Datum wijzigen |
Beschrijving van de wijziging |
---|---|
dinsdag 17 juli 2023 |
MMIO en specifieke beschrijvingen van uitvoerwaarden toegevoegd in de sectie 'Uitvoer waarvoor alle risicobeperkingen zijn ingeschakeld' |
Samenvatting
We hebben een PowerShell-script (SpeculationControl) gepubliceerd dat op uw apparaten kan worden uitgevoerd om u te helpen de status van speculatieve oplossingen voor de uitvoering aan de zijkant van kanalen te controleren. In dit artikel wordt uitgelegd hoe u het script SpeculationControl uitvoert en wat de uitvoer betekent.
Beveiligingsadviezen ADV180002, ADV180012, ADV180018 en ADV190013 hebben betrekking op de volgende negen beveiligingsproblemen:
-
CVE-2017-5715 (vertakkingsdoelinjectie)
-
CVE-2017-5753 (bypass van de controle van de grenzen)
Opmerking Voor beveiliging voor CVE-2017-5753 (afhankelijkheidscontrole) zijn geen extra registerinstellingen of firmware-updates vereist.
-
CVE-2017-5754 (rogue gegevenscache laden)
-
CVE-2018-3639 (speculatieve store bypass)
-
CVE-2018-3620 (L1-terminalfout – besturingssysteem)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))
Advies ADV220002 behandelt aanvullende Memory-Mapped I/O (MMIO) gerelateerde beveiligingsproblemen:
-
CVE-2022-21123 | Gedeelde buffergegevens lezen (SBDR)
-
CVE-2022-21125 | Gedeelde buffergegevenssampling (SBDS)
-
CVE-2022-21127 | Speciale update voor buffergegevenssampling registreren (SRBDS-update)
-
CVE-2022-21166 | Apparaat registreren gedeeltelijk schrijven (DRPW)
In dit artikel vindt u meer informatie over het Speculatieve PowerShell-script waarmee u de status van de risicobeperkingen kunt bepalen voor de vermelde CVE's waarvoor aanvullende registerinstellingen en, in sommige gevallen, firmware-updates zijn vereist.
Meer informatie
SpeculatieBesturingselement PowerShell-script
Installeer en voer het Script SpeculationControl uit met behulp van een van de volgende methoden.
Methode 1: PowerShell-verificatie met behulp van de PowerShell Gallery (Windows Server 2016 of WMF 5.0/5.1) |
De PowerShell-module installeren PS> Install-Module SpeculationControl Voer de Module SpeculationControl PowerShell uit om te controleren of beveiliging is ingeschakeld PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Methode 2: PowerShell-verificatie met behulp van een download van TechNet (eerdere versies van het besturingssysteem/eerdere WMF-versies) |
De PowerShell-module installeren vanuit TechNet ScriptCenter
Voer de PowerShell-module uit om te controleren of beveiliging is ingeschakeld Start PowerShell, kopieer (met behulp van het bovenstaande voorbeeld) en voer de volgende opdrachten uit: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-scriptuitvoer
De uitvoer van het Speculatiebesturingselement PowerShell-script lijkt op de volgende uitvoer. Ingeschakelde beveiligingen worden in de uitvoer weergegeven als 'Waar'.
PS C:\> Get-SpeculationControlSettings
Instellingen voor speculatiecontrole voor CVE-2017-5715 [vertakkingsdoelinjectie]
Hardwareondersteuning voor beperking van vertakkingsdoelinjectie is aanwezig: Onwaar
Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is aanwezig: Waar Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is ingeschakeld: Onwaar Ondersteuning voor Windows-besturingssysteem voor beperking van injectie in vertakkingsdoel is uitgeschakeld door systeembeleid: Waar Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is uitgeschakeld omdat er geen hardwareondersteuning is: WaarInstellingen voor speculatiebeheer voor CVE-2017-5754 [rogue data cache load]
Hardware is kwetsbaar voor rogue belasting van gegevenscaches: Waar
Ondersteuning van Het Windows-besturingssysteem voor het beperken van het laden van rogue gegevenscaches is aanwezig: True Ondersteuning van Windows-besturingssysteem voor het beperken van het laden van rogue gegevenscaches is ingeschakeld: Waar Voor hardware is kernel-VA-schaduw vereist: Waar Ondersteuning voor Windows-besturingssysteem voor kernel-VA-schaduw is aanwezig: Onwaar Ondersteuning voor Windows-besturingssysteem voor kernel-VA-schaduw is ingeschakeld: Onwaar Ondersteuning voor Windows-besturingssysteem voor PCID-optimalisatie is ingeschakeld: Onwaar Instellingen voor speculatiebeheer voor CVE-2018-3639 [speculatieve store bypass]Hardware is kwetsbaar voor speculatieve store-bypass: Waar
Hardwareondersteuning voor risicobeperking voor speculatieve store-bypass is aanwezig: Onwaar Ondersteuning voor Windows-besturingssysteem voor risicobeperking voor het omzeilen van speculatieve winkels is aanwezig: Waar Ondersteuning voor Windows-besturingssysteem voor risicobeperking voor speculatieve store-bypass is systeembreed ingeschakeld: OnwaarInstellingen voor speculatiecontrole voor CVE-2018-3620 [L1-terminalfout]
Hardware is kwetsbaar voor L1-terminalfout: Waar
Ondersteuning voor Windows-besturingssysteem voor L1-terminalfoutbeperking is aanwezig: Waar Ondersteuning voor Windows-besturingssysteem voor L1-terminalfoutbeperking is ingeschakeld: WaarInstellingen voor speculatiecontrole voor MDS [microarchitecturale gegevenssampling]
Ondersteuning voor Windows-besturingssysteem voor MDS-beperking is aanwezig: Waar
Hardware is kwetsbaar voor MDS: True Ondersteuning voor Windows-besturingssysteem voor MDS-beperking is ingeschakeld: WaarInstellingen voor speculatiebeheer voor SBDR [gedeelde buffergegevens lezen]
Ondersteuning voor Windows-besturingssysteem voor SBDR-beperking is aanwezig: True
Hardware is kwetsbaar voor SBDR: Waar Ondersteuning voor Windows-besturingssysteem voor SBDR-beperking is ingeschakeld: WaarInstellingen voor speculatiecontrole voor FBSDP [vulbuffer verouderde gegevensdoorgifte]
Ondersteuning van Windows-besturingssysteem voor FBSDP-beperking is aanwezig: Waar Hardware is kwetsbaar voor FBSDP: Waar Ondersteuning voor Windows-besturingssysteem voor FBSDP-beperking is ingeschakeld: TrueInstellingen voor speculatiecontrole voor PSDP [primaire verouderde gegevensdoorgifte]
Ondersteuning voor Windows-besturingssysteem voor PSDP-beperking is aanwezig: Waar
Hardware is kwetsbaar voor PSDP: Waar Ondersteuning voor Windows-besturingssysteem voor PSDP-beperking is ingeschakeld: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: Waar BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: Waar SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: Waar SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: Waar L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: Waar L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: Waar HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: Waar MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: Waar PSDPHardwareVulnerable: WaarUitleg van de uitvoer van het Speculatieve PowerShell-script
Het uiteindelijke uitvoerraster wordt toegewezen aan de uitvoer van de voorgaande regels. Dit wordt weergegeven omdat PowerShell het object afdrukt dat wordt geretourneerd door een functie. In de volgende tabel wordt elke regel in de powershell-scriptuitvoer uitgelegd.
Output |
Uitleg |
Instellingen voor speculatiecontrole voor CVE-2017-5715 [vertakkingsdoelinjectie] |
Deze sectie bevat de systeemstatus voor variant 2, CVE-2017-5715, vertakkingsdoelinjectie. |
Hardwareondersteuning voor beperking van vertakkingsdoelinjectie is aanwezig |
Wordt toegewezen aan BTIHardwarePresent. Deze regel geeft aan of er hardwarefuncties aanwezig zijn ter ondersteuning van de beperking van vertakkingsdoelinjectie. De OEM van het apparaat is verantwoordelijk voor het leveren van de bijgewerkte BIOS/firmware die de microcode bevat die door CPU-fabrikanten wordt geleverd. Als deze regel True is, zijn de vereiste hardwarefuncties aanwezig. Als de regel Onwaar is, zijn de vereiste hardwarefuncties niet aanwezig. Daarom kan de beperking van de vertakkingsdoelinjectie niet worden ingeschakeld. Opmerking BTIHardwarePresent is Waar in gast-VM's als de OEM-update wordt toegepast op de host en de richtlijnenworden gevolgd. |
Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is aanwezig |
Wordt toegewezen aan BTIWindowsSupportPresent. Deze regel geeft aan of ondersteuning van het Windows-besturingssysteem aanwezig is voor de beperking van de vertakkingsdoelinjectie. Als het Waar is, ondersteunt het besturingssysteem het inschakelen van de beperking van de vertakkingsdoelinjectie (en heeft daarom de update van januari 2018 geïnstalleerd). Als deze Onwaar is, wordt de update van januari 2018 niet op het apparaat geïnstalleerd en kan de beperking van de vertakkingsdoelinjectie niet worden ingeschakeld. Opmerking Als een gast-VM de hosthardware-update niet kan detecteren, is BTIWindowsSupportEnabled altijd False. |
Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is ingeschakeld |
Wordt toegewezen aan BTIWindowsSupportEnabled. Deze regel geeft aan of ondersteuning van het Windows-besturingssysteem is ingeschakeld voor de beperking van de vertakkingsdoelinjectie. Als het True is, worden hardware- en besturingssysteemondersteuning voor de beperking van de vertakkingsdoelinjectie ingeschakeld voor het apparaat, waardoor bescherming wordt geboden tegen CVE-2017-5715. Als het Onwaar is, is een van de volgende voorwaarden waar:
|
Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is uitgeschakeld door systeembeleid |
Wordt toegewezen aan BTIDisabledBySystemPolicy. Deze regel geeft aan of de beperking van de injectie van het vertakkingsdoel is uitgeschakeld door systeembeleid (zoals een door een beheerder gedefinieerd beleid). Systeembeleid verwijst naar de registerbesturingselementen zoals beschreven in KB4072698. Als het Waar is, is het systeembeleid verantwoordelijk voor het uitschakelen van de beperking. Als het Onwaar is, wordt de beperking uitgeschakeld door een andere oorzaak. |
Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is uitgeschakeld omdat er geen hardwareondersteuning is |
Wordt toegewezen aan BTIDisabledByNoHardwareSupport. Deze regel geeft aan of de beperking van de vertakkingsdoelinjectie is uitgeschakeld vanwege de afwezigheid van hardwareondersteuning. Als deze Waar is, is de afwezigheid van hardwareondersteuning verantwoordelijk voor het uitschakelen van de beperking. Als het Onwaar is, wordt de beperking uitgeschakeld door een andere oorzaak. OpmerkingAls een gast-VM de hosthardware-update niet kan detecteren, is BTIDisabledByNoHardwareSupport altijd True. |
Instellingen voor speculatiebeheer voor CVE-2017-5754 [rogue data cache load] |
Deze sectie bevat een overzicht van de systeemstatus voor variant 3, CVE-2017-5754, rogue data cache load. De beperking hiervoor wordt de schaduw van het virtuele adres (VA) van de kernel of de beperking van de belasting van de rogue gegevenscache genoemd. |
Hardware is kwetsbaar voor het laden van rogue gegevenscaches |
Wordt toegewezen aan RdclHardwareProtected. Deze regel geeft aan of de hardware kwetsbaar is voor CVE-2017-5754. Als deze Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2017-5754. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is voor CVE-2017-5754. |
Ondersteuning voor Windows-besturingssysteem voor het beperken van de belasting van rogue gegevenscaches is aanwezig |
Wordt toegewezen aan KVAShadowWindowsSupportPresent. Deze regel geeft aan of windows-besturingssysteemondersteuning voor de kernel-VA-schaduwfunctie aanwezig is. |
Ondersteuning voor Windows-besturingssysteem voor beperking van het laden van rogue gegevenscaches is ingeschakeld |
Wordt toegewezen aan KVAShadowWindowsSupportEnabled. Deze regel geeft aan of de kernel-VA-schaduwfunctie is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2017-5754, is ondersteuning voor Het Windows-besturingssysteem aanwezig en is de functie ingeschakeld. |
Voor hardware is kernel-VA-schaduw vereist |
Wordt toegewezen aan KVAShadowRequired. Deze regel geeft aan of uw systeem kernel-VA-schaduw vereist om een beveiligingsprobleem te verhelpen. |
Ondersteuning voor Windows-besturingssysteem voor kernel-VA-schaduw is aanwezig |
Wordt toegewezen aan KVAShadowWindowsSupportPresent. Deze regel geeft aan of windows-besturingssysteemondersteuning voor de kernel-VA-schaduwfunctie aanwezig is. Als deze Waar is, wordt de update van januari 2018 op het apparaat geïnstalleerd en wordt kernel-VA-schaduw ondersteund. Als deze Onwaar is, is de update van januari 2018 niet geïnstalleerd en bestaat er geen ondersteuning voor kernel-VA-schaduw. |
Ondersteuning voor Windows-besturingssysteem voor kernel-VA-schaduw is ingeschakeld |
Wordt toegewezen aan KVAShadowWindowsSupportEnabled. Deze regel geeft aan of de kernel-VA-schaduwfunctie is ingeschakeld. Als het Waar is, is ondersteuning van het Windows-besturingssysteem aanwezig en is de functie ingeschakeld. De kernel-VA-schaduwfunctie is momenteel standaard ingeschakeld op clientversies van Windows en is standaard uitgeschakeld op versies van Windows Server. Als het Onwaar is, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de functie niet ingeschakeld. |
Ondersteuning voor Windows-besturingssysteem voor PCID-prestatieoptimalisatie is ingeschakeld OpmerkingPCID is niet vereist voor de beveiliging. Het geeft alleen aan of een prestatieverbetering is ingeschakeld. PCID wordt niet ondersteund met Windows Server 2008 R2 |
Wordt toegewezen aan KVAShadowPcidEnabled. Deze regel geeft aan of extra prestatieoptimalisatie is ingeschakeld voor kernel VA-schaduw. Als deze Waar is, is kernel-VA-schaduw ingeschakeld, is hardwareondersteuning voor PCID aanwezig en PCID-optimalisatie voor kernel-VA-schaduw is ingeschakeld. Als het Onwaar is, ondersteunt de hardware of het besturingssysteem mogelijk geen PCID. Het is geen beveiligingsprobleem dat de PCID-optimalisatie niet wordt ingeschakeld. |
Ondersteuning voor Windows-besturingssysteem voor het uitschakelen van speculatieve store-bypass is aanwezig |
Wordt toegewezen aan SSBDWindowsSupportPresent. Deze regel geeft aan of ondersteuning van het Windows-besturingssysteem voor Speculative Store Bypass Disable aanwezig is. Als deze Waar is, wordt de update van januari 2018 op het apparaat geïnstalleerd en wordt kernel-VA-schaduw ondersteund. Als deze Onwaar is, is de update van januari 2018 niet geïnstalleerd en bestaat er geen ondersteuning voor kernel-VA-schaduw. |
Voor hardware is het uitschakelen van speculatieve store-bypass vereist |
Wordt toegewezen aan SSBDHardwareVulnerablePresent. Deze regel geeft aan of de hardware kwetsbaar is voor CVE-2018-3639. Als deze Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2018-3639. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is voor CVE-2018-3639. |
Hardwareondersteuning voor het uitschakelen van speculatieve store-bypass is aanwezig |
Wordt toegewezen aan SSBDHardwarePresent. Deze regel geeft aan of er hardwarefuncties aanwezig zijn ter ondersteuning van Speculative Store Bypass Disable. De OEM van het apparaat is verantwoordelijk voor het verstrekken van de bijgewerkte BIOS/firmware die de microcode bevat die door Intel wordt geleverd. Als deze regel True is, zijn de vereiste hardwarefuncties aanwezig. Als de regel Onwaar is, zijn de vereiste hardwarefuncties niet aanwezig. Daarom kan Speculative Store Bypass Disable niet worden ingeschakeld. Opmerking SSBDHardwarePresent is True in gast-VM's als de OEM-update wordt toegepast op de host. |
Ondersteuning voor Windows-besturingssysteem voor het uitschakelen van speculatieve store-bypass is ingeschakeld |
Wordt toegewezen aan SSBDWindowsSupportEnabledSystemWide. Deze regel geeft aan of Speculative Store Bypass Disable is ingeschakeld in het Windows-besturingssysteem. Als het Waar is, is hardwareondersteuning en ondersteuning van het besturingssysteem voor Speculatieve store bypass uitschakelen ingeschakeld voor het apparaat om te voorkomen dat een speculatieve store-bypass plaatsvindt, waardoor het beveiligingsrisico volledig wordt geëlimineerd. Als het Onwaar is, is een van de volgende voorwaarden waar:
|
Instellingen voor speculatiecontrole voor CVE-2018-3620 [L1-terminalfout] |
Deze sectie bevat een overzicht van de systeemstatus voor L1TF (besturingssysteem) waarnaar wordt verwezen door CVE-2018-3620. Deze beperking zorgt ervoor dat veilige paginaframebits worden gebruikt voor niet-aanwezige of ongeldige paginatabelvermeldingen. Opmerking Deze sectie bevat geen samenvatting van de beperkingsstatus voor L1TF (VMM) waarnaar wordt verwezen door CVE-2018-3646. |
Hardware is kwetsbaar voor L1-terminalfout: Waar |
Wordt toegewezen aan L1TFHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor L1 Terminal Fault (L1TF, CVE-2018-3620). Als het Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2018-3620. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is voor CVE-2018-3620. |
Ondersteuning voor Windows-besturingssysteem voor L1-terminalfoutbeperking is aanwezig: Waar |
Wordt toegewezen aan L1TFWindowsSupportPresent. Deze regel geeft aan of windows-besturingssysteemondersteuning voor de L1 Terminal Fault (L1TF)-besturingssysteembeperking aanwezig is. Als deze Waar is, wordt de update van augustus 2018 op het apparaat geïnstalleerd en is de beperking voor CVE-2018-3620 aanwezig. Als deze Onwaar is, is de update van augustus 2018 niet geïnstalleerd en is de beperking voor CVE-2018-3620 niet aanwezig. |
Ondersteuning voor Windows-besturingssysteem voor L1-terminalfoutbeperking is ingeschakeld: Waar |
Wordt toegewezen aan L1TFWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor L1 Terminal Fault (L1TF, CVE-2018-3620) is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2018-3620, is ondersteuning voor het Windows-besturingssysteem voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld. |
Instellingen voor speculatiecontrole voor MDS [Microarchitectural Data Sampling] |
Deze sectie bevat de systeemstatus voor de MDS-set beveiligingsproblemen, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 en ADV220002. |
Ondersteuning voor Windows-besturingssysteem voor MDS-beperking is aanwezig |
Wordt toegewezen aan MDSWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor het MDS-besturingssysteem (Microarchitectural Data Sampling) aanwezig is. Als deze Waar is, wordt de update van mei 2019 op het apparaat geïnstalleerd en is de beperking voor MDS aanwezig. Als deze Onwaar is, is de update van mei 2019 niet geïnstalleerd en is de beperking voor MDS niet aanwezig. |
Hardware is kwetsbaar voor MDS |
Wordt toegewezen aan MDSHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor microarchitecturale gegevenssampling (MDS) met beveiligingsproblemen (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is. |
Ondersteuning voor Windows-besturingssysteem voor MDS-beperking is ingeschakeld |
Wordt toegewezen aan MDSWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor Microarchitectural Data Sampling (MDS) is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de MDS-beveiligingsproblemen, is de ondersteuning van het Windows-besturingssysteem voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld. |
Ondersteuning voor Windows-besturingssysteem voor SBDR-beperking is aanwezig |
Wordt toegewezen aan FBClearWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor de beperking van het SBDR-besturingssysteem aanwezig is. Als deze waar is, wordt de update van juni 2022 op het apparaat geïnstalleerd en is de beperking voor SBDR aanwezig. Als deze Onwaar is, is de update van juni 2022 niet geïnstalleerd en is de beperking voor SBDR niet aanwezig. |
Hardware is kwetsbaar voor SBDR |
Wordt toegewezen aan SBDRSSDPHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor SBDR[shared buffers data read] set beveiligingsproblemen (CVE-2022-21123). Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is. |
Ondersteuning voor Windows-besturingssysteem voor SBDR-beperking is ingeschakeld |
Wordt toegewezen aan FBClearWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor SBDR [gedeelde buffergegevens lezen] is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de SBDR-beveiligingsproblemen, is de windows-ondersteuning voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld. |
Ondersteuning voor Windows-besturingssysteem voor FBSDP-beperking is aanwezig |
Wordt toegewezen aan FBClearWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor de FBSDP-besturingssysteembeperking aanwezig is. Als het Waar is, wordt de update van juni 2022 op het apparaat geïnstalleerd en is de beperking voor FBSDP aanwezig. Als deze Onwaar is, is de update van juni 2022 niet geïnstalleerd en is de beperking voor FBSDP niet aanwezig. |
Hardware is kwetsbaar voor FBSDP |
Wordt toegewezen aan FBSDPHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor FBSDP [fill buffer verouderde gegevensdoorgifte] set beveiligingsproblemen (CVE-2022-21125, CVE-2022-21127 en CVE-2022-21166). Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is. |
Ondersteuning voor Windows-besturingssysteem voor FBSDP-beperking is ingeschakeld |
Wordt toegewezen aan FBClearWindowsSupportEnabled. Deze regel geeft aan of de Windows-besturingssysteembeperking voor FBSDP [fill buffer verouderde gegevens doorgeven] is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de FBSDP-beveiligingsproblemen, is de Windows-operationele ondersteuning voor de risicobeperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld. |
Ondersteuning voor Windows-besturingssysteem voor PSDP-beperking is aanwezig |
Wordt toegewezen aan FBClearWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor de beperking van het PSDP-besturingssysteem aanwezig is. Als deze Waar is, wordt de update van juni 2022 op het apparaat geïnstalleerd en is de beperking voor PSDP aanwezig. Als deze Onwaar is, is de update van juni 2022 niet geïnstalleerd en is de beperking voor PSDP niet aanwezig. |
Hardware is kwetsbaar voor PSDP |
Wordt toegewezen aan PSDPHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor psdp [primaire verouderde gegevensdoorgifte] set beveiligingsproblemen. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is. |
Ondersteuning voor Windows-besturingssysteem voor PSDP-beperking is ingeschakeld |
Wordt toegewezen aan FBClearWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor PSDP [primaire verouderde gegevensdoorgifte] is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de PSDP-beveiligingsproblemen, is de windows-ondersteuning voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld. |
Uitvoer waarvoor alle risicobeperkingen zijn ingeschakeld
De volgende uitvoer wordt verwacht voor een apparaat waarvoor alle risicobeperkingen zijn ingeschakeld, samen met wat nodig is om aan elke voorwaarde te voldoen.
BTIHardwarePresent: True -> OEM BIOS/firmware-update toegepastde richtlijnen. BTIDisabledBySystemPolicy: False -> ervoor zorgen dat het beleid niet is uitgeschakeld. BTIDisabledByNoHardwareSupport: False -> controleren of OEM BIOS/firmware-update wordt toegepast. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True of False -> geen actie, dit is een functie van de CPU die de computer gebruikt Als KVAShadowRequired True is KVAShadowWindowsSupportPresent: True -> update van januari 2018 installeren KVAShadowWindowsSupportEnabled: True -> op client, geen actie vereist. Volg op de server de richtlijnen. KVAShadowPcidEnabled: True of False -> geen actie, dit is een functie van de CPU die de computer gebruikt
BTIWindowsSupportPresent: True -> update van januari 2018 geïnstalleerd BTIWindowsSupportEnabled: True -> op client, geen actie vereist. Volg op de serverAls SSBDHardwareVulnerablePresent WaarADV180012 SSBDHardwarePresent: True -> installeer BIOS/firmware-update met ondersteuning voor SSBD van de OEM van uw apparaat SSBDWindowsSupportEnabledSystemWide: True -> volg aanbevolen acties om SSBD in te schakelen
is SSBDWindowsSupportPresent: True -> installeer Windows-updates zoals beschreven inAls L1TFHardwareVulnerable WaarADV180018 L1TFWindowsSupportEnabled: True -> volg acties die worden beschreven in ADV180018 voor Windows Server of Client om de risicobeperking in te schakelen L1TFInvalidPteBit: 0 L1DFlushSupported: Waar MDSWindowsSupportPresent: True -> update van juni 2022 installeren MDSHardwareVulnerable: False -> hardware is niet kwetsbaar MDSWindowsSupportEnabled: True -> beperking voor Microarchitectural Data Sampling (MDS) is ingeschakeld FBClearWindowsSupportPresent: True -> update van juni 2022 installeren SBDRSSDPHardwareVulnerable: True -> hardware wordt verondersteld te worden beïnvloed door deze beveiligingsproblemen FBSDPHardwareVulnerable: True -> hardware wordt verondersteld te worden beïnvloed door deze beveiligingsproblemen PSDPHardwareVulnerable: True -> hardware wordt verondersteld te worden beïnvloed door deze beveiligingsproblemen FBClearWindowsSupportEnabled: True -> Vertegenwoordigt beperkingsinschakeling voor SBDR/FBSDP/PSDP. Zorg ervoor dat OEM BIOS/firmware is bijgewerkt, FBClearWindowsSupportPresent true is, risicobeperkingen zijn ingeschakeld zoals beschreven in ADV220002 en KVAShadowWindowsSupportEnabled is Waar.
is L1TFWindowsSupportPresent: True -> installeer Windows-updates zoals beschreven inRegister
In de volgende tabel wordt de uitvoer toegewezen aan de registersleutels die worden behandeld in KB4072698: Richtlijnen voor Windows Server en Azure Stack HCI om te beschermen tegen microarchitecturale en speculatieve beveiligingsproblemen in het kanaal aan de uitvoeringszijde.
Registersleutel |
Toewijzing |
FeatureSettingsOverride – Bit 0 |
Wordt toegewezen aan - Vertakkingsdoelinjectie - BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Wordt toegewezen aan - Rogue data cache load - VAShadowWindowsSupportEnabled |
Naslagwerken
We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.