Applies ToWindows 11 Windows 10

Keisti datą

Keitimo aprašas

2023 m. liepos 17 d.

Pridėtas MMIO ir konkrečius aprašus išvesties reikšmių skyriuje "Išvestis, kurioje įgalintas visi mažinimai"

Suvestinė

Kad būtų lengviau patikrinti su spėjamu vykdymu susijusių šalutinių kanalų mažinimų būseną, paskelbėme "PowerShell" scenarijų (SpeculationControl), kuris gali veikti jūsų įrenginiuose. Šiame straipsnyje aiškinama, kaip vykdyti "SpeculationControl" scenarijų ir ką reiškia išvestis.

Saugos patarimai ADV180002, ADV180012, ADV180018 ir ADV190013 apima šiuos devynis pažeidžiamumus:

  • CVE-2017-5715 (šakos tikslinis įdėjimas)

  • CVE-2017-5753 (ribos patikros apėjimo)

    Pastaba Cve-2017-5753 (ribos patikra) apsaugai nereikia papildomų registro parametrų arba programinės-aparatinės įrangos naujinimų.  

  • CVE-2017-5754 (nesąžiningų duomenų talpyklos įkėlimas)

  • CVE-2018-3639 (spėjamo parduotuvės apėjimo)

  • CVE-2018-3620 (L1 terminalo klaida – OS)

  • CVE-2018-11091 (mikroarchitektūros duomenų pavyzdžių neplanuojama atmintis (MDSUM))

  • CVE-2018-12126 (mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS))

  • CVE-2018-12127 (mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS))

  • CVE-2018-12130 (mikroarchitektūros užpildo buferio duomenų atranka (MFBDS))

Patarime ADV220002 aptariami papildomi Memory-Mapped įvesties/išvesties (MMIO) susiję pažeidžiamumai:

  • CVE-2022-21123 | Bendrai naudojami buferio duomenys nuskaityti (SBDR)

  • CVE-2022-21125 | Bendrai naudojamų buferio duomenų atranka (SBDS)

  • CVE-2022-21127 | Specialiojo registro buferio duomenų rinkimo naujinimas (SRBDS naujinimas)

  • CVE-2022-21166 | Įrenginio registruoti dalinį rašymą (DRPW)

Šiame straipsnyje pateikiama išsami informacija apie "SpeculationControl PowerShell" scenarijų, kuris padeda nustatyti nurodytų CVES, kuriems reikia papildomų registro parametrų, ir, kai kuriais atvejais, programinės-aparatinės įrangos naujinimų rizikos mažinimo būseną.

Daugiau informacijos

SpeculationControl – "PowerShell" scenarijus

Įdiekite ir paleiskite "SpeculationControl" scenarijų naudodami vieną iš toliau nurodytų būdų.

1 būdas: "PowerShell" patvirtinimas naudojant "PowerShell" galeriją ("Windows Server 2016" arba WMF 5.0/5.1)

"PowerShell" modulio diegimas

PS> Install-Module SpeculationControl

Paleiskite "SpeculationControl" "PowerShell" modulį, kad patikrintumėte, ar įjungta apsauga

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2 būdas: "PowerShell" patvirtinimas naudojant atsisiuntimą iš "TechNet" (ankstesnės OS versijos / ankstesnės WMF versijos)

"PowerShell" modulio diegimas iš "TechNet ScriptCenter"

  1. Eikite į https://aka.ms/SpeculationControlPS.

  2. Atsisiųskite SpeculationControl.zip į vietinį aplanką.

  3. Išskleiskite turinį į vietinį aplanką, pvz., C:\ADV180002

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga

Paleiskite "PowerShell", tada (naudodami aukščiau pateiktą pavyzdį) nukopijuokite ir vykdykite šias komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

"PowerShell" scenarijaus išvestis

"PowerShell" scenarijaus "SpeculationControl" išvestis bus panaši į šią išvestį. Įgalintos apsaugos rodomos išvestyje kaip "Teisinga".

PS C:\> Get-SpeculationControlSettings

Spekuliavimo kontrolės parametrai CVE-2017-5715 [šaka target injection]

Yra šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas: klaidinga "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra: True "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra įgalintas: False "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas pagal sistemos strategiją: True "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas, nes nėra aparatūros palaikymo: Teisinga

Spėlionės valdymo parametrai CVE-2017-5754 [nesąžiningų duomenų talpyklos įkėlimas]

Aparatūrai gresia nesąžiningų duomenų talpyklos įkėlimas: teisinga "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui, yra: True "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui, įgalintas: "True" Aparatūrai reikalingas branduolio VA šešėlis: teisinga "Windows" operacinės sistemos palaikymas branduolio VA šešėliui yra: Klaidinga "Windows" operacinės sistemos palaikymas branduolio VA šešėliui įgalintas: klaidinga "Windows" OS palaikymas PCID optimizavimui įgalintas: klaidinga Spekuliavimo kontrolės parametrai CVE-2018-3639 [spėjamas parduotuvės apėjimas]

Aparatūra yra pažeidžiama dėl su spėjamu parduotuvės apėjimo: "True" Aparatūros palaikymas, skirtas spekuliaciniam saugyklos apėjimo mažinimui, yra: False Yra "Windows" OS palaikymas, skirtas su spėjamu parduotuvės apėjimo mažinimu: True "Windows" OS palaikymas, skirtas su spėjamu parduotuvės apėjimo mažinimu, įgalintas visoje sistemoje: False

Spėlionės valdymo parametrai CVE-2018-3620 [L1 terminalo gedimas]

Aparatūrai gali grėsti L1 terminalo triktis: teisinga Yra "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true Įjungtas "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true

Spekuliavimo kontrolės parametrai, skirti MDS [microarchitectural data sampling]

Yra "Windows" OS palaikymas, skirtas MDS mažinimui: teisinga Aparatūrai gali grėsti DDS: teisinga "Windows" OS palaikymas, skirtas MDS mažinimui, įgalintas: true

Spėlionės valdymo parametrai, skirti SBDR [bendrinamų buferių duomenų skaitymas] 

"Windows" OS palaikymas, skirtas SBDR mažinimui, yra: True Aparatūrai gali būti taikoma SBDR: teisinga "Windows" OS palaikymas, skirtas SBDR mažinimui, įgalintas: true 

Spėlionės valdymo parametrai, skirti FBSDP [užpildo buferio pasenusių duomenų platinimo priemonei] Yra "Windows" OS palaikymas FBSDP mažinimui: True Aparatūrai gali grėsti FBSDP: Teisinga "Windows" OS palaikymas FBSDP mažinimui įgalintas: true 

PSDP spekuliavimo valdymo parametrai [pirminis pasenusių duomenų platinimo įrankis]

Yra "Windows" OS palaikymas PSDP mažinimui: true Aparatūrai gali grėsti PSDP: teisinga "Windows" OS palaikymas, skirtas PSDP mažinimui, įgalintas: true

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: false BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: teisinga BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: true RdclHardwareProtected: False KVAShadowRequired: Teisinga KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: teisinga SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: teisinga SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: true L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: teisinga HvL1tfProcessorNotAffected: true MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: teisinga FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Spekuliacijos valdymo "PowerShell" scenarijaus išvesties paaiškinimas

Galutinis išvesties tinklelis susieja su ankstesnių eilučių išvestį. Taip atrodo, nes "PowerShell" spausdina objektą, kurį grąžina funkcija. Šioje lentelėje paaiškinta kiekviena "PowerShell" scenarijaus išvesties eilutė.

Išvesties

Paaiškinimas

Spekuliavimo kontrolės parametrai CVE-2017-5715 [šaka target injection]

Šiame skyriuje pateikiama 2 varianto, CVE-2017-5715, šakos tikslinio injekcijos sistemos būsena.

Yra šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas

Žemėlapiai į BTIHardwarePresent. Šioje eilutėje nurodoma, ar yra aparatūros funkcijų, kurios palaiko šakos tikslinio įjungimo rizikos mažinimą. Įrenginio OĮG yra atsakingas už atnaujintos BIOS / programinės-aparatinės įrangos, kurioje yra CPU gamintojų pateiktas mikrokodas, teikimą. Jei ši eilutė yra True( teisinga), būtinos aparatūros funkcijos yra. Jei eilutė yra False (klaidinga), būtinų aparatūros funkcijų nėra. Todėl šakos tikslinio įdėjimas mažinimas negali būti įjungtas.

Pastaba BTIHardwarePresent bus True svečio VM, jei OĮG naujinimas taikomas pagrindiniam kompiuteriui ir bus laikomasi nurodymų.

Yra "Windows" OS palaikymas, skirtas šakos tikslinio įdėjimas mažinimui

Žemėlapiai į BTIWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas šakos tikslinio įjungimo mažinimui. Jei tai teisinga, operacinė sistema palaiko šakos tikslinio įjungimo rizikos mažinimą (ir todėl įdiegė 2018 m. sausio mėn. naujinimą). Jei jis yra False, 2018 m. sausio naujinimas neįdiegtas įrenginyje ir šakos tikslinio įdėjimas mažinimas negali būti įjungtas.

Pastaba Jei svečio VM negali aptikti pagrindinio kompiuterio aparatūros naujinimo, BTIWindowsSupportEnabled visada bus False.

Įjungtas "Windows" OS palaikymas, skirtas šakos tikslinio įdėjimas mažinimui

Žemėlapiai į BTIWindowsSupportEnabled. Šioje eilutėje nurodoma, ar "Windows" operacinės sistemos palaikymas įgalintas šakos tikslinio įjungimo mažinimui. Jei tai tiesa, įrenginiui įgalintas šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas ir OS palaikymas, tokiu būdu apsaugant nuo CVE-2017-5715. Jei reikšmė yra False (klaidinga), viena iš šių sąlygų yra teisinga:

  • Aparatūros palaikymo nėra.

  • OS palaikymo nėra.

  • Rizikos mažinimą išjungė sistemos strategija.

Sistemos strategija išjungė "Windows" OS palaikymą, skirtą šakos tikslinio įdėjimas mažinimui

Susieja su BTIDisabledBySystemPolicy. Šioje eilutėje nurodoma, ar šakos tikslinio įdėjimas yra išjungtas pagal sistemos strategiją (pvz., administratoriaus nustatytą strategiją). Sistemos strategija registro valdiklius nurodo kaip dokumentuotus KB4072698. Jei tai teisinga, sistemos strategija yra atsakinga už rizikos mažinimo išjungimą. Jei tai yra False, rizikos mažinimas yra išjungtas dėl kitos priežasties.

"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas, nes nėra aparatūros palaikymo

Susieja su BTIDisabledByNoHardwareSupport. Šioje eilutėje nurodoma, ar šakos tikslinio įdėjimas yra išjungtas dėl aparatūros palaikymo nebuvimo. Jei tai teisinga, aparatūros palaikymo nebuvimas yra atsakingas už rizikos mažinimo išjungimą. Jei tai yra False, rizikos mažinimas yra išjungtas dėl kitos priežasties.

PastabaJei svečio VM negali aptikti pagrindinio kompiuterio aparatūros naujinimo, BTIDisabledByNoHardwareSupport visada bus True.

Spėlionės valdymo parametrai CVE-2017-5754 [nesąžiningų duomenų talpyklos įkėlimas]

Šiame skyriuje pateikiama 3 varianto, CVE-2017-5754, nesąžiningų duomenų talpyklos įkėlimo suvestinės sistemos būsena. Tai vadinama branduolio virtualaus adreso (VA) šešėliu arba nesąžiningų duomenų talpyklos apkrovos mažinimu.

Aparatūrai gresia nesąžiningų duomenų talpyklos įkėlimas

Žemėlapiai RdclHardwareProtected. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama CVE-2017-5754. Jei tai tiesa, manoma, kad aparatūra bus pažeidžiama CVE-2017-5754. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2017-5754.

Yra "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui

Žemėlapiai į KVAShadowWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra branduolio VA šešėlio funkcijos "Windows" operacinės sistemos palaikymas.

Įjungtas "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui

Žemėlapiai į KVAShadowWindowsSupportEnabled. Ši eilutė nurodo, ar įjungta branduolio VA šešėlio funkcija. Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2017-5754, yra "Windows" operacinės sistemos palaikymas ir ši funkcija įgalinta.

Aparatūrai reikalingas branduolio VA šešėliavimas

Žemėlapiai į KVAShadowRequired. Šioje eilutėje nurodoma, ar jūsų sistema reikalauja branduolio VA šešėliavimo siekiant sumažinti pažeidžiamumą.

Yra branduolio VA šešėlio "Windows" OS palaikymas

Žemėlapiai į KVAShadowWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra branduolio VA šešėlio funkcijos "Windows" operacinės sistemos palaikymas. Jei tai teisinga, įrenginyje įdiegiamas 2018 m. sausio mėn. naujinimas ir palaikomas branduolio VA šešėlis. Jei jis yra False, 2018 m. sausio mėn. naujinimas neįdiegtas ir nėra branduolio VA šešėlio palaikymo.

Įgalintas "Windows" OS palaikymas branduolio VA šešėliui

Žemėlapiai į KVAShadowWindowsSupportEnabled. Ši eilutė nurodo, ar įjungta branduolio VA šešėlio funkcija. Jei nustatyta True (teisinga), yra "Windows" operacinės sistemos palaikymas ir ši funkcija yra įgalinta. Branduolio VA šešėlio funkcija šiuo metu yra įjungta pagal numatytuosius parametrus kliento "Windows" versijose ir yra išjungta pagal numatytuosius parametrus "Windows Server" versijose. Jei nustatyta False (klaidinga), nėra "Windows" operacinės sistemos palaikymo arba funkcija neįgalinta.

Įgalintas "Windows" OS palaikymas PCID efektyvumo optimizavimui

PastabaPCID saugos sumetimais nebūtinas. Jis tik nurodo, ar įgalintas efektyvumo patobulinimas. PCID nepalaikomas su "Windows Server 2008 R2"

Susieja su KVAShadowPcidEnabled. Šioje eilutėje nurodoma, ar įgalintas papildomas branduolio VA šešėlio efektyvumo optimizavimas. Jei tai teisinga, branduolio VA šešėlis yra įjungtas, yra PCID aparatūros palaikymas ir įjungtas BRANDUOLIO VA šešėlio PCID optimizavimas. Jei nustatyta False (klaidinga), aparatūra arba OS gali nepalaikyti PCID. PcID optimizavimas nėra įgalintas saugumo silpnybė.

Yra "Windows" OS palaikymas, skirtas "Speculative Store Bypass Disable"

Žemėlapiai į SSBDWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas "Speculative Store Bypass Disable". Jei tai teisinga, įrenginyje įdiegiamas 2018 m. sausio mėn. naujinimas ir palaikomas branduolio VA šešėlis. Jei jis yra False, 2018 m. sausio mėn. naujinimas neįdiegtas ir nėra branduolio VA šešėlio palaikymo.

Aparatūra reikalauja spekuliacinio parduotuvės apėjimo išjungimo

Žemėlapiai į SSBDHardwareVulnerablePresent. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama CVE-2018-3639. Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2018-3639. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2018-3639.

Yra "Speculative Store Bypass Disable" aparatūros palaikymas

Susieja su SSBDHardwarePresent. Šioje eilutėje nurodoma, ar yra aparatūros funkcijų, kurios palaiko "Speculative Store Bypass Disable". Įrenginio OĮG yra atsakingas už atnaujintos BIOS / programinės-aparatinės įrangos, kurioje yra "Intel" pateiktas mikrokodas, teikimą. Jei ši eilutė yra True( teisinga), būtinos aparatūros funkcijos yra. Jei eilutė yra False (klaidinga), būtinų aparatūros funkcijų nėra. Todėl negalima įjungti "Speculative Store Bypass Disable".

Pastaba SSBDHardwarePresent bus True svečio VM, jei OĮG naujinimas taikomas pagrindiniam kompiuteriui.

Įjungtas "Windows" OS palaikymas, skirtas "Speculative Store Bypass Disable"

Susieja su SSBDWindowsSupportEnabledSystemWide. Šioje eilutėje nurodoma, ar "Windows" operacinėje sistemoje įjungtas "Speculative Store Bypass Disable". Jei tai tiesa, įrenginio aparatūros palaikymas ir OS palaikymas, skirtas "Speculative Store Bypass Disable", yra įjungtas, kad nebūtų apeinamas "Speculative Store Bypass", todėl visiškai pašalinama saugos rizika. Jei reikšmė yra False (klaidinga), viena iš šių sąlygų yra teisinga:

Spėlionės valdymo parametrai CVE-2018-3620 [L1 terminalo gedimas]

Šiame skyriuje pateikiama cve-2018-3620 nurodytos L1TF (operacinės sistemos) suvestinės sistemos būsena. Šis mažinimas užtikrina, kad saugios puslapio rėmelio bitai yra naudojami nepateiktiems arba neleistiniems puslapių lentelės įrašams.

Pastaba Šiame skyriuje nepateikiama rizikos mažinimo būsenos santrauka L1TF (VMM), nurodyta CVE-2018-3646.

Aparatūrai gali grėsti L1 terminalo triktis: teisinga

Žemėlapiai į L1TFHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama L1 terminalo gedimo (L1TF, CVE-2018-3620). Jei tai tiesa, manoma, kad aparatūra bus pažeidžiama CVE-2018-3620. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2018-3620.

Yra "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true

Susieja su L1TFWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas L1 terminalo gedimo (L1TF) operacinės sistemos mažinimui. Jei tai teisinga, įrenginyje įdiegiamas 2018 m. rugpjūčio mėn. naujinimas ir yra CVE-2018-3620 mažinimas. Jei tai yra False, 2018 m. rugpjūčio naujinimas neįdiegtas ir cve-2018-3620 rizikos mažinimo nėra.

Įjungtas "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true

Žemėlapiai Į L1TFWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos rizikos mažinimas dėl L1 terminalo klaidos (L1TF, CVE-2018-3620). Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2018-3620, yra rizikos mažinimo "Windows" operacinės sistemos palaikymas ir įgalintas rizikos mažinimas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas.

Spekuliavimo valdymo parametrai, skirti MDS [Mikroarchitektūros duomenų atranka]

Šiame skyriuje pateikiama MDS spragų rinkinio, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ir ADV220002 sistemos būsena.

Yra "Windows" OS palaikymas, skirtas MDS mažinimui

Žemėlapiai Į MDSWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos "Microarchitectural Data Sampling" (MDS) operacinės sistemos rizikos mažinimo palaikymas. Jei tai teisinga, įrenginyje įdiegiamas 2019 m. gegužės mėn. naujinimas ir yra MDS mažinimas. Jei tai yra False, 2019 m. gegužės mėn. naujinimas neįdiegtas ir nėra MDS mažinimo.

Aparatūrai gali grėsti DDS

Žemėlapiai į MDSHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūrai gali būti taikomas mikroarchitektūros duomenų rinkimo (MDS) pažeidžiamumų rinkinys (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama.

Įgalintas "Windows" OS palaikymas, skirtas MDS mažinimui

Žemėlapiai Į MDSWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas mikroarchitektūros duomenų atrankai (MDS). Jei tai teisinga, manoma, kad aparatūrai turi įtakos DDS pažeidžiamumas, yra "Windows" operacinės sistemos palaikymas mažinimui ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas.

Yra "Windows" OS palaikymas, skirtas SBDR mažinimui

Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas SBDR operacinės sistemos mažinimui. Jei tai teisinga, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra SBDR mažinimas. Jei jis yra False, 2022 m. birželio naujinimas neįdiegtas ir SBDR rizikos mažinimo nėra.

Aparatūra yra pažeidžiama SBDR

Žemėlapiai į SBDRSSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama SBDR [bendrinamų buferių duomenų skaitymo] pažeidžiamumų rinkinio (CVE-2022-21123). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama.

Įgalintas "Windows" OS palaikymas, skirtas SBDR mažinimui

Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas SBDR [bendrinamų buferių duomenų skaitymas]. Jei tai teisinga, manoma, kad aparatūrai turi įtakos SBDR pažeidžiamumas, yra rizikos mažinimo "Windows" operacinės pagalbos ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas.

Yra "Windows" OS palaikymas FBSDP mažinimui

Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos FBSDP operacinės sistemos rizikos mažinimo palaikymas. Jei tai true, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra FBSDP mažinimas. Jei tai yra False, 2022 m. birželio naujinimas neįdiegtas ir FBSDP rizikos mažinimo nėra.

Aparatūra yra pažeidžiama FBSDP

Žemėlapiai į FBSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama FBSDP [užpildo buferio pasenusių duomenų platinimo priemonės] pažeidžiamumų rinkinio (CVE-2022-21125, CVE-2022-21127 ir CVE-2022-21166). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama.

Įgalintas "Windows" OS palaikymas FBSDP mažinimui

Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas FBSDP [užpildo buferio pasenusių duomenų platinimo priemonei]. Jei tai true, aparatūros yra manoma, kad turi įtakos FBSDP pažeidžiamumas, "Windows" operacinės pagalbos mažinimas yra ir rizikos mažinimas yra įjungtas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas.

Yra "Windows" OS palaikymas PSDP mažinimui

Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra PSDP operacinės sistemos rizikos mažinimo "Windows" operacinės sistemos palaikymas. Jei tai true, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra PSDP mažinimas. Jei jis yra False, 2022 m. birželio naujinimas neįdiegtas ir rizikos mažinimo PSDP nėra.

Aparatūrai gali grėsti PSDP

Žemėlapiai į PSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama PSDP [pirminis pasenusių duomenų platinimo priemonės] pažeidžiamumų rinkinys. Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama.

Įgalintas "Windows" OS palaikymas PSDP mažinimui

Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas PSDP [pirminis pasenusių duomenų platinimo įrankis]. Jei tai teisinga, manoma, kad aparatūrai turi įtakos PSDP pažeidžiamumas, yra rizikos mažinimo "Windows" operacinės pagalbos ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas.

Išvestis, kurioje įgalinti visi mažinimai

Toliau pateikta išvestis numatoma įrenginyje, kuriame įgalinti visi mažinimai, kartu su tuo, kas būtina kiekvienai sąlygai patenkinti.

BTIHardwarePresent: teisinga – > pritaikytas OĮG BIOS / programinės-aparatinės įrangos naujinimas BTIWindowsSupportPresent: įdiegtas 2018 m. sausio > naujinimas BTIWindowsSupportEnabled: True - > kliente, nereikia imtis jokių veiksmų. Serveryje vykdykite nurodymus.BTIDisabledBySystemPolicy: False – > užtikrinti, kad strategija neišjungė.BTIDisabledByNoHardwareSupport: False – > įsitikinkite, kad taikomas OĮG BIOS/programinės-aparatinės įrangos naujinimas.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True arba False – > jokio veiksmo, tai yra procesoriaus, kurį naudoja kompiuteris, funkcija Jei KVAShadowRequired yra Teisinga KVAShadowWindowsSupportPresent: True – > įdiegti 2018 m. sausio mėn. naujinimą KVAShadowWindowsSupportEnabled: True - > kliente, nereikia imtis jokių veiksmų. Serveryje vykdykite nurodymus.KVAShadowPcidEnabled: True arba False – > jokio veiksmo, tai yra procesoriaus, kurį naudoja kompiuteris, funkcija

Jei SSBDHardwareVulnerablePresent yra teisinga SSBDWindowsSupportPresent: True - > įdiegti "Windows" naujinimus, kaip dokumentuotus ADV180012 SSBDHardwarePresent: True -> įdiegti BIOS / programinės-aparatinės įrangos naujinimą su SSBD palaikymu iš įrenginio OĮG SSBDWindowsSupportEnabledSystemWide: True -> atlikite rekomenduojamus veiksmus , kad įjungtumėte SSBD

Jei L1TFHardwareVulnerable yra teisinga L1TFWindowsSupportPresent: True -> įdiegti "Windows" naujinimus, dokumentuotus ADV180018 L1TFWindowsSupportEnabled: True -> atlikite veiksmus, nurodytus ADV180018 , skirtame "Windows Server" arba klientui, kad įgalintumėte rizikos mažinimą L1TFInvalidPteBit: 0 L1DFlushSupported: Teisinga MDSWindowsSupportPresent: True -> įdiegti 2022 m. birželio mėn. naujinimą MDSHardwareVulnerable: False – > aparatūra yra žinoma, kad nėra pažeidžiama MDSWindowsSupportEnabled: įgalintas "True-> mitigation for Microarchitectural Data Sampling" (MDS) FBClearWindowsSupportPresent: True -> įdiegti 2022 m. birželio mėn. naujinimą SBDRSSDPHardwareVulnerable: Manoma, > aparatūrai turi įtakos šie pažeidžiamumai FBSDPHardwareVulnerable: Manoma, > aparatūrai turi įtakos šie pažeidžiamumai PSDPHardwareVulnerable: manoma, > aparatūrai turi įtakos šie pažeidžiamumai FBClearWindowsSupportEnabled: True -> – nurodo rizikos mažinimo įgalinimą, skirtą SBDR/FBSDP/PSDP. Įsitikinkite, kad atnaujinta OĮG BIOS / programinė-aparatinė įranga, FBClearWindowsSupportPresent yra True, rizikos mažinimai įgalinti, kaip nurodyta ADV220002 ir KVAShadowWindowsSupportEnabled yra True.

Registro

Šioje lentelėje pateikiama išvestis susiejama su registro raktais, kurie yra įtraukti į KB4072698: "Windows Server" ir "Azure Stack HCI" rekomendacijos, skirtos apsisaugoti nuo mikroarchitektūros ir spėjamo vykdymo šalutinių kanalų spragų.

Registro raktas

Kartografavimo

FeatureSettingsOverride – 0 bitas

Žemėlapiai į – "Branch Target Injection" – "BTIWindowsSupportEnabled"

FeatureSettingsOverride – 1 bitas

Žemėlapiai į – "Rogue" duomenų talpyklos įkėlimas – VAShadowWindowsSupportEnabled

Nuorodos

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.