Applies ToWindows 11 Windows 10

Dátum módosítása

A módosítás leírása

2023. július 17.

Hozzáadta az MMIO-t és a kimeneti értékek konkrét leírását a "Kimenet, amely minden kockázatcsökkentést engedélyezve van" szakaszban

Összefoglalás

A spekulatív végrehajtás oldalcsatornás kockázatcsökkentéseinek állapotának ellenőrzéséhez közzétettünk egy PowerShell-szkriptet (SpeculationControl), amely futtatható az eszközein. Ez a cikk bemutatja, hogyan futtatható a SpeculationControl szkript, és mit jelent a kimenet.

Az ADV180002, az ADV180012, az ADV180018 és az ADV190013 biztonsági tanácsadás a következő kilenc biztonsági rést fedi le:

  • CVE-2017-5715 (ágcél injektálás)

  • CVE-2017-5753 (határellenőrzés megkerülése)

    Megjegyzés A CVE-2017-5753 védelme (a korlátok ellenőrzése) nem igényel további beállításjegyzék-beállításokat vagy belső vezérlőprogram-frissítéseket.  

  • CVE-2017-5754 (rosszindulatú adatgyorsítótár-terhelés)

  • CVE-2018-3639 (spekulatív tároló megkerülése)

  • CVE-2018-3620 (L1 terminálhiba – operációs rendszer)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (mikroarchitekturális kitöltőpuffer adatmintázása (MFBDS))

Az ADV220002 tanácsadó a Memory-Mapped I/O-hoz (MMIO) kapcsolódó további biztonsági réseket fedi le:

  • CVE-2022-21123 | Megosztott pufferadatok olvasása (SBDR)

  • CVE-2022-21125 | Megosztott pufferadatok mintavételezése (SBDS)

  • CVE-2022-21127 | Speciális regiszterpufferadatok mintavételezési frissítése (SRBDS-frissítés)

  • CVE-2022-21166 | Eszközregisztrálás részleges írása (DRPW)

Ez a cikk részletesen ismerteti a SpeculationControl PowerShell-szkriptet, amely segít meghatározni a felsorolt, további beállításjegyzék-beállításokat és bizonyos esetekben belső vezérlőprogram-frissítéseket igénylő CVE-k kockázatcsökkentéseinek állapotát.

További információ

SpeculationControl PowerShell-szkript

Telepítse és futtassa a SpeculationControl szkriptet az alábbi módszerek egyikével.

1. módszer: PowerShell-ellenőrzés a PowerShell-galéria használatával (Windows Server 2016 vagy WMF 5.0/5.1)

A PowerShell-modul telepítése

PS> Install-Module SpeculationControl

Futtassa a SpeculationControl PowerShell-modult annak ellenőrzéséhez, hogy a védelem engedélyezve van-e

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2. módszer: PowerShell-ellenőrzés a TechNet letöltésével (korábbi operációsrendszer-verziók/korábbi WMF-verziók)

A PowerShell-modul telepítése a TechNet ScriptCenterból

  1. Lépjen a https://aka.ms/SpeculationControlPS.

  2. Töltse le SpeculationControl.zip egy helyi mappába.

  3. Bontsa ki a tartalmat egy helyi mappába, például C:\ADV180002

A PowerShell-modul futtatásával ellenőrizze, hogy a védelem engedélyezve van-e

Indítsa el a PowerShellt, majd (a fenti példával) másolja és futtassa a következő parancsokat:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-szkript kimenete

A SpeculationControl PowerShell-szkript kimenete az alábbihoz hasonló lesz. Az engedélyezett védelem "Igaz" értékként jelenik meg a kimenetben.

PS C:\> Get-SpeculationControlSettings

Spekulációs vezérlési beállítások a CVE-2017-5715 -höz [ágcél injektálása]

Az ágcél-injektálási kockázatcsökkentés hardveres támogatása jelen van: Hamis A Windows operációs rendszer támogatja az ági célinjektálási kockázatcsökkentést: Igaz A Windows operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentéshez engedélyezve van: Hamis A windowsos operációs rendszer támogatását a rendszerházirend letiltja az ágcél-injektálási kockázatcsökkentéshez: Igaz A windowsos operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentés hardvertámogatás hiányában le van tiltva: Igaz

Spekulációs vezérlési beállítások a CVE-2017-5754 esetében [rosszindulatú adatgyorsítótár-terhelés]

A hardver sebezhető a rosszindulatú adatgyorsítótár-terheléssel szemben: Igaz A Windows operációs rendszer támogatja a rosszindulatú adatgyorsítótár terheléscsökkentését: Igaz A Windows operációs rendszer támogatja a rosszindulatú adatgyorsítótár terheléscsökkentését: Igaz A hardverhez kernel VA árnyékolása szükséges: Igaz A Windows operációs rendszer támogatja a kernel VA árnyékát: Hamis A Windows operációs rendszer támogatása a kernel VA árnyékához engedélyezve van: Hamis A Windows operációs rendszer PCID-optimalizálási támogatása engedélyezve van: Hamis Spekulációs vezérlési beállítások a CVE-2018-3639-hez [spekulatív tároló megkerülése]

A hardver sebezhető a spekulatív tároló megkerülésével szemben: Igaz A spekulatív tárolók megkerülésével kapcsolatos kockázatcsökkentés hardveres támogatása jelen van: Hamis A Spekulatív tárolók megkerülése esetén a Windows operációs rendszer támogatása jelen van: Igaz A Spekulatív tárolók megkerülésével kapcsolatos kockázatcsökkentés windowsos operációsrendszer-támogatása rendszerszinten engedélyezve van: Hamis

A CVE-2018-3620 spekulációs vezérlési beállításai [L1 terminálhiba]

A hardver sebezhető az L1 terminálhibával szemben: Igaz A Windows operációs rendszer támogatja az L1 terminálhibák elhárítását: Igaz A Windows operációs rendszer támogatása az L1 terminálhibák elhárításához engedélyezve van: Igaz

Spekulációs vezérlési beállítások az MDS-hez [mikroarchitekturális adatok mintavételezése]

A Windows operációs rendszer MDS-kockázatcsökkentési támogatása jelen van: Igaz A hardver sebezhető az MDS-nek: Igaz A Windows operációs rendszer MDS-kockázatcsökkentéshez való támogatása engedélyezve van: Igaz

Spekulációs vezérlési beállítások az SBDR-hez [megosztott pufferek adatainak olvasása] 

A Windows operációs rendszer támogatja az SBDR-kockázatcsökkentést: Igaz A hardver sebezhető az SBDR-vel szemben: Igaz A Windows operációs rendszer támogatása az SBDR-kockázatcsökkentéshez engedélyezve van: Igaz 

Spekulációs vezérlési beállítások az FBSDP-hez [kitöltőpuffer elavult adatpropagálója] A Windows operációs rendszer támogatja az FBSDP-kockázatcsökkentést: Igaz A hardver sebezhető az FBSDP-vel szemben: Igaz A Windows operációs rendszer támogatása az FBSDP-kockázatcsökkentéshez engedélyezve van: Igaz 

Spekulációs vezérlési beállítások a PSDP-hez [elsődleges elavult adatpropagáló]

A Windows operációs rendszer támogatja a PSDP-kockázatcsökkentést: Igaz A hardver sebezhető a PSDP-vel szemben: Igaz A Windows operációs rendszer PSDP-kockázatcsökkentéshez való támogatása engedélyezve van: Igaz

BTIHardwarePresent: Igaz BTIWindowsSupportPresent: Igaz BTIWindowsSupportEnabled: Igaz BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: Igaz BTIKernelImportOptimizationEnabled: Igaz RdclHardwareProtectedReported: Igaz RdclHardwareProtected: False KVAShadowRequired: Igaz KVAShadowWindowsSupportPresent: Igaz KVAShadowWindowsSupportEnabled: Igaz KVAShadowPcidEnabled: Igaz SSBDWindowsSupportPresent: Igaz SSBDHardwareVulnerable: Igaz SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: Igaz L1TFWindowsSupportPresent: Igaz L1TFWindowsSupportEnabled: Igaz L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: Igaz MDSWindowsSupportPresent: Igaz MDSHardwareVulnerable: Igaz MDSWindowsSupportEnabled: Igaz FBClearWindowsSupportPresent: Igaz SBDRSSDPHardwareVulnerable: Igaz FBSDPHardwareVulnerable: Igaz PSDPHardwareVulnerable: Igaz

A SpeculationControl PowerShell-szkript kimenetének magyarázata

A végső kimeneti rács az előző sorok kimenetére van leképeződve. Ez azért jelenik meg, mert a PowerShell kinyomtatja a függvény által visszaadott objektumot. Az alábbi táblázat a PowerShell-szkript kimenetének minden sorát ismerteti.

Kimeneti

Magyarázat

Spekulációs vezérlési beállítások a CVE-2017-5715 -höz [ágcél injektálása]

Ez a szakasz a 2., CVE-2017-5715.

Hardveres támogatás érhető el az ág célinjektálásának kockázatcsökkentéséhez

A BTIHardwarePresentre van leképezve. Ez a sor azt jelzi, hogy vannak-e hardverfunkciók az ág célinjektálási kockázatcsökkentésének támogatásához. Az eszközgyártó feladata a processzorgyártók által biztosított mikrokódot tartalmazó frissített BIOS/belső vezérlőprogram biztosítása. Ha ez a sor Igaz, a szükséges hardverfunkciók is elérhetők. Ha a sor Hamis, a szükséges hardverfunkciók nem jelennek meg. Ezért az ág célinjektálási kockázatcsökkentése nem engedélyezhető.

Megjegyzés A BTIHardwarePresent igaz lesz a vendég virtuális gépeken, ha az OEM-frissítést alkalmazza a gazdagépre, ésútmutatást követ.

A Windows operációs rendszer támogatja az ági célinjektálási kockázatcsökkentést

Térképek a BTIWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e az ág célinjektálási kockázatcsökkentését. Ha igaz, az operációs rendszer támogatja az ág célinjektálási kockázatcsökkentésének engedélyezését (ezért telepítette a 2018. januári frissítést). Ha hamis, a 2018. januári frissítés nincs telepítve az eszközön, és az ág célinjektálási kockázatcsökkentése nem engedélyezhető.

Megjegyzés Ha egy vendég virtuális gép nem észleli a gazdagép hardverfrissítését, a BTIWindowsSupportEnabled mindig False (Hamis) lesz.

Engedélyezve van a Windows operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentéshez

Térképek a BTIWindowsSupportEnabled fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatása engedélyezve van-e az ág célinjektálási kockázatcsökkentéséhez. Ha igaz, az ágcél-injektálási kockázatcsökkentés hardvertámogatása és operációsrendszer-támogatása engedélyezve van az eszközön, így védelmet nyújt a CVE-2017-5715-höz. Ha hamis, az alábbi feltételek egyike teljesül:

  • A hardvertámogatás nem érhető el.

  • Az operációs rendszer támogatása nincs jelen.

  • A kockázatcsökkentést a rendszerszabályzat letiltja.

A windowsos operációs rendszer támogatását a rendszerházirend letiltotta a fiókcél-injektálási kockázatcsökkentéshez

Leképezi a BTIDisabledBySystemPolicy objektumot. Ez a sor azt jelzi, hogy az ágcél injektálási kockázatcsökkentését letiltotta-e a rendszerházirend (például egy rendszergazda által definiált szabályzat). A rendszerházirend a KB4072698-ban dokumentált beállításjegyzék-vezérlőkre hivatkozik. Ha igaz, a rendszerházirend felelős a kockázatcsökkentés letiltásáért. Ha hamis, a kockázatcsökkentést egy másik ok tiltja le.

A Windows operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentés hardvertámogatás hiányában le van tiltva

A BTIDisabledByNoHardwareSupport leképezése. Ez a sor azt jelzi, hogy az ág célinjektálási kockázatcsökkentése le van-e tiltva a hardvertámogatás hiánya miatt. Ha igaz, a hardvertámogatás hiánya felelős a kockázatcsökkentés letiltásáért. Ha hamis, a kockázatcsökkentést egy másik ok tiltja le.

MegjegyzésHa egy vendég virtuális gép nem tudja észlelni a gazdagép hardverfrissítését, a BTIDisabledByNoHardwareSupport mindig Igaz értékű lesz.

Spekulációs vezérlési beállítások a CVE-2017-5754 esetében [rosszindulatú adatgyorsítótár-terhelés]

Ez a szakasz a 3. változat, a CVE-2017-5754 és a rosszindulatú adatgyorsítótár-terhelés összefoglaló rendszerállapotát ismerteti. Ennek megoldását kernel virtuális cím (VA) árnyékának vagy a rosszindulatú adatgyorsítótár terheléscsökkentésének nevezik.

A hardver sebezhető a rosszindulatú adatgyorsítótár-terheléssel szemben

Az RdclHardwareProtected leképezése. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a CVE-2017-5754-es verzióval szemben. Ha igaz, akkor a hardver sebezhetőnek tűnik a CVE-2017-5754-zel szemben. Ha hamis, a hardverről ismert, hogy nem sebezhető a CVE-2017-5754-tal szemben.

A Windows operációs rendszer támogatja a rosszindulatú adatgyorsítótár terheléscsökkentését

Leképezések a KVAShadowWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a kernel VA árnyékszolgáltatását.

Engedélyezve van a Windows operációs rendszer támogatása a rosszindulatú adatgyorsítótár terheléscsökkentéséhez

Térkép a KVAShadowWindowsSupportEnabled fájlra. Ez a sor jelzi, hogy a kernel VA árnyék funkciója engedélyezve van-e. Ha igaz, a hardverről úgy vélik, hogy sebezhető a CVE-2017-5754, a Windows operációs rendszer támogatása és a funkció engedélyezve van.

A hardverhez kernel VA árnyékolása szükséges

A KVAShadowRequired térképe. Ez a sor azt jelzi, hogy a rendszernek szüksége van-e kernelszintű biztonságirés-árnyékolásra a biztonsági rések mérsékléséhez.

A Windows operációs rendszer támogatja a kernel VA árnyékát

Leképezések a KVAShadowWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a kernel VA árnyékszolgáltatását. Ha igaz, a 2018. januári frissítés telepítve van az eszközön, és a kernel VA árnyéka támogatott. Ha hamis, a 2018. januári frissítés nincs telepítve, és a kernel VA árnyéktámogatása nem létezik.

A Windows operációs rendszer támogatása a kernel VA árnyékához engedélyezve van

Térkép a KVAShadowWindowsSupportEnabled fájlra. Ez a sor jelzi, hogy a kernel VA árnyék funkciója engedélyezve van-e. Ha igaz, a Windows operációs rendszer támogatása jelen van, és a funkció engedélyezve van. A Kernel VA árnyék funkciója jelenleg alapértelmezés szerint engedélyezve van a Windows ügyfélverzióiban, és alapértelmezés szerint le van tiltva a Windows Server verzióiban. Ha hamis, akkor vagy a Windows operációs rendszer támogatása nincs jelen, vagy a funkció nincs engedélyezve.

A Windows operációs rendszer pcID-teljesítményoptimalizálási támogatása engedélyezve van

MegjegyzésA biztonsághoz nincs szükség PCID azonosítóra. Csak azt jelzi, hogy engedélyezve van-e a teljesítmény javítása. A PCID nem támogatott a Windows Server 2008 R2-ben

A KVAShadowPcidEnabled útvonalra van leképezve. Ez a sor azt jelzi, hogy engedélyezve van-e további teljesítményoptimalizálás a kernel VA árnyékához. Ha igaz, a kernel VA árnyéka engedélyezve van, a PCID hardveres támogatása jelen van, és a RENDSZERAZONOSÍTÓ optimalizálása a kernel VA árnyékához engedélyezve van. Ha hamis, előfordulhat, hogy a hardver vagy az operációs rendszer nem támogatja a PCID-t. Nem biztonsági gyengeség, hogy a PCID-optimalizálás nem engedélyezhető.

A Spekulatív áruház megkerülését letiltó Windows operációs rendszer támogatása jelen van

Leképezések az SSBDWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a spekulatív áruház megkerülési letiltását. Ha igaz, a 2018. januári frissítés telepítve van az eszközön, és a kernel VA árnyéka támogatott. Ha hamis, a 2018. januári frissítés nincs telepítve, és a kernel VA árnyéktámogatása nem létezik.

A hardverhez spekulatív tároló megkerülése le kell tiltani

Leképezi az SSBDHardwareVulnerablePresentet. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a CVE-2018-3639-nel szemben. Ha igaz, akkor a hardver sebezhetőnek tűnik a CVE-2018-3639-zel szemben. Ha hamis, a hardverről ismert, hogy nem sebezhető a CVE-2018-3639-tal szemben.

A spekulatív tároló megkerülése letiltásának hardveres támogatása jelen van

Leképezi az SSBDHardwarePresentet. Ebből a sorból megtudhatja, hogy vannak-e hardverfunkciók a spekulatív áruház megkerülő letiltásának támogatásához. Az eszköz OEM-jének feladata az Intel által biztosított mikrokódot tartalmazó frissített BIOS/belső vezérlőprogram biztosítása. Ha ez a sor Igaz, a szükséges hardverfunkciók is elérhetők. Ha a sor Hamis, a szükséges hardverfunkciók nem jelennek meg. Ezért a spekulatív tároló megkerülése letiltása nem kapcsolható be.

Megjegyzés Az SSBDHardwarePresent értéke Igaz lesz a vendég virtuális gépeken, ha az OEM-frissítést alkalmazza a gazdagépre.

A Spekulatív áruház megkerülése letiltás windowsos operációs rendszer általi támogatása be van kapcsolva

Leképezi az SSBDWindowsSupportEnabledSystemWide objektumot. Ez a sor azt jelzi, hogy a Spekulatív tár megkerülése letiltás be van-e kapcsolva a Windows operációs rendszerben. Ha igaz, a spekulatív áruház megkerülésének letiltása hardvertámogatása és operációsrendszer-támogatása be van kapcsolva az eszközön, ami megakadályozza a spekulatív tároló megkerülését, így teljes mértékben kiküszöböli a biztonsági kockázatot. Ha hamis, az alábbi feltételek egyike teljesül:

A CVE-2018-3620 spekulációs vezérlési beállításai [L1 terminálhiba]

Ez a szakasz a CVE-2018-3620 által hivatkozott L1TF (operációs rendszer) összefoglaló rendszerállapotát ismerteti. Ez a kockázatcsökkentés biztosítja, hogy a rendszer biztonságos oldalkeretbiteket használ a nem jelen lévő vagy érvénytelen oldaltábla-bejegyzésekhez.

Megjegyzés Ez a szakasz nem tartalmazza a CVE-2018-3646 által hivatkozott L1TF (VMM) kockázatcsökkentési állapotát.

A hardver sebezhető az L1 terminálhibával szemben: Igaz

Leképezhető az L1TFHardwareVulnerable fájlra. Ez a sor jelzi, hogy a hardver sebezhető-e az L1 terminálhibával (L1TF, CVE-2018-3620). Ha igaz, a hardverről úgy vélik, hogy sebezhető a CVE-2018-3620-tal szemben. Ha hamis, a hardverről ismert, hogy nem sebezhető a CVE-2018-3620-tal szemben.

A Windows operációs rendszer támogatja az L1 terminálhibák elhárítását: Igaz

Térképek az L1TFWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e az L1 terminálhiba (L1TF) operációs rendszer kockázatcsökkentését. Ha igaz, a 2018. augusztusi frissítés telepítve van az eszközön, és a CVE-2018-3620 kockázatcsökkentése is jelen van. Ha hamis, a 2018. augusztusi frissítés nincs telepítve, és a CVE-2018-3620 kockázatcsökkentése nincs jelen.

A Windows operációs rendszer támogatása az L1 terminálhibák elhárításához engedélyezve van: Igaz

Megfelel az L1TFWindowsSupportEnabled fájlnak. Ez a sor jelzi, hogy engedélyezve van-e az L1 terminálhiba (L1TF, CVE-2018-3620) Windows operációsrendszer-kockázatcsökkentése. Ha igaz, a hardver sebezhetőnek tűnik a CVE-2018-3620 rendszerrel szemben, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve.

Spekulációs vezérlési beállítások az MDS-hez [Mikroarchitekturális adatok mintavételezése]

Ez a szakasz a biztonsági rések MDS-készletének rendszerállapotát tartalmazza: CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 és ADV220002.

A Windows operációs rendszer MDS-kockázatcsökkentési támogatása jelen van

Leképezések az MDSWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a mikroarchitekturális adatmintavétel (MDS) operációs rendszer kockázatcsökkentését. Ha igaz, a 2019. májusi frissítés telepítve van az eszközön, és az MDS-sel kapcsolatos kockázatcsökkentés is jelen van. Ha hamis, a 2019. májusi frissítés nincs telepítve, és az MDS-sel kapcsolatos kockázatcsökkentés nincs jelen.

A hardver sebezhető az MDS-hez

Az MDSHardwareVulnerable leképezése. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a mikroarchitekturális adatmintavétel (MDS) biztonsági réseinek (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) miatt. Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető.

A Windows operációs rendszer támogatása az MDS-kockázatcsökkentéshez engedélyezve van

Leképezések az MDSWindowsSupportEnabled fájlra. Ez a sor jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése a mikroarchitekturális adatmintavételhez (MDS). Ha igaz, úgy vélik, hogy a hardverre hatással vannak az MDS biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve.

A Windows operációs rendszer támogatja az SBDR-kockázatcsökkentést

Leképezések az FBClearWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e az SBDR operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és az SBDR-hez tartozó kockázatcsökkentés is jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és az SBDR-hez tartozó kockázatcsökkentés nincs jelen.

A hardver sebezhető az SBDR-vel szemben

Leképezi az SBDRSSDPHardwareVulnerable függvényt. Ez a sor azt jelzi, hogy a hardver sebezhető-e az SBDR [megosztott pufferek adatainak olvasása] biztonsági rések készletével (CVE-2022-21123). Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető.

A Windows operációs rendszer támogatása az SBDR-kockázatcsökkentéshez engedélyezve van

Megfelel az FBClearWindowsSupportEnabled fájlnak. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése az SBDR [megosztott pufferek adatainak olvasása] esetében. Ha igaz, úgy vélik, hogy a hardverre hatással vannak az SBDR biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve.

A Windows operációs rendszer támogatása az FBSDP-kockázatcsökkentéshez jelen van

Leképezések az FBClearWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e az FBSDP operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és az FBSDP-vel kapcsolatos kockázatcsökkentés is jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és az FBSDP-vel kapcsolatos kockázatcsökkentés nincs jelen.

A hardver sebezhető az FBSDP-vel szemben

Az FBSDPHardwareVulnerable leképezése. Ez a sor azt jelzi, hogy a hardver sebezhető-e az FBSDP [kitöltőpuffer elavult adatpropagálója] biztonsági rések készletével (CVE-2022-21125, CVE-2022-21127 és CVE-2022-21166). Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető.

A Windows operációs rendszer támogatása az FBSDP-kockázatcsökkentéshez engedélyezve van

Megfelel az FBClearWindowsSupportEnabled fájlnak. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése az FBSDP [kitöltőpuffer elavult adatpropagátora] esetében. Ha igaz, úgy vélik, hogy a hardverre hatással vannak az FBSDP biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve.

A Windows operációs rendszer támogatja a PSDP-kockázatcsökkentést

Leképezések az FBClearWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e a PSDP operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és a PSDP-vel kapcsolatos kockázatcsökkentés is jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és a PSDP-vel kapcsolatos kockázatcsökkentés nincs jelen.

A hardver sebezhető a PSDP-vel szemben

A PSDPHardwareVulnerable leképezése. Ez a sor azt jelzi, hogy a hardver sebezhető-e a biztonsági rések PSDP-készletével (elsődleges elavult adatpropagátor). Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető.

A Windows operációs rendszer PSDP-kockázatcsökkentéshez való támogatása engedélyezve van

Megfelel az FBClearWindowsSupportEnabled fájlnak. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése az [elsődleges elavult adatok propagálója] PSDP-hez. Ha igaz, úgy vélik, hogy a hardvert érintik a PSDP biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve.

Az összes kockázatcsökkentést engedélyező kimenet

A következő kimenet várható egy olyan eszköz esetében, amelyen engedélyezve van az összes kockázatcsökkentés, valamint az egyes feltételek teljesítéséhez szükséges adatok.

BTIHardwarePresent: True -> OEM BIOS/firmware-frissítés alkalmazva BTIWindowsSupportPresent: True -> 2018. januári frissítés telepítve BTIWindowsSupportEnabled: True -> az ügyfélen, nincs szükség beavatkozásra. A kiszolgálón kövesse az útmutatást.BTIDisabledBySystemPolicy: False -> győződjön meg arról, hogy a szabályzat nem tiltja le.BTIDisabledByNoHardwareSupport: False -> győződjön meg arról, hogy az OEM BIOS/firmware-frissítés alkalmazva van.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: Igaz KVAShadowRequired: Igaz vagy Hamis - > nincs művelet, ez a számítógép által használt PROCESSZOR függvénye Ha a KVAShadowRequired értéke Igaz KVAShadowWindowsSupportPresent: True -> install 2018. januári frissítés KVAShadowWindowsSupportEnabled: True -> az ügyfélen, nincs szükség beavatkozásra. A kiszolgálón kövesse az útmutatást.KVAShadowPcidEnabled: Igaz vagy Hamis - > nincs művelet, ez a számítógép által használt PROCESSZOR függvénye

Ha az SSBDHardwareVulnerablePresent értéke Igaz SSBDWindowsSupportPresent: True -> telepítse a Windows-frissítéseket az ADV180012-ben dokumentált módon SSBDHardwarePresent: Igaz – > telepítse a BIOS/belső vezérlőprogram frissítését az eszköz OEM-jének SSBD-támogatásával SSBDWindowsSupportEnabledSystemWide: True -> kövesse az SSBD bekapcsolásához javasolt műveleteket

Ha az L1TFHardwareVulnerable értéke Igaz L1TFWindowsSupportPresent: True -> telepítse a Windows-frissítéseket az ADV180018-ban dokumentált módon L1TFWindowsSupportEnabled: True -> kövesse a Windows Server vagy ügyfél ADV180018-ban ismertetett műveleteket a kockázatcsökkentés engedélyezéséhez L1TFInvalidPteBit: 0 L1DFlushSupported: Igaz MDSWindowsSupportPresent: True -> install 2022. júniusi frissítés MDSHardwareVulnerable: Hamis > hardverről ismert, hogy nem sebezhető MDSWindowsSupportEnabled: A mikroarchitekturális adatmintavétel (MDS) true -> kockázatcsökkentése engedélyezve van FBClearWindowsSupportPresent: True -> install 2022. júniusi frissítés SBDRSSDPHardwareVulnerable: Igaz – > hardvert vélhetően érintik ezek a biztonsági rések FBSDPHardwareVulnerable: Igaz - > hardverről úgy vélik, hogy ezek a biztonsági rések befolyásolják PSDPHardwareVulnerable: Igaz - > hardverről úgy vélik, hogy ezek a biztonsági rések befolyásolják FBClearWindowsSupportEnabled: True -> Az SBDR/FBSDP/PSDP kockázatcsökkentési engedélyezését jelöli. Győződjön meg arról, hogy az OEM BIOS/belső vezérlőprogram frissült, az FBClearWindowsSupportPresent értéke Igaz, az ADV220002-ben és a KVAShadowWindowsSupportEnabledben ismertetett kockázatcsökkentések true (Igaz) értékűek.

Rendszerleíró

Az alábbi táblázat leképezi a kimenetet a KB4072698-ban tárgyalt beállításkulcsokhoz: A Windows Server és az Azure Stack HCI útmutatója a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez.

Beállításkulcs

Hozzárendelés

FeatureSettingsOverride – 0. bit

Leképezések – Ág célinjektálás – BTIWindowsSupportEnabled

FeatureSettingsOverride – 1. bit

Térképek – Rogue adatgyorsítótár betöltése – VAShadowWindowsSupportEnabled

Referenciák

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.