Zmień datę |
Opis zmiany |
---|---|
17 lipca 2023 r. |
Dodano MMIO i szczegółowe opisy wartości wyjściowych w sekcji "Dane wyjściowe, dla których włączono wszystkie środki łagodzące" |
Podsumowanie
Aby pomóc w zweryfikowaniu stanu speculative execution side-channel mitigations, opublikowaliśmy skrypt programu PowerShell (SpeculationControl), który może działać na Twoich urządzeniach. W tym artykule wyjaśniono, jak uruchomić skrypt SpeculationControl i co oznacza wynik.
Porady dotyczące zabezpieczeń ADV180002, ADV180012, ADV180018 i ADV190013 obejmują dziewięć następujących luk w zabezpieczeniach:
-
CVE-2017-5715 (iniekcja celu gałęzi)
-
CVE-2017-5753 (obejście sprawdzania granic)
Uwaga Ochrona przed cve-2017-5753 (sprawdzanie granic) nie wymaga dodatkowych ustawień rejestru ani aktualizacji oprogramowania układowego.
-
CVE-2017-5754 (nieuczciwe obciążenie pamięci podręcznej danych)
-
CVE-2018-3639 (speculative store bypass)
-
CVE-2018-3620 (usterka terminalu L1 — system operacyjny)
-
CVE-2018-11091 (próbkowanie danych mikroarchitektury nienabywalną pamięcią (MDSUM))
-
CVE-2018-12126 (próbkowanie danych buforu magazynu mikroarchitektury (MSBDS))
-
CVE-2018-12127 (próbkowanie danych portów obciążenia mikroarchitectural (MLPDS))
-
CVE-2018-12130 (pobieranie danych buforu wypełniania mikroarchitektycznego (MFBDS))
Poradnik ADV220002 obejmuje dodatkowe luki w zabezpieczeniach związanych Memory-Mapped we/wy (MMIO):
-
CVE-2022-21123 | Odczyt danych buforu udostępnionego (SBDR)
-
CVE-2022-21125 | Pobieranie próbek danych buforu udostępnionego (SBDS)
-
CVE-2022-21127 | Specjalna aktualizacja próbkowania buforu rejestru (aktualizacja SRBDS)
-
CVE-2022-21166 | Częściowy zapis rejestru urządzeń (DRPW)
Ten artykuł zawiera szczegółowe informacje na temat skryptu Programu PowerShell SpeculationControl, który pomaga określić stan środków łagodzących dla wymienionych cve, które wymagają dodatkowych ustawień rejestru, a w niektórych przypadkach aktualizacji oprogramowania układowego.
Więcej informacji
Skrypt programu PowerShell SpeculationControl
Zainstaluj i uruchom skrypt SpeculationControl przy użyciu jednej z następujących metod.
Metoda 1. Weryfikacja programu PowerShell przy użyciu Galeria programu PowerShell (Windows Server 2016 lub WMF 5.0/5.1) |
Instalowanie modułu programu PowerShell PS> Install-Module SpeculationControl Uruchom moduł SpeculationControl PowerShell, aby sprawdzić, czy są włączone zabezpieczenia PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metoda 2. Weryfikacja programu PowerShell przy użyciu pobierania z witryny TechNet (wcześniejsze wersje systemu operacyjnego/wcześniejsze wersje WMF) |
Instalowanie modułu programu PowerShell z witryny TechNet ScriptCenter
Uruchamianie modułu programu PowerShell w celu sprawdzenia, czy są włączone zabezpieczenia Uruchom program PowerShell, a następnie (przy użyciu powyższego przykładu) skopiuj i uruchom następujące polecenia: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Dane wyjściowe skryptu programu PowerShell
Dane wyjściowe skryptu Programu PowerShell SpeculationControl będą przypominać następujące dane wyjściowe. Włączone zabezpieczenia są wyświetlane w wynikach jako "Prawda".
PS C:\> Get-SpeculationControlSettings
Ustawienia kontroli spekulacji dla CVE-2017-5715 [iniekcja celu gałęzi]
Obsługa sprzętu dla łagodzenia iniekcji celu rozgałęzienia jest obecna: Fałsz
Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest obecna: Prawda Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest włączona: False Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest wyłączona przez zasady systemu: True Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji celu rozgałęzienia jest wyłączona z powodu braku obsługi sprzętu: TrueUstawienia kontroli spekulacji dla CVE-2017-5754 [nieuczciwe ładowanie pamięci podręcznej danych]
Sprzęt jest narażony na nieuczciwe obciążenie pamięci podręcznej danych: Prawda
Obsługa systemu operacyjnego Windows dla nieuczciwych ograniczania obciążenia pamięci podręcznej danych jest obecna: True Obsługa systemu operacyjnego Windows dla nieuczciwych ograniczania obciążenia pamięci podręcznej danych jest włączona: True Sprzęt wymaga cieniowania jądra VA: True Obsługa funkcji va jądra systemu operacyjnego Windows jest dostępna: False Obsługa cienia funkcji VA jądra systemu operacyjnego Windows jest włączona: False Obsługa systemu operacyjnego Windows dla optymalizacji pcid jest włączona: False Ustawienia kontroli spekulacji dla CVE-2018-3639 [speculative store bypass]Sprzęt jest podatny na speculative obejście sklepu: Prawda
Obsługa sprzętu dla speculative store obejście jest obecna: Fałsz Pomoc techniczna systemu operacyjnego Windows dla speculative store obejście jest obecna: Prawda Obsługa systemów operacyjnych Windows dla speculative store bypass mitigation jest włączona w całym systemie: FalseUstawienia sterowania spekulacjami dla CVE-2018-3620 [błąd terminalu L1]
Sprzęt jest narażony na błąd terminalu L1: Prawda
Obsługa systemu operacyjnego Windows dla ochrony przed błędami terminalu L1 jest dostępna: Prawda Obsługa systemu operacyjnego Windows dla ochrony przed błędami terminalu L1 jest włączona: TrueUstawienia kontroli spekulacji dla MDS [próbkowanie danych mikroarchitektury]
Obsługa systemu operacyjnego Windows w zakresie łagodzenia mds jest obecna: Prawda
Sprzęt jest narażony na MDS: True Obsługa systemu operacyjnego Windows w zakresie łagodzenia mds jest włączona: TrueUstawienia kontrolek spekulacji dla SBDR [odczyt danych buforów udostępnionych]
Obsługa systemu operacyjnego Windows dla łagodzenia SBDR jest obecna: True
Sprzęt jest narażony na SBDR: True Obsługa systemu operacyjnego Windows dla łagodzenia SBDR jest włączona: TrueUstawienia kontrolek spekulacji dla FBSDP [propagator danych buforu wypełniania]
Obsługa systemu operacyjnego Windows dla łagodzenia FBSDP jest obecna: True Sprzęt jest narażony na FBSDP: True Obsługa systemu operacyjnego Windows dla łagodzenia FBSDP jest włączona: TrueUstawienia kontrolek spekulacji dla PSDP [podstawowy propagator nieaktualnych danych]
Obsługa systemu operacyjnego Windows w zakresie łagodzenia psdp jest obecna: Prawda
Sprzęt jest narażony na psdp: prawda Obsługa systemu operacyjnego Windows w zakresie łagodzenia psdp jest włączona: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: Prawda BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueObjaśnienie danych wyjściowych skryptu SpeculationControl PowerShell
Końcowa siatka wyjściowa jest mapowana na dane wyjściowe poprzednich linii. Jest tak, ponieważ program PowerShell drukuje obiekt zwracany przez funkcję. W poniższej tabeli objaśniane są poszczególne wiersze w wynikach skryptu programu PowerShell.
Wyjście |
Wyjaśnienie |
Ustawienia kontroli spekulacji dla CVE-2017-5715 [iniekcja celu gałęzi] |
Ta sekcja zawiera stan systemu dla wariantu 2, CVE-2017-5715, iniekcji celu rozgałęzienia. |
Wsparcie sprzętowe dla łagodzenia iniekcji celu rozgałęzienia jest obecna |
Mapuje do BTIHardwarePresent. Ten wiersz informuje, czy funkcje sprzętowe są obecne w celu obsługi łagodzenia iniekcji docelowej gałęzi. Producent OEM urządzenia odpowiada za udostępnienie zaktualizowanego systemu BIOS/oprogramowania układowego zawierającego mikrokod dostarczony przez producentów procesora. Jeśli ten wiersz ma wartość True, dostępne są wymagane funkcje sprzętowe. Jeśli wiersz ma wartość Fałsz, wymagane funkcje sprzętowe nie są dostępne. Dlatego nie można włączyć łagodzenia iniekcji docelowej gałęzi. Uwaga Funkcja BTIHardwarePresent będzie mieć wartość True w maszynach wirtualnych gości, jeśli aktualizacja OEM zostanie zastosowana do hosta i zostaną zastosowane wskazówki. |
Pomoc techniczna systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest obecna |
Mapy do BTIWindowsSupportPresent. Ten wiersz informuje, czy obsługa systemu operacyjnego Windows jest dostępna dla łagodzenia iniekcji docelowej gałęzi. Jeśli jest prawda, system operacyjny obsługuje włączanie łagodzenia iniekcji docelowej gałęzi (dlatego zainstalowano aktualizację ze stycznia 2018 r.). Jeśli jest fałszywy, aktualizacja ze stycznia 2018 r. nie jest zainstalowana na urządzeniu i nie można włączyć łagodzenia iniekcji docelowej gałęzi. Uwaga Jeśli maszyna wirtualna gościa nie może wykryć aktualizacji sprzętu hosta, funkcja BTIWindowsSupportEnabled zawsze będzie fałszywa. |
Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest włączona |
Mapy do BTIWindowsSupportEnabled. Ten wiersz informuje, czy obsługa systemu operacyjnego Windows jest włączona dla łagodzenia iniekcji docelowej gałęzi. Jeśli jest prawda, dla urządzenia włączona jest obsługa sprzętu i obsługa systemu operacyjnego dla celu iniekcji rozgałęzienia, chroniąc w ten sposób przed CVE-2017-5715. Jeśli jest fałszywy, spełniony jest jeden z następujących warunków:
|
Obsługa systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest wyłączona przez zasady systemu |
Mapuje do BTIDisabledBySystemPolicy. Ten wiersz informuje, czy łagodzenie iniekcji celu rozgałęzienia jest wyłączone przez zasady systemu (takie jak zasady zdefiniowane przez administratora). Zasady systemowe odwołują się do kontrolek rejestru, jak opisano w aktualizacji KB4072698. Jeśli jest prawda, zasady systemu są odpowiedzialne za wyłączenie łagodzenia. Jeśli jest fałszywy, łagodzenie jest wyłączone z innej przyczyny. |
Pomoc techniczna systemu operacyjnego Windows dla łagodzenia iniekcji docelowej gałęzi jest wyłączona z powodu braku obsługi sprzętu |
Mapy do BTIDisabledByNoHardwareSupport. Ta linia informuje, czy łagodzenie iniekcji celu rozgałęzienia jest wyłączone z powodu braku obsługi sprzętu. Jeśli jest prawda, brak obsługi sprzętu jest odpowiedzialny za wyłączenie łagodzenia. Jeśli jest fałszywy, łagodzenie jest wyłączone z innej przyczyny. UwagaJeśli maszyna wirtualna gościa nie może wykryć aktualizacji sprzętu hosta, btidisabledByNoHardwareSupport zawsze będzie mieć wartość True. |
Ustawienia kontroli spekulacji dla CVE-2017-5754 [nieuczciwe ładowanie pamięci podręcznej danych] |
Ta sekcja zawiera stan systemu podsumowania dla wariantu 3, CVE-2017-5754, nieuczciwe obciążenie pamięci podręcznej danych. Łagodzenia tego jest znana jako jądra Virtual Address (VA) cień lub nieuczciwych ograniczenia obciążenia pamięci podręcznej danych. |
Sprzęt jest narażony na nieuczciwe obciążenie pamięci podręcznej danych |
Mapuje do aplikacji RdclHardwareProtected. Ta linia informuje, czy sprzęt jest narażony na cve-2017-5754. Jeśli to prawda, uważa się, że sprzęt jest narażony na CVE-2017-5754. Jeśli jest fałszywy, wiadomo, że sprzęt nie jest narażony na CVE-2017-5754. |
Pomoc techniczna systemu operacyjnego Windows dla nieuczciwych ograniczenia obciążenia pamięci podręcznej danych jest obecna |
Mapuje na KVAShadowWindowsSupportPresent. Ten wiersz informuje, czy obsługa funkcji cienia jądra VA w systemie operacyjnym Windows jest dostępna. |
Obsługa systemu operacyjnego Windows w przypadku łagodżenia obciążenia pamięci podręcznej nieuczciwych danych jest włączona |
Mapy do KVAShadowWindowsSupportEnabled. Ten wiersz informuje, czy funkcja cienia jądra VA jest włączona. Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2017-5754, pomoc techniczna dla systemu operacyjnego Windows jest dostępna i ta funkcja jest włączona. |
Sprzęt wymaga cieniowania jądra VA |
Mapuje na KVAShadowRequired. Ten wiersz informuje, czy system wymaga cieniowania jądra VA w celu zminimalizowania luki w zabezpieczeniach. |
Obsługa jądra VA cienia systemu operacyjnego Windows jest obecna |
Mapuje na KVAShadowWindowsSupportPresent. Ten wiersz informuje, czy obsługa funkcji cienia jądra VA w systemie operacyjnym Windows jest dostępna. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja ze stycznia 2018 r. i jest obsługiwany cień jądra VA. Jeśli jest fałszywy, aktualizacja ze stycznia 2018 r. nie jest zainstalowana, a obsługa cienia jądra VA nie istnieje. |
Obsługa jądra va cienia systemu operacyjnego Windows jest włączona |
Mapy do KVAShadowWindowsSupportEnabled. Ten wiersz informuje, czy funkcja cienia jądra VA jest włączona. Jeśli jest prawda, obsługa systemu operacyjnego Windows jest dostępna i ta funkcja jest włączona. Funkcja cienia jądra VA jest obecnie domyślnie włączona w wersjach klienckich systemu Windows i jest domyślnie wyłączona w wersjach systemu Windows Server. Jeśli jest fałszywy, oznacza to, że obsługa systemu operacyjnego Windows nie jest dostępna lub funkcja nie jest włączona. |
Obsługa systemu operacyjnego Windows dla optymalizacji wydajności pcid jest włączona UwagaIdentyfikator PCID nie jest wymagany ze względów bezpieczeństwa. Wskazuje tylko, czy jest włączona poprawa wydajności. Funkcja PCID nie jest obsługiwana w systemie Windows Server 2008 R2 |
Mapuje na KVAShadowPcidEnabled. Ten wiersz informuje, czy włączono dodatkową optymalizację wydajności dla cienia jądra VA. Jeśli jest prawda, włączona jest funkcja cienia funkcji VA jądra, dostępna jest obsługa sprzętowa identyfikatora PCID i włączona jest optymalizacja identyfikatora PCID dla cienia jądra VA. Jeśli jest fałszywy, sprzęt lub system operacyjny może nie obsługiwać identyfikatora PCID. Nie jest to słabość zabezpieczeń dla optymalizacji PCID nie można włączyć. |
Obsługa systemów operacyjnych Windows dla speculative Store Bypass Disable jest obecna |
Mapy do SSBDWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows jest dostępna funkcja Speculative Store Bypass Disable. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja ze stycznia 2018 r. i jest obsługiwany cień jądra VA. Jeśli jest fałszywy, aktualizacja ze stycznia 2018 r. nie jest zainstalowana, a obsługa cienia jądra VA nie istnieje. |
Sprzęt wymaga wyłączenia speculative Store Bypass |
Mapy do SSBDHardwareVulnerablePresent. Ta linia informuje, czy sprzęt jest narażony na cve-2018-3639. Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2018-3639. Jeśli jest fałszywy, wiadomo, że sprzęt nie jest narażony na CVE-2018-3639. |
Obsługa sprzętu dla Speculative Store Bypass Disable jest dostępna |
Mapuje do SSBDHardwarePresent. Ten wiersz informuje, czy funkcje sprzętowe są obecne w celu obsługi speculative Store Bypass Disable. OEM urządzenia odpowiada za udostępnienie zaktualizowanego systemu BIOS/oprogramowania układowego zawierającego mikrokod dostarczony przez firmę Intel. Jeśli ten wiersz ma wartość True, dostępne są wymagane funkcje sprzętowe. Jeśli wiersz ma wartość Fałsz, wymagane funkcje sprzętowe nie są dostępne. W związku z tym speculative Store Bypass Disable nie można włączyć. Uwaga Jeśli aktualizacja OEM zostanie zastosowana do hosta, funkcja SSBDHardwarePresent będzie mieć wartość True w maszynach wirtualnych gości. |
Obsługa systemu operacyjnego Windows dla speculative Store Bypass Disable jest włączona |
Mapy do SSBDWindowsSupportEnabledSystemWide. Ten wiersz informuje, czy funkcja Speculative Store Bypass Disable jest włączona w systemie operacyjnym Windows. Jeśli jest prawda, obsługa sprzętu i obsługa systemu operacyjnego speculative Store Bypass Disable jest włączona dla urządzenia uniemożliwiającego wystąpienie speculative Store Bypass, co całkowicie eliminuje zagrożenie bezpieczeństwa. Jeśli jest fałszywy, spełniony jest jeden z następujących warunków:
|
Ustawienia sterowania spekulacjami dla CVE-2018-3620 [błąd terminalu L1] |
Ta sekcja zawiera podsumowanie stanu systemu L1TF (systemu operacyjnego), o którym mowa w cve-2018-3620. Dzięki temu można zagwarantować, że bity bezpiecznej ramki strony nie będą obecne lub nie będą dostępne nieprawidłowe pozycje tabeli stron. Uwaga Ta sekcja nie zawiera podsumowania stanu łagodzenia dla L1TF (VMM), do którego odwołuje się CVE-2018-3646. |
Sprzęt jest narażony na błąd terminalu L1: Prawda |
Mapy do L1TFHardwareVulnerable. Ta linia informuje o tym, czy sprzęt jest narażony na błąd terminalu L1 (L1TF, CVE-2018-3620). Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2018-3620. Jeśli jest fałszywy, wiadomo, że sprzęt nie jest narażony na CVE-2018-3620. |
Obsługa systemu operacyjnego Windows dla ochrony przed błędami terminalu L1 jest dostępna: Prawda |
Mapuje na L1TFWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows występuje pomoc techniczna dotycząca łagodzenia błędów systemu operacyjnego L1 Terminal Fault (L1TF). Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z sierpnia 2018 r., a środki łagodzące dla cve-2018-3620 są obecne. Jeśli jest fałszywa, aktualizacja z sierpnia 2018 r. nie jest zainstalowana, a środki łagodzące dla cve-2018-3620 nie są obecne. |
Obsługa systemu operacyjnego Windows dla ochrony przed błędami terminalu L1 jest włączona: True |
Mapuje na L1TFWindowsSupportEnabled. Ten wiersz informuje o tym, czy system operacyjny Windows jest w trybie ochrony przed błędem terminalu L1 (L1TF, CVE-2018-3620). Jeśli jest to prawda, uważa się, że sprzęt jest narażony na CVE-2018-3620, wsparcie systemu operacyjnego Windows dla łagodzenia jest obecne, a łagodzenie jest włączone. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia. |
Ustawienia kontroli spekulacji dla MDS [Próbkowanie danych mikroarchitektury] |
Ta sekcja zawiera informacje o stanie systemu dla zestawu luk mds, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 i ADV220002. |
Pomoc techniczna systemu operacyjnego Windows dotycząca łagodzenia mds jest obecna |
Mapuje na MDSWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows jest dostępna pomoc techniczna dotycząca ograniczania próbkowania danych mikroarchitekturalnych (MDS). Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z maja 2019 r. i występuje ograniczenie mds. Jeśli jest fałszywa, aktualizacja z maja 2019 r. nie jest zainstalowana, a środki łagodzące dla usługi MDS nie są dostępne. |
Sprzęt jest narażony na mds |
Mapy do MDSHardwareVulnerable. Ta linia informuje, czy sprzęt jest narażony na zestaw luk luk w zabezpieczeniach (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia. |
Obsługa systemu operacyjnego Windows w zakresie łagodzenia mds jest włączona |
Mapuje do MDSWindowsSupportEnabled. W tym wierszu przedstawiono, czy w systemie operacyjnym Windows włączono funkcję mds (Microarchitectural Data Sampling, MDS, Microarchitectural Data Sampling). Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki w zabezpieczeniach MDS, jest dostępna obsługa systemu operacyjnego Windows w zakresie łagodzenia i jest włączone łagodzenie. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia. |
Pomoc techniczna systemu operacyjnego Windows dla łagodzenia SBDR jest obecna |
Mapuje na FBClearWindowsSupportPresent. Ten wiersz informuje, czy w systemie operacyjnym Windows jest dostępna obsługa łagodzenia skutków łagodnie systemu operacyjnego SBDR. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z czerwca 2022 r., a środki łagodzące dla SBDR są obecne. Jeśli jest fałszywa, aktualizacja z czerwca 2022 r. nie jest zainstalowana, a środki łagodzące dla SBDR nie są dostępne. |
Sprzęt jest narażony na SBDR |
Mapuje do SBDRSSDPHardwareVulnerable. Ta linia informuje, czy sprzęt jest narażony na zestaw luk luk (CVE-2022-21123) (SBDR [odczyt danych dotyczących buforów udostępnionych]). Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia. |
Obsługa systemu operacyjnego Windows dla łagodzenia SBDR jest włączona |
Mapuje na FBClearWindowsSupportEnabled. Ten wiersz informuje, czy jest włączona funkcja ochrony systemu operacyjnego Windows dla funkcji SBDR [odczyt danych buforów udostępnionych]. Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki w zabezpieczeniach SBDR, dostępna jest pomoc techniczna systemu Windows dla łagodzenia, a łagodzenie jest włączone. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia. |
Pomoc techniczna systemu operacyjnego Windows dla łagodzenia FBSDP jest obecna |
Mapuje na FBClearWindowsSupportPresent. Ten wiersz informuje, czy istnieje obsługa systemu operacyjnego Windows dla łagodzenia fbsdp systemu operacyjnego. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z czerwca 2022 r. i jest dostępna aktualizacja dotycząca ochrony przed FBSDP. Jeśli jest fałszywa, aktualizacja z czerwca 2022 r. nie jest zainstalowana, a środki łagodzące dla FBSDP nie są dostępne. |
Sprzęt jest narażony na FBSDP |
Mapuje do FBSDPHardwareVulnerable. Ta linia informuje o tym, czy sprzęt jest narażony na fbsdp [propagator buforu wypełniania] zestaw luk (CVE-2022-21125, CVE-2022-21127 i CVE-2022-21166). Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia. |
Obsługa systemu operacyjnego Windows dla łagodzenia FBSDP jest włączona |
Mapuje na FBClearWindowsSupportEnabled. Ten wiersz informuje, czy jest włączona funkcja propagatora danych FBSDP [fill buffer stale data propagator] systemu operacyjnego Windows. Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki w zabezpieczeniach FBSDP, dostępna jest pomoc techniczna systemu Windows dotycząca łagodzenia i jest włączona. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia. |
Pomoc techniczna systemu operacyjnego Windows w zakresie łagodzenia psdp jest obecna |
Mapuje na FBClearWindowsSupportPresent. Ten wiersz informuje o tym, czy istnieje obsługa systemu operacyjnego Windows dla łagodzenia skutków działania systemu operacyjnego PSDP. Jeśli jest prawda, na urządzeniu jest zainstalowana aktualizacja z czerwca 2022 r., a środki łagodzące dla psdp są obecne. Jeśli jest fałszywa, aktualizacja z czerwca 2022 r. nie jest zainstalowana, a środki łagodzące dla PSDP nie są dostępne. |
Sprzęt jest narażony na psdp |
Mapy do PSDPHardwareVulnerable. Ten wiersz informuje, czy sprzęt jest narażony na zestaw luk psdp [podstawowy nieaktualne dane propagator]. Jeśli to prawda, uważa się, że te luki w sprzęcie mają wpływ. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest narażony na zagrożenia. |
Obsługa systemu operacyjnego Windows w zakresie łagodzenia psdp jest włączona |
Mapuje na FBClearWindowsSupportEnabled. Ten wiersz informuje, czy jest włączona funkcja łagodzenia skutków działania systemu operacyjnego Windows dla psdp [propagator nieaktualnych danych podstawowej]. Jeśli jest prawda, uważa się, że na sprzęt mają wpływ luki PSDP, wsparcie operacyjne systemu Windows dla łagodzenia jest obecne, a łagodzenie jest włączone. Jeśli jest fałszywy, oznacza to, że sprzęt nie jest podatny na zagrożenia, obsługa systemu operacyjnego Windows nie jest dostępna lub nie włączono łagodzenia. |
Dane wyjściowe, dla których włączono wszystkie środki łagodzące
Następujące dane wyjściowe są oczekiwane dla urządzenia, dla których włączono wszystkie środki łagodzące wraz z tym, co jest niezbędne do spełnienia każdego warunku.
BTIHardwarePresent: True -> zastosowanowskazówkami. BTIDisabledBySystemPolicy: False -> upewnij się, że zasady nie są wyłączone. BTIDisabledByNoHardwareSupport: False -> zapewnić stosowanie aktualizacji oprogramowania układowego systemu BIOS/oprogramowania układowego OEM. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True or False -> żadnej akcji, jest to funkcja procesora używanego przez komputer Jeśli KVAShadowRequired ma wartość True KVAShadowWindowsSupportPresent: True -> zainstaluj aktualizację ze stycznia 2018 r. KVAShadowWindowsSupportEnabled: True -> na kliencie, nie jest wymagane żadne działanie. Na serwerze postępuj zgodnie ze wskazówkami. KVAShadowPcidEnabled: True lub False -> żadnej akcji, jest to funkcja procesora używanego przez komputer
aktualizację systemu BIOS/oprogramowania układowego OEM BTIWindowsSupportPresent: True -> zainstalowana aktualizacja ze stycznia 2018 r. BTIWindowsSupportEnabled: True -> na kliencie, nie jest wymagane żadne działanie. Na serwerze postępuj zgodnie zeJeśli SSBDHardwareVulnerablePresent ma wartość TrueADV180012 SSBDHardwarePresent: True -> zainstalować aktualizację SYSTEMU BIOS/oprogramowania układowego z obsługą SSBD z urządzenia OEM SSBDWindowsSupportEnabledSystemWide: True -> postępuj zgodnie z zalecanymi akcjami , aby włączyć SSBD
SSBDWindowsSupportPresent: True -> instalowania aktualizacji systemu Windows zgodnie z dokumentem wJeśli L1TFHardwareVulnerable ma wartość TrueADV180018 L1TFWindowsSupportEnabled: True -> wykonaj czynności opisane w ADV180018 dla systemu Windows Server lub klienta odpowiednio do włączenia łagodzenia L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> instalacja aktualizacji z czerwca 2022 r. MDSHardwareVulnerable: False -> sprzęt jest znany nie jest podatny MDSWindowsSupportEnabled: True -> mitigation for Microarchitectural Data Sampling (MDS) is enabled FBClearWindowsSupportPresent: True -> instalacja aktualizacji z czerwca 2022 r. SBDRSSDPHardwareVulnerable: Uważa się, że te luki w zabezpieczeniach wpływają na sprzęt True -> FBSDPHardwareVulnerable: Uważa się, że te luki w zabezpieczeniach wpływają na sprzęt true-> PSDPHardwareVulnerable: Uważa się, że te luki w zabezpieczeniach mają wpływ na sprzęt true-> FBClearWindowsSupportEnabled: True -> reprezentuje włączenie łagodzenia dla SBDR/FBSDP/PSDP. Upewnij się, że system BIOS/oprogramowanie układowe OEM jest zaktualizowane, FBClearWindowsSupportPresent ma wartość True, a środki łagodzące włączone zgodnie z opisem w ADV220002 i KVAShadowWindowsSupportEnabled to Prawda.
L1TFWindowsSupportPresent: True -> instalowania aktualizacji systemu Windows zgodnie z dokumentem wRejestrze
W poniższej tabeli przedstawiono dane wyjściowe kluczy rejestru, które zostały omówione w aktualizacji KB4072698: Wskazówki dla systemów Windows Server i Azure Stack HCI dotyczące ochrony przed lukami mikroarchitectural i spekulacyjnymi wykonywaniami w kanałach bocznych.
Klucz rejestru |
Mapowania |
FeatureSettingsOverride — bit 0 |
Mapowanie do — iniekcja celu rozgałęzienia — BTIWindowsSupportEnabled |
FeatureSettingsOverride — bit 1 |
Mapowanie do — Obciążenie pamięci podręcznej nieuczciwych danych — VAShadowWindowsSupportEnabled |
Informacje pomocnicze
Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.