Ubah tanggal |
Deskripsi perubahan |
---|---|
17 Juli 2023 |
Menambahkan MMIO dan deskripsi spesifik dari nilai output dalam bagian "Output yang memiliki semua mitigasi diaktifkan" |
Rangkuman
Untuk membantu Anda memverifikasi status mitigasi saluran sisi eksekusi spekulatif, kami menerbitkan skrip PowerShell (SpeculationControl) yang dapat berjalan di perangkat Anda. Artikel ini menjelaskan cara menjalankan skrip SpeculationControl dan apa arti outputnya.
Penasihat keamanan ADV180002, ADV180012, ADV180018, dan ADV190013 mencakup sembilan kerentanan berikut:
-
CVE-2017-5715 (injeksi target cabang)
-
CVE-2017-5753 (bypass pemeriksaan terikat)
Catatan Perlindungan untuk CVE-2017-5753 (pemeriksaan batas) tidak memerlukan pengaturan registri atau pembaruan firmware tambahan.
-
CVE-2017-5754 (pemuatan cache data nakal)
-
CVE-2018-3639 (bypass toko spekulatif)
-
CVE-2018-3620 (Kesalahan terminal L1 – OS)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))
Advisory ADV220002 mencakup kerentanan tambahan Memory-Mapped I/O (MMIO):
-
CVE-2022-21123 | Baca Data Penyangga Bersama (SBDR)
-
CVE-2022-21125 | Pengambilan sampel data penyangga bersama (SBDS)
-
CVE-2022-21127 | Special Register Buffer Data Sampling Update (Pembaruan SRBDS)
-
CVE-2022-21166 | Device Register Partial Write (DRPW)
Artikel ini menyediakan detail tentang skrip SpeculationControl PowerShell yang membantu menentukan status mitigasi untuk CVEs terdaftar yang memerlukan pengaturan registri tambahan dan, dalam beberapa kasus, pembaruan firmware.
Informasi selengkapnya
SpekulasiKontrol skrip PowerShell
Instal dan jalankan skrip SpeculationControl menggunakan salah satu metode berikut.
Metode 1: Verifikasi PowerShell menggunakan Galeri PowerShell (Windows Server 2016 atau WMF 5.0/5.1) |
Menginstal modul PowerShell PS> Install-Module SpeculationControl Jalankan modul SpeculationControl PowerShell untuk memverifikasi bahwa proteksi diaktifkan PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metode 2: Verifikasi PowerShell menggunakan unduhan dari TechNet (versi OS yang lebih lama/versi WMF yang lebih lama) |
Menginstal modul PowerShell dari TechNet ScriptCenter
Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan Mulai PowerShell, lalu (menggunakan contoh di atas) menyalin dan menjalankan perintah berikut: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Output skrip PowerShell
Output skrip SpeculationControl PowerShell akan menyerupai output berikut ini. Perlindungan yang diaktifkan muncul dalam output sebagai "True."
PS C:\> Get-SpeculationControlSettings
Pengaturan kontrol spekulasi untuk CVE-2017-5715 [injeksi target cabang]
Dukungan perangkat keras untuk mitigasi injeksi target cabang hadir: False
Dukungan WINDOWS OS untuk mitigasi injeksi target cabang hadir: True Dukungan WINDOWS OS untuk mitigasi injeksi target cabang diaktifkan: False Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan oleh kebijakan sistem: True Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan dengan tidak adanya dukungan perangkat keras: TruePengaturan kontrol spekulasi untuk CVE-2017-5754 [pemuatan cache data nakal]
Perangkat keras rentan terhadap pemuatan cache data nakal: True
Dukungan WINDOWS OS untuk mitigasi muat cache data nakal hadir: True Dukungan WINDOWS OS untuk mitigasi muat cache data nakal diaktifkan: True Perangkat keras memerlukan bayangan kernel VA: True Dukungan WINDOWS OS untuk kernel VA shadow hadir: False Dukungan OS Windows untuk bayangan VA kernel diaktifkan: False Dukungan OS Windows untuk optimasi PCID diaktifkan: False Pengaturan kontrol spekulasi untuk CVE-2018-3639 [bypass toko spekulatif]Perangkat keras rentan terhadap bypass toko spekulatif: True
Dukungan perangkat keras untuk mitigasi bypass bursa spekulatif hadir: False Dukungan OS Windows untuk mitigasi bypass bursa spekulatif hadir: True Dukungan OS Windows untuk mitigasi bypass bursa spekulatif diaktifkan di seluruh sistem: FalsePengaturan kontrol spekulasi untuk CVE-2018-3620 [Kesalahan terminal L1]
Perangkat keras rentan terhadap kesalahan terminal L1: True
Dukungan OS Windows untuk mitigasi kesalahan terminal L1 hadir: True Dukungan WINDOWS OS untuk mitigasi kesalahan terminal L1 diaktifkan: TruePengaturan kontrol spekulasi untuk MDS [pengambilan sampel data mikroarsitektural]
Dukungan OS Windows untuk mitigasi MDS hadir: True
Perangkat keras rentan terhadap MDS: True Dukungan OS Windows untuk mitigasi MDS diaktifkan: TruePengaturan kontrol spekulasi untuk SBDR [data buffer bersama dibaca]
Dukungan OS Windows untuk mitigasi SBDR hadir: True
Perangkat keras rentan terhadap SBDR: True Dukungan OS Windows untuk mitigasi SBDR diaktifkan: TruePengaturan kontrol spekulasi untuk FBSDP [buffer isi penyebar data basi]
Dukungan OS Windows untuk mitigasi FBSDP hadir: True Perangkat keras rentan terhadap FBSDP: True Dukungan OS Windows untuk mitigasi FBSDP diaktifkan: TruePengaturan kontrol spekulasi untuk PSDP [penyebar data utama basi]
Dukungan OS Windows untuk mitigasi PSDP hadir: True
Perangkat keras rentan terhadap PSDP: True Dukungan OS Windows untuk mitigasi PSDP diaktifkan: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TruePenjelasan output skrip SpeculationControl PowerShell
Peta kisi output akhir ke output garis sebelumnya. Ini muncul karena PowerShell mencetak objek yang dikembalikan oleh fungsi. Tabel berikut ini menjelaskan setiap baris dalam output skrip PowerShell.
Output |
Penjelasan |
Pengaturan kontrol spekulasi untuk CVE-2017-5715 [injeksi target cabang] |
Bagian ini menyediakan status sistem untuk varian 2, CVE-2017-5715, injeksi target cabang. |
Dukungan perangkat keras untuk mitigasi injeksi target cabang hadir |
Peta ke BTIHardwarePresent. Baris ini memberi tahu Anda apakah fitur perangkat keras hadir untuk mendukung mitigasi injeksi target cabang. OEM perangkat bertanggung jawab untuk menyediakan BIOS / firmware yang diperbarui yang berisi kode mikro yang disediakan oleh produsen CPU. Jika baris ini True, fitur perangkat keras yang diperlukan akan hadir. Jika baris false, fitur perangkat keras yang diperlukan tidak ada. Oleh karena itu, mitigasi injeksi target cabang tidak dapat diaktifkan. Catatan BTIHardwarePresent akan True dalam VM tamu jika pembaruan OEM diterapkan pada host dan panduandiikuti. |
Dukungan OS Windows untuk mitigasi injeksi target cabang hadir |
Peta ke BTIWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows hadir untuk mitigasi injeksi target cabang. Jika benar, sistem operasi mendukung mengaktifkan mitigasi injeksi target cabang (dan oleh karena itu telah menginstal pembaruan Januari 2018). Jika false, pembaruan Januari 2018 tidak diinstal pada perangkat, dan mitigasi injeksi target cabang tidak dapat diaktifkan. Catatan Jika VM tamu tidak dapat mendeteksi pembaruan perangkat keras host, BTIWindowsSupportEnabled akan selalu False. |
Dukungan OS Windows untuk mitigasi injeksi target cabang diaktifkan |
Peta ke BTIWindowsSupportEnabled. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows diaktifkan untuk mitigasi injeksi target cabang. Jika true, dukungan perangkat keras dan dukungan OS untuk mitigasi injeksi target cabang diaktifkan untuk perangkat, sehingga melindungi terhadap CVE-2017-5715. Jika False, salah satu kondisi berikut ini benar:
|
Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan oleh kebijakan sistem |
Peta ke BTIDisabledBySystemPolicy. Baris ini memberi tahu Anda jika mitigasi injeksi target cabang dinonaktifkan oleh kebijakan sistem (seperti kebijakan yang ditentukan administrator). Kebijakan sistem merujuk pada kontrol registri seperti yang didokumentasikan dalam KB4072698. Jika benar, kebijakan sistem bertanggung jawab untuk menonaktifkan mitigasi. Jika false, mitigasi dinonaktifkan oleh penyebab lain. |
Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan karena tidak adanya dukungan perangkat keras |
Peta ke BTIDisabledByNoHardwareSupport. Baris ini memberitahu Anda apakah mitigasi injeksi target cabang dinonaktifkan karena tidak adanya dukungan perangkat keras. Jika benar, tidak adanya dukungan perangkat keras bertanggung jawab untuk menonaktifkan mitigasi. Jika false, mitigasi dinonaktifkan oleh penyebab lain. CatatanJika VM tamu tidak dapat mendeteksi pembaruan perangkat keras host, BTIDisabledByNoHardwareSupport akan selalu True. |
Pengaturan kontrol spekulasi untuk CVE-2017-5754 [pemuatan cache data nakal] |
Bagian ini menyediakan status sistem ringkasan untuk varian 3, CVE-2017-5754, pemuatan cache data nakal. Mitigasi untuk ini dikenal sebagai bayangan Kernel Virtual Address (VA) atau mitigasi pemuatan cache data nakal. |
Perangkat keras rentan terhadap pemuatan cache data yang nakal |
Peta ke RdclHardwareProtected. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap CVE-2017-5754. Jika benar, perangkat keras diyakini rentan terhadap CVE-2017-5754. Jika false, perangkat keras diketahui tidak rentan terhadap CVE-2017-5754. |
Dukungan OS Windows untuk mitigasi muat cache data nakal ada |
Peta ke KVAShadowWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk fitur bayangan VA kernel hadir. |
Dukungan OS Windows untuk mitigasi muat cache data nakal diaktifkan |
Peta ke KVAShadowWindowsSupportEnabled. Baris ini memberi tahu Apakah fitur bayangan VA kernel diaktifkan. Jika benar, perangkat keras diyakini rentan terhadap CVE-2017-5754, dukungan sistem operasi Windows hadir, dan fitur ini diaktifkan. |
Perangkat keras memerlukan bayangan kernel VA |
Peta ke KVAShadowRequired. Baris ini memberi tahu apakah sistem Anda memerlukan bayangan kernel VA untuk mengurangi kerentanan. |
Dukungan OS Windows untuk kernel VA shadow hadir |
Peta ke KVAShadowWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk fitur bayangan VA kernel hadir. Jika benar, pembaruan Januari 2018 diinstal di perangkat, dan kernel VA shadow didukung. Jika false, pembaruan Januari 2018 tidak diinstal, dan dukungan bayangan kernel VA tidak ada. |
Dukungan OS Windows untuk bayangan VA kernel diaktifkan |
Peta ke KVAShadowWindowsSupportEnabled. Baris ini memberi tahu Apakah fitur bayangan VA kernel diaktifkan. Jika benar, dukungan sistem operasi Windows hadir, dan fitur ini diaktifkan. Fitur bayangan Kernel VA saat ini diaktifkan secara default pada windows versi klien dan dinonaktifkan secara default pada versi Windows Server. Jika false, dukungan sistem operasi Windows tidak ada, atau fitur tersebut tidak diaktifkan. |
Dukungan OS Windows untuk optimisasi kinerja PCID diaktifkan CatatanPCID tidak diperlukan untuk keamanan. Ini hanya menunjukkan jika penyempurnaan kinerja diaktifkan. PCID tidak didukung dengan Windows Server 2008 R2 |
Peta ke KVAShadowPcidEnabled. Baris ini memberi tahu apakah optimisasi kinerja tambahan diaktifkan untuk bayangan kernel VA. Jika benar, bayangan kernel VA diaktifkan, dukungan perangkat keras untuk PCID hadir, dan optimasi PCID untuk bayangan VA kernel diaktifkan. Jika False, perangkat keras atau OS mungkin tidak mendukung PCID. Ini bukan kelemahan keamanan untuk optimasi PCID tidak diaktifkan. |
Dukungan WINDOWS OS untuk Speculative Store Bypass Disable hadir |
Peta ke SSBDWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk Speculative Store Bypass Disable hadir. Jika benar, pembaruan Januari 2018 diinstal di perangkat, dan kernel VA shadow didukung. Jika false, pembaruan Januari 2018 tidak diinstal, dan dukungan bayangan kernel VA tidak ada. |
Perangkat keras memerlukan Penonaktifan Bypass Store Spekulatif |
Peta ke SSBDHardwareVulnerablePresent. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap CVE-2018-3639. Jika benar, perangkat keras diyakini rentan terhadap CVE-2018-3639. Jika false, perangkat keras dikenal tidak rentan terhadap CVE-2018-3639. |
Dukungan perangkat keras untuk Speculative Store Bypass Disable hadir |
Peta ke SSBDHardwarePresent. Baris ini memberi tahu Anda apakah fitur perangkat keras hadir untuk mendukung Penonaktifan Bypass Store Spekulatif. OEM perangkat bertanggung jawab untuk menyediakan BIOS / firmware yang diperbarui yang berisi kode mikro yang disediakan oleh Intel. Jika baris ini True, fitur perangkat keras yang diperlukan akan hadir. Jika baris false, fitur perangkat keras yang diperlukan tidak ada. Oleh karena itu, Speculative Store Bypass Disable tidak dapat diaktifkan. Catatan SSBDHardwarePresent akan True dalam VM tamu jika pembaruan OEM diterapkan ke host. |
Dukungan WINDOWS OS untuk Speculative Store Bypass Disable diaktifkan |
Peta ke SSBDWindowsSupportEnabledSystemWide. Baris ini memberi tahu Anda apakah Speculative Store Bypass Disable diaktifkan dalam sistem operasi Windows. Jika benar, dukungan perangkat keras dan dukungan OS untuk Speculative Store Bypass Disable aktif untuk perangkat yang mencegah Bypass Store Spekulatif terjadi, sehingga menghilangkan risiko keamanan sepenuhnya. Jika False, salah satu kondisi berikut ini benar:
|
Pengaturan kontrol spekulasi untuk CVE-2018-3620 [Kesalahan terminal L1] |
Bagian ini menyediakan status sistem ringkasan untuk L1TF (sistem operasi) yang dirujuk oleh CVE-2018-3620. Mitigasi ini memastikan bahwa bit bingkai halaman aman digunakan untuk entri tabel halaman yang tidak ada atau tidak valid. Catatan Bagian ini tidak menyediakan ringkasan status mitigasi untuk L1TF (VMM) yang disebut oleh CVE-2018-3646. |
Perangkat keras rentan terhadap kesalahan terminal L1: True |
Peta ke L1TFHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap Kesalahan Terminal L1 (L1TF, CVE-2018-3620). Jika benar, perangkat keras diyakini rentan terhadap CVE-2018-3620. Jika false, perangkat keras dikenal tidak rentan terhadap CVE-2018-3620. |
Dukungan OS Windows untuk mitigasi kesalahan terminal L1 hadir: True |
Peta ke L1TFWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi L1 Terminal Fault (L1TF) ada. Jika benar, pembaruan Agustus 2018 diinstal di perangkat, dan mitigasi untuk CVE-2018-3620 hadir. Jika false, pembaruan Agustus 2018 tidak diinstal, dan mitigasi untuk CVE-2018-3620 tidak ada. |
Dukungan WINDOWS OS untuk mitigasi kesalahan terminal L1 diaktifkan: True |
Peta ke L1TFWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk L1 Terminal Fault (L1TF, CVE-2018-3620) diaktifkan. Jika benar, perangkat keras diyakini rentan terhadap CVE-2018-3620, dukungan sistem operasi Windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan. |
Pengaturan kontrol spekulasi untuk MDS [Microarchitectural Data Sampling] |
Bagian ini menyediakan status sistem untuk rangkaian MDS kerentanan, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, dan ADV220002. |
Dukungan OS Windows untuk mitigasi MDS hadir |
Peta ke MDSWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi Microarchitectural Data Sampling (MDS) hadir. Jika benar, pembaruan Mei 2019 diinstal di perangkat, dan mitigasi untuk MDS hadir. Jika False, pembaruan Mei 2019 tidak diinstal, dan mitigasi untuk MDS tidak ada. |
Perangkat keras rentan terhadap MDS |
Peta ke MDSHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap kumpulan kerentanan Microarchitectural Data Sampling (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan. |
Dukungan OS Windows untuk mitigasi MDS diaktifkan |
Peta ke MDSWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk Microarchitectural Data Sampling (MDS) diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan MDS, dukungan sistem operasi Windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan. |
Dukungan OS Windows untuk mitigasi SBDR hadir |
Peta ke FBClearWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi SBDR hadir. Jika benar, pembaruan Juni 2022 diinstal di perangkat, dan mitigasi untuk SBDR hadir. Jika false, pembaruan Juni 2022 tidak diinstal, dan mitigasi untuk SBDR tidak ada. |
Perangkat keras rentan terhadap SBDR |
Peta ke SBDRSSDPHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap SBDR [data buffer bersama dibaca] kumpulan kerentanan (CVE-2022-21123). Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan. |
Dukungan OS Windows untuk mitigasi SBDR diaktifkan |
Peta ke FBClearWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk SBDR [data buffer bersama dibaca] diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan SBDR, dukungan operasi windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan. |
Dukungan OS Windows untuk mitigasi FBSDP hadir |
Peta ke FBClearWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi FBSDP hadir. Jika benar, pembaruan Juni 2022 diinstal di perangkat, dan mitigasi untuk FBSDP hadir. Jika false, pembaruan Juni 2022 tidak diinstal, dan mitigasi untuk FBSDP tidak ada. |
Perangkat keras rentan terhadap FBSDP |
Peta ke FBSDPHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap FBSDP [fill buffer data propagator basi] sekumpulan kerentanan (CVE-2022-21125, CVE-2022-21127, dan CVE-2022-21166). Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan. |
Dukungan OS Windows untuk mitigasi FBSDP diaktifkan |
Peta ke FBClearWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk FBSDP [fill buffer data propagator] diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan FBSDP, dukungan operasi Windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan. |
Dukungan OS Windows untuk mitigasi PSDP hadir |
Peta ke FBClearWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi PSDP hadir. Jika benar, pembaruan Juni 2022 diinstal di perangkat, dan mitigasi untuk PSDP hadir. Jika false, pembaruan Juni 2022 tidak diinstal, dan mitigasi untuk PSDP tidak ada. |
Perangkat keras rentan terhadap PSDP |
Peta ke PSDPHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap Rangkaian kerentanan PSDP [primer data basi] . Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan. |
Dukungan OS Windows untuk mitigasi PSDP diaktifkan |
Peta ke FBClearWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk PSDP [penyebar data basi utama] diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan PSDP, dukungan operasi windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan. |
Output yang memiliki semua mitigasi diaktifkan
Output berikut ini diharapkan untuk perangkat yang memiliki semua mitigasi diaktifkan, bersama dengan apa yang diperlukan untuk memenuhi setiap kondisi.
BTIHardwarePresent: Pembaruan BIOS/firmware OEM True -> diterapkanpanduan. BTIDisabledBySystemPolicy: False -> memastikan tidak dinonaktifkan oleh kebijakan. BTIDisabledByNoHardwareSupport: False -> memastikan pembaruan BIOS/firmware OEM diterapkan. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True atau False -> tidak ada tindakan, ini adalah fungsi dari CPU yang digunakan komputer Jika KVAShadowRequired adalah True KVAShadowWindowsSupportPresent: True -> instal pembaruan Januari 2018 KVAShadowWindowsSupportEnabled: True -> pada klien, tidak diperlukan tindakan. Di server, ikuti panduan. KVAShadowPcidEnabled: True atau False -> tidak ada tindakan, ini adalah fungsi dari CPU yang digunakan komputer
BTIWindowsSupportPresent: Pembaruan True -> Januari 2018 terinstal BTIWindowsSupportEnabled: True -> pada klien, tidak diperlukan tindakan. Di server, ikutiJika SSBDHardwareVulnerablePresent adalah TrueADV180012 SSBDHardwarePresent: True -> menginstal pembaruan BIOS/firmware dengan dukungan untuk SSBD dari OEM perangkat Anda SSBDWindowsSupportEnabledSystemWide: True -> mengikuti tindakan yang direkomendasikan untuk mengaktifkan SSBD
SSBDWindowsSupportPresent: True -> menginstal pembaruan Windows seperti yang didokumentasikan diJika L1TFHardwareVulnerable adalah TrueADV180018 L1TFWindowsSupportEnabled: True -> ikuti tindakan yang diuraikan dalam ADV180018 untuk Windows Server atau Klien sebagaimana diperlukan untuk mengaktifkan mitigasi L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> instal pembaruan Juni 2022 MDSHardwareVulnerable: False -> hardware dikenal tidak rentan MDSWindowsSupportEnabled: True -> mitigation for Microarchitectural Data Sampling (MDS) diaktifkan FBClearWindowsSupportPresent: True -> instal pembaruan Juni 2022 SBDRSSDPHardwareVulnerable: True -> hardware diyakini terpengaruh oleh kerentanan ini FBSDPHardwareVulnerable: True -> hardware diyakini terpengaruh oleh kerentanan ini PSDPHardwareVulnerable: True -> hardware diyakini terpengaruh oleh kerentanan ini FBClearWindowsSupportEnabled: True -> Mewakili pengaktifan mitigasi untuk SBDR/FBSDP/PSDP. Pastikan OEM BIOS/firmware diperbarui, FBClearWindowsSupportPresent adalah True, mitigasi yang diaktifkan sebagaimana diuraikan dalam ADV220002 dan KVAShadowWindowsSupportEnabled adalah True.
L1TFWindowsSupportPresent: True -> menginstal pembaruan Windows seperti yang didokumentasikan diRegistri
Tabel berikut ini memetakan output ke kunci registri yang dicakup dalam KB4072698: Panduan HCI Windows Server dan Azure Stack untuk melindungi dari kerentanan saluran sisi mikroarsitektur dan spekulatif berbasis silikon.
Kunci registri |
Pemetaan |
FeatureSettingsOverride – Bit 0 |
Peta ke - Injeksi target cabang - BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Peta ke - Pemuatan cache data nakal - VAShadowWindowsSupportEnabled |
Referensi
Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.