Applies ToWindows 11 Windows 10

日付の変更

変更の説明

2023 年 7 月 17 日

「すべての軽減策が有効になっている出力」セクションに、MMIO と出力値の具体的な説明を追加しました

要約

投機的実行サイドチャネル軽減策の状態を確認するために、デバイスで実行できる PowerShell スクリプト (SpeculationControl) を公開しました。 この記事では、SpeculationControl スクリプトを実行する方法と出力の意味について説明します。

ADV180002ADV180012ADV180018、および ADV190013 セキュリティ アドバイザリでは、以下の 9 つの脆弱性について説明します。

  • CVE-2017-5715 – (ブランチ ターゲット インジェクション)

  • CVE-2017-5753 – (境界チェックのバイパス)

    CVE-2017-5753 (境界チェック) の保護では、追加のレジストリ設定やファームウェアの更新は必要ありません。  

  • CVE-2017-5754 – (不正なデータ キャッシュの読み込み)

  • CVE-2018-3639 – (投機的ストア バイパス)

  • CVE-2018-3620 – (L1 ターミナル障害 – OS)

  • CVE-2018-11091 – (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 – (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 – (Microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 – (Microarchitectural Fill Buffer Data Sampling (MFBDS))

ADV220002 アドバイザリでは、メモリ マップ I/O (MMIO) 関連のその他の脆弱性について説明します。

  • CVE-2022-21123 | Shared Buffer Data Read (SBDR)

  • CVE-2022-21125 | Shared Buffer Data Sampling (SBDS)

  • CVE-2022-21127 | Special Register Buffer Data Sampling Update (SRBDS Update)

  • CVE-2022-21166 | Device Register Partial Write (DRPW)

この記事では、追加のレジストリ設定および場合によってはファームウェアの更新を必要とする、リスト表示されている CVE の軽減策の状態を判断するのに役立つ SpeculationControl PowerShell スクリプトについて詳しく説明します。

詳細情報

SpeculationControl PowerShell スクリプト

次のいずれかの方法を使用して、SpeculationControl スクリプトをインストールして実行します。

メソッド 1: PowerShell ギャラリーを使用した PowerShell の検証 (Windows Server 2016 または WMF 5.0/5.1)

PowerShell モジュールをインストールする:

PS> Install-Module SpeculationControl

SpeculationControl PowerShell モジュールを実行して、保護が有効になっていることを確認します

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

メソッド 2: TechNet からのダウンロードを使用した PowerShell の検証 (以前の OS バージョン/以前の WMF バージョン)

Technet ScriptCenter から PowerShell モジュールをインストールします。

  1. https://aka.ms/SpeculationControlPS に移動します。

  2. SpeculationControl.zip をローカル フォルダーにダウンロードします。

  3. 内容をローカル フォルダー (C:\ADV180002 など) に抽出します

保護が有効であることを確認する PowerShell モジュールを実行する

PowerShell を起動し、(上記の例を使用して) 次のコマンドをコピーして実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell スクリプトの出力

SpeculationControl PowerShell スクリプトの出力は、次の出力のようになります。 有効な保護は、出力に "True" と表示されます。

PS C:\> Get-SpeculationControlSettings

CVE-2017-5715 の投機制御設定 [ブランチ ターゲット インジェクション]

ブランチ ターゲット インジェクション軽減策のハードウェア サポートが存在します: False Windows OS によるブランチ ターゲット インジェクションの軽減策のサポートが存在します: True Windows OS によるブランチ ターゲット インジェクションの軽減策のサポートが有効になっています: False Windows OS によるブランチ ターゲット インジェクション軽減策のサポートがシステム ポリシーによって無効になっています: True Windows OS サポートによるブランチ ターゲット インジェクション軽減策は、ハードウェアサポートがないため無効になっています: True

CVE-2017-5754 の投機制御設定 [不正なデータ キャッシュの読み込み]

ハードウェアは不正なデータ キャッシュの読み込みに対して脆弱です: True Windows OS による不正なデータ キャッシュ読み込みの軽減策が存在します: True Windows OS による不正なデータ キャッシュ読み込みの軽減策が有効になっています: True ハードウェアにはカーネル VA シャドウ処理が必要です: True Windows OS によるカーネル VA シャドウのサポートが存在します: False Windows OS によるカーネル VA シャドウのサポートが有効になっています: False Windows OS による PCID 最適化のサポートが有効になっています: False CVE-2018-3639 の投機制御設定 [投機的ストア バイパス]

ハードウェアは投機的ストア バイパスに対して脆弱です: True 投機的ストア バイパス軽減策のハードウェア サポートが存在します: False Windows OS による投機的ストア バイパス軽減策のサポートが存在します: True Windows OS による投機的ストア バイパス軽減策のサポートがシステム全体で有効になっています: False

CVE-2018-3620 の投機制御設定 [L1 ターミナル フォールト]

ハードウェアは L1 ターミナル 障害に対して脆弱です: True Windows OS による L1 ターミナル 障害軽減策のサポートが存在します: True Windows OS による L1 ターミナル 障害軽減策のサポートが有効になっています: True

MDS の投機制御設定 [マイクロアーキテクチャ データ サンプリング]

Windows OS による MDS 軽減策のサポートが存在します: True ハードウェアは MDS に対して脆弱です: True Windows OS による MDS 軽減策のサポートが有効になっています: True

SBDR の投機制御設定 [共有バッファー データ読み取り] 

Windows OS による SBDR 軽減策のサポートが存在します: True ハードウェアは SBDR に対して脆弱です: True Windows OS による SBDR 軽減策のサポートが有効になっています: True 

FBSDP の投機制御設定 [フィル バッファーの古いデータ伝達子] Windows OS による FBSDP 軽減策のサポートが存在します: True ハードウェアは FBSDP に対して脆弱です: True Windows OS による FBSDP 軽減策のサポートが有効になっています: True 

PSDP の投機制御設定 [プライマリの古いデータ伝達子]

Windows OS による PSDP 軽減策のサポートが存在します: True ハードウェアは PSDP に対して脆弱です: True Windows OS による PSDP 軽減策のサポートが有効になっています: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

SpeculationControl PowerShell スクリプト出力の説明

最終的な出力グリッドは、前の行の出力にマップされます。 これは、PowerShell が関数によって返されるオブジェクトを出力するためです。 次の表では、PowerShell スクリプト出力の各行について説明します。

出力

説明

CVE-2017-5715 の投機制御設定 [ブランチ ターゲット インジェクション]

このセクションでは、バリアント 2、CVE-2017-5715、ブランチ ターゲット インジェクションのシステム状態について説明します。

ブランチ ターゲット インジェクションの軽減策のハードウェア サポートが存在します

BTIHardwarePresent にマップします。 この行は、ブランチ ターゲット インジェクションの軽減策をサポートするためのハードウェア機能が存在するかどうかを示します。 デバイス OEM は、CPU 製造元によって提供されるマイクロコードを含む更新された BIOS/ファームウェアを提供する役割を担います。 この行が True の場合、必要なハードウェア機能が存在します。 行が False の場合、必要なハードウェア機能は存在しません。 そのため、ブランチ ターゲット インジェクションの軽減策を有効にすることはできません。

OEM 更新プログラムがホストに適用され ガイダンスに従っている場合、BTIHardwarePresent はゲスト VM で True になります。

Windows OS によるブランチ ターゲット インジェクションの軽減策のサポートが存在します

BTIWindowsSupportPresent にマップします。 この行は、ブランチ ターゲット インジェクションの軽減策に Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、オペレーティング システムはブランチ ターゲット インジェクションの軽減策の有効化をサポートします (そのため、2018 年 1 月の更新プログラムがインストールされています)。 False の場合、2018 年 1 月の更新プログラムはデバイスにインストールされず、ブランチ ターゲット インジェクションの軽減策を有効にできません。

ゲスト VM がホスト ハードウェアの更新プログラムを検出できない場合、BTIWindowsSupportEnabled は常に False になります。

ブランチ ターゲットインジェクションの軽減策に対する Windows OS のサポートが有効になっています

BTIWindowsSupportEnabled にマップします。 この行は、ブランチ ターゲット インジェクションの軽減策に対して Windows オペレーティング システムのサポートが有効になっているかどうかを示します。 True の場合、デバイスに対してブランチ ターゲット インジェクション軽減策のハードウェア サポートと OS サポートが有効になり、CVE-2017-5715https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715 から保護されます。 False の場合、以下のいずれかの条件が Trueです。

  • ハードウェア サポートが存在しません。

  • OS サポートが存在しません。

  • 軽減策はシステム ポリシーによって無効になっています。

ブランチ ターゲット インジェクションの軽減策に対する Windows OS のサポートは、システム ポリシーによって無効になっている

BTIDisabledBySystemPolicy にマップします。 この行は、ブランチ ターゲット インジェクションの軽減策がシステム ポリシー (管理者が定義したポリシーなど) によって無効になっているかどうかを示します。 システム ポリシーは、KB4072698 に記載されているレジストリ コントロールを参照します。 True の場合、システム ポリシーには軽減策を無効にする責任があります。 False の場合、軽減策は別の原因によって無効になります。

ブランチ ターゲット インジェクションの軽減策に対する Windows OS のサポートは、ハードウェア サポートがないことによって無効になります

BTIDisabledByNoHardwareSupport にマップします。 この行は、ハードウェア サポートがないためにブランチ ターゲット インジェクションの軽減策が無効になっているかどうかを示します。 True の場合、ハードウェア サポートがないことには軽減策を無効にする責任があります。 False の場合、軽減策は別の原因によって無効になります。

ゲスト VM がホスト ハードウェアの更新プログラムを検出できない場合、BTIDisabledByNoHardwareSupport は常に True になります。

CVE-2017-5754 の投機制御設定 [不正なデータ キャッシュの読み込み]

このセクションでは、バリアント 3、CVE-2017-5754、不正なデータ キャッシュの読み込みのサマリー システムの状態について説明します。 これに対する軽減策は、カーネル仮想アドレス (VA) シャドウまたは不正なデータ キャッシュ読み込みの軽減策と呼ばれます。

ハードウェアは不正なデータ キャッシュの読み込みに対して脆弱です

RdclHardwareProtected にマップします。 この行は、ハードウェアが CVE-2017-5754 に対して脆弱かどうかを示します。 True の場合、ハードウェアは CVE-2017-5754 に対して脆弱であると考えられます。 False の場合、ハードウェアは CVE-2017-5754 に対して脆弱でないことが分かっています。

不正なデータ キャッシュの読み込みの軽減策に対する Windows OS のサポートが存在します

KVAShadowWindowsSupportPresent にマップします。 この行は、カーネル VA シャドウ機能に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。

不正なデータ キャッシュの読み込みの軽減策に対する Windows OS のサポートが有効になっています

KVAShadowWindowsSupportEnabled にマップします。 この行は、カーネル VA シャドウ機能が有効になっているかどうかを示します。 True の場合、ハードウェアは CVE-2017-5754 に対して脆弱であると考えられ、Windows オペレーティング システムのサポートは存在し、機能が有効になっています。

ハードウェアにはカーネル VA シャドウ処理が必要です

KVAShadowRequired にマップします。 この行は、脆弱性を軽減するためにシステムでカーネル VA シャドウ処理が必要かどうかを示します。

カーネル VA シャドウに対する Windows OS のサポートが存在します

KVAShadowWindowsSupportPresent にマップします。 この行は、カーネル VA シャドウ機能に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、2018 年 1 月の更新プログラムがデバイスにインストールされ、カーネル VA シャドウがサポートされます。 False の場合、2018 年 1 月の更新プログラムはインストールされておらず、カーネル VA シャドウのサポートは存在しません。

カーネル VA シャドウに対する Windows OS のサポートが有効になっています

KVAShadowWindowsSupportEnabled にマップします。 この行は、カーネル VA シャドウ機能が有効になっているかどうかを示します。 True の場合、Windows オペレーティング システムのサポートが存在し、機能が有効になります。 カーネル VA シャドウ機能は現在、クライアント バージョンの Windows で既定では有効になっており、Windows サーバーのバージョンで既定では無効になっています。 False の場合、Windows オペレーティング システムのサポートが存在しないか、機能が有効になっていません。

PCID パフォーマンス最適化の Windows OS のサポートが有効になっています

PCID はセキュリティには必要ありません。 パフォーマンスの向上が有効になっているかどうかを示すだけです。 PCID は Windows Server 2008 R2 ではサポートされていません

KVAShadowPcidEnabled にマップします。 この行は、カーネル VA シャドウに対して追加のパフォーマンス最適化が有効になっているかどうかを示します。 True の場合、カーネル VA シャドウが有効になり、PCID のハードウェア サポートが存在し、カーネル VA シャドウの PCID 最適化が有効になります。 False の場合、ハードウェアまたは OS が PCID をサポートしていない可能性があります。 PCID 最適化が有効になっていないことは、セキュリティ上の弱点ではありません。

投機的ストア バイパス無効化に対する Windows OS のサポートが存在します

SSBDWindowsSupportPresent にマップします。 この行は、投機的ストア バイパス無効化に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、2018 年 1 月の更新プログラムがデバイスにインストールされ、カーネル VA シャドウがサポートされます。 False の場合、2018 年 1 月の更新プログラムはインストールされず、カーネル VA シャドウのサポートは存在しません。

ハードウェアには投機的ストア バイパス無効化が必要です

SSBDHardwareVulnerablePresent にマップします。 この行は、ハードウェアが CVE-2018-3639 に対して脆弱かどうかを示します。 True の場合、ハードウェアは CVE-2018-3639 に対して脆弱であると考えられます。 False の場合、ハードウェアは CVE-2018-3639 に対して脆弱でないことがわかっています。

投機的ストア バイパス無効化のハードウェア サポートが存在します

SSBDHardwarePresent にマップします。 この行は、投機的ストア バイパス無効化をサポートするためのハードウェア機能が存在するかどうかを示します。 デバイス OEM は、Intel によって提供されるマイクロコードを含む更新された BIOS/ファームウェアを提供する役割を担います。 この行が True の場合、必要なハードウェア機能が存在します。 行が False の場合、必要なハードウェア機能は存在しません。 したがって、投機的ストア バイパス無効化を有効にすることはできません。

OEM 更新プログラムがホストに適用されている場合、ゲスト VM では SSBDHardwarePresent は True になります。

投機的ストア バイパス無効化の Windows OS のサポートが有効になっています

SSBDWindowsSupportEnabledSystemWide にマップします。 この行は、Windows オペレーティング システムで投機的ストア バイパスの無効化が有効になっているかどうかを示します。 True の場合、投機的ストア バイパス無効化に対するハードウェア サポートと OS サポートがデバイスに対して有効になり、投機的ストア バイパスは発生しないため、セキュリティ リスクが完全に排除されます。 False の場合、以下のいずれかの条件が Trueです。

CVE-2018-3620 の投機制御設定 [L1 ターミナル フォールト]

このセクションでは、CVE-2018-3620 によって参照される L1TF (オペレーティング システム) のシステム状態の概要について説明します。 この軽減策により、存在しないか無効なページ テーブル エントリに対してセーフ ページ フレーム ビットが使用されます。

 このセクションでは、CVE-2018-3646 によって参照される L1TF (VMM) の軽減策の状態の概要については説明しません。

ハードウェアは L1 ターミナル 障害に対して脆弱です: True

L1TFHardwareVulnerable にマップします。 この行は、ハードウェアが L1 ターミナル障害 (L1TF、CVE-2018-3620) に対して脆弱かどうかを示します。 True の場合、ハードウェアは CVE-2018-3620 に対して脆弱であると考えられます。 False の場合、ハードウェアは CVE-2018-3620 に対して脆弱でないことがわかっています。

L1 ターミナル 障害軽減策のための Windows OS のサポートが存在します: True

L1TFWindowsSupportPresent にマップします。 この行は、L1 ターミナル障害 (L1TF) オペレーティング システムの軽減策に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、2018 年 8 月の更新プログラムがデバイスにインストールされ、CVE-2018-3620 の軽減策が存在します。 False の場合、2018 年 8 月の更新プログラムはインストールされず、CVE-2018-3620 の軽減策は存在しません。

L1 ターミナル 障害軽減策に対する Windows OS のサポートが有効になっています: True

L1TFWindowsSupportEnabled にマップします。 この行は、L1 ターミナル障害 (L1TF、CVE-2018-3620) に対する Windows オペレーティング システムの軽減策が有効かどうかを示します。 True の場合、ハードウェアは CVE-2018-3620 に対して脆弱であると考えられます。軽減策に対する Windows オペレーティング システムのサポートが存在し、軽減策が有効になります。 False の場合、ハードウェアが脆弱ではないか、Windows オペレーティング システムのサポートが存在しないか、軽減策が有効になっていません。

MDS の投機制御設定 [マイクロアーキテクチャ データ サンプリング]

このセクションでは、MDS の脆弱性のセットである、CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130、および ADV220002 に対するシステム状態を提供します。

MDS 軽減策に対する Windows OS サポートが存在します

MDSWindowsSupportPresent にマップします。 この行は、Windows オペレーティング システムで Microarchitectural Data Sampling (MDS) オペレーティング システムの軽減策がサポートされているかどうかを示します。 True の場合、2019 年 5 月の更新プログラムがデバイスにインストールされ、MDS の軽減策が存在します。 False の場合、2019 年 5 月の更新プログラムはインストールされず、MDS の軽減策は存在しません。

ハードウェアは MDS に対して脆弱です

MDSHardwareVulnerable にマップします。 この行は、ハードウェアがマイクロアーキテクチャ データ サンプリング (MDS) の脆弱性のセットに対して脆弱かどうかを示します (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12139)。 True の場合、ハードウェアはこれらの脆弱性の影響を受けると考えられます。 False の場合、ハードウェアは脆弱でないことがわかっています。

MDS 軽減策に対する Windows OS のサポートが有効になっています

MDSWindowsSupportEnabled にマップします。 この行は、Microarchitectural Data Sampling (MDS) に対する Windows オペレーティング システムの軽減策が有効になっているかどうかを示します。 True の場合、ハードウェアは MDS の脆弱性の影響を受けると考えられます。軽減策に対する Windows オペレーティング システムのサポートが存在し、軽減策が有効になります。 False の場合、ハードウェアが脆弱ではないか、Windows オペレーティング システムのサポートが存在しないか、軽減策が有効になっていません。

SBDR 軽減策に対する Windows OS のサポートが存在します

FBClearWindowsSupportPresent にマップします。 この行は、SBDR オペレーティング システムの軽減策に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、2022 年 6 月の更新プログラムがデバイスにインストールされ、SBDR の軽減策が存在します。 False の場合、2022 年 6 月の更新プログラムはインストールされず、SBDR の軽減策は存在しません。

ハードウェアは SBDR に対して脆弱です

SBDRSSDPHardwareVulnerable にマップします。 この行は、ハードウェアが SBDR [共有バッファー データ読み取り] の脆弱性のセット (CVE-2022-21123) に対して脆弱かどうかを示します。 True の場合、ハードウェアはこれらの脆弱性の影響を受けると考えられます。 False の場合、ハードウェアは脆弱でないことがわかっています。

SBDR 軽減策に対する Windows OS のサポートが有効になっています

FBClearWindowsSupportEnabled にマップします。 この行は、SBDR [共有バッファー データ読み取り] に対する Windows オペレーティング システムの軽減策が有効かどうかを示します。 True の場合、ハードウェアは SBDR の脆弱性の影響を受けると考えられます。軽減策の Windows オペレーティング サポートが存在し、軽減策が有効になります。 False の場合、ハードウェアが脆弱ではないか、Windows オペレーティング システムのサポートが存在しないか、軽減策が有効になっていません。

FBSDP 軽減策の Windows OS サポートが存在します

FBClearWindowsSupportPresent にマップします。 この行は、FBSDP オペレーティング システムの軽減策に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、2022 年 6 月の更新プログラムがデバイスにインストールされ、FBSDP の軽減策が存在します。 False の場合、2022 年 6 月の更新プログラムはインストールされず、FBSDP の軽減策は存在しません。

ハードウェアは FBSDP に対して脆弱です

FBSDPHardwareVulnerable にマップします。 この行は、ハードウェアが FBSDP [フィル バッファーの古いデータ伝達子] の脆弱性のセット (CVE-2022-21125CVE-2022-21127CVE-2022-21166) に対して脆弱かどうかを示します。 True の場合、ハードウェアはこれらの脆弱性の影響を受けると考えられます。 False の場合、ハードウェアは脆弱でないことがわかっています。

FBSDP 軽減策に対する Windows OS のサポートが有効になっています

FBClearWindowsSupportEnabled にマップします。 この行は、FBSDP [フィル バッファーの古いデータ伝達子] に対する Windows オペレーティング システムの軽減策が有効かどうかを示します。 True の場合、ハードウェアは FBSDP の脆弱性の影響を受けると考えられます。軽減策の Windows 運用サポートが存在し、軽減策が有効になります。 False の場合、ハードウェアが脆弱ではないか、Windows オペレーティング システムのサポートが存在しないか、軽減策が有効になっていません。

PSDP 軽減策に対する Windows OS のサポートが存在します

FBClearWindowsSupportPresent にマップします。 この行は、PSDP オペレーティング システムの軽減策に対する Windows オペレーティング システムのサポートが存在するかどうかを示します。 True の場合、2022 年 6 月の更新プログラムがデバイスにインストールされ、PSDP の軽減策が存在します。 False の場合、2022 年 6 月の更新プログラムはインストールされず、PSDP の軽減策は存在しません。

ハードウェアは PSDP に対して脆弱です

PSDPHardwareVulnerable にマップします。 この行は、ハードウェアが PSDP [プライマリの古いデータ伝達子] の脆弱性のセットに対して脆弱かどうかを示します。 True の場合、ハードウェアはこれらの脆弱性の影響を受けると考えられます。 False の場合、ハードウェアは脆弱でないことがわかっています。

PSDP 軽減策に対する Windows OS のサポートが有効になっています

FBClearWindowsSupportEnabled にマップします。 この行は、PSDP [プライマリの古いデータ伝達子] の Windows オペレーティング システムの軽減策が有効かどうかを示します。 True の場合、ハードウェアは PSDP の脆弱性の影響を受けると考えられます。軽減策に対する Windows 運用サポートが存在し、軽減策が有効になります。 False の場合、ハードウェアが脆弱ではないか、Windows オペレーティング システムのサポートが存在しないか、軽減策が有効になっていません。

すべての軽減策が有効になっている出力

次の出力は、すべての軽減策が有効になっているデバイスに対して、各条件を満たすために必要なものと共に予想されます。

BTIHardwarePresent: True -> OEM BIOS/ファームウェア アップデートが適用されました BTIWindowsSupportPresent: True -> 2018 年 1 月のアップデートがインストールされています BTIWindowsSupportEnabled: True -> クライアント上で、アクションは必要ありません。 サーバーでは、ガイダンスに従います。 BTIDisabledBySystemPolicy: False -> ポリシーによって無効になっていないことを確認します。 BTIDisabledByNoHardwareSupport: False -> OEM BIOS/ファームウェア更新プログラムが適用されていることを確認します。 BTIKernelRetpolineEnabled: False       BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True または False -> アクションなし。これはコンピュータが使用する CPU の機能です。 KVAShadowRequired が True の場合 KVAShadowWindowsSupportPresent: True -> 2018 年 1 月のアップデートをインストールします KVAShadowWindowsSupportEnabled: True -> クライアント上で、アクションは必要ありません。 サーバーでは、ガイダンスに従います。 KVAShadowPcidEnabled: True または False -> アクションはありません。これはコンピューターが使用する CPU の機能です

SSBDHardwareVulnerablePresent が True の場合 SSBDWindowsSupportPresent: True -> ADV180012 に記載されているように Windows アップデートをインストールします SSBDHardwarePresent: True -> デバイス OEM から SSBD をサポートする BIOS/ファームウェア アップデートをインストールします SSBDWindowsSupportEnabledSystemwide: True -> 推奨されるアクションに従って SSBD を有効にします

L1TFHardwareVulnerable が True の場合 L1TFWindowsSupportPresent: True -> ADV180018 に記載されているように Windows アップデートをインストールします L1TFWindowsSupportEnabled: True -> Windows サーバーまたはクライアントに対して、ADV180018 に概説されているアクションに従って、緩和策を有効にします。 L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> 2022 年 6 月のアップデートをインストールします MDSHardwareVulnerable: False -> ハードウェアは脆弱ではないことが知られています MDSWindowsSupportEnabled: True -> マイクロアーキテクチャ データ サンプリング (MDS) の軽減策が有効です FBClearWindowsSupportPresent: True -> 2022 年 6 月のアップデートをインストールします SBDRSSDPHardwareVulnerable: True -> ハードウェアはこれらの脆弱性の影響を受けると考えられます FBSDPHardwareVulnerable: True -> ハードウェアはこれらの脆弱性の影響を受けると考えられます PSDPHardwareVulnerable: True -> ハードウェアはこれらの脆弱性の影響を受けると考えられます FBClearWindowsSupportEnabled: True -> SBDR/FBSDP/PSDP の軽減策の有効化を表します。 OEM BIOS/ファームウェアが更新されていること、FBClearWindowsSupportPresent が True であること、ADV220002 で説明されている軽減策が有効になっていること、KVAShadowWindowsSupportEnabled が True であることを確認してください。

レジストリ

次の表は、KB4072698 で説明されているレジストリ キーに出力をマップします: シリコン ベースのマイクロアーキテクチャおよび投機的実行サイドチャネルの脆弱性から保護するための Windows Server と Azure Stack HCI ガイダンス

レジストリ キー

のマッピング

FeatureSettingsOverride – Bit 0

マップ先 - ブランチ ターゲット インジェクション - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

マップ先 - 不正なデータ キャッシュの読み込み - VAShadowWindowsSupportEnabled

参考文献

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。