Modifica data |
Descrizione della modifica |
---|---|
17 luglio 2023 |
Aggiunto MMIO e descrizioni specifiche dei valori di output nella sezione "Output con tutte le misure di prevenzione abilitate" |
Riassunto
Per aiutarti a verificare lo stato delle misure di prevenzione dell'esecuzione speculativa del canale laterale, abbiamo pubblicato uno script di PowerShell (SpeculationControl) che può essere eseguito sui tuoi dispositivi. Questo articolo spiega come eseguire lo script SpeculationControl e cosa significa l'output.
Gli avvisi di sicurezza ADV180002, ADV180012, ADV180018 e ADV190013 coprono le nove vulnerabilità seguenti:
-
CVE-2017-5715 (branch target injection)
-
CVE-2017-5753 (limite controllo bypass)
Nota La protezione per CVE-2017-5753 (controllo limiti) non richiede ulteriori impostazioni del Registro di sistema o aggiornamenti del firmware.
-
CVE-2017-5754 (caricamento della cache dei dati non autorizzati)
-
CVE-2018-3639 (bypass speculativo negozio)
-
CVE-2018-3620 (errore terminale L1 - sistema operativo)
-
CVE-2018-11091 (MDSUM (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (MLPDS(Microarchitectural Load Port Data Sampling)
-
CVE-2018-12130 (MFBDS (Microarchitectural Fill Buffer Data Sampling)
L'avviso ADV220002 riguarda altre vulnerabilità correlate a Memory-Mapped I/O (MMIO):
-
CVE-2022-21123 | Lettura dei dati del buffer condiviso (SBDR)
-
CVE-2022-21125 | SBDS (Shared Buffer Data Sampling)
-
CVE-2022-21127 | Aggiornamento speciale per il campionamento dei dati del buffer di registro (aggiornamento SRBDS)
-
CVE-2022-21166 | Registrazione dispositivo scrittura parziale (DRPW)
Questo articolo fornisce dettagli sullo script SpeculationControl PowerShell che aiuta a determinare lo stato delle misure di prevenzione per i FILE CVE elencati che richiedono ulteriori impostazioni del Registro di sistema e, in alcuni casi, aggiornamenti del firmware.
Altre informazioni
Script SpeculationControl PowerShell
Installare ed eseguire lo script SpeculationControl utilizzando uno dei metodi seguenti.
Metodo 1: verifica di PowerShell tramite l'PowerShell Gallery (Windows Server 2016 o WMF 5.0/5.1) |
Installare il modulo di PowerShell PS> Install-Module SpeculationControl Eseguire il modulo SpeculationControl PowerShell per verificare che le protezioni siano abilitate PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metodo 2: verifica di PowerShell tramite un download da TechNet (versioni del sistema operativo precedenti/versioni WMF precedenti) |
Installare il modulo di PowerShell da TechNet ScriptCenter
Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate Avviare PowerShell e quindi , usando l'esempio precedente, copiare ed eseguire i comandi seguenti: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Output script di PowerShell
L'output dello script SpeculationControl PowerShell sarà simile al seguente. Le protezioni abilitate vengono visualizzate nell'output come "True".
PS C:\> Get-SpeculationControlSettings
Impostazioni di controllo speculazione per CVE-2017-5715 [branch target injection]
È presente il supporto hardware per la prevenzione dell'iniezione di target branch: False
È presente il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target: True Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è abilitato: False Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dai criteri di sistema: True Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dall'assenza di supporto hardware: TrueImpostazioni di controllo speculazione per CVE-2017-5754 [caricamento della cache dei dati rogue]
L'hardware è vulnerabile al caricamento della cache dei dati non autorizzati: True
È presente il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati: True Il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati è abilitato: True L'hardware richiede l'ombreggiatura kernel VA: True È presente il supporto del sistema operativo Windows per l'ombreggiatura VA kernel: False Il supporto del sistema operativo Windows per l'ombreggiatura va kernel è abilitato: False Il supporto del sistema operativo Windows per l'ottimizzazione PCID è abilitato: False Impostazioni di controllo della speculazione per CVE-2018-3639 [bypass negozio speculativo]L'hardware è vulnerabile al bypass speculativo dello store: True
È presente il supporto hardware per la prevenzione speculativa del bypass dello store: False È presente il supporto del sistema operativo Windows per la prevenzione speculativa del bypass dello store: True Il supporto del sistema operativo Windows per la prevenzione speculativa del bypass dell'archivio è abilitato a livello di sistema: FalseImpostazioni di controllo speculazione per CVE-2018-3620 [errore terminale L1]
L'hardware è vulnerabile all'errore del terminale L1: True
È presente il supporto del sistema operativo Windows per la mitigazione degli errori dei terminali L1: True Il supporto del sistema operativo Windows per la prevenzione degli errori dei terminali L1 è abilitato: TrueImpostazioni di controllo della speculazione per MDS [campionamento di dati microarchiteturali]
È presente il supporto del sistema operativo Windows per la prevenzione degli MDS: True
L'hardware è vulnerabile agli MDS: True Il supporto del sistema operativo Windows per la prevenzione mds è abilitato: TrueImpostazioni di controllo speculazione per SBDR [lettura dati buffer condivisi]
È presente il supporto del sistema operativo Windows per la prevenzione SBDR: True
Hardware vulnerabile a SBDR: True Il supporto del sistema operativo Windows per la prevenzione SBDR è abilitato: TrueImpostazioni di controllo speculazione per FBSDP [propagatore di dati obsoleti del buffer di riempimento]
È presente il supporto del sistema operativo Windows per la prevenzione FBSDP: True Hardware vulnerabile a FBSDP: True Il supporto del sistema operativo Windows per la prevenzione FBSDP è abilitato: TrueImpostazioni di controllo delle speculazioni per PSDP [propagator principale dei dati obsoleti]
È presente il supporto del sistema operativo Windows per la prevenzione PSDP: True
Hardware vulnerabile a PSDP: True Il supporto del sistema operativo Windows per la prevenzione PSDP è abilitato: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueSpiegazione dell'output dello script SpeculationControl PowerShell
La griglia di output finale esegue il mapping all'output delle righe precedenti. Questo viene visualizzato perché PowerShell stampa l'oggetto restituito da una funzione. La tabella seguente illustra ogni riga nell'output dello script di PowerShell.
Output |
Spiegazione |
Impostazioni di controllo speculazione per CVE-2017-5715 [branch target injection] |
Questa sezione fornisce lo stato del sistema per la variante 2, CVE-2017-5715, branch target injection. |
È presente il supporto hardware per la prevenzione dell'iniezione di target branch |
Esegue il mapping a BTIHardwarePresent. Questa linea indica se sono presenti funzionalità hardware per supportare la prevenzione dell'iniezione di destinazione del ramo. L'OEM del dispositivo è responsabile di fornire il BIOS/firmware aggiornato che contiene il microcodice fornito dai produttori di CPU. Se questa linea è True, sono presenti le funzionalità hardware richieste. Se la linea è Falsa, le funzionalità hardware necessarie non sono presenti. Pertanto, la prevenzione dell'iniezione di destinazione del ramo non può essere abilitata. Nota BTIHardwarePresent sarà True nelle macchine virtuali guest se l'aggiornamento OEM viene applicato all'host e vengono seguite le indicazioni. |
È presente il supporto del sistema operativo Windows per la mitigazione dell'iniezione di branch target |
Esegue il mapping a BTIWindowsSupportPresent. Questa riga indica se il supporto del sistema operativo Windows è presente per la prevenzione dell'iniezione di destinazione del ramo. Se è True, il sistema operativo supporta l'abilitazione della prevenzione dell'iniezione di destinazione del ramo (e quindi ha installato l'aggiornamento di gennaio 2018). Se è False, l'aggiornamento di gennaio 2018 non è installato nel dispositivo e la prevenzione dell'iniezione di destinazione del ramo non può essere abilitata. Nota Se una macchina virtuale guest non rileva l'aggiornamento hardware host, BTIWindowsSupportEnabled sarà sempre False. |
Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è abilitato |
Esegue il mapping a BTIWindowsSupportEnabled. Questa riga indica se il supporto del sistema operativo Windows è abilitato per la prevenzione dell'iniezione di destinazione del ramo. Se è True, il supporto hardware e il supporto del sistema operativo per la prevenzione dell'iniezione di destinazione del ramo sono abilitati per il dispositivo, proteggendo così da CVE-2017-5715. Se è False, si verifica una delle condizioni seguenti:
|
Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dai criteri di sistema |
Esegue il mapping a BTIDisabledBySystemPolicy. Questa riga indica se la prevenzione dell'iniezione di destinazione del ramo è disabilitata dai criteri di sistema (ad esempio un criterio definito dall'amministratore). Criteri di sistema fa riferimento ai controlli del Registro di sistema documentati in KB4072698. Se è Vero, i criteri di sistema sono responsabili della disabilitazione della prevenzione. Se è False, la prevenzione viene disabilitata da una causa diversa. |
Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dall'assenza di supporto hardware |
Esegue il mapping a BTIDisabledByNoHardwareSupport. Questa riga indica se la prevenzione dell'iniezione di destinazione del ramo è disabilitata a causa dell'assenza di supporto hardware. Se è Vero, l'assenza di supporto hardware è responsabile della disabilitazione della prevenzione. Se è False, la prevenzione viene disabilitata da una causa diversa. NotaSe una macchina virtuale guest non riesce a rilevare l'aggiornamento hardware host, BTIDisabledByNoHardwareSupport sarà sempre True. |
Impostazioni di controllo speculazione per CVE-2017-5754 [caricamento della cache dei dati rogue] |
Questa sezione fornisce informazioni di riepilogo sullo stato del sistema per la variante 3, CVE-2017-5754, caricamento non autorizzati della cache dei dati. La prevenzione per questo problema è nota come shadow dell'indirizzo virtuale kernel (VA) o la mitigazione del carico della cache dei dati rogue. |
L'hardware è vulnerabile al caricamento della cache dei dati non autorizzati |
Esegue il mapping a RdclHardwareProtected. Questa riga indica se l'hardware è vulnerabile a CVE-2017-5754. Se è Vero, si ritiene che l'hardware sia vulnerabile al CVE-2017-5754. Se è False, l'hardware non è vulnerabile a CVE-2017-5754. |
È presente il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati |
Esegue il mapping a KVAShadowWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la funzionalità di ombreggiatura va kernel. |
Il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati è abilitato |
Esegue il mapping a KVAShadowWindowsSupportEnabled. Questa riga indica se la funzionalità di ombreggiatura va kernel è abilitata. Se è True, si ritiene che l'hardware sia vulnerabile a CVE-2017-5754, è presente il supporto del sistema operativo Windows e la funzionalità è abilitata. |
L'hardware richiede l'ombreggiatura va kernel |
Esegue il mapping a KVAShadowRequired. Questa linea indica se il sistema richiede l'ombreggiatura kernel VA per attenuare una vulnerabilità. |
È presente il supporto del sistema operativo Windows per l'ombreggiatura VA kernel |
Esegue il mapping a KVAShadowWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la funzionalità di ombreggiatura va kernel. Se è True, l'aggiornamento di gennaio 2018 è installato nel dispositivo ed è supportata l'ombreggiatura va kernel. Se è False, l'aggiornamento di gennaio 2018 non è installato e il supporto shadow di KERNEL VA non esiste. |
Il supporto del sistema operativo Windows per l'ombreggiatura VA kernel è abilitato |
Esegue il mapping a KVAShadowWindowsSupportEnabled. Questa riga indica se la funzionalità di ombreggiatura va kernel è abilitata. Se è True, è presente il supporto del sistema operativo Windows e la funzionalità è abilitata. La funzionalità shadow di Kernel VA è attualmente abilitata per impostazione predefinita nelle versioni client di Windows ed è disabilitata per impostazione predefinita nelle versioni di Windows Server. Se è False, il supporto del sistema operativo Windows non è presente o la funzionalità non è abilitata. |
Il supporto del sistema operativo Windows per l'ottimizzazione delle prestazioni di PCID è abilitato NotaPCID non è necessario per la sicurezza. Indica solo se è abilitato un miglioramento delle prestazioni. PCID non è supportato con Windows Server 2008 R2 |
Esegue il mapping a KVAShadowPcidEnabled. Questa riga indica se è abilitata un'ottimizzazione delle prestazioni aggiuntiva per l'ombreggiatura VA kernel. Se è True, è abilitata l'ombreggiatura VA kernel, è presente il supporto hardware per PCID e l'ottimizzazione PCID per l'ombreggiatura VA kernel è abilitata. Se è False, l'hardware o il sistema operativo potrebbe non supportare PCID. Non è un punto debole della sicurezza per l'ottimizzazione PCID non essere abilitata. |
È presente il supporto del sistema operativo Windows per Speculative Store Bypass Disable |
Esegue il mapping a SSBDWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per Speculative Store Bypass Disable. Se è True, l'aggiornamento di gennaio 2018 è installato nel dispositivo ed è supportata l'ombreggiatura va kernel. Se è False, l'aggiornamento di gennaio 2018 non è installato e il supporto shadow di KERNEL VA non esiste. |
L'hardware richiede Speculative Store Bypass Disable |
Esegue il mapping a SSBDHardwareVulnerablePresent. Questa linea indica se l'hardware è vulnerabile a CVE-2018-3639. Se è Vero, si ritiene che l'hardware sia vulnerabile a CVE-2018-3639. Se è False, l'hardware non è vulnerabile a CVE-2018-3639. |
È presente il supporto hardware per Speculative Store Bypass Disable |
Esegue il mapping a SSBDHardwarePresent. Questa linea indica se sono presenti funzionalità hardware per supportare Speculative Store Bypass Disable. L'OEM del dispositivo è responsabile di fornire il BIOS/firmware aggiornato che contiene il microcodice fornito da Intel. Se questa linea è True, sono presenti le funzionalità hardware richieste. Se la linea è Falsa, le funzionalità hardware necessarie non sono presenti. Pertanto, Speculative Store Bypass Disable non può essere attivato. Nota SSBDHardwarePresent sarà True nelle macchine virtuali guest se l'aggiornamento OEM viene applicato all'host. |
Il supporto del sistema operativo Windows per Speculative Store Bypass Disable è attivato |
Esegue il mapping a SSBDWindowsSupportEnabledSystemWide. Questa riga indica se Speculative Store Bypass Disable è attivato nel sistema operativo Windows. Se è True, il supporto hardware e del sistema operativo per Speculative Store Bypass Disable è attivato per il dispositivo che impedisce l'esecuzione di un bypass speculativo dello Store, eliminando così completamente il rischio di sicurezza. Se è False, si verifica una delle condizioni seguenti:
|
Impostazioni di controllo speculazione per CVE-2018-3620 [errore terminale L1] |
Questa sezione fornisce un riepilogo dello stato del sistema per L1TF (sistema operativo) a cui fa riferimento CVE-2018-3620. Questa prevenzione garantisce che i bit dei frame di pagina sicuri vengano usati per le voci della tabella pagina non presenti o non valide. Nota Questa sezione non fornisce un riepilogo dello stato di prevenzione per L1TF (VMM) a cui fa riferimento CVE-2018-3646. |
L'hardware è vulnerabile all'errore del terminale L1: True |
Esegue il mapping a L1TFHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile all'errore terminale L1 (L1TF, CVE-2018-3620). Se è Vero, si ritiene che l'hardware sia vulnerabile al CVE-2018-3620. Se è False, l'hardware non è vulnerabile a CVE-2018-3620. |
È presente il supporto del sistema operativo Windows per la mitigazione degli errori dei terminali L1: True |
Esegue il mapping a L1TFWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per l'errore terminale L1 (L1TF). Se è True, l'aggiornamento di agosto 2018 è installato nel dispositivo ed è presente la prevenzione per CVE-2018-3620 . Se è False, l'aggiornamento di agosto 2018 non è installato e la prevenzione per CVE-2018-3620 non è presente. |
Il supporto del sistema operativo Windows per la prevenzione degli errori dei terminali L1 è abilitato: True |
Esegue il mapping a L1TFWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per L1 Terminal Fault (L1TF, CVE-2018-3620) è abilitata. Se è Vero, si ritiene che l'hardware sia vulnerabile a CVE-2018-3620, è presente il supporto del sistema operativo Windows per la prevenzione e la prevenzione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata. |
Impostazioni di controllo della speculazione per MDS [Microarchitectural Data Sampling] |
Questa sezione fornisce lo stato del sistema per il set di vulnerabilità MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e ADV220002. |
È presente il supporto del sistema operativo Windows per la mitigazione mds |
Esegue il mapping a MDSWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per il sistema operativo Microarchitectural Data Sampling (MDS). Se è True, l'aggiornamento di maggio 2019 è installato nel dispositivo ed è presente la prevenzione per MDS. Se è False, l'aggiornamento di maggio 2019 non è installato e la prevenzione per MDS non è presente. |
L'hardware è vulnerabile a MDS |
Esegue il mapping a MDSHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile al set di vulnerabilità MDS (Microarchitectural Data Sampling) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile. |
Il supporto del sistema operativo Windows per la prevenzione mds è abilitato |
Esegue il mapping a MDSWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per Il campionamento di dati microarchiteturali (MDS) è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità di MDS, il supporto del sistema operativo Windows per la prevenzione è presente e la prevenzione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata. |
È presente il supporto del sistema operativo Windows per la mitigazione SBDR |
Esegue il mapping a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo SBDR. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per SBDR. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per SBDR non è presente. |
L'hardware è vulnerabile a SBDR |
Esegue il mapping a SBDRSSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile a SBDR [lettura dei dati dei buffer condivisi] set di vulnerabilità (CVE-2022-21123). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile. |
Il supporto del sistema operativo Windows per la prevenzione SBDR è abilitato |
Esegue il mapping a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per SBDR [lettura dei dati dei buffer condivisi] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità SBDR, che sia presente il supporto operativo windows per la prevenzione e che la prevenzione sia abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata. |
È presente il supporto del sistema operativo Windows per la prevenzione FBSDP |
Esegue il mapping a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo FBSDP. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per FBSDP. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per FBSDP non è presente. |
L'hardware è vulnerabile a FBSDP |
Esegue il mapping a FBSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile a FBSDP [propagatore di dati obsoleti del buffer di riempimento] set di vulnerabilità (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile. |
Il supporto del sistema operativo Windows per la prevenzione FBSDP è abilitato |
Esegue il mapping a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per FBSDP [propagatore di dati del buffer di riempimento] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità FBSDP, il supporto operativo Windows per la prevenzione è presente e la prevenzione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata. |
È presente il supporto del sistema operativo Windows per la prevenzione PSDP |
Esegue il mapping a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo PSDP. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per PSDP. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per PSDP non è presente. |
L'hardware è vulnerabile a PSDP |
Esegue il mapping a PSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile al set di vulnerabilità PSDP [primary stale data propagator]. Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile. |
Il supporto del sistema operativo Windows per la prevenzione PSDP è abilitato |
Esegue il mapping a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per PSDP [primary stale data propagator] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità psdp, il supporto operativo Windows per la prevenzione è presente e la mitigazione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata. |
Output con tutte le misure di prevenzione abilitate
L'output seguente è previsto per un dispositivo con tutte le misure di prevenzione abilitate, insieme a ciò che è necessario per soddisfare ogni condizione.
BTIHardwarePresent: True -> viene applicatole indicazioni. BTIDisabledBySystemPolicy: False -> verificare che non sia disabilitato dai criteri. BTIDisabledByNoHardwareSupport: False -> verificare che sia applicato l'aggiornamento del firmware o del BIOS OEM. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True o False -> nessuna azione, questa è una funzione della CPU utilizzata dal computer Se KVAShadowRequired è True KVAShadowWindowsSupportPresent: True -> installare l'aggiornamento di gennaio 2018 KVAShadowWindowsSupportEnabled: True -> nel client, nessuna azione necessaria. Sul server, segui le indicazioni. KVAShadowPcidEnabled: True o False -> nessuna azione, questa è una funzione della CPU utilizzata dal computer
l'aggiornamento del firmware o del BIOS OEM BTIWindowsSupportPresent: True -> aggionamento di gennaio 2018 installato BTIWindowsSupportEnabled: True -> nel client, nessuna azione richiesta. Sul server, seguiSe SSBDHardwareVulnerablePresent è TrueADV180012 SSBDHardwarePresent: True -> installare l'aggiornamento del BIOS/firmware con il supporto per SSBD dall'OEM del dispositivo SSBDWindowsSupportEnabledSystemWide: True -> seguire le azioni consigliate per attivare SSBD
SSBDWindowsSupportPresent: True -> installare gli aggiornamenti di Windows come documentato inSe L1TFHardwareVulnerable è TrueADV180018 L1TFWindowsSupportEnabled: True -> seguire le azioni descritte in ADV180018 per Windows Server o Client in base alle esigenze per abilitare la prevenzione L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> installare l'aggiornamento di giugno 2022 MDSHardwareVulnerable: False -> hardware è noto per non essere vulnerabile MDSWindowsSupportEnabled: è abilitata la prevenzione del > per il campionamento di dati microarchiteturali (MDS) FBClearWindowsSupportPresent: True -> installare l'aggiornamento di giugno 2022 SBDRSSDPHardwareVulnerable: Si ritiene che l'hardware true -> sia interessato da queste vulnerabilità FBSDPHardwareVulnerable: Si ritiene che l'hardware true -> sia interessato da queste vulnerabilità PSDPHardwareVulnerable: Si ritiene che l'hardware true -> sia interessato da queste vulnerabilità FBClearWindowsSupportEnabled: True -> rappresenta l'abilitazione alla prevenzione per SBDR/FBSDP/PSDP. Assicurati che il BIOS/firmware OEM venga aggiornato, FBClearWindowsSupportPresent è True, le misure di prevenzione abilitate come descritto in ADV220002 e KVAShadowWindowsSupportEnabled è True.
L1TFWindowsSupportPresent: True -> installare gli aggiornamenti di Windows come documentato inRegistro
La tabella seguente esegue il mapping dell'output alle chiavi del Registro di sistema descritte in KB4072698: linee guida di Windows Server e Azure Stack HCI per la protezione dalle vulnerabilità microarchiteturali basate sui processori e dalle vulnerabilità di esecuzione speculativa del canale laterale.
Chiave del Registro di sistema |
Mapping |
FeatureSettingsOverride - Bit 0 |
Mappe a - Branch target injection - BTIWindowsSupportEnabled |
FeatureSettingsOverride - Bit 1 |
Esegue il mapping a - Caricamento della cache dei dati non autorizzati - VAShadowWindowsSupportEnabled |
Riferimenti
Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.