Applies ToWindows 11 Windows 10

שנה תאריך

תיאור השינוי

ה-17 ביולי 2023

נוסף MMIO ותיאורים ספציפיים של ערכי פלט בסעיף "פלט שכל צמצום הסיכונים זמין"

סיכום

כדי לעזור לך לאמת את המצב של צמצום סיכונים ערוץ צדדי של ביצוע ספקולטיבי, פרסמנו קובץ Script של PowerShell (SpeculationControl) שעשוי לפעול במכשירים שלך. מאמר זה מסביר כיצד להפעיל את קובץ ה- Script של SpeculationControl ואת משמעות הפלט.

עדכוני אבטחה ADV180002, ADV180012, ADV180018 ו- ADV190013 מכסים את תשעת הפגיעויות הבאות:

  • CVE-2017-5715 (הזרקת יעד הסתעפות)

  • CVE-2017-5753 (מעקף בדיקת גבולות)

    הערה הגנה עבור CVE-2017-5753 (בדיקת גבולות) אינה דורשת הגדרות רישום או עדכוני קושחה נוספים.  

  • CVE-2017-5754 (טעינת מטמון נתונים מתחזה)

  • CVE-2018-3639 (מעקף ספקולטיבי של החנות)

  • CVE-2018-3620 (תקלה במסוף L1 – מערכת הפעלה)

  • CVE-2018-11091 (דגימה של נתונים במיקרו-ארכיון של זיכרון לא ניתן לכאב (MDSUM))

  • CVE-2018-12126 (דגימה של נתוני מאגר מאגר של מיקרו-ארכיון (MSBDS))

  • CVE-2018-12127 (דגימה של נתוני יציאת טעינה של מיקרו-ארכיון (MLPDS))

  • CVE-2018-12130 (דגימה של נתוני מאגר מילוי מיקרו-ארכיון (MFBDS))

Advisory ADV220002 מכסה פגיעויות Memory-Mapped נוספות הקשורות ל- I/O (MMIO):

  • CVE-2022-21123 | קריאת נתוני מאגר משותף (SBDR)

  • CVE-2022-21125 | דגימה של נתוני מאגר משותף (SBD)

  • CVE-2022-21127 | עדכון דגימה של נתוני מאגר רישום מיוחד (עדכון SRBDS)

  • CVE-2022-21166 | רישום מכשירים - כתיבה חלקית (DRPW)

מאמר זה מספק פרטים אודות קובץ Script של PowerShell של SpeculationControl שמסייע לקבוע את המצב של צמצום הסיכונים עבור ה- CVEs המפורטים הדורשים הגדרות רישום נוספות, ובבמקרים מסוימים, עדכוני קושחה.

מידע נוסף

קובץ Script של PowerShell של ספקולטולControl

התקן והפעל את קובץ ה- Script של SpeculationControl באמצעות אחת מהשיטות הבאות.

שיטה 1: אימות PowerShell באמצעות גלריית PowerShell (Windows Server 2016 או WMF 5.0/5.1)

התקן את מודול PowerShell

PS> Install-Module SpeculationControl

הפעל את מודול PowerShell של SpeculationControl כדי לוודא הגנות זמינות

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

שיטה 2: אימות PowerShell באמצעות הורדה מ- TechNet (גירסאות קודמות של מערכת ההפעלה/גירסאות קודמות של WMF)

התקנת מודול PowerShell מ- TechNet ScriptCenter

  1. עבור אל https://aka.ms/SpeculationControlPS.

  2. הורד SpeculationControl.zip לתיקיה מקומית.

  3. חילוץ התוכן לתיקיה מקומית, לדוגמה C:\ADV180002

הפעל את מודול PowerShell כדי לוודא הגנות זמינות

הפעל את PowerShell ולאחר מכן (באמצעות הדוגמה לעיל) העתק והפעל את הפקודות הבאות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

פלט קובץ Script של PowerShell

הפלט של קובץ ה- Script של PowerShell של SpeculationControl ייראה כמו הפלט הבא. הגנות זמינות מופיעות בפלט כ- "True".

PS C:\> Get-SpeculationControlSettings

הגדרות בקרת ספקולטציה עבור CVE-2017-5715 [הזרקת יעד הסתעפות]

תמיכה בחומרה עבור צמצום סיכונים של הזרקת יעד הסתעפות קיימת: False התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות קיימת: True תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות זמינה: False התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה על-ידי מדיניות המערכת: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה בהיעדר תמיכה בחומרה: True

הגדרות בקרת ספקולטציה עבור CVE-2017-5754 [עומס מטמון נתונים מתחזה]

החומרה חשופה לטעינת מטמון נתונים מתחזה: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של טעינת מטמון נתונים מתחזה קיימת: True תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של טעינת מטמון נתונים מתחזה זמינה: True חומרה דורשת הצללה של ליבה VA: True התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA קיימת: False התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA זמינה: False התמיכה של מערכת ההפעלה Windows עבור מיטוב PCID זמינה: False הגדרות בקרת ספקולטציה עבור CVE-2018-3639 [מעקף ספקולטיבי של החנות]

החומרה חשופה לעקיפת מאגר ספקולטיבי: True תמיכה בחומרה עבור צמצום סיכונים של מעקף ספקולטיבי של החנות קיימת: False התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של מעקף ספקולטיבי של החנות קיימת: True תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של עקיפת מאגר ספקולטיבי זמינה ברחבי המערכת: False

הגדרות בקרת ספקולטציה עבור CVE-2018-3620 [תקלת נקודת חיבור של L1]

החומרה חשופה לת תקלה במסוף L1: True התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 קיימת: True התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 זמינה: True

הגדרות בקרת ספקולטציה עבור MDS [דגימת נתונים מיקרו-ארכיון]

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS קיימת: True החומרה חשופה ל- MDS: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS זמינה: True

הגדרות בקרת ספקולטציה עבור SBDR [קריאה של נתוני מאגרים משותפים] 

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של SBDR קיימת: True החומרה חשופה ל- SBDR: True התמיכה של מערכת ההפעלה Windows עבור SBDR להפחתת הסיכון זמינה: True 

הגדרות בקרת ספקולטציה עבור FBSDP [מפצה נתונים מיוקן של מאגר מילוי] התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP קיימת: True החומרה חשופה ל- FBSDP: True התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP זמינה: True 

הגדרות בקרת ספקולטציה עבור PSDP [מפצה נתונים מיוקן ראשי]

התמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP קיימת: True החומרה חשופה ל- PSDP: True תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP זמינה: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowנדרש: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

הסבר אודות פלט קובץ ה- Script של PowerShell של ספקולטולControl

רשת הפלט הסופית ממופה לפלט של הקווים הקודמת. שגיאה זו מופיעה מאחר ש- PowerShell מדפיס את האובייקט המוחזר על-ידי פונקציה. הטבלה הבאה מסבירה כל שורה בפלט קובץ ה- Script של PowerShell.

פלט

הסבר

הגדרות בקרת ספקולטציה עבור CVE-2017-5715 [הזרקת יעד הסתעפות]

סעיף זה מספק מצב מערכת עבור גירסה 2, CVE-2017-5715, הזרקת יעד הסתעפות.

קיימת תמיכה בחומרה עבור צמצום הזרקה של יעד ענף

מפות ל- BTIHardwarePresent. שורה זו מציינת אם תכונות החומרה קיימות כדי לתמוך בהפחתת הסיכונים של הזרקת יעד הענף. יצרן הציוד המקורי (OEM) של המכשיר אחראי לספק את ה- BIOS/הקושחה המעודכנים המכילים את המיקרו-קוד שסופק על-ידי יצרני CPU. אם שורה זו היא True, תכונות החומרה הנדרשות קיימות. אם השורה היא False, תכונות החומרה הנדרשות אינן קיימות. לכן, לא ניתן להפוך את הזרקת יעד הענף לזמינה.

הערה BTIHardwarePresent יהיה True במחשבים וירטואליים של אורח אם עדכון OEM מוחל על המחשב המארח וההנחיותפועלות.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות קיימת

מפות ל- BTIWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום ההזרקה של יעד הענף. אם זה נכון, מערכת ההפעלה תומכת בהפיכת ההזרקה של הענף לזמינים (ולכן התקין את העדכון של ינואר 2018). אם זהו False, העדכון של ינואר 2018 אינו מותקן במכשיר ולא ניתן להפעיל את צמצום ההזרקה של יעד הענף.

הערה אם מחשב וירטואלי של אורח אינו יכול לזהות את עדכון החומרה של המחשב המארח, BTIWindowsSupportEnabled יהיה תמיד False.

תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות זמינה

מפות ל- BTIWindowsSupportEnabled. שורה זו מציינת אם תמיכה במערכת ההפעלה Windows זמינה עבור צמצום ההזרקה של יעד הענף. אם זהו True, תמיכה בחומרה ותמיכה של מערכת ההפעלה עבור צמצום ההזרקה של הענף זמינה עבור המכשיר, ובכך להגן מפני CVE-2017-5715. אם זהו False, מתקיים אחד מהתנאים הבאים:

  • תמיכה בחומרה אינה קיימת.

  • התמיכה של מערכת ההפעלה אינה קיימת.

  • מדיניות המערכת אינה זמינה את צמצום הסיכונים.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה על-ידי מדיניות המערכת

מפות ל- BTIDisabledBySystemPolicy. שורה זו מציינת אם צמצום הסיכונים של הזרקת יעד הסתעפות אינו זמין על-ידי מדיניות המערכת (כגון מדיניות המוגדרת על-ידי מנהל מערכת). מדיניות מערכת מתייחסת לפקדי הרישום כפי שפורסם ב- KB4072698. אם זה נכון, מדיניות המערכת אחראית לה השבתת צמצום הסיכונים. אם הוא False, צמצום הסיכונים אינו זמין על-ידי סיבה אחרת.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של הזרקת יעד הסתעפות אינה זמינה בהיעדר תמיכה בחומרה

מפות ל- BTIDisabledByNoHardwareSupport. שורה זו מציינת אם צמצום הסיכונים של הזרקת יעד הענף אינו זמין עקב היעדר תמיכה בחומרה. אם זה נכון, היעדר תמיכה בחומרה הוא האחראי על השבתת צמצום הסיכונים. אם הוא False, צמצום הסיכונים אינו זמין על-ידי סיבה אחרת.

הערהאם מחשב וירטואלי של אורח אינו יכול לזהות את עדכון החומרה של המחשב המארח, BTIDisabledByNoHardwareSupport יהיה תמיד True.

הגדרות בקרת ספקולטציה עבור CVE-2017-5754 [עומס מטמון נתונים מתחזה]

סעיף זה מספק מצב מערכת סיכום עבור גירסה 3, CVE-2017-5754, עומס מטמון נתונים מתחזה. צמצום הסיכונים עבור זה ידוע כצל כתובת וירטואלית (VA) ליבה או צמצום הטעינה של טעינת מטמון נתונים מתחזה.

החומרה חשופה לטעינת מטמון נתונים מתחזה

מפות ל- RdclHardwareProtected. שורה זו מציינת אם החומרה חשופה ל- CVE-2017-5754. אם זה נכון, החומרה תהיה חשופה ל- CVE-2017-5754. אם זהו False, ידוע כי החומרה אינה חשופה ל- CVE-2017-5754.

התמיכה של מערכת ההפעלה Windows עבור מטמון נתונים מתחזים צמצום סיכונים קיימת

מפות ל- KVAShadowWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור תכונת הצל של ליבה VA.

תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של טעינת מטמון נתונים מתחזה זמינה

מפות ל- KVAShadowWindowsSupportEnabled. שורה זו מציינת אם תכונת הצל של ליבה VA זמינה. אם זה נכון, החומרה עשויה להיות חשופה ל- CVE-2017-5754, קיימת תמיכה במערכת ההפעלה Windows והתכונה זמינה.

חומרה דורשת הצללה של הליבה VA

מפות ל- KVAShadowנדרש. שורה זו מציינת אם המערכת שלך דורשת הצללה של ליבה VA כדי לצמצם פגיעות.

התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA קיימת

מפות ל- KVAShadowWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור תכונת הצל של ליבה VA. אם זה נכון, העדכון של ינואר 2018 מותקן במכשיר, וצל ליבה VA נתמך. אם זהו False, העדכון של ינואר 2018 אינו מותקן, ותמיכת הצל של ליבה VA אינה קיימת.

התמיכה של מערכת ההפעלה Windows עבור צל ליבה VA זמינה

מפות ל- KVAShadowWindowsSupportEnabled. שורה זו מציינת אם תכונת הצל של ליבה VA זמינה. אם הוא נכון, התמיכה במערכת ההפעלה Windows קיימת והתכונה זמינה. תכונת הצל של ליבה VA מופעלת כעת כברירת מחדל בגירסאות לקוח של Windows והיא אינה זמינה כברירת מחדל בגירסאות של Windows Server. אם זהו False, התמיכה במערכת ההפעלה Windows אינה קיימת או שהתכונה אינה זמינה.

התמיכה של מערכת ההפעלה Windows עבור מיטוב ביצועי PCID זמינה

הערהאין צורך ב- PCID לצורך אבטחה. הוא מציין רק אם שיפור ביצועים זמין. PCID אינו נתמך עם Windows Server 2008 R2

מפות ל- KVAShadowPcidEnabled. שורה זו מציינת אם מיטוב ביצועים נוסף זמין עבור צל ליבה של VA. אם הוא True, צל ליבה VA זמין, תמיכה בחומרה עבור PCID קיימת, מיטוב PCID עבור צל ליבה VA מופעל. אם זהו False, ייתכן שהתוכנה או מערכת ההפעלה לא יתמכו ב- PCID. זו אינה חולשה באבטחה עבור מיטוב ה- PCID שלא ניתן להפוך לזמין.

התמיכה של מערכת ההפעלה Windows עבור מעקף ספקולטיבי של Store אינה זמינה קיימת

מפות ל- SSBDWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור מעקף ספקולטיבי של Store. אם זה נכון, העדכון של ינואר 2018 מותקן במכשיר, וצל ליבה VA נתמך. אם זהו False, העדכון של ינואר 2018 אינו מותקן, ותמיכת הצל של ליבה VA אינה קיימת.

חומרה דורשת עקיפת מאגר ספקולטיבית ללא זמינה

מפות ל- SSBDHardwareVulnerablePresent. שורה זו מציינת אם החומרה חשופה ל- CVE-2018-3639. אם זה נכון, החומרה תהיה חשופה ל- CVE-2018-3639. אם זהו False, ידוע כי החומרה אינה חשופה ל- CVE-2018-3639.

קיימת תמיכה בחומרה עבור עקיפת מאגר ספקולטיבי

מפות ל- SSBDHardwarePresent. שורה זו מציינת אם תכונות החומרה קיימות כדי לתמוך בעקיפה ספקולטיבית של Store השבתה. יצרן הציוד המקורי (OEM) של המכשיר אחראי לספק את ה- BIOS/הקושחה המעודכנים המכילים את המיקרו-קוד שסופק על-ידי Intel. אם שורה זו היא True, תכונות החומרה הנדרשות קיימות. אם השורה היא False, תכונות החומרה הנדרשות אינן קיימות. לכן, לא ניתן להפעיל ביטול עקיפת מאגר ספקולטיבי.

הערה SSBDHardwarePresent יהיה True במחשבים וירטואליים של אורח אם עדכון OEM מוחל על המארח.

התמיכה של מערכת ההפעלה Windows עבור מעקף ספקולטיבי של Store אינה זמינה מופעלת

מפות ל- SSBDWindowsSupportEnabledSystemWide. שורה זו מציינת אם האפשרות 'עקיפת עקיפת חנות ספקולטיבית' מופעלת במערכת ההפעלה Windows. אם זה נכון, תמיכה בחומרה ותמיכה של מערכת ההפעלה עבור מעקף ספקולטיבי Store Disable מופעלת עבור המכשיר שמונעת התרחשות של מעקף ספקולטיבי של החנות, ובכך מבטלת לחלוטין את סיכון האבטחה. אם זהו False, מתקיים אחד מהתנאים הבאים:

הגדרות בקרת ספקולטציה עבור CVE-2018-3620 [תקלת נקודת חיבור של L1]

סעיף זה מספק מצב מערכת סיכום עבור L1TF (מערכת הפעלה) שאליו מפנה CVE-2018-3620. צמצום סיכונים זה מבטיח שסיביות מסגרת דף בטוחות ישמש עבור ערכי טבלת עמודים לא קיימים או לא חוקיים.

הערה סעיף זה אינו מספק סיכום של מצב צמצום הסיכונים עבור L1TF (VMM) שאליו מפנה CVE-2018-3646.

החומרה חשופה לת תקלה במסוף L1: True

Maps to L1TFHardwareVulnerable. שורה זו מציינת אם החומרה חשופה לתקימת מסוף L1 (L1TF, CVE-2018-3620). אם זה נכון, החומרה תהיה חשופה ל- CVE-2018-3620. אם זהו False, ידוע כי החומרה אינה חשופה ל- CVE-2018-3620.

התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 קיימת: True

Maps to L1TFWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור תקלת מסוף L1 (L1TF) בצמצום הסיכון. אם זה נכון, העדכון לאוגוסט 2018 מותקן במכשיר, והפחתת הסיכונים עבור CVE-2018-3620 קיימת. אם זהו False, העדכון של אוגוסט 2018 אינו מותקן, והפחתת הסיכונים עבור CVE-2018-3620 אינה קיימת.

התמיכה של מערכת ההפעלה Windows עבור צמצום תקלות מסוף L1 זמינה: True

Maps to L1TFWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכונים של מערכת ההפעלה Windows עבור תקלת מסוף L1 (L1TF, CVE-2018-3620) זמינה. אם זה נכון, החומרה עשויה להיות חשופה ל- CVE-2018-3620, קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכונים, והפחתת הסיכונים זמינה. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה.

הגדרות בקרת ספקולטציה עבור MDS [דגימת נתונים של Microarchitectural]

סעיף זה מספק מצב מערכת עבור ערכת הפגיעויות MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ו- ADV220002.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS קיימת

מפות ל- MDSWindowsSupportPresent. שורה זו מציינת אם קיימת צמצום סיכונים במערכת ההפעלה Microarchitectural Data Sampling (MDS). אם זה נכון, העדכון של מאי 2019 מותקן במכשיר, והפחתת הסיכונים עבור MDS קיימת. אם זהו False, העדכון של מאי 2019 אינו מותקן, והפחתת הסיכונים עבור MDS אינה קיימת.

החומרה חשופה ל- MDS

מפות ל- MDSHardwareVulnerable. שורה זו מציינת אם החומרה חשופה לערכת פגיעויות של דגימת נתונים של Microarchitectural (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של MDS זמינה

מפות ל- MDSWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכון של מערכת ההפעלה Windows עבור דגימת נתונים של Microarchitectural (MDS) זמין. אם זה נכון, החומרה מושפעת מהפגיעות של MDS, התמיכה במערכת ההפעלה Windows עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה.

התמיכה של מערכת ההפעלה Windows עבור SBDR להפחתת הסיכון קיימת

מפות ל- FBClearWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכון של מערכת ההפעלה SBDR. אם זה נכון, העדכון של יוני 2022 מותקן במכשיר, וההפחתת הסיכון עבור SBDR קיימת. אם זהו False, העדכון של יוני 2022 אינו מותקן, והפחתת הסיכונים עבור SBDR אינה קיימת.

החומרה חשופה ל- SBDR

מפות ל- SBDRSSDPHardwareVulnerable. שורה זו מציינת אם החומרה חשופה ל- SBDR [קריאת נתוני מאגרים משותפים] קבוצת פגיעויות (CVE-2022-21123). אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של SBDR זמינה

מפות ל- FBClearWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכון של מערכת ההפעלה Windows עבור SBDR [קריאה של נתוני מאגרים משותפים] זמין. אם זה נכון, החומרה מושפעת מהפגיעות של SBDR, התמיכה בחלונות הפועלים עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה.

התמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP קיימת

מפות ל- FBClearWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכון של מערכת ההפעלה FBSDP. אם זה נכון, העדכון של יוני 2022 מותקן במכשיר, ו- FBSDP קיים. אם זהו False, העדכון של יוני 2022 אינו מותקן, והפחתת הסיכונים עבור FBSDP אינה קיימת.

החומרה חשופה ל- FBSDP

מפות ל- FBSDPHardwareVulnerable. שורה זו מציינת אם החומרה חשופה ל- FBSDP [מפצה נתונים מיוחל של מאגר מילוי] ערכת פגיעויות (CVE-2022-21125, CVE-2022-21127 ו- CVE-2022-21166). אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה.

תמיכה של מערכת ההפעלה Windows עבור צמצום סיכונים של FBSDP זמינה

מפות ל- FBClearWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכונים של מערכת ההפעלה Windows עבור FBSDP [מפצה נתונים מיוקן של מאגר מילוי] זמין. אם זה נכון, החומרה מושפעת מהפגיעות של FBSDP, התמיכה ב- Windows עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה.

קיימת תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP

מפות ל- FBClearWindowsSupportPresent. שורה זו מציינת אם קיימת תמיכה במערכת ההפעלה Windows עבור צמצום הסיכון של מערכת ההפעלה PSDP. אם זה נכון, העדכון של יוני 2022 מותקן במכשיר, והפחתת הסיכונים עבור PSDP קיימת. אם זהו False, העדכון של יוני 2022 אינו מותקן, והפחתת הסיכונים עבור PSDP אינה קיימת.

החומרה חשופה ל- PSDP

מפות ל- PSDPHardwareVulnerable. שורה זו מציינת אם החומרה חשופה לערכת הפגיעויות של PSDP [מפצה נתונים מיוקן ראשי]. אם זה נכון, החומרה מושפעת מפגיעות אלה. אם זהו False, ידוע כי החומרה אינה פגיעה.

תמיכה במערכת ההפעלה Windows עבור צמצום סיכונים של PSDP זמינה

מפות ל- FBClearWindowsSupportEnabled. שורה זו מציינת אם צמצום הסיכונים של מערכת ההפעלה Windows עבור PSDP [מפצה נתונים מיוקן ראשי] זמין. אם זה נכון, החומרה מושפעת מהפגיעות של PSDP, התמיכה בחלונות הפועלים עבור צמצום הסיכונים קיימת, והפחתת הסיכונים מופעלת. אם זהו False, החומרה אינה חשופה, התמיכה במערכת ההפעלה Windows אינה קיימת או שהפחתת הסיכונים אינה זמינה.

פלט שכל צמצום הסיכונים זמין בו

הפלט הבא צפוי עבור מכשיר שכל צמצום הסיכונים זמין בו, יחד עם מה שנחוץ כדי למלא כל תנאי.

BTIHardwarePresent: True -> שהוחל עדכון BIOS/קושחה של OEM BTIWindowsSupportPresent: נכון -> עדכון ינואר 2018 מותקן BTIWindowsSupportEnabled: True -> בלקוח, לא נדרשת פעולה. בשרת, פעל בהתאם להנחיות.BTIDisabledBySystemPolicy: False -> לוודא שלא הפכה ללא זמינה על-ידי המדיניות.BTIDisabledByNoHardwareSupport: False -> לוודא שהוחל עדכון BIOS/קושחה של OEM.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowנדרש: True או False -> פעולה, זוהי פונקציה של ה- CPU שבו המחשב משתמש אם KVAShadowRequired הוא True KVAShadowWindowsSupportPresent: True -> התקנת עדכון ינואר 2018 KVAShadowWindowsSupportEnabled: True -> בלקוח, לא נדרשת פעולה. בשרת, פעל בהתאם להנחיות.KVAShadowPcidEnabled: True או False -> פעולה, זוהי פונקציה של ה- CPU שבו המחשב משתמש

אם SSBDHardwareVulnerablePresent הוא True SSBDWindowsSupportPresent: True -> התקנת עדכוני Windows כפי שפורסם ב- ADV180012 SSBDHardwarePresent: True -> התקנת BIOS/עדכון קושחה עם תמיכה עבור SSBD מה- OEM של המכשיר שלך SSBDWindowsSupportEnabledSystemWide: True - > פעל בהתאם לפעולות המומלצות כדי להפעיל SSBD

אם L1TFHardwareVulnerable הוא True L1TFWindowsSupportPresent: True -> התקנת עדכוני Windows כפי שתואר ב- ADV180018 L1TFWindowsSupportEnabled: True -> בצע פעולות המתוארות ב- ADV180018 עבור שרת Windows או לקוח בהתאם לצורך כדי לאפשר את צמצום הסיכונים L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> עדכון יוני 2022 MDSHardwareVulnerable: False -> ידוע כי החומרה אינה חשופה MDSWindowsSupportEnabled: True -> צמצום סיכונים עבור דגימת נתונים של Microarchitectural (MDS) זמינה FBClearWindowsSupportPresent: True -> עדכון יוני 2022 SBDRSSDPHardwareVulnerable: True -> הוא האמין כי החומרה מושפעת מפגיעות זו FBSDPHardwareVulnerable: True -> שנראים כי החומרה מושפעת מפגיעות זו PSDPHardwareVulnerable: True -> החומרה הוא האמין להיות מושפע פגיעויות אלה FBClearWindowsSupportEnabled: True -> מייצג הפעלה של צמצום סיכונים עבור SBDR/FBSDP/PSDP. ודא שה- BIOS/הקושחה של OEM מעודכנים, FBClearWindowsSupportPresent הוא True, צמצום סיכונים זמין כמתואר ב- ADV220002 ו- KVAShadowWindowsSupportEnabled הוא True.

הרישום

הטבלה הבאה ממפת את הפלט למפתחות הרישום הכלולים ב- KB4072698: הדרכה עבור Windows Server ו- Azure Stack HCI כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע צדדי המבוססות על מעבדים וביצוע ספקולטיבי.

מפתח רישום

מיפוי

FeatureSettingsOverride – סיבית 0

מפות אל - הזרקת יעד הסתעפות - BTIWindowsSupportEnabled

FeatureSettingsOverride – סיבית 1

מפות ל- טעינת מטמון נתונים מתחזה - VAShadowWindowsSupportEnabled

ספרי עזר

אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.