KB4074629: Opis spekulacjiKontrolowanie danych wyjściowych skryptu programu PowerShell

Metoda 1. Weryfikacja programu PowerShell przy użyciu Galeria programu PowerShell (Windows Server 2016 lub WMF 5.0/5.1)

Instalowanie modułu programu PowerShell

PS> Install-Module SpeculationControl

Uruchom moduł SpeculationControl PowerShell, aby sprawdzić, czy są włączone zabezpieczenia

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metoda 2. Weryfikacja programu PowerShell przy użyciu pobierania z witryny TechNet (wcześniejsze wersje systemu operacyjnego/wcześniejsze wersje WMF)

Instalowanie modułu programu PowerShell z witryny TechNet ScriptCenter

1. Przejdź do https://aka.ms/SpeculationControlPS.

2. Pobierz SpeculationControl.zip do folderu lokalnego.

3. Wyodrębnianie zawartości do folderu lokalnego, na przykład C:\ADV180002

Uruchamianie modułu programu PowerShell w celu sprawdzenia, czy są włączone zabezpieczenia

Uruchom program PowerShell, a następnie (przy użyciu powyższego przykładu) skopiuj i uruchom następujące polecenia:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Wyjście

Wyjaśnienie

Ustawienia kontroli spekulacji dla CVE-2017-5715 [iniekcja celu gałęzi]

Ta sekcja zawiera stan systemu dla wariantu 2, CVE-2017-5715, iniekcji celu rozgałęzienia.

Wsparcie sprzętowe dla łagodzenia iniekcji celu rozgałęzienia jest obecna

Mapuje do BTIHardwarePresent. Ten wiersz informuje, czy funkcje sprzętowe są obecne w celu obsługi łagodzenia iniekcji docelowej gałęzi. Producent OEM urządzenia odpowiada za udostępnienie zaktualizowanego systemu BIOS/oprogramowania układowego zawierającego mikrokod dostarczony przez producentów procesora. Jeśli ten wiersz ma wartość True, dostępne są wymagane funkcje sprzętowe. Jeśli wiersz ma wartość Fałsz, wymagane funkcje sprzętowe nie są dostępne. Dlatego nie można włączyć łagodzenia iniekcji docelowej gałęzi.

Uwaga Funkcja BTIHardwarePresent będzie mieć wartość True w maszynach wirtualnych gości, jeśli aktualizacja OEM zostanie zastosowana do hosta i zostaną zastosowane wskazówki.

Pomoc techniczna systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest obecna

Mapy do BTIWindowsSupportPresent. Ten wiersz informuje, czy obsługa systemu operacyjnego Windows jest dostępna dla łagodzenia iniekcji docelowej gałęzi. Jeśli jest prawda, system operacyjny obsługuje włączanie łagodzenia iniekcji docelowej gałęzi (dlatego zainstalowano aktualizację ze stycznia 2018 r.). Jeśli jest fałszywy, aktualizacja ze stycznia 2018 r. nie jest zainstalowana na urządzeniu i nie można włączyć łagodzenia iniekcji docelowej gałęzi.

Uwaga Jeśli maszyna wirtualna gościa nie może wykryć aktualizacji sprzętu hosta, funkcja BTIWindowsSupportEnabled zawsze będzie fałszywa.

Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest włączona

Mapy do BTIWindowsSupportEnabled. Ten wiersz informuje, czy obsługa systemu operacyjnego Windows jest włączona dla łagodzenia iniekcji docelowej gałęzi. Jeśli jest prawda, dla urządzenia włączona jest obsługa sprzętu i obsługa systemu operacyjnego dla celu iniekcji rozgałęzienia, chroniąc w ten sposób przed CVE-2017-5715. Jeśli jest fałszywy, spełniony jest jeden z następujących warunków:

• Obsługa sprzętu nie jest dostępna.

• Obsługa systemu operacyjnego nie jest dostępna.

• Łagodzenie jest wyłączone przez zasady systemu.

Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest wyłączona przez zasady systemu

Mapuje do BTIDisabledBySystemPolicy. Ten wiersz informuje, czy łagodzenie iniekcji celu rozgałęzienia jest wyłączone przez zasady systemu (takie jak zasady zdefiniowane przez administratora). Zasady systemowe odwołują się do kontrolek rejestru, jak opisano w aktualizacji KB4072698. Jeśli jest prawda, zasady systemu są odpowiedzialne za wyłączenie łagodzenia. Jeśli jest fałszywy, łagodzenie jest wyłączone z innej przyczyny.

Pomoc techniczna systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest wyłączona z powodu braku obsługi sprzętu

Mapy do BTIDisabledByNoHardwareSupport. Ta linia informuje, czy łagodzenie iniekcji celu rozgałęzienia jest wyłączone z powodu braku obsługi sprzętu. Jeśli jest prawda, brak obsługi sprzętu jest odpowiedzialny za wyłączenie łagodzenia. Jeśli jest fałszywy, łagodzenie jest wyłączone z innej przyczyny.

UwagaJeśli maszyna wirtualna gościa nie może wykryć aktualizacji sprzętu hosta, btidisabledByNoHardwareSupport zawsze będzie mieć wartość True.

Ustawienia kontroli spekulacji dla CVE-2017-5754 [nieuczciwe ładowanie pamięci podręcznej danych]

Ta sekcja zawiera stan systemu podsumowania dla wariantu 3, CVE-2017-5754, nieuczciwe obciążenie pamięci podręcznej danych. Łagodzenia tego jest znana jako jądra Virtual Address (VA) cień lub nieuczciwych ograniczenia obciążenia pamięci podręcznej danych.

Sprzęt jest narażony na nieuczciwe obciążenie pamięci podręcznej danych

Mapuje do aplikacji RdclHardwareProtected. Ta linia informuje, czy sprzęt jest narażony na cve-2017-5754. Jeśli to prawda, uważa się, że sprzęt jest narażony na CVE-2017-5754. Jeśli jest fałszywy, wiadomo, że sprzęt nie jest narażony na CVE-2017-5754.

Pomoc techniczna systemu operacyjnego Windows dla nieuczciwych ograniczenia obciążenia pamięci podręcznej danych jest obecna

Mapuje na KVAShadowWindowsSupportPresent. Ten wiersz informuje, czy obsługa funkcji cienia jądra VA w systemie operacyjnym Windows jest dostępna.

Obsługa systemu operacyjnego Windows w przypadku łagodżenia obciążenia pamięci podręcznej nieuczciwych danych jest włączona

Mapy do KVAShadowWindowsSupportEnabled. Ten wiersz informuje, czy funkcja cienia jądra VA jest włączona. Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2017-5754, pomoc techniczna dla systemu operacyjnego Windows jest dostępna i ta funkcja jest włączona.

Sprzęt wymaga cieniowania jądra VA

Mapuje na KVAShadowRequired. Ten wiersz informuje, czy system wymaga cieniowania jądra VA w celu zminimalizowania luki w zabezpieczeniach.

Obsługa jądra VA cienia systemu operacyjnego Windows jest obecna

Mapuje na KVAShadowWindowsSupportPresent. Ten wiersz informuje, czy obsługa funkcji cienia jądra VA w systemie operacyjnym Windows jest dostępna. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja ze stycznia 2018 r. i jest obsługiwany cień jądra VA. Jeśli jest fałszywy, aktualizacja ze stycznia 2018 r. nie jest zainstalowana, a obsługa cienia jądra VA nie istnieje.

Obsługa jądra va cienia systemu operacyjnego Windows jest włączona

Mapy do KVAShadowWindowsSupportEnabled. Ten wiersz informuje, czy funkcja cienia jądra VA jest włączona. Jeśli jest prawda, obsługa systemu operacyjnego Windows jest dostępna i ta funkcja jest włączona. Funkcja cienia jądra VA jest obecnie domyślnie włączona w wersjach klienckich systemu Windows i jest domyślnie wyłączona w wersjach systemu Windows Server. Jeśli jest fałszywy, oznacza to, że obsługa systemu operacyjnego Windows nie jest dostępna lub funkcja nie jest włączona.

Obsługa systemu operacyjnego Windows dla optymalizacji wydajności pcid jest włączona

UwagaIdentyfikator PCID nie jest wymagany ze względów bezpieczeństwa. Wskazuje tylko, czy jest włączona poprawa wydajności. Funkcja PCID nie jest obsługiwana w systemie Windows Server 2008 R2

Mapuje na KVAShadowPcidEnabled. Ten wiersz informuje, czy włączono dodatkową optymalizację wydajności dla cienia jądra VA. Jeśli jest prawda, włączona jest funkcja cienia funkcji VA jądra, dostępna jest obsługa sprzętowa identyfikatora PCID i włączona jest optymalizacja identyfikatora PCID dla cienia jądra VA. Jeśli jest fałszywy, sprzęt lub system operacyjny może nie obsługiwać identyfikatora PCID. Nie jest to słabość zabezpieczeń dla optymalizacji PCID nie można włączyć.

Obsługa systemów operacyjnych Windows dla speculative Store Bypass Disable jest obecna

Mapy do SSBDWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows jest dostępna funkcja Speculative Store Bypass Disable. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja ze stycznia 2018 r. i jest obsługiwany cień jądra VA. Jeśli jest fałszywy, aktualizacja ze stycznia 2018 r. nie jest zainstalowana, a obsługa cienia jądra VA nie istnieje.

Sprzęt wymaga wyłączenia speculative Store Bypass

Mapy do SSBDHardwareVulnerablePresent. Ta linia informuje, czy sprzęt jest narażony na cve-2018-3639. Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2018-3639. Jeśli jest fałszywy, wiadomo, że sprzęt nie jest narażony na CVE-2018-3639.

Obsługa sprzętu dla Speculative Store Bypass Disable jest dostępna

Mapuje do SSBDHardwarePresent. Ten wiersz informuje, czy funkcje sprzętowe są obecne w celu obsługi speculative Store Bypass Disable. OEM urządzenia odpowiada za udostępnienie zaktualizowanego systemu BIOS/oprogramowania układowego zawierającego mikrokod dostarczony przez firmę Intel. Jeśli ten wiersz ma wartość True, dostępne są wymagane funkcje sprzętowe. Jeśli wiersz ma wartość Fałsz, wymagane funkcje sprzętowe nie są dostępne. W związku z tym speculative Store Bypass Disable nie można włączyć.

Uwaga Jeśli aktualizacja OEM zostanie zastosowana do hosta, funkcja SSBDHardwarePresent będzie mieć wartość True w maszynach wirtualnych gości.

Obsługa systemu operacyjnego Windows dla speculative Store Bypass Disable jest włączona

Mapy do SSBDWindowsSupportEnabledSystemWide. Ten wiersz informuje, czy funkcja Speculative Store Bypass Disable jest włączona w systemie operacyjnym Windows. Jeśli jest prawda, obsługa sprzętu i obsługa systemu operacyjnego speculative Store Bypass Disable jest włączona dla urządzenia uniemożliwiającego wystąpienie speculative Store Bypass, co całkowicie eliminuje zagrożenie bezpieczeństwa. Jeśli jest fałszywy, spełniony jest jeden z następujących warunków:

• Obsługa sprzętu nie jest dostępna.

• Obsługa systemu operacyjnego nie jest dostępna.

• Speculative Store Bypass Disable nie jest włączona za pośrednictwem kluczy rejestru. Aby uzyskać instrukcje dotyczące sposobu ich włączania, zobacz następujące artykuły:

  • KB4073119: Wskazówki dla specjalistów IT dotyczące systemu Windows dotyczące ochrony przed lukami w zabezpieczeniach mikroarchitektury opartej na układach krzemowych i spekulacyjnych wykonywania w kanałach bocznych

  • KB4072698: Windows Server i Azure Stack HCI — wskazówki dotyczące ochrony przed lukami w zabezpieczeniach mikroarchitectural i spekulacyjnych wykonywania w kanałach bocznych

Ustawienia sterowania spekulacjami dla CVE-2018-3620 [błąd terminalu L1]

Ta sekcja zawiera podsumowanie stanu systemu L1TF (systemu operacyjnego), o którym mowa w cve-2018-3620. Dzięki temu można zagwarantować, że bity bezpiecznej ramki strony nie będą obecne lub nie będą dostępne nieprawidłowe pozycje tabeli stron.

Uwaga Ta sekcja nie zawiera podsumowania stanu łagodzenia dla L1TF (VMM), do którego odwołuje się CVE-2018-3646.

Sprzęt jest narażony na błąd terminalu L1: Prawda

Mapy do L1TFHardwareVulnerable. Ta linia informuje o tym, czy sprzęt jest narażony na błąd terminalu L1 (L1TF, CVE-2018-3620). Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2018-3620. Jeśli jest fałszywy, wiadomo, że sprzęt nie jest narażony na CVE-2018-3620.

Obsługa systemu operacyjnego Windows dla ochrony przed błędami terminalu L1 jest dostępna: Prawda

Mapuje na L1TFWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows występuje pomoc techniczna dotycząca łagodzenia błędów systemu operacyjnego L1 Terminal Fault (L1TF). Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z sierpnia 2018 r., a środki łagodzące dla cve-2018-3620 są obecne. Jeśli jest fałszywa, aktualizacja z sierpnia 2018 r. nie jest zainstalowana, a środki łagodzące dla cve-2018-3620 nie są obecne.

Obsługa systemu operacyjnego Windows dla ochrony przed błędami terminalu L1 jest włączona: True

Mapuje na L1TFWindowsSupportEnabled. Ten wiersz informuje o tym, czy system operacyjny Windows jest w trybie ochrony przed błędem terminalu L1 (L1TF, CVE-2018-3620). Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2018-3620, wsparcie systemu operacyjnego Windows dla łagodzenia jest obecne, a łagodzenie jest włączone. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia.

Ustawienia kontroli spekulacji dla MDS [Próbkowanie danych mikroarchitektury]

Ta sekcja zawiera informacje o stanie systemu dla zestawu luk mds, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 i ADV220002.

Pomoc techniczna systemu operacyjnego Windows dotycząca łagodzenia mds jest obecna

Mapuje na MDSWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows jest dostępna pomoc techniczna dotycząca ograniczania próbkowania danych mikroarchitekturalnych (MDS). Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z maja 2019 r. i występuje ograniczenie mds. Jeśli jest fałszywa, aktualizacja z maja 2019 r. nie jest zainstalowana, a środki łagodzące dla usługi MDS nie są dostępne.

Sprzęt jest narażony na mds

Mapy do MDSHardwareVulnerable. Ta linia informuje, czy sprzęt jest narażony na zestaw luk luk w zabezpieczeniach (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia.

Obsługa systemu operacyjnego Windows w zakresie łagodzenia mds jest włączona

Mapuje do MDSWindowsSupportEnabled. W tym wierszu przedstawiono, czy w systemie operacyjnym Windows włączono funkcję mds (Microarchitectural Data Sampling, MDS, Microarchitectural Data Sampling). Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki w zabezpieczeniach MDS, jest dostępna obsługa systemu operacyjnego Windows w zakresie łagodzenia i jest włączone łagodzenie. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia.

Pomoc techniczna systemu operacyjnego Windows dla łagodzenia SBDR jest obecna

Mapuje na FBClearWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows jest dostępna obsługa łagodzenia skutków łagodnie systemu operacyjnego SBDR. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z czerwca 2022 r., a środki łagodzące dla SBDR są obecne. Jeśli jest fałszywa, aktualizacja z czerwca 2022 r. nie jest zainstalowana, a środki łagodzące dla SBDR nie są dostępne.

Sprzęt jest narażony na SBDR

Mapuje do SBDRSSDPHardwareVulnerable. Ta linia informuje, czy sprzęt jest narażony na zestaw luk luk (CVE-2022-21123) (SBDR [odczyt danych dotyczących buforów udostępnionych]). Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia.

Obsługa systemu operacyjnego Windows dla łagodzenia SBDR jest włączona

Mapuje na FBClearWindowsSupportEnabled. Ten wiersz informuje, czy jest włączona funkcja ochrony systemu operacyjnego Windows dla funkcji SBDR [odczyt danych buforów udostępnionych]. Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki w zabezpieczeniach SBDR, dostępna jest pomoc techniczna systemu Windows dla łagodzenia, a łagodzenie jest włączone. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia.

Pomoc techniczna systemu operacyjnego Windows dla łagodzenia FBSDP jest obecna

Mapuje na FBClearWindowsSupportPresent. Ten wiersz informuje, czy istnieje obsługa systemu operacyjnego Windows dla łagodzenia fbsdp systemu operacyjnego. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z czerwca 2022 r. i jest dostępna aktualizacja dotycząca ochrony przed FBSDP. Jeśli jest fałszywa, aktualizacja z czerwca 2022 r. nie jest zainstalowana, a środki łagodzące dla FBSDP nie są dostępne.

Sprzęt jest narażony na FBSDP

Mapuje do FBSDPHardwareVulnerable. Ta linia informuje o tym, czy sprzęt jest narażony na fbsdp [propagator buforu wypełniania] zestaw luk (CVE-2022-21125, CVE-2022-21127 i CVE-2022-21166). Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia.

Obsługa systemu operacyjnego Windows dla łagodzenia FBSDP jest włączona

Mapuje na FBClearWindowsSupportEnabled. Ten wiersz informuje, czy jest włączona funkcja propagatora danych FBSDP [fill buffer stale data propagator] systemu operacyjnego Windows. Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki w zabezpieczeniach FBSDP, dostępna jest pomoc techniczna systemu Windows dotycząca łagodzenia i jest włączona. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia.

Pomoc techniczna systemu operacyjnego Windows w zakresie łagodzenia psdp jest obecna

Mapuje na FBClearWindowsSupportPresent. Ten wiersz informuje o tym, czy istnieje obsługa systemu operacyjnego Windows dla łagodzenia skutków działania systemu operacyjnego PSDP. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z czerwca 2022 r., a środki łagodzące dla psdp są obecne. Jeśli jest fałszywa, aktualizacja z czerwca 2022 r. nie jest zainstalowana, a środki łagodzące dla PSDP nie są dostępne.

Sprzęt jest narażony na psdp

Mapy do PSDPHardwareVulnerable. Ten wiersz informuje, czy sprzęt jest narażony na zestaw luk psdp [podstawowy nieaktualne dane propagator]. Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia.

Obsługa systemu operacyjnego Windows w zakresie łagodzenia psdp jest włączona

Mapuje na FBClearWindowsSupportEnabled. Ten wiersz informuje, czy jest włączona funkcja łagodzenia skutków działania systemu operacyjnego Windows dla psdp [propagator nieaktualnych danych podstawowej]. Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki PSDP, wsparcie operacyjne systemu Windows dla łagodzenia jest obecne, a łagodzenie jest włączone. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia.

Klucz rejestru

Mapowania

FeatureSettingsOverride — bit 0

Mapowanie do — iniekcja celu rozgałęzienia — BTIWindowsSupportEnabled

FeatureSettingsOverride — bit 1

Mapowanie do — Obciążenie pamięci podręcznej nieuczciwych danych — VAShadowWindowsSupportEnabled