Keisti datą |
Keitimo aprašas |
---|---|
2023 m. liepos 17 d. |
Pridėtas MMIO ir konkrečius aprašus išvesties reikšmių skyriuje "Išvestis, kurioje įgalintas visi mažinimai" |
Suvestinė
Kad būtų lengviau patikrinti su spėjamu vykdymu susijusių šalutinių kanalų mažinimų būseną, paskelbėme "PowerShell" scenarijų (SpeculationControl), kuris gali veikti jūsų įrenginiuose. Šiame straipsnyje aiškinama, kaip vykdyti "SpeculationControl" scenarijų ir ką reiškia išvestis.
Saugos patarimai ADV180002, ADV180012, ADV180018 ir ADV190013 apima šiuos devynis pažeidžiamumus:
-
CVE-2017-5715 (šakos tikslinis įdėjimas)
-
CVE-2017-5753 (ribos patikros apėjimo)
Pastaba Cve-2017-5753 (ribos patikra) apsaugai nereikia papildomų registro parametrų arba programinės-aparatinės įrangos naujinimų.
-
CVE-2017-5754 (nesąžiningų duomenų talpyklos įkėlimas)
-
CVE-2018-3639 (spėjamo parduotuvės apėjimo)
-
CVE-2018-3620 (L1 terminalo klaida – OS)
-
CVE-2018-11091 (mikroarchitektūros duomenų pavyzdžių neplanuojama atmintis (MDSUM))
-
CVE-2018-12126 (mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS))
-
CVE-2018-12127 (mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS))
-
CVE-2018-12130 (mikroarchitektūros užpildo buferio duomenų atranka (MFBDS))
Patarime ADV220002 aptariami papildomi Memory-Mapped įvesties/išvesties (MMIO) susiję pažeidžiamumai:
-
CVE-2022-21123 | Bendrai naudojami buferio duomenys nuskaityti (SBDR)
-
CVE-2022-21125 | Bendrai naudojamų buferio duomenų atranka (SBDS)
-
CVE-2022-21127 | Specialiojo registro buferio duomenų rinkimo naujinimas (SRBDS naujinimas)
-
CVE-2022-21166 | Įrenginio registruoti dalinį rašymą (DRPW)
Šiame straipsnyje pateikiama išsami informacija apie "SpeculationControl PowerShell" scenarijų, kuris padeda nustatyti nurodytų CVES, kuriems reikia papildomų registro parametrų, ir, kai kuriais atvejais, programinės-aparatinės įrangos naujinimų rizikos mažinimo būseną.
Daugiau informacijos
SpeculationControl – "PowerShell" scenarijus
Įdiekite ir paleiskite "SpeculationControl" scenarijų naudodami vieną iš toliau nurodytų būdų.
1 būdas: "PowerShell" patvirtinimas naudojant "PowerShell" galeriją ("Windows Server 2016" arba WMF 5.0/5.1) |
"PowerShell" modulio diegimas PS> Install-Module SpeculationControl Paleiskite "SpeculationControl" "PowerShell" modulį, kad patikrintumėte, ar įjungta apsauga PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
2 būdas: "PowerShell" patvirtinimas naudojant atsisiuntimą iš "TechNet" (ankstesnės OS versijos / ankstesnės WMF versijos) |
"PowerShell" modulio diegimas iš "TechNet ScriptCenter"
Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga Paleiskite "PowerShell", tada (naudodami aukščiau pateiktą pavyzdį) nukopijuokite ir vykdykite šias komandas: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
"PowerShell" scenarijaus išvestis
"PowerShell" scenarijaus "SpeculationControl" išvestis bus panaši į šią išvestį. Įgalintos apsaugos rodomos išvestyje kaip "Teisinga".
PS C:\> Get-SpeculationControlSettings
Spekuliavimo kontrolės parametrai CVE-2017-5715 [šaka target injection]
Yra šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas: klaidinga
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra: True "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra įgalintas: False "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas pagal sistemos strategiją: True "Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas, nes nėra aparatūros palaikymo: TeisingaSpėlionės valdymo parametrai CVE-2017-5754 [nesąžiningų duomenų talpyklos įkėlimas]
Aparatūrai gresia nesąžiningų duomenų talpyklos įkėlimas: teisinga
"Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui, yra: True "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui, įgalintas: "True" Aparatūrai reikalingas branduolio VA šešėlis: teisinga "Windows" operacinės sistemos palaikymas branduolio VA šešėliui yra: Klaidinga "Windows" operacinės sistemos palaikymas branduolio VA šešėliui įgalintas: klaidinga "Windows" OS palaikymas PCID optimizavimui įgalintas: klaidinga Spekuliavimo kontrolės parametrai CVE-2018-3639 [spėjamas parduotuvės apėjimas]Aparatūra yra pažeidžiama dėl su spėjamu parduotuvės apėjimo: "True"
Aparatūros palaikymas, skirtas spekuliaciniam saugyklos apėjimo mažinimui, yra: False Yra "Windows" OS palaikymas, skirtas su spėjamu parduotuvės apėjimo mažinimu: True "Windows" OS palaikymas, skirtas su spėjamu parduotuvės apėjimo mažinimu, įgalintas visoje sistemoje: FalseSpėlionės valdymo parametrai CVE-2018-3620 [L1 terminalo gedimas]
Aparatūrai gali grėsti L1 terminalo triktis: teisinga
Yra "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true Įjungtas "Windows" OS palaikymas L1 terminalo gedimų mažinimui: trueSpekuliavimo kontrolės parametrai, skirti MDS [microarchitectural data sampling]
Yra "Windows" OS palaikymas, skirtas MDS mažinimui: teisinga
Aparatūrai gali grėsti DDS: teisinga "Windows" OS palaikymas, skirtas MDS mažinimui, įgalintas: trueSpėlionės valdymo parametrai, skirti SBDR [bendrinamų buferių duomenų skaitymas]
"Windows" OS palaikymas, skirtas SBDR mažinimui, yra: True
Aparatūrai gali būti taikoma SBDR: teisinga "Windows" OS palaikymas, skirtas SBDR mažinimui, įgalintas: trueSpėlionės valdymo parametrai, skirti FBSDP [užpildo buferio pasenusių duomenų platinimo priemonei]
Yra "Windows" OS palaikymas FBSDP mažinimui: True Aparatūrai gali grėsti FBSDP: Teisinga "Windows" OS palaikymas FBSDP mažinimui įgalintas: truePSDP spekuliavimo valdymo parametrai [pirminis pasenusių duomenų platinimo įrankis]
Yra "Windows" OS palaikymas PSDP mažinimui: true
Aparatūrai gali grėsti PSDP: teisinga "Windows" OS palaikymas, skirtas PSDP mažinimui, įgalintas: trueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: false BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: teisinga BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: true RdclHardwareProtected: False KVAShadowRequired: Teisinga KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: teisinga SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: teisinga SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: true L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: teisinga HvL1tfProcessorNotAffected: true MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: teisinga FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueSpekuliacijos valdymo "PowerShell" scenarijaus išvesties paaiškinimas
Galutinis išvesties tinklelis susieja su ankstesnių eilučių išvestį. Taip atrodo, nes "PowerShell" spausdina objektą, kurį grąžina funkcija. Šioje lentelėje paaiškinta kiekviena "PowerShell" scenarijaus išvesties eilutė.
Išvesties |
Paaiškinimas |
Spekuliavimo kontrolės parametrai CVE-2017-5715 [šaka target injection] |
Šiame skyriuje pateikiama 2 varianto, CVE-2017-5715, šakos tikslinio injekcijos sistemos būsena. |
Yra šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas |
Žemėlapiai į BTIHardwarePresent. Šioje eilutėje nurodoma, ar yra aparatūros funkcijų, kurios palaiko šakos tikslinio įjungimo rizikos mažinimą. Įrenginio OĮG yra atsakingas už atnaujintos BIOS / programinės-aparatinės įrangos, kurioje yra CPU gamintojų pateiktas mikrokodas, teikimą. Jei ši eilutė yra True( teisinga), būtinos aparatūros funkcijos yra. Jei eilutė yra False (klaidinga), būtinų aparatūros funkcijų nėra. Todėl šakos tikslinio įdėjimas mažinimas negali būti įjungtas. Pastaba BTIHardwarePresent bus True svečio VM, jei OĮG naujinimas taikomas pagrindiniam kompiuteriui ir bus laikomasi nurodymų. |
Yra "Windows" OS palaikymas, skirtas šakos tikslinio įdėjimas mažinimui |
Žemėlapiai į BTIWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas šakos tikslinio įjungimo mažinimui. Jei tai teisinga, operacinė sistema palaiko šakos tikslinio įjungimo rizikos mažinimą (ir todėl įdiegė 2018 m. sausio mėn. naujinimą). Jei jis yra False, 2018 m. sausio naujinimas neįdiegtas įrenginyje ir šakos tikslinio įdėjimas mažinimas negali būti įjungtas. Pastaba Jei svečio VM negali aptikti pagrindinio kompiuterio aparatūros naujinimo, BTIWindowsSupportEnabled visada bus False. |
Įjungtas "Windows" OS palaikymas, skirtas šakos tikslinio įdėjimas mažinimui |
Žemėlapiai į BTIWindowsSupportEnabled. Šioje eilutėje nurodoma, ar "Windows" operacinės sistemos palaikymas įgalintas šakos tikslinio įjungimo mažinimui. Jei tai tiesa, įrenginiui įgalintas šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas ir OS palaikymas, tokiu būdu apsaugant nuo CVE-2017-5715. Jei reikšmė yra False (klaidinga), viena iš šių sąlygų yra teisinga:
|
Sistemos strategija išjungė "Windows" OS palaikymą, skirtą šakos tikslinio įdėjimas mažinimui |
Susieja su BTIDisabledBySystemPolicy. Šioje eilutėje nurodoma, ar šakos tikslinio įdėjimas yra išjungtas pagal sistemos strategiją (pvz., administratoriaus nustatytą strategiją). Sistemos strategija registro valdiklius nurodo kaip dokumentuotus KB4072698. Jei tai teisinga, sistemos strategija yra atsakinga už rizikos mažinimo išjungimą. Jei tai yra False, rizikos mažinimas yra išjungtas dėl kitos priežasties. |
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas, nes nėra aparatūros palaikymo |
Susieja su BTIDisabledByNoHardwareSupport. Šioje eilutėje nurodoma, ar šakos tikslinio įdėjimas yra išjungtas dėl aparatūros palaikymo nebuvimo. Jei tai teisinga, aparatūros palaikymo nebuvimas yra atsakingas už rizikos mažinimo išjungimą. Jei tai yra False, rizikos mažinimas yra išjungtas dėl kitos priežasties. PastabaJei svečio VM negali aptikti pagrindinio kompiuterio aparatūros naujinimo, BTIDisabledByNoHardwareSupport visada bus True. |
Spėlionės valdymo parametrai CVE-2017-5754 [nesąžiningų duomenų talpyklos įkėlimas] |
Šiame skyriuje pateikiama 3 varianto, CVE-2017-5754, nesąžiningų duomenų talpyklos įkėlimo suvestinės sistemos būsena. Tai vadinama branduolio virtualaus adreso (VA) šešėliu arba nesąžiningų duomenų talpyklos apkrovos mažinimu. |
Aparatūrai gresia nesąžiningų duomenų talpyklos įkėlimas |
Žemėlapiai RdclHardwareProtected. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama CVE-2017-5754. Jei tai tiesa, manoma, kad aparatūra bus pažeidžiama CVE-2017-5754. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2017-5754. |
Yra "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui |
Žemėlapiai į KVAShadowWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra branduolio VA šešėlio funkcijos "Windows" operacinės sistemos palaikymas. |
Įjungtas "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui |
Žemėlapiai į KVAShadowWindowsSupportEnabled. Ši eilutė nurodo, ar įjungta branduolio VA šešėlio funkcija. Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2017-5754, yra "Windows" operacinės sistemos palaikymas ir ši funkcija įgalinta. |
Aparatūrai reikalingas branduolio VA šešėliavimas |
Žemėlapiai į KVAShadowRequired. Šioje eilutėje nurodoma, ar jūsų sistema reikalauja branduolio VA šešėliavimo siekiant sumažinti pažeidžiamumą. |
Yra branduolio VA šešėlio "Windows" OS palaikymas |
Žemėlapiai į KVAShadowWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra branduolio VA šešėlio funkcijos "Windows" operacinės sistemos palaikymas. Jei tai teisinga, įrenginyje įdiegiamas 2018 m. sausio mėn. naujinimas ir palaikomas branduolio VA šešėlis. Jei jis yra False, 2018 m. sausio mėn. naujinimas neįdiegtas ir nėra branduolio VA šešėlio palaikymo. |
Įgalintas "Windows" OS palaikymas branduolio VA šešėliui |
Žemėlapiai į KVAShadowWindowsSupportEnabled. Ši eilutė nurodo, ar įjungta branduolio VA šešėlio funkcija. Jei nustatyta True (teisinga), yra "Windows" operacinės sistemos palaikymas ir ši funkcija yra įgalinta. Branduolio VA šešėlio funkcija šiuo metu yra įjungta pagal numatytuosius parametrus kliento "Windows" versijose ir yra išjungta pagal numatytuosius parametrus "Windows Server" versijose. Jei nustatyta False (klaidinga), nėra "Windows" operacinės sistemos palaikymo arba funkcija neįgalinta. |
Įgalintas "Windows" OS palaikymas PCID efektyvumo optimizavimui PastabaPCID saugos sumetimais nebūtinas. Jis tik nurodo, ar įgalintas efektyvumo patobulinimas. PCID nepalaikomas su "Windows Server 2008 R2" |
Susieja su KVAShadowPcidEnabled. Šioje eilutėje nurodoma, ar įgalintas papildomas branduolio VA šešėlio efektyvumo optimizavimas. Jei tai teisinga, branduolio VA šešėlis yra įjungtas, yra PCID aparatūros palaikymas ir įjungtas BRANDUOLIO VA šešėlio PCID optimizavimas. Jei nustatyta False (klaidinga), aparatūra arba OS gali nepalaikyti PCID. PcID optimizavimas nėra įgalintas saugumo silpnybė. |
Yra "Windows" OS palaikymas, skirtas "Speculative Store Bypass Disable" |
Žemėlapiai į SSBDWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas "Speculative Store Bypass Disable". Jei tai teisinga, įrenginyje įdiegiamas 2018 m. sausio mėn. naujinimas ir palaikomas branduolio VA šešėlis. Jei jis yra False, 2018 m. sausio mėn. naujinimas neįdiegtas ir nėra branduolio VA šešėlio palaikymo. |
Aparatūra reikalauja spekuliacinio parduotuvės apėjimo išjungimo |
Žemėlapiai į SSBDHardwareVulnerablePresent. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama CVE-2018-3639. Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2018-3639. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2018-3639. |
Yra "Speculative Store Bypass Disable" aparatūros palaikymas |
Susieja su SSBDHardwarePresent. Šioje eilutėje nurodoma, ar yra aparatūros funkcijų, kurios palaiko "Speculative Store Bypass Disable". Įrenginio OĮG yra atsakingas už atnaujintos BIOS / programinės-aparatinės įrangos, kurioje yra "Intel" pateiktas mikrokodas, teikimą. Jei ši eilutė yra True( teisinga), būtinos aparatūros funkcijos yra. Jei eilutė yra False (klaidinga), būtinų aparatūros funkcijų nėra. Todėl negalima įjungti "Speculative Store Bypass Disable". Pastaba SSBDHardwarePresent bus True svečio VM, jei OĮG naujinimas taikomas pagrindiniam kompiuteriui. |
Įjungtas "Windows" OS palaikymas, skirtas "Speculative Store Bypass Disable" |
Susieja su SSBDWindowsSupportEnabledSystemWide. Šioje eilutėje nurodoma, ar "Windows" operacinėje sistemoje įjungtas "Speculative Store Bypass Disable". Jei tai tiesa, įrenginio aparatūros palaikymas ir OS palaikymas, skirtas "Speculative Store Bypass Disable", yra įjungtas, kad nebūtų apeinamas "Speculative Store Bypass", todėl visiškai pašalinama saugos rizika. Jei reikšmė yra False (klaidinga), viena iš šių sąlygų yra teisinga:
|
Spėlionės valdymo parametrai CVE-2018-3620 [L1 terminalo gedimas] |
Šiame skyriuje pateikiama cve-2018-3620 nurodytos L1TF (operacinės sistemos) suvestinės sistemos būsena. Šis mažinimas užtikrina, kad saugios puslapio rėmelio bitai yra naudojami nepateiktiems arba neleistiniems puslapių lentelės įrašams. Pastaba Šiame skyriuje nepateikiama rizikos mažinimo būsenos santrauka L1TF (VMM), nurodyta CVE-2018-3646. |
Aparatūrai gali grėsti L1 terminalo triktis: teisinga |
Žemėlapiai į L1TFHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama L1 terminalo gedimo (L1TF, CVE-2018-3620). Jei tai tiesa, manoma, kad aparatūra bus pažeidžiama CVE-2018-3620. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2018-3620. |
Yra "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true |
Susieja su L1TFWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas L1 terminalo gedimo (L1TF) operacinės sistemos mažinimui. Jei tai teisinga, įrenginyje įdiegiamas 2018 m. rugpjūčio mėn. naujinimas ir yra CVE-2018-3620 mažinimas. Jei tai yra False, 2018 m. rugpjūčio naujinimas neįdiegtas ir cve-2018-3620 rizikos mažinimo nėra. |
Įjungtas "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true |
Žemėlapiai Į L1TFWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos rizikos mažinimas dėl L1 terminalo klaidos (L1TF, CVE-2018-3620). Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2018-3620, yra rizikos mažinimo "Windows" operacinės sistemos palaikymas ir įgalintas rizikos mažinimas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Spekuliavimo valdymo parametrai, skirti MDS [Mikroarchitektūros duomenų atranka] |
Šiame skyriuje pateikiama MDS spragų rinkinio, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ir ADV220002 sistemos būsena. |
Yra "Windows" OS palaikymas, skirtas MDS mažinimui |
Žemėlapiai Į MDSWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos "Microarchitectural Data Sampling" (MDS) operacinės sistemos rizikos mažinimo palaikymas. Jei tai teisinga, įrenginyje įdiegiamas 2019 m. gegužės mėn. naujinimas ir yra MDS mažinimas. Jei tai yra False, 2019 m. gegužės mėn. naujinimas neįdiegtas ir nėra MDS mažinimo. |
Aparatūrai gali grėsti DDS |
Žemėlapiai į MDSHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūrai gali būti taikomas mikroarchitektūros duomenų rinkimo (MDS) pažeidžiamumų rinkinys (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas, skirtas MDS mažinimui |
Žemėlapiai Į MDSWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas mikroarchitektūros duomenų atrankai (MDS). Jei tai teisinga, manoma, kad aparatūrai turi įtakos DDS pažeidžiamumas, yra "Windows" operacinės sistemos palaikymas mažinimui ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Yra "Windows" OS palaikymas, skirtas SBDR mažinimui |
Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas SBDR operacinės sistemos mažinimui. Jei tai teisinga, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra SBDR mažinimas. Jei jis yra False, 2022 m. birželio naujinimas neįdiegtas ir SBDR rizikos mažinimo nėra. |
Aparatūra yra pažeidžiama SBDR |
Žemėlapiai į SBDRSSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama SBDR [bendrinamų buferių duomenų skaitymo] pažeidžiamumų rinkinio (CVE-2022-21123). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas, skirtas SBDR mažinimui |
Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas SBDR [bendrinamų buferių duomenų skaitymas]. Jei tai teisinga, manoma, kad aparatūrai turi įtakos SBDR pažeidžiamumas, yra rizikos mažinimo "Windows" operacinės pagalbos ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Yra "Windows" OS palaikymas FBSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos FBSDP operacinės sistemos rizikos mažinimo palaikymas. Jei tai true, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra FBSDP mažinimas. Jei tai yra False, 2022 m. birželio naujinimas neįdiegtas ir FBSDP rizikos mažinimo nėra. |
Aparatūra yra pažeidžiama FBSDP |
Žemėlapiai į FBSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama FBSDP [užpildo buferio pasenusių duomenų platinimo priemonės] pažeidžiamumų rinkinio (CVE-2022-21125, CVE-2022-21127 ir CVE-2022-21166). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas FBSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas FBSDP [užpildo buferio pasenusių duomenų platinimo priemonei]. Jei tai true, aparatūros yra manoma, kad turi įtakos FBSDP pažeidžiamumas, "Windows" operacinės pagalbos mažinimas yra ir rizikos mažinimas yra įjungtas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Yra "Windows" OS palaikymas PSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra PSDP operacinės sistemos rizikos mažinimo "Windows" operacinės sistemos palaikymas. Jei tai true, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra PSDP mažinimas. Jei jis yra False, 2022 m. birželio naujinimas neįdiegtas ir rizikos mažinimo PSDP nėra. |
Aparatūrai gali grėsti PSDP |
Žemėlapiai į PSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama PSDP [pirminis pasenusių duomenų platinimo priemonės] pažeidžiamumų rinkinys. Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas PSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas PSDP [pirminis pasenusių duomenų platinimo įrankis]. Jei tai teisinga, manoma, kad aparatūrai turi įtakos PSDP pažeidžiamumas, yra rizikos mažinimo "Windows" operacinės pagalbos ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Išvestis, kurioje įgalinti visi mažinimai
Toliau pateikta išvestis numatoma įrenginyje, kuriame įgalinti visi mažinimai, kartu su tuo, kas būtina kiekvienai sąlygai patenkinti.
BTIHardwarePresent: teisinga – > pritaikytasnurodymus. BTIDisabledBySystemPolicy: False – > užtikrinti, kad strategija neišjungė. BTIDisabledByNoHardwareSupport: False – > įsitikinkite, kad taikomas OĮG BIOS/programinės-aparatinės įrangos naujinimas. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True arba False – > jokio veiksmo, tai yra procesoriaus, kurį naudoja kompiuteris, funkcija Jei KVAShadowRequired yra Teisinga KVAShadowWindowsSupportPresent: True – > įdiegti 2018 m. sausio mėn. naujinimą KVAShadowWindowsSupportEnabled: True - > kliente, nereikia imtis jokių veiksmų. Serveryje vykdykite nurodymus. KVAShadowPcidEnabled: True arba False – > jokio veiksmo, tai yra procesoriaus, kurį naudoja kompiuteris, funkcija
OĮG BIOS / programinės-aparatinės įrangos naujinimas BTIWindowsSupportPresent: įdiegtas 2018 m. sausio > naujinimas BTIWindowsSupportEnabled: True - > kliente, nereikia imtis jokių veiksmų. Serveryje vykdykiteJei SSBDHardwareVulnerablePresent yra teisingaADV180012 SSBDHardwarePresent: True -> įdiegti BIOS / programinės-aparatinės įrangos naujinimą su SSBD palaikymu iš įrenginio OĮG SSBDWindowsSupportEnabledSystemWide: True -> atlikite rekomenduojamus veiksmus , kad įjungtumėte SSBD
SSBDWindowsSupportPresent: True - > įdiegti "Windows" naujinimus, kaip dokumentuotusJei L1TFHardwareVulnerable yra teisingaADV180018 L1TFWindowsSupportEnabled: True -> atlikite veiksmus, nurodytus ADV180018 , skirtame "Windows Server" arba klientui, kad įgalintumėte rizikos mažinimą L1TFInvalidPteBit: 0 L1DFlushSupported: Teisinga MDSWindowsSupportPresent: True -> įdiegti 2022 m. birželio mėn. naujinimą MDSHardwareVulnerable: False – > aparatūra yra žinoma, kad nėra pažeidžiama MDSWindowsSupportEnabled: įgalintas "True-> mitigation for Microarchitectural Data Sampling" (MDS) FBClearWindowsSupportPresent: True -> įdiegti 2022 m. birželio mėn. naujinimą SBDRSSDPHardwareVulnerable: Manoma, > aparatūrai turi įtakos šie pažeidžiamumai FBSDPHardwareVulnerable: Manoma, > aparatūrai turi įtakos šie pažeidžiamumai PSDPHardwareVulnerable: manoma, > aparatūrai turi įtakos šie pažeidžiamumai FBClearWindowsSupportEnabled: True -> – nurodo rizikos mažinimo įgalinimą, skirtą SBDR/FBSDP/PSDP. Įsitikinkite, kad atnaujinta OĮG BIOS / programinė-aparatinė įranga, FBClearWindowsSupportPresent yra True, rizikos mažinimai įgalinti, kaip nurodyta ADV220002 ir KVAShadowWindowsSupportEnabled yra True.
L1TFWindowsSupportPresent: True -> įdiegti "Windows" naujinimus, dokumentuotusRegistro
Šioje lentelėje pateikiama išvestis susiejama su registro raktais, kurie yra įtraukti į KB4072698: "Windows Server" ir "Azure Stack HCI" rekomendacijos, skirtos apsisaugoti nuo mikroarchitektūros ir spėjamo vykdymo šalutinių kanalų spragų.
Registro raktas |
Kartografavimo |
FeatureSettingsOverride – 0 bitas |
Žemėlapiai į – "Branch Target Injection" – "BTIWindowsSupportEnabled" |
FeatureSettingsOverride – 1 bitas |
Žemėlapiai į – "Rogue" duomenų talpyklos įkėlimas – VAShadowWindowsSupportEnabled |
Nuorodos
Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.