Datuma maiņa |
Izmaiņu apraksts |
---|---|
2023. gada 17. jūlijs |
Pievienots MMIO un konkrēti apraksti izvades vērtībām sadaļā "Izvade, kurā ir iespējotas visas risku mazināšanas darbības". |
Kopsavilkums
Lai palīdzētu jums pārbaudīt specifikācijas izpildes puses kanāla risku mazināšanas statusu, publicēju PowerShell skriptu (SpeculationControl), kas var darboties jūsu ierīcēs. Šajā rakstā ir paskaidrots, kā izpildīt skriptu SpeculationControl un ko izvade nozīmē.
Drošības padomnieki ADV180002, ADV180012, ADV180018 un ADV190013 ietver šādas deviņas ievainojamības:
-
CVE-2017-5715 (zaru mērķa ievadīšanas)
-
CVE-2017-5753 (robežu pārbaudes apiešanas)
Piezīme CVE-2017-5753 (robežu pārbaude) aizsardzībai nav nepieciešami papildu reģistra iestatījumi vai aparātprogrammatūras atjauninājumi.
-
CVE-2017-5754 (neskaidra datu kešatmiņas ielāde)
-
CVE-2018-3639 (speculative store bypass)
-
CVE-2018-3620 (L1 termināļa kļūme — OS)
-
CVE-2018-11091 (Microarbokectural datu iztveršana bez skata atmiņas (MDSUM))
-
CVE-2018-12126 (Microarhinectural Store bufera datu iztveršana (MSBDS))
-
CVE-2018-12127 (Microaruralectural portu datu iztveršana (MLPDS))
-
CVE-2018-12130 (Microarbokectural aizpildījuma bufera datu iztveršana (MFBDS))
Ieteikums ADV220002 attiecas uz Memory-Mapped/I/O (MMIO) saistītajām ievainojamībām:
-
CVE-2022-21123 | Koplietojamo bufera datu lasīšana (SBDR)
-
CVE-2022-21125 | Koplietojamo bufera datu iztveršana (SBDS)
-
CVE-2022-21127 | Īpaši reģistrēt bufera datu iztveršanas atjauninājumu (SRBDS atjauninājums)
-
CVE-2022-21166 | Ierīces reģistrēšana daļēja rakstīšana (DRPW)
Šajā rakstā ir sniegta detalizēta informācija par PowerShell skriptu SpeculationControl, kas palīdz noteikt norādīto CV risku mazināšanas pasākumu stāvokli, ja ir nepieciešami papildu reģistra iestatījumi, un dažos gadījumos arī aparātprogrammatūras atjauninājumus.
Papildinformācija
SpeculationControl PowerShell skripts
Instalējiet un palaidiet skriptu SpeculationControl, izmantojot kādu no tālāk aprakstītajām metodēm.
1. metode. PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1) |
PowerShell moduļa instalēšana PS> Install-Module SpeculationControl Palaidiet moduli SpeculationControl PowerShell, lai pārbaudītu, vai ir iespējota aizsardzība PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
2. metode. PowerShell pārbaude, izmantojot tehnoloģiju TechNet lejupielādi (vecākas OS versijas/vecākas WMF versijas) |
PowerShell moduļa instalēšana no TechNet ScriptCenter
Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība Startējiet programmu PowerShell un pēc tam (izmantojot iepriekš minēto piemēru) kopējiet un izpildiet šādas komandas: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell skripta izvade
Skripta SpeculationControl PowerShell izvade līdzinās tālāk norādīto izvadi. Iespējotā aizsardzība tiek rādīta izvadē kā "True".
PS C:\> Get-SpeculationControlSettings
Specifikācijas vadības iestatījumi attiecībā uz CVE-2017-5715 [zaru mērķa ievadīšanas iestatījumi]
Aparatūras atbalsts zaru mērķa ievadīšanas risku mazināšanai. Aplams
Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai ir: Patiess Tiek iespējots Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai. Aplams Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai ir atspējots, izmantojot sistēmas politiku: Patiess Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai tiek atspējots, jo nav pieejams aparatūras atbalsts: PatiessSpecifikācijas vadības iestatījumi CVE-2017-5754 [neskaidras datu kešatmiņas ielāde]
Aparatūra ir neaizsargāta pret neskaidru datu kešatmiņas slodzi: Patiess
Windows OS atbalsts neskaidru datu kešatmiņas ielādes risku mazināšanai ir: Patiess Windows OS atbalsts neskaidru datu kešatmiņas ielādes risku mazināšanai ir iespējots: True Aparatūrai ir nepieciešama kernel VA shadowing: True Windows OS atbalsts attiecībā uz kernel VA shadow ir klāt: Aplams Windows OS atbalsts kernel VA shadow ir iespējots: False Windows OS atbalsts PCID optimizācijai ir iespējots: Aplams Specifikācijas vadības iestatījumi attiecībā uz CVE-2018-3639 [specifikācijas krātuves apiešana]Aparatūra ir neaizsargāta pret speculative store apiešanu: True
Ir pieejams aparatūras atbalsts speculatīvas krātuves apiešanas risku mazināšanai. Aplams Ir nodrošināts Windows OS atbalsts speculative store bypass mitigation (Apiet risku, ka tas ir patiess). Operētājsistēmas Windows OS atbalsts specifikācijas krātuves apiešanas risku mazināšanai ir iespējots sistēmas mērogā: AplamsCVE-2018-3620 specifikācijas vadības iestatījumi [L1 termināļa kļūme]
Aparatūra ir neaizsargāta pret L1 termināļa kļūmi: Patiess
Operētājsistēmas Windows OS atbalsts termināļa kļūdas mazināšanai ir: True Windows OS atbalsts termināļa kļūmju mazināšanai ir iespējots: TrueSpeculation control settings for MDS [microaruralectural data sampling]
Operētājsistēmas Windows OS atbalsts MDS risku mazināšanai ir spēkā: patiess
Aparatūra ir neaizsargāta pret MDS: True Windows OS atbalsts MDS risku mazināšanai ir iespējots: PatiessSBDR specifikācijas vadības iestatījumi [lasīti koplietojamo buferu dati]
Pieejama Windows OS atbalsts SBDR risku mazināšanai: Patiess
Aparatūra ir neaizsargāta pret SBDR: True Iespējots Windows OS atbalsts SBDR risku mazināšanai: PatiessFBSDP specifikāciju vadības iestatījumi [aizpildījuma bufera novecojušu datu izplatīšana]
Pieejama Windows OS atbalsts FBSDP risku mazināšanai: Patiess Aparatūra ir neaizsargāta pret FBSDP: True Ir iespējots Windows OS atbalsts FBSDP risku mazināšanai: TruePSDP vadības specifikācijas iestatījumi [primārā novecojuša datu izplatīšana]
Pašlaik tiek nodrošināts Windows OS atbalsts PSDP risku mazināšanai: Patiess
Aparatūra ir neaizsargāta pret PSDP: True Ir iespējots Windows OS atbalsts PSDP risku mazināšanai: TrueBTIHardwarePresent: Patiess
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVASredoowRequired: True KVASlupuWindowsSupportPresent: True KVASlupuWindowsSupportEnabled: True KVASiliowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: Aplams SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: Aplams HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueSpeculationControl PowerShell skripta izvades skaidrojums
Gala izvades režģis tiek kartēts uz iepriekšējo rindiņu izvadi. Tas tiek parādīts tāpēc, ka PowerShell drukā objektu, ko atgriež funkcija. Tālāk esošajā tabulā ir izskaidrota katra PowerShell skripta izvades rindiņa.
Izvade |
Skaidrojums |
Specifikācijas vadības iestatījumi attiecībā uz CVE-2017-5715 [zaru mērķa ievadīšanas iestatījumi] |
Šajā sadaļā ir sniegts sistēmas statuss 2. variantam CVE-2017-5715, zaru mērķa ievadīšanas iespēja. |
Aparatūras atbalsts zaru mērķa ievadīšanas risku mazināšanai |
Kartes uz BTIHardwarePresent. Šī līnija norāda, vai ir pieejami aparatūras līdzekļi, lai atbalstītu zaru mērķa ievadīšanas risku. Ierīce OEM atbild par atjauninātās BIOS/aparātprogrammatūras sniegšanu, kurā ir centrālā procesora ražotājiem nodrošinātais mikrokods. Ja šī rindiņa ir patiesa, ir pieejami nepieciešamie aparatūras līdzekļi. Ja rindiņa ir Aplams, nepieciešamie aparatūras līdzekļi nav pieejami. Tāpēc zaru mērķa ievadīšanas riskus nevar iespējot. Piezīme BTIHardwarePresent viesmītos ir patiess, ja resursdatoram tiek lietots OEM atjauninājums, un tiek sniegti norādījumi. |
Ir nodrošināts Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai |
Kartes uz BTIWindowsSupportPresent. Šī rindiņa norāda, vai zaru mērķa ievadīšanas mazināšanai ir pieejams Windows operētājsistēmas atbalsts. Ja tā ir patiesa, operētājsistēma atbalsta zaru mērķa iedarbināšanas risku mazināšanas iespēju (un līdz ar to ir instalēts 2018. gada janvāra atjauninājums). Ja tā ir aplama, 2018. gada janvāra atjauninājums ierīcē netiek instalēts un zaru mērķa ievadīšanas riskus nevar iespējot. Piezīme Ja viesa VM nevar noteikt resursdatora aparatūras atjauninājumu, BTIWindowsSupportEnabled vienmēr būs False. |
Ir iespējots Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai |
Kartes uz BTIWindowsSupportEnabled. Šī rindiņa norāda, vai ir iespējots Windows operētājsistēmas atbalsts zaru mērķa ievadīšanas mazināšanai. Ja tā ir patiesa, ierīcē tiek iespējots aparatūras atbalsts un OS atbalsts zaru mērķa ievadīšanas risku mazināšanai, tādējādi aizsargājot pret CVE-2017-5715. Ja tas ir aplams, viens no šiem nosacījumiem ir patiess:
|
Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai ir atspējots, izmantojot sistēmas politiku |
Kartes uz BTIDisabledBySystemPolicy. Šī rindiņa norāda, ja zaru mērķa ievadīšanas risku ir atspējojusi sistēmas politika (piemēram, administratora definētā politika). Sistēmas politika attiecas uz reģistra vadīklām, kā dokumentētas kb4072698. Ja tā ir patiesa, par risku mazināšanas atspējošanu atbild sistēmas politika. Ja tas ir Aplams, risku mazināšana ir atspējota ar citu iemeslu. |
Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai tiek atspējots, jo nav pieejams aparatūras atbalsts |
Kartes uz BTIDisabledByNoHardwareSupport. Šī rindiņa norāda, vai saistībā ar aparatūras atbalsta prombūtni zaru mērķa ievadīšanas samazināšana ir atspējota. Ja tā ir True, par risku mazināšanas atspējošanu atbild aparatūras atbalsta trūkums. Ja tas ir Aplams, risku mazināšana ir atspējota ar citu iemeslu. PiezīmeJa viesa VM nevar noteikt resursdatora aparatūras atjauninājumu, BTIDisabledByNoSaucwareSupport vienmēr būs True. |
Specifikācijas vadības iestatījumi CVE-2017-5754 [neskaidras datu kešatmiņas ielāde] |
Šajā sadaļā ir sniegts kopsavilkuma sistēmas statuss 3. variantam CVE-2017-5754, neskaidrai datu kešatmiņas ielādei. Šīs ēnas risku mazināšana tiek dēvēta par kernel Virtual Address (VA) ēnu vai neskaidru datu kešatmiņas slodzes risku. |
Aparatūra ir neaizsargāta pret neskaidru datu kešatmiņas slodzi |
Kartes uz RdclProtectwareProtected. Šī līnija norāda, vai aparatūra ir neaizsargāta pret CVE-2017-5754. Ja tā ir true, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2017-5754. Ja tā ir aplama, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2017-5754. |
Windows OS atbalsts neskaidru datu kešatmiņas ielādes risku mazināšanai |
Kartes uz KVASlupuWindowsSupportPresent. Šajā rindiņā ir norādīts, vai pastāv Windows operētājsistēmas atbalsts kernel VA ēnas līdzeklim. |
Windows OS atbalsts neskaidru datu kešatmiņas ielādes risku mazināšanai ir iespējots |
Kartes uz KVASlupuWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots kernel VA ēnas līdzeklis. Ja tā ir patiesa, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2017-5754, ir pieejams operētājsistēmas Windows atbalsts un šis līdzeklis ir iespējots. |
Aparatūrai ir nepieciešams kernel VA shadowing |
Kartes uz KVASikiRequired. Šajā rindiņā ir norādīts, vai jūsu sistēmai ir nepieciešama kernel VA shadowing, lai mazinātu ievainojamību. |
Pašlaik darbojas Windows OS atbalsts attiecībā uz kernel VA shadow |
Kartes uz KVASlupuWindowsSupportPresent. Šajā rindiņā ir norādīts, vai pastāv Windows operētājsistēmas atbalsts kernel VA ēnas līdzeklim. Ja tā ir true, ierīcē tiek instalēts 2018. gada janvāra atjauninājums un tiek atbalstīta kernel VA ēna. Ja tas ir aplams, 2018. gada janvāra atjauninājums nav instalēts un kernel VA ēnas atbalsts nepastāv. |
Windows OS atbalsts kernel VA shadow ir iespējots |
Kartes uz KVASlupuWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots kernel VA ēnas līdzeklis. Ja tā ir True, ir atbalstīta operētājsistēma Windows un šis līdzeklis ir iespējots. Kernel VA ēnas līdzeklis pašlaik ir iespējots pēc noklusējuma Windows klienta versijās un pēc noklusējuma Windows Server versijās ir atspējots. Ja vērtība ir Aplams, tad operētājsistēmas Windows atbalsts nav pieejams vai līdzeklis nav iespējots. |
Ir iespējots Windows OS atbalsts PCID veiktspējas optimizācijai PiezīmeDrošības apsvērumu dēļ PCID nav nepieciešams. Tas norāda tikai tad, ja ir iespējots veiktspējas uzlabojums. PCID netiek atbalstīts operētājsistēmā Windows Server 2008 R2 |
Kartes uz KVASiliowPcidEnabled. Šī līnija norāda, vai ir iespējota papildu veiktspējas optimizācija attiecībā uz kernel VA ēnu. Ja tā ir True, tad ir iespējota kernel VA ēna, tiek nodrošināts pcID aparatūras atbalsts un iespējota PCID optimizācija attiecībā uz kernel VA ēnu. Ja tā ir Aplams, aparatūra vai OS, iespējams, neatbalsta PCID. Tas nav drošības iestatījums, lai PCID optimizācija nebūtu iespējota. |
Ir pieejams Windows OS atbalsts speculatīvā veikala apiešanas atspējošanai |
Kartes uz SSBDWindowsSupportPresent. Šajā rindiņā ir norādīts, vai ir pieejams Windows operētājsistēmas atbalsts speculatīvās krātuves apiešanas atspējošanai. Ja tā ir true, ierīcē tiek instalēts 2018. gada janvāra atjauninājums un tiek atbalstīta kernel VA ēna. Ja tas ir aplams, 2018. gada janvāra atjauninājums nav instalēts un kernel VA ēnas atbalsts nepastāv. |
Aparatūrai ir nepieciešams speculatīvas krātuves apiešanas atspējošana |
Kartes uz SSBDHardwareVulnerablePresent. Šī līnija norāda, vai aparatūra ir neaizsargāta pret CVE-2018-3639. Ja tā ir patiesa, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2018-3639. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2018-3639. |
Ir pieejams aparatūras atbalsts speculatīvas krātuves apiešanas atspējošanai |
Kartes uz SSBDHardwarePresent. Šajā rindiņā ir norādīts, vai ir pieejami aparatūras līdzekļi, lai atbalstītu speculative Store Bypass Disable (Atspējošanu). Ierīces OEM atbild par atjauninātā BIOS/aparātprogrammatūras sniegšanu, kas satur Intel nodrošināto mikrokodu. Ja šī rindiņa ir patiesa, ir pieejami nepieciešamie aparatūras līdzekļi. Ja rindiņa ir Aplams, nepieciešamie aparatūras līdzekļi nav pieejami. Tāpēc nevar ieslēgt opciju Speculative Store Bypass Disable (Atspējošana). Piezīme Ja resursdatoram tiek lietots OEM atjauninājums, SSBDHardwarePresent ir patiess viesu MM. |
Ir ieslēgts Windows OS atbalsts speculatīvās krātuves apiešanas atspējošanai |
Kartes uz SSBDWindowsSupportEnabledSystemWide. Šī rindiņa norāda, vai operētājsistēmā Windows ir ieslēgta speculatīvās krātuves apiešana Atspējot. Ja tā ir patiesa, ierīcei ir ieslēgts aparatūras atbalsts un OS atbalsts Speculative Store apiešanas atspējošanai, tādējādi nepieļautu speculatīva veikala apiešanu, tādējādi pilnībā likvidējot drošības risku. Ja tas ir aplams, viens no šiem nosacījumiem ir patiess:
|
CVE-2018-3620 specifikācijas vadības iestatījumi [L1 termināļa kļūme] |
Šajā sadaļā ir sniegts kopsavilkuma sistēmas statuss L1TF (operētājsistēmai), uz kuru attiecas CVE-2018-3620. Šī risku mazināšana nodrošina, ka tiek izmantoti droši lapas rāmja biti neesošiem vai nederīgiem tabulas ierakstiem lapā. Piezīme Šajā sadaļā netiek nodrošināts kopsavilkums par risku mazināšanas statusu L1TF (VMM), uz ko norāda CVE-2018-3646. |
Aparatūra ir neaizsargāta pret L1 termināļa kļūmi: Patiess |
Kartes uz L1TFHardwareVulnerable. Šī līnija norāda, vai aparatūra ir neaizsargāta pret L1 termināļa kļūmi (L1TF, CVE-2018-3620). Ja tā ir patiesa, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2018-3620. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2018-3620. |
Operētājsistēmas Windows OS atbalsts termināļa kļūdas mazināšanai ir: True |
Kartes uz L1TFWindowsSupportPresent. Šī līnija norāda, vai Operētājsistēmas Windows operētājsistēma atbalsta L1 termināļa kļūmi (L1TF), ja izmantojat operētājsistēmas risku. Ja tā ir patiesa, ierīcē tiek instalēts 2018. gada augusta atjauninājums, un pastāv riskus, ka CVE-2018-3620 . Ja atjauninājums ir aplams, 2018. gada augusta atjauninājums nav instalēts un nav iespējams izmantot CVE-2018-3620 risku. |
Windows OS atbalsts termināļa kļūmju mazināšanai ir iespējots: True |
Kartes uz L1TFWindowsSupportEnabled. Šī līnija norāda, vai L1 termināļa kļūmes (L1TF, CVE-2018-3620) operētājsistēmas Windows operētājsistēmu atvieglojumu ir iespējota. Ja tā ir patiesa, aparatūra, iespējams, ir neaizsargāta pret CVE-2018-3620, ir atbalstīta operētājsistēma Windows, kurā tiek nodrošināts risku mazināšanas līdzeklis, un ir iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana. |
Speculation control settings for MDS [Microaruralectural Data Sampling] |
Šajā sadaļā ir norādīts sistēmas statuss mds ievainojamību kopai, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 un ADV220002. |
Pieejams Windows OS atbalsts MDS risku mazināšanai |
Kartes uz MDSWindowsSupportPresent. Šī līnija norāda, vai pastāv Windows operētājsistēmas atbalsts Microarhinectural datu iztveršanai (Microarhinectural Data Sampling — MDS) operētājsistēmas risku. Ja tā ir patiesa, ierīcē tiek instalēts 2019. gada maija atjauninājums, un pastāv MDS risku mazināšana. Ja tā ir aplama, 2019. gada maija atjauninājums nav instalēts un MDS risku mazināšana nav pieejama. |
Aparatūra ir neaizsargāta pret MDS |
Kartes uz MDSHardwareVulnerable. Šī līnija norāda, vai aparatūra ir neaizsargāta pret Microarhinectural datu iztveršanu (MICROS) ievainojamību kopu (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta. |
Ir iespējots Windows OS atbalsts MDS risku mazināšanai |
Kartes uz MDSWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots Windows operētājsistēmas apdraudējums Microarhinectural datu iztveršanai (Microarhinectural Data Sampling — MDS). Ja tā ir patiesa, iespējams, ka aparatūru ietekmē MDS ievainojamība, ir atbalstīta operētājsistēma Windows risku mazināšana un iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana. |
Pieejama Windows OS atbalsts SBDR risku mazināšanai |
Kartes uz FBClearWindowsSupportPresent. Šī rindiņa norāda, vai ir pieejams WINDOWS operētājsistēmas atbalsts SBDR operētājsistēmas risku mazināšanai. Ja tā ir patiesa, ierīcē tiek instalēts 2022. gada jūnija atjauninājums, un pastāv SBDR risku mazināšana. Ja tā ir aplams, 2022. gada jūnija atjauninājums nav instalēts un SBDR risku mazināšana nav pieejama. |
Aparatūra ir neaizsargāta pret SBDR |
Kartes uz SBDRSSDPHardwareVulnerable. Šī rindiņa norāda, vai aparatūra ir neaizsargāta pret SBDR [koplietojamo buferu dati nolasīti] ievainojamību kopa (CVE-2022-21123). Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta. |
Iespējots Windows OS atbalsts SBDR risku mazināšanai |
Kartes uz FBClearWindowsSupportEnabled. Šī rindiņa norāda, vai IR iespējots SBDR [koplietojamo buferu datu lasīšanas] windows operētājsistēmas riskus. Ja tā ir patiesa, iespējams, ka aparatūru ietekmē SBDR ievainojamība, ir aktivizēts Windows atbalsts risku mazināšanai un ir iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana. |
Pieejams Windows OS atbalsts FBSDP risku mazināšanai |
Kartes uz FBClearWindowsSupportPresent. Šī rindiņa norāda, vai pastāv Windows operētājsistēmas atbalsts FBSDP operētājsistēmas risku mazināšanai. Ja tā ir true, ierīcē tiek instalēts 2022. gada jūnija atjauninājums un pastāv FBSDP atvieglojumu. Ja 2022. gada jūnija atjauninājums ir aplams, tas netiek instalēts un FBSDP risku mazināšana nav pieejama. |
Aparatūra ir neaizsargāta pret FBSDP |
Kartes uz FBSDPHardwareVulnerable. Šī rindiņa norāda, vai aparatūra ir neaizsargāta pret FBSDP [aizpildījuma bufera novecojušu datu izplatīšana] ievainojamību kopa (CVE-2022-21125, CVE-2022-21127 un CVE-2022-21166). Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta. |
Ir iespējots Windows OS atbalsts FBSDP risku mazināšanai |
Kartes uz FBClearWindowsSupportEnabled. Šī rindiņa norāda, vai ir iespējots Windows operētājsistēmas FBSDP riska mazināšana [bufera bufera novecojušu datu izplatītājs]. Ja tā ir patiesa, iespējams, ka aparatūru ietekmē FBSDP ievainojamība, ir pieejams Windows atbalsts risku mazināšanai un iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana. |
Pašlaik tiek nodrošināts Windows OS atbalsts PSDP risku mazināšanai |
Kartes uz FBClearWindowsSupportPresent. Šī rindiņa norāda, vai ir nodrošināts PSDP operētājsistēmas atbalsta atbalsts Windows operētājsistēmā. Ja tā ir patiesa, ierīcē tiek instalēts 2022. gada jūnija atjauninājums un pastāv PSDP risku mazināšana. Ja tā ir aplams, 2022. gada jūnija atjauninājums nav instalēts un PSDP risku mazināšana nav pieejama. |
Aparatūra ir neaizsargāta pret PSDP |
Kartes uz PSDPHardwareVulnerable. Šī līnija norāda, vai aparatūra ir neaizsargāta pret PSDP [primārā novecojuša datu izplatīšana] ievainojamību kopu. Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta. |
Ir iespējots Windows OS atbalsts PSDP risku mazināšanai |
Kartes uz FBClearWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots Windows operētājsistēmas riskus PSDP [primārā novecojuša datu izplatīšana] iespējošana. Ja tā ir patiesa, iespējams, ka aparatūru ietekmē PSDP ievainojamība, tiek atbalstīti logi, kas nodrošina riskus, un ir iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana. |
Izvade, kurā ir iespējotas visas risku mazināšanas darbības
Tālāk sniegtā izvade ir paredzama ierīcei, kurā ir iespējota visa risku mazināšana, kā arī informācija, kas nepieciešama, lai atbilstu katram nosacījumam.
BTIHardwarePresent: patiess > OEM BIOS/aparātprogrammatūras atjauninājumsnorādījumus. BTIDisabledBySystemPolicy: False -> neatspējo politika. BTIDisabledByNoHardwareSupport: False -> nodrošināt, ka tiek lietots OEM BIOS/aparātprogrammatūras atjauninājums. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVASredoowRequired: True vai False -> nav darbību, šī ir centrālā procesora funkcija, ko izmanto dators Ja KVASredoowRequired ir patiess KVASlupwindowsSupportPresent: True -> 2018. gada janvāra atjauninājuma instalēšana KVASlupWindowsSupportEnabled: True -> klientam, nekādas darbības nav jāveic. Serverī izpildiet norādījumus. KVASiliowPcidEnabled: True vai False -> nav darbību, šī ir datora centrālā procesora funkcija
BTIWindowsSupportPresent: instalēts true -> 2018. gada janvāra atjauninājums BTIWindowsSupportEnabled: True -> klientam, nekādas darbības nav jāveic. Serverī izpildietJa SSBDHardwareVulnerablePresent ir Trueprogrammā ADV180012 SSBDHardwarePresent: True -> instalēt BIOS/aparātprogrammatūras atjauninājumu ar SSBD atbalstu no ierīces OEM SSBDWindowsSupportEnabledSystemWide: True - > izpildiet ieteicamās darbības, lai ieslēgtu SSBD
SSBDWindowsSupportPresent: True -> instalēt Windows atjauninājumus, kā dokumentētsJa L1TFHardwareVulnerable ir TrueADV180018 L1TFWindowsSupportEnabled: True -> izpildiet darbības, kas norādītas adv180018 operētājsistēmai Windows Server vai klientam, atbilstoši, lai iespējotu risku mazināšanas iespējas L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> 2022. gada jūnija atjauninājuma instalēšana MDSHardwareVulnerable: False -> aparatūra ir neaizsargāta MDSWindowsSupportEnabled: True -> microarhinectural datu iztveršana (MdS) ir iespējota FBClearWindowsSupportPresent: True -> 2022. gada jūnija atjauninājuma instalēšana SBDRSSDPHardwareVulnerable: True -> aparatūra uzskata, ka to ietekmē šīs ievainojamības FBSDPHardwareVulnerable: True -> aparatūras, iespējams, ietekmē šīs ievainojamības PSDPHardwareVulnerable: True -> aparatūras, iespējams, ietekmē šīs ievainojamības FBClearWindowsSupportEnabled: True -> Norāda risku mazināšanas iespēju SBDR/FBSDP/PSDP gadījumā. Pārliecinieties, vai ir atjaunināts OEM BIOS/aparātprogrammatūra, FBClearWindowsSupportPresent ir True, kā norādīts programmā ADV220002 , un KVASlupowWindowsSupportEnabled ir True.
L1TFWindowsSupportPresent: True -> instalēt Windows atjauninājumus kā dokumentētuReģistrs
Tālāk redzamajā tabulā tiek kartēta izvade uz reģistra atslēgām, kas ir iekļautas KB4072698: Windows Server un Azure Stack HT norādījumos par aizsardzību pret microarhinectural un speculative execution side-channel vulnerabilities.
Reģistra atslēga |
Kartēšana |
FeatureSettingsOverride — 0. bits |
Kartes uz — zaru mērķa ievadīšanas — BTIWindowsSupportEnabled |
FeatureSettingsOverride — 1. bits |
Kartes uz — Nepiemērota datu kešatmiņas ielāde - VASlupowWindowsSupportEnabled |
Uzziņas
Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.