניתן להפוך את הזרקת יעד הענף לזמינה. הערה BTIHardwarePresent יהיה True במחשבים וירטואליים של אורח אם עדכון OEM מוחל על המחשב המארח וההנחיותפועלות. |
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות קיימת |
מפות ל- BTIWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום ההזרקה של יעד הענף. אם זה נכון, מערכת ההפעלה תומכת בהפיכת ההזרקה של הענף לזמינים (ולכן התקין את העדכון של ינואר 2018). אם זהו False, העדכון של ינואר 2018 אינו מותקן במכשיר ולא ניתן להפעיל את צמצום ההזרקה של יעד הענף. הערה אם מחשב וירטואלי של אורח אינו יכול לזהות את עדכון החומרה של המחשב המארח, BTIWindowsSupportEnabled יהיה תמיד False. |
תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות זמינה |
מפות ל- BTIWindowsSupportEnabled. שורה זו מציינת אם תמיכה במערכת ההפעלה Windows זמינה עבור צמצום ההזרקה של יעד הענף. אם זהו True, תמיכה בחומרה ותמיכה של מערכת ההפעלה עבור צמצום ההזרקה של הענף זמינה עבור המכשיר, ובכך להגן מפני CVE-2017-5715. אם זהו False, מתקיים אחד מהתנאים הבאים:
|
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה על-ידי מדיניות המערכת |
מפות ל- BTIDisabledBySystemPolicy. שורה זו מציינת אם צמצום הסיכונים של הזרקת יעד הסתעפות אינו זמין על-ידי מדיניות המערכת (כגון מדיניות המוגדרת על-ידי מנהל מערכת). מדיניות מערכת מתייחסת לפקדי הרישום כפי שפורסם ב- KB4072698. אם זה נכון, מדיניות המערכת אחראית לה השבתת צמצום הסיכונים. אם הוא False, צמצום הסיכונים אינו זמין על-ידי סיבה אחרת. |
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה בהיעדר תמיכה בחומרה |
מפות ל- BTIDisabledByNoHardwareSupport. שורה זו מציינת אם צמצום הסיכונים של הזרקת יעד הענף אינו זמין עקב היעדר תמיכה בחומרה. אם זה נכון, היעדר תמיכה בחומרה הוא האחראי על השבתת צמצום הסיכונים. אם הוא False, צמצום הסיכונים אינו זמין על-ידי סיבה אחרת. הערהאם מחשב וירטואלי של אורח אינו יכול לזהות את עדכון החומרה של המחשב המארח, BTIDisabledByNoHardwareSupport יהיה תמיד True. |
הגדרות בקרת ספקולטציה עבור CVE-2017-5754 [עומס מטמון נתונים מתחזה] |
סעיף זה מספק מצב מערכת סיכום עבור גירסה 3, CVE-2017-5754, עומס מטמון נתונים מתחזה. צמצום הסיכונים עבור זה ידוע כצל כתובת וירטואלית (VA) ליבה או צמצום הטעינה של טעינת מטמון נתונים מתחזה. |
החומרה חשופה לטעינת מטמון נתונים מתחזה |
מפות ל- RdclHardwareProtected. שורה זו מציינת אם החומרה חשופה ל- CVE-2017-5754. אם זה נכון, החומרה תהיה חשופה ל- CVE-2017-5754. אם זהו False, ידוע כי החומרה אינה חשופה ל- CVE-2017-5754. |
התמיכה של מערכת ההפעלה Windows עבור מטמון נתונים מתחזים צמצום סיכונים קיימת |
מפות ל- KVAShadowWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור תכונת הצל של ליבה VA. |
תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של טעינת מטמון נתונים מתחזה זמינה |
מפות ל- KVAShadowWindowsSupportEnabled. שורה זו מציינת אם תכונת הצל של ליבה VA זמינה. אם זה נכון, החומרה עשויה להיות חשופה ל- CVE-2017-5754, קיימת תמיכה במערכת ההפעלה Windows והתכונה זמינה. |
חומרה דורשת הצללה של הליבה VA |
מפות ל- KVAShadowנדרש. שורה זו מציינת אם המערכת שלך דורשת הצללה של ליבה VA כדי לצמצם פגיעות. |
התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA קיימת |
מפות ל- KVAShadowWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור תכונת הצל של ליבה VA. אם זה נכון, העדכון של ינואר 2018 מותקן במכשיר, וצל ליבה VA נתמך. אם זהו False, העדכון של ינואר 2018 אינו מותקן, ותמיכת הצל של ליבה VA אינה קיימת. |
התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA זמינה |
מפות ל- KVAShadowWindowsSupportEnabled. שורה זו מציינת אם תכונת הצל של ליבה VA זמינה. אם הוא נכון, התמיכה במערכת ההפעלה Windows קיימת והתכונה זמינה. תכונת הצל של ליבה VA מופעלת כעת כברירת מחדל בגירסאות לקוח של Windows והיא אינה זמינה כברירת מחדל בגירסאות של Windows Server. אם זהו False, התמיכה במערכת ההפעלה Windows אינה קיימת או שהתכונה אינה זמינה. |
התמיכה של מערכת ההפעלה Windows עבור מיטוב ביצועי PCID זמינה הערהאין צורך ב- PCID לצורך אבטחה. הוא מציין רק אם שיפור ביצועים זמין. PCID אינו נתמך עם Windows Server 2008 R2 |
מפות ל- KVAShadowPcidEnabled. שורה זו מציינת אם מיטוב ביצועים נוסף זמין עבור צל ליבה של VA. אם הוא True, צל ליבה VA זמין, תמיכה בחומרה עבור PCID קיימת, מיטוב PCID עבור צל ליבה VA מופעל. אם זהו False, ייתכן שהתוכנה או מערכת ההפעלה לא יתמכו ב- PCID. זו אינה חולשה באבטחה עבור מיטוב ה- PCID שלא ניתן להפוך לזמין. |
התמיכה של מערכת ההפעלה Windows עבור מעקף ספקולטיבי של Store אינה זמינה קיימת |
מפות ל- SSBDWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור מעקף ספקולטיבי של Store. אם זה נכון, העדכון של ינואר 2018 מותקן במכשיר, וצל ליבה VA נתמך. אם זהו False, העדכון של ינואר 2018 אינו מותקן, ותמיכת הצל של ליבה VA אינה קיימת. |
חומרה דורשת עקיפת מאגר ספקולטיבית ללא זמינה |
מפות ל- SSBDHardwareVulnerablePresent. שורה זו מציינת אם החומרה חשופה ל- CVE-2018-3639. אם זה נכון, החומרה תהיה חשופה ל- CVE-2018-3639. אם זהו False, ידוע כי החומרה אינה חשופה ל- CVE-2018-3639. |
קיימת תמיכה בחומרה עבור עקיפת מאגר ספקולטיבי |
מפות ל- SSBDHardwarePresent. שורה זו מציינת אם תכונות החומרה קיימות כדי לתמוך בעקיפה ספקולטיבית של Store השבתה. יצרן הציוד המקורי (OEM) של המכשיר אחראי לספק את ה- BIOS/הקושחה המעודכנים המכילים את המיקרו-קוד שסופק על-ידי Intel. אם שורה זו היא True, תכונות החומרה הנדרשות קיימות. אם השורה היא False, תכונות החומרה הנדרשות אינן קיימות. לכן, לא ניתן להפעיל ביטול עקיפת מאגר ספקולטיבי. הערה SSBDHardwarePresent יהיה True במחשבים וירטואליים של אורח אם עדכון OEM מוחל על המארח. |
התמיכה של מערכת ההפעלה Windows עבור מעקף ספקולטיבי של Store אינה זמינה מופעלת |
מפות ל- SSBDWindowsSupportEnabledSystemWide. שורה זו מציינת אם האפשרות 'עקיפת עקיפת חנות ספקולטיבית' מופעלת במערכת ההפעלה Windows. אם זה נכון, תמיכה בחומרה ותמיכה של מערכת ההפעלה עבור מעקף ספקולטיבי Store Disable מופעלת עבור המכשיר שמונעת התרחשות של מעקף ספקולטיבי של החנות, ובכך מבטלת לחלוטין את סיכון האבטחה. אם זהו False, מתקיים אחד מהתנאים הבאים:
|
הגדרות בקרת ספקולטציה עבור CVE-2018-3620 [תקלת נקודת חיבור של L1] |
סעיף זה מספק מצב מערכת סיכום עבור L1TF (מערכת הפעלה) שאליו מפנה CVE-2018-3620. צמצום סיכונים זה מבטיח שסיביות מסגרת דף בטוחות ישמש עבור ערכי טבלת עמודים לא קיימים או לא חוקיים. הערה סעיף זה אינו מספק סיכום של מצב צמצום הסיכונים עבור L1TF (VMM) שאליו מפנה CVE-2018-3646. |
החומרה חשופה לת תקלה במסוף L1: True |
Maps to L1TFHardwareVulnerable. שורה זו מציינת אם החומרה חשופה לתקימת מסוף L1 (L1TF, CVE-2018-3620). אם זה נכון, החומרה תהיה חשופה ל- CVE-2018-3620. אם זהו False, ידוע כי החומרה אינה חשופה ל- CVE-2018-3620. |
התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 קיימת: True |
Maps to L1TFWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור תקלת מסוף L1 (L1TF) בצמצום הסיכון. אם זה נכון, העדכון לאוגוסט 2018 מותקן במכשיר, והפחתת הסיכונים עבור CVE-2018-3620 קיימת. אם זהו False, העדכון של אוגוסט 2018 אינו מותקן, והפחתת הסיכונים עבור CVE-2018-3620 אינה קיימת. |
התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 זמינה: True |
Maps to L1TFWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכונים של מערכת ההפעלה Windows עבור תקלת מסוף L1 (L1TF, CVE-2018-3620) זמינה. אם זה נכון, החומרה עשויה להיות חשופה ל- CVE-2018-3620, קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכונים, והפחתת הסיכונים זמינה. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה. |
הגדרות בקרת ספקולטציה עבור MDS [דגימת נתונים של Microarchitectural] |
סעיף זה מספק מצב מערכת עבור ערכת הפגיעויות MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ו- ADV220002. |
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS קיימת |
מפות ל- MDSWindowsSupportPresent. שורה זו מציינת אם קיימת צמצום סיכונים במערכת ההפעלה Microarchitectural Data Sampling (MDS). אם זה נכון, העדכון של מאי 2019 מותקן במכשיר, והפחתת הסיכונים עבור MDS קיימת. אם זהו False, העדכון של מאי 2019 אינו מותקן, והפחתת הסיכונים עבור MDS אינה קיימת. |
החומרה חשופה ל- MDS |
מפות ל- MDSHardwareVulnerable. שורה זו מציינת אם החומרה חשופה לערכת פגיעויות של דגימת נתונים של Microarchitectural (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה. |
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS זמינה |
מפות ל- MDSWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכון של מערכת ההפעלה Windows עבור דגימת נתונים של Microarchitectural (MDS) זמין. אם זה נכון, החומרה מושפעת מהפגיעות של MDS, התמיכה במערכת ההפעלה Windows עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה. |
התמיכה של מערכת ההפעלה Windows עבור SBDR להפחתת הסיכון קיימת |
מפות ל- FBClearWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכון של מערכת ההפעלה SBDR. אם זה נכון, העדכון של יוני 2022 מותקן במכשיר, וההפחתת הסיכון עבור SBDR קיימת. אם זהו False, העדכון של יוני 2022 אינו מותקן, והפחתת הסיכונים עבור SBDR אינה קיימת. |
החומרה חשופה ל- SBDR |
מפות ל- SBDRSSDPHardwareVulnerable. שורה זו מציינת אם החומרה חשופה ל- SBDR [קריאת נתוני מאגרים משותפים] קבוצת פגיעויות (CVE-2022-21123). אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה. |
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של SBDR זמינה |
מפות ל- FBClearWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכון של מערכת ההפעלה Windows עבור SBDR [קריאה של נתוני מאגרים משותפים] זמין. אם זה נכון, החומרה מושפעת מהפגיעות של SBDR, התמיכה בחלונות הפועלים עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה. |
התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP קיימת |
מפות ל- FBClearWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכון של מערכת ההפעלה FBSDP. אם זה נכון, העדכון של יוני 2022 מותקן במכשיר, ו- FBSDP קיים. אם זהו False, העדכון של יוני 2022 אינו מותקן, והפחתת הסיכונים עבור FBSDP אינה קיימת. |
החומרה חשופה ל- FBSDP |
מפות ל- FBSDPHardwareVulnerable. שורה זו מציינת אם החומרה חשופה ל- FBSDP [מפצה נתונים מיוחל של מאגר מילוי] ערכת פגיעויות (CVE-2022-21125, CVE-2022-21127 ו- CVE-2022-21166). אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה. |
תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP זמינה |
מפות ל- FBClearWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכונים של מערכת ההפעלה Windows עבור FBSDP [מפצה נתונים מיוקן של מאגר מילוי] זמין. אם זה נכון, החומרה מושפעת מהפגיעות של FBSDP, התמיכה ב- Windows עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה. |
קיימת תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP |
מפות ל- FBClearWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכון של מערכת ההפעלה PSDP. אם זה נכון, העדכון של יוני 2022 מותקן במכשיר, והפחתת הסיכונים עבור PSDP קיימת. אם זהו False, העדכון של יוני 2022 אינו מותקן, והפחתת הסיכונים עבור PSDP אינה קיימת. |
החומרה חשופה ל- PSDP |
מפות ל- PSDPHardwareVulnerable. שורה זו מציינת אם החומרה חשופה לערכת הפגיעויות של PSDP [מפצה נתונים מיוקן ראשי]. אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה. |
תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP זמינה |
מפות ל- FBClearWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכונים של מערכת ההפעלה Windows עבור PSDP [מפצה נתונים מיוקן ראשי] זמין. אם זה נכון, החומרה מושפעת מהפגיעות של PSDP, התמיכה בחלונות הפועלים עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה. |
פלט שכל צמצום הסיכונים זמין בו
הפלט הבא צפוי עבור מכשיר שכל צמצום הסיכונים זמין בו, יחד עם מה שנחוץ כדי למלא כל תנאי.
BTIHardwarePresent: True -> שהוחל עדכון BIOS/קושחה שללהנחיות. BTIDisabledBySystemPolicy: False -> לוודא שלא הפכה ללא זמינה על-ידי המדיניות. BTIDisabledByNoHardwareSupport: False -> לוודא שהוחל עדכון BIOS/קושחה של OEM. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowנדרש: True או False -> פעולה, זוהי פונקציה של ה- CPU שבו המחשב משתמש אם KVAShadowRequired הוא True KVAShadowWindowsSupportPresent: True -> התקנת עדכון ינואר 2018 KVAShadowWindowsSupportEnabled: True -> בלקוח, לא נדרשת פעולה. בשרת, פעל בהתאם להנחיות. KVAShadowPcidEnabled: True או False -> פעולה, זוהי פונקציה של ה- CPU שבו המחשב משתמש
OEM BTIWindowsSupportPresent: נכון -> עדכון ינואר 2018 מותקן BTIWindowsSupportEnabled: True -> בלקוח, לא נדרשת פעולה. בשרת, פעל בהתאםאם SSBDHardwareVulnerablePresent הוא TrueADV180012 SSBDHardwarePresent: True -> התקנת BIOS/עדכון קושחה עם תמיכה עבור SSBD מה- OEM של המכשיר שלך SSBDWindowsSupportEnabledSystemWide: True - > פעל בהתאם לפעולות המומלצות כדי להפעיל SSBD
SSBDWindowsSupportPresent: True -> התקנת עדכוני Windows כפי שפורסם ב-אם L1TFHardwareVulnerable הוא TrueADV180018 L1TFWindowsSupportEnabled: True -> בצע פעולות המתוארות ב- ADV180018 עבור שרת Windows או לקוח בהתאם לצורך כדי לאפשר את צמצום הסיכונים L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> עדכון יוני 2022 MDSHardwareVulnerable: False -> ידוע כי החומרה אינה חשופה MDSWindowsSupportEnabled: True -> צמצום סיכונים עבור דגימת נתונים של Microarchitectural (MDS) זמינה FBClearWindowsSupportPresent: True -> עדכון יוני 2022 SBDRSSDPHardwareVulnerable: True -> הוא האמין כי החומרה מושפעת מפגיעות זו FBSDPHardwareVulnerable: True -> שנראים כי החומרה מושפעת מפגיעות זו PSDPHardwareVulnerable: True -> החומרה הוא האמין להיות מושפע פגיעויות אלה FBClearWindowsSupportEnabled: True -> מייצג הפעלה של צמצום סיכונים עבור SBDR/FBSDP/PSDP. ודא שה- BIOS/הקושחה של OEM מעודכנים, FBClearWindowsSupportPresent הוא True, צמצום סיכונים זמין כמתואר ב- ADV220002 ו- KVAShadowWindowsSupportEnabled הוא True.
L1TFWindowsSupportPresent: True -> התקנת עדכוני Windows כפי שתואר ב-הרישום
הטבלה הבאה ממפת את הפלט למפתחות הרישום הכלולים ב- KB4072698: הדרכה עבור Windows Server ו- Azure Stack HCI כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע צדדי המבוססות על מעבדים וביצוע ספקולטיבי.
מפתח רישום |
מיפוי |
FeatureSettingsOverride – סיבית 0 |
מפות אל - הזרקת יעד הסתעפות - BTIWindowsSupportEnabled |
FeatureSettingsOverride – סיבית 1 |
מפות ל- טעינת מטמון נתונים מתחזה - VAShadowWindowsSupportEnabled |
ספרי עזר
אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.