Applies ToWindows 11 Windows 10

Modifica data

Descrizione della modifica

17 luglio 2023

Aggiunto MMIO e descrizioni specifiche dei valori di output nella sezione "Output con tutte le misure di prevenzione abilitate"

Riassunto

Per aiutarti a verificare lo stato delle misure di prevenzione dell'esecuzione speculativa del canale laterale, abbiamo pubblicato uno script di PowerShell (SpeculationControl) che può essere eseguito sui tuoi dispositivi. Questo articolo spiega come eseguire lo script SpeculationControl e cosa significa l'output.

Gli avvisi di sicurezza ADV180002, ADV180012, ADV180018 e ADV190013 coprono le nove vulnerabilità seguenti:

  • CVE-2017-5715 (branch target injection)

  • CVE-2017-5753 (limite controllo bypass)

    Nota La protezione per CVE-2017-5753 (controllo limiti) non richiede ulteriori impostazioni del Registro di sistema o aggiornamenti del firmware.  

  • CVE-2017-5754 (caricamento della cache dei dati non autorizzati)

  • CVE-2018-3639 (bypass speculativo negozio)

  • CVE-2018-3620 (errore terminale L1 - sistema operativo)

  • CVE-2018-11091 (MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (MLPDS(Microarchitectural Load Port Data Sampling)

  • CVE-2018-12130 (MFBDS (Microarchitectural Fill Buffer Data Sampling)

L'avviso ADV220002 riguarda altre vulnerabilità correlate a Memory-Mapped I/O (MMIO):

  • CVE-2022-21123 | Lettura dei dati del buffer condiviso (SBDR)

  • CVE-2022-21125 | SBDS (Shared Buffer Data Sampling)

  • CVE-2022-21127 | Aggiornamento speciale per il campionamento dei dati del buffer di registro (aggiornamento SRBDS)

  • CVE-2022-21166 | Registrazione dispositivo scrittura parziale (DRPW)

Questo articolo fornisce dettagli sullo script SpeculationControl PowerShell che aiuta a determinare lo stato delle misure di prevenzione per i FILE CVE elencati che richiedono ulteriori impostazioni del Registro di sistema e, in alcuni casi, aggiornamenti del firmware.

Altre informazioni

Script SpeculationControl PowerShell

Installare ed eseguire lo script SpeculationControl utilizzando uno dei metodi seguenti.

Metodo 1: verifica di PowerShell tramite l'PowerShell Gallery (Windows Server 2016 o WMF 5.0/5.1)

Installare il modulo di PowerShell

PS> Install-Module SpeculationControl

Eseguire il modulo SpeculationControl PowerShell per verificare che le protezioni siano abilitate

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metodo 2: verifica di PowerShell tramite un download da TechNet (versioni del sistema operativo precedenti/versioni WMF precedenti)

Installare il modulo di PowerShell da TechNet ScriptCenter

  1. Vai a https://aka.ms/SpeculationControlPS.

  2. Scaricare SpeculationControl.zip in una cartella locale.

  3. Estrarre il contenuto in una cartella locale, ad esempio C:\ADV180002

Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate

Avviare PowerShell e quindi , usando l'esempio precedente, copiare ed eseguire i comandi seguenti:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Output script di PowerShell

L'output dello script SpeculationControl PowerShell sarà simile al seguente. Le protezioni abilitate vengono visualizzate nell'output come "True".

PS C:\> Get-SpeculationControlSettings

Impostazioni di controllo speculazione per CVE-2017-5715 [branch target injection]

È presente il supporto hardware per la prevenzione dell'iniezione di target branch: False È presente il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target: True Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è abilitato: False Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dai criteri di sistema: True Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dall'assenza di supporto hardware: True

Impostazioni di controllo speculazione per CVE-2017-5754 [caricamento della cache dei dati rogue]

L'hardware è vulnerabile al caricamento della cache dei dati non autorizzati: True È presente il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati: True Il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati è abilitato: True L'hardware richiede l'ombreggiatura kernel VA: True È presente il supporto del sistema operativo Windows per l'ombreggiatura VA kernel: False Il supporto del sistema operativo Windows per l'ombreggiatura va kernel è abilitato: False Il supporto del sistema operativo Windows per l'ottimizzazione PCID è abilitato: False Impostazioni di controllo della speculazione per CVE-2018-3639 [bypass negozio speculativo]

L'hardware è vulnerabile al bypass speculativo dello store: True È presente il supporto hardware per la prevenzione speculativa del bypass dello store: False È presente il supporto del sistema operativo Windows per la prevenzione speculativa del bypass dello store: True Il supporto del sistema operativo Windows per la prevenzione speculativa del bypass dell'archivio è abilitato a livello di sistema: False

Impostazioni di controllo speculazione per CVE-2018-3620 [errore terminale L1]

L'hardware è vulnerabile all'errore del terminale L1: True È presente il supporto del sistema operativo Windows per la mitigazione degli errori dei terminali L1: True Il supporto del sistema operativo Windows per la prevenzione degli errori dei terminali L1 è abilitato: True

Impostazioni di controllo della speculazione per MDS [campionamento di dati microarchiteturali]

È presente il supporto del sistema operativo Windows per la prevenzione degli MDS: True L'hardware è vulnerabile agli MDS: True Il supporto del sistema operativo Windows per la prevenzione mds è abilitato: True

Impostazioni di controllo speculazione per SBDR [lettura dati buffer condivisi] 

È presente il supporto del sistema operativo Windows per la prevenzione SBDR: True Hardware vulnerabile a SBDR: True Il supporto del sistema operativo Windows per la prevenzione SBDR è abilitato: True 

Impostazioni di controllo speculazione per FBSDP [propagatore di dati obsoleti del buffer di riempimento] È presente il supporto del sistema operativo Windows per la prevenzione FBSDP: True Hardware vulnerabile a FBSDP: True Il supporto del sistema operativo Windows per la prevenzione FBSDP è abilitato: True 

Impostazioni di controllo delle speculazioni per PSDP [propagator principale dei dati obsoleti]

È presente il supporto del sistema operativo Windows per la prevenzione PSDP: True Hardware vulnerabile a PSDP: True Il supporto del sistema operativo Windows per la prevenzione PSDP è abilitato: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Spiegazione dell'output dello script SpeculationControl PowerShell

La griglia di output finale esegue il mapping all'output delle righe precedenti. Questo viene visualizzato perché PowerShell stampa l'oggetto restituito da una funzione. La tabella seguente illustra ogni riga nell'output dello script di PowerShell.

Output

Spiegazione

Impostazioni di controllo speculazione per CVE-2017-5715 [branch target injection]

Questa sezione fornisce lo stato del sistema per la variante 2, CVE-2017-5715, branch target injection.

È presente il supporto hardware per la prevenzione dell'iniezione di target branch

Esegue il mapping a BTIHardwarePresent. Questa linea indica se sono presenti funzionalità hardware per supportare la prevenzione dell'iniezione di destinazione del ramo. L'OEM del dispositivo è responsabile di fornire il BIOS/firmware aggiornato che contiene il microcodice fornito dai produttori di CPU. Se questa linea è True, sono presenti le funzionalità hardware richieste. Se la linea è Falsa, le funzionalità hardware necessarie non sono presenti. Pertanto, la prevenzione dell'iniezione di destinazione del ramo non può essere abilitata.

Nota BTIHardwarePresent sarà True nelle macchine virtuali guest se l'aggiornamento OEM viene applicato all'host e vengono seguite le indicazioni.

È presente il supporto del sistema operativo Windows per la mitigazione dell'iniezione di branch target

Esegue il mapping a BTIWindowsSupportPresent. Questa riga indica se il supporto del sistema operativo Windows è presente per la prevenzione dell'iniezione di destinazione del ramo. Se è True, il sistema operativo supporta l'abilitazione della prevenzione dell'iniezione di destinazione del ramo (e quindi ha installato l'aggiornamento di gennaio 2018). Se è False, l'aggiornamento di gennaio 2018 non è installato nel dispositivo e la prevenzione dell'iniezione di destinazione del ramo non può essere abilitata.

Nota Se una macchina virtuale guest non rileva l'aggiornamento hardware host, BTIWindowsSupportEnabled sarà sempre False.

Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è abilitato

Esegue il mapping a BTIWindowsSupportEnabled. Questa riga indica se il supporto del sistema operativo Windows è abilitato per la prevenzione dell'iniezione di destinazione del ramo. Se è True, il supporto hardware e il supporto del sistema operativo per la prevenzione dell'iniezione di destinazione del ramo sono abilitati per il dispositivo, proteggendo così da CVE-2017-5715. Se è False, si verifica una delle condizioni seguenti:

  • Il supporto hardware non è presente.

  • Il supporto del sistema operativo non è presente.

  • La prevenzione è disabilitata dai criteri di sistema.

Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dai criteri di sistema

Esegue il mapping a BTIDisabledBySystemPolicy. Questa riga indica se la prevenzione dell'iniezione di destinazione del ramo è disabilitata dai criteri di sistema (ad esempio un criterio definito dall'amministratore). Criteri di sistema fa riferimento ai controlli del Registro di sistema documentati in KB4072698. Se è Vero, i criteri di sistema sono responsabili della disabilitazione della prevenzione. Se è False, la prevenzione viene disabilitata da una causa diversa.

Il supporto del sistema operativo Windows per la prevenzione dell'iniezione di branch target è disabilitato dall'assenza di supporto hardware

Esegue il mapping a BTIDisabledByNoHardwareSupport. Questa riga indica se la prevenzione dell'iniezione di destinazione del ramo è disabilitata a causa dell'assenza di supporto hardware. Se è Vero, l'assenza di supporto hardware è responsabile della disabilitazione della prevenzione. Se è False, la prevenzione viene disabilitata da una causa diversa.

NotaSe una macchina virtuale guest non riesce a rilevare l'aggiornamento hardware host, BTIDisabledByNoHardwareSupport sarà sempre True.

Impostazioni di controllo speculazione per CVE-2017-5754 [caricamento della cache dei dati rogue]

Questa sezione fornisce informazioni di riepilogo sullo stato del sistema per la variante 3, CVE-2017-5754, caricamento non autorizzati della cache dei dati. La prevenzione per questo problema è nota come shadow dell'indirizzo virtuale kernel (VA) o la mitigazione del carico della cache dei dati rogue.

L'hardware è vulnerabile al caricamento della cache dei dati non autorizzati

Esegue il mapping a RdclHardwareProtected. Questa riga indica se l'hardware è vulnerabile a CVE-2017-5754. Se è Vero, si ritiene che l'hardware sia vulnerabile al CVE-2017-5754. Se è False, l'hardware non è vulnerabile a CVE-2017-5754.

È presente il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati

Esegue il mapping a KVAShadowWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la funzionalità di ombreggiatura va kernel.

Il supporto del sistema operativo Windows per la prevenzione del carico della cache dei dati non autorizzati è abilitato

Esegue il mapping a KVAShadowWindowsSupportEnabled. Questa riga indica se la funzionalità di ombreggiatura va kernel è abilitata. Se è True, si ritiene che l'hardware sia vulnerabile a CVE-2017-5754, è presente il supporto del sistema operativo Windows e la funzionalità è abilitata.

L'hardware richiede l'ombreggiatura va kernel

Esegue il mapping a KVAShadowRequired. Questa linea indica se il sistema richiede l'ombreggiatura kernel VA per attenuare una vulnerabilità.

È presente il supporto del sistema operativo Windows per l'ombreggiatura VA kernel

Esegue il mapping a KVAShadowWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la funzionalità di ombreggiatura va kernel. Se è True, l'aggiornamento di gennaio 2018 è installato nel dispositivo ed è supportata l'ombreggiatura va kernel. Se è False, l'aggiornamento di gennaio 2018 non è installato e il supporto shadow di KERNEL VA non esiste.

Il supporto del sistema operativo Windows per l'ombreggiatura VA kernel è abilitato

Esegue il mapping a KVAShadowWindowsSupportEnabled. Questa riga indica se la funzionalità di ombreggiatura va kernel è abilitata. Se è True, è presente il supporto del sistema operativo Windows e la funzionalità è abilitata. La funzionalità shadow di Kernel VA è attualmente abilitata per impostazione predefinita nelle versioni client di Windows ed è disabilitata per impostazione predefinita nelle versioni di Windows Server. Se è False, il supporto del sistema operativo Windows non è presente o la funzionalità non è abilitata.

Il supporto del sistema operativo Windows per l'ottimizzazione delle prestazioni di PCID è abilitato

NotaPCID non è necessario per la sicurezza. Indica solo se è abilitato un miglioramento delle prestazioni. PCID non è supportato con Windows Server 2008 R2

Esegue il mapping a KVAShadowPcidEnabled. Questa riga indica se è abilitata un'ottimizzazione delle prestazioni aggiuntiva per l'ombreggiatura VA kernel. Se è True, è abilitata l'ombreggiatura VA kernel, è presente il supporto hardware per PCID e l'ottimizzazione PCID per l'ombreggiatura VA kernel è abilitata. Se è False, l'hardware o il sistema operativo potrebbe non supportare PCID. Non è un punto debole della sicurezza per l'ottimizzazione PCID non essere abilitata.

È presente il supporto del sistema operativo Windows per Speculative Store Bypass Disable

Esegue il mapping a SSBDWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per Speculative Store Bypass Disable. Se è True, l'aggiornamento di gennaio 2018 è installato nel dispositivo ed è supportata l'ombreggiatura va kernel. Se è False, l'aggiornamento di gennaio 2018 non è installato e il supporto shadow di KERNEL VA non esiste.

L'hardware richiede Speculative Store Bypass Disable

Esegue il mapping a SSBDHardwareVulnerablePresent. Questa linea indica se l'hardware è vulnerabile a CVE-2018-3639. Se è Vero, si ritiene che l'hardware sia vulnerabile a CVE-2018-3639. Se è False, l'hardware non è vulnerabile a CVE-2018-3639.

È presente il supporto hardware per Speculative Store Bypass Disable

Esegue il mapping a SSBDHardwarePresent. Questa linea indica se sono presenti funzionalità hardware per supportare Speculative Store Bypass Disable. L'OEM del dispositivo è responsabile di fornire il BIOS/firmware aggiornato che contiene il microcodice fornito da Intel. Se questa linea è True, sono presenti le funzionalità hardware richieste. Se la linea è Falsa, le funzionalità hardware necessarie non sono presenti. Pertanto, Speculative Store Bypass Disable non può essere attivato.

Nota SSBDHardwarePresent sarà True nelle macchine virtuali guest se l'aggiornamento OEM viene applicato all'host.

Il supporto del sistema operativo Windows per Speculative Store Bypass Disable è attivato

Esegue il mapping a SSBDWindowsSupportEnabledSystemWide. Questa riga indica se Speculative Store Bypass Disable è attivato nel sistema operativo Windows. Se è True, il supporto hardware e del sistema operativo per Speculative Store Bypass Disable è attivato per il dispositivo che impedisce l'esecuzione di un bypass speculativo dello Store, eliminando così completamente il rischio di sicurezza. Se è False, si verifica una delle condizioni seguenti:

Impostazioni di controllo speculazione per CVE-2018-3620 [errore terminale L1]

Questa sezione fornisce un riepilogo dello stato del sistema per L1TF (sistema operativo) a cui fa riferimento CVE-2018-3620. Questa prevenzione garantisce che i bit dei frame di pagina sicuri vengano usati per le voci della tabella pagina non presenti o non valide.

Nota Questa sezione non fornisce un riepilogo dello stato di prevenzione per L1TF (VMM) a cui fa riferimento CVE-2018-3646.

L'hardware è vulnerabile all'errore del terminale L1: True

Esegue il mapping a L1TFHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile all'errore terminale L1 (L1TF, CVE-2018-3620). Se è Vero, si ritiene che l'hardware sia vulnerabile al CVE-2018-3620. Se è False, l'hardware non è vulnerabile a CVE-2018-3620.

È presente il supporto del sistema operativo Windows per la mitigazione degli errori dei terminali L1: True

Esegue il mapping a L1TFWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per l'errore terminale L1 (L1TF). Se è True, l'aggiornamento di agosto 2018 è installato nel dispositivo ed è presente la prevenzione per CVE-2018-3620 . Se è False, l'aggiornamento di agosto 2018 non è installato e la prevenzione per CVE-2018-3620 non è presente.

Il supporto del sistema operativo Windows per la prevenzione degli errori dei terminali L1 è abilitato: True

Esegue il mapping a L1TFWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per L1 Terminal Fault (L1TF, CVE-2018-3620) è abilitata. Se è Vero, si ritiene che l'hardware sia vulnerabile a CVE-2018-3620, è presente il supporto del sistema operativo Windows per la prevenzione e la prevenzione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata.

Impostazioni di controllo della speculazione per MDS [Microarchitectural Data Sampling]

Questa sezione fornisce lo stato del sistema per il set di vulnerabilità MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e ADV220002.

È presente il supporto del sistema operativo Windows per la mitigazione mds

Esegue il mapping a MDSWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per il sistema operativo Microarchitectural Data Sampling (MDS). Se è True, l'aggiornamento di maggio 2019 è installato nel dispositivo ed è presente la prevenzione per MDS. Se è False, l'aggiornamento di maggio 2019 non è installato e la prevenzione per MDS non è presente.

L'hardware è vulnerabile a MDS

Esegue il mapping a MDSHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile al set di vulnerabilità MDS (Microarchitectural Data Sampling) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Il supporto del sistema operativo Windows per la prevenzione mds è abilitato

Esegue il mapping a MDSWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per Il campionamento di dati microarchiteturali (MDS) è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità di MDS, il supporto del sistema operativo Windows per la prevenzione è presente e la prevenzione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata.

È presente il supporto del sistema operativo Windows per la mitigazione SBDR

Esegue il mapping a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo SBDR. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per SBDR. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per SBDR non è presente.

L'hardware è vulnerabile a SBDR

Esegue il mapping a SBDRSSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile a SBDR [lettura dei dati dei buffer condivisi] set di vulnerabilità (CVE-2022-21123). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Il supporto del sistema operativo Windows per la prevenzione SBDR è abilitato

Esegue il mapping a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per SBDR [lettura dei dati dei buffer condivisi] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità SBDR, che sia presente il supporto operativo windows per la prevenzione e che la prevenzione sia abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata.

È presente il supporto del sistema operativo Windows per la prevenzione FBSDP

Esegue il mapping a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo FBSDP. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per FBSDP. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per FBSDP non è presente.

L'hardware è vulnerabile a FBSDP

Esegue il mapping a FBSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile a FBSDP [propagatore di dati obsoleti del buffer di riempimento] set di vulnerabilità (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Il supporto del sistema operativo Windows per la prevenzione FBSDP è abilitato

Esegue il mapping a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per FBSDP [propagatore di dati del buffer di riempimento] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità FBSDP, il supporto operativo Windows per la prevenzione è presente e la prevenzione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata.

È presente il supporto del sistema operativo Windows per la prevenzione PSDP

Esegue il mapping a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo PSDP. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per PSDP. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per PSDP non è presente.

L'hardware è vulnerabile a PSDP

Esegue il mapping a PSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile al set di vulnerabilità PSDP [primary stale data propagator]. Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Il supporto del sistema operativo Windows per la prevenzione PSDP è abilitato

Esegue il mapping a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per PSDP [primary stale data propagator] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità psdp, il supporto operativo Windows per la prevenzione è presente e la mitigazione è abilitata. Se è False, l'hardware non è vulnerabile, il supporto del sistema operativo Windows non è presente o la prevenzione non è abilitata.

Output con tutte le misure di prevenzione abilitate

L'output seguente è previsto per un dispositivo con tutte le misure di prevenzione abilitate, insieme a ciò che è necessario per soddisfare ogni condizione.

BTIHardwarePresent: True -> viene applicato l'aggiornamento del firmware o del BIOS OEM BTIWindowsSupportPresent: True -> aggionamento di gennaio 2018 installato BTIWindowsSupportEnabled: True -> nel client, nessuna azione richiesta. Sul server, segui le indicazioni.BTIDisabledBySystemPolicy: False -> verificare che non sia disabilitato dai criteri.BTIDisabledByNoHardwareSupport: False -> verificare che sia applicato l'aggiornamento del firmware o del BIOS OEM.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True o False -> nessuna azione, questa è una funzione della CPU utilizzata dal computer Se KVAShadowRequired è True KVAShadowWindowsSupportPresent: True -> installare l'aggiornamento di gennaio 2018 KVAShadowWindowsSupportEnabled: True -> nel client, nessuna azione necessaria. Sul server, segui le indicazioni.KVAShadowPcidEnabled: True o False -> nessuna azione, questa è una funzione della CPU utilizzata dal computer

Se SSBDHardwareVulnerablePresent è True SSBDWindowsSupportPresent: True -> installare gli aggiornamenti di Windows come documentato in ADV180012 SSBDHardwarePresent: True -> installare l'aggiornamento del BIOS/firmware con il supporto per SSBD dall'OEM del dispositivo SSBDWindowsSupportEnabledSystemWide: True -> seguire le azioni consigliate per attivare SSBD

Se L1TFHardwareVulnerable è True L1TFWindowsSupportPresent: True -> installare gli aggiornamenti di Windows come documentato in ADV180018 L1TFWindowsSupportEnabled: True -> seguire le azioni descritte in ADV180018 per Windows Server o Client in base alle esigenze per abilitare la prevenzione L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> installare l'aggiornamento di giugno 2022 MDSHardwareVulnerable: False -> hardware è noto per non essere vulnerabile MDSWindowsSupportEnabled: è abilitata la prevenzione del > per il campionamento di dati microarchiteturali (MDS) FBClearWindowsSupportPresent: True -> installare l'aggiornamento di giugno 2022 SBDRSSDPHardwareVulnerable: Si ritiene che l'hardware true -> sia interessato da queste vulnerabilità FBSDPHardwareVulnerable: Si ritiene che l'hardware true -> sia interessato da queste vulnerabilità PSDPHardwareVulnerable: Si ritiene che l'hardware true -> sia interessato da queste vulnerabilità FBClearWindowsSupportEnabled: True -> rappresenta l'abilitazione alla prevenzione per SBDR/FBSDP/PSDP. Assicurati che il BIOS/firmware OEM venga aggiornato, FBClearWindowsSupportPresent è True, le misure di prevenzione abilitate come descritto in ADV220002 e KVAShadowWindowsSupportEnabled è True.

Registro

La tabella seguente esegue il mapping dell'output alle chiavi del Registro di sistema descritte in KB4072698: linee guida di Windows Server e Azure Stack HCI per la protezione dalle vulnerabilità microarchiteturali basate sui processori e dalle vulnerabilità di esecuzione speculativa del canale laterale.

Chiave del Registro di sistema

Mapping

FeatureSettingsOverride - Bit 0

Mappe a - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride - Bit 1

Esegue il mapping a - Caricamento della cache dei dati non autorizzati - VAShadowWindowsSupportEnabled

Riferimenti

Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.