Alterar data |
Descrição da alteração |
---|---|
17 de julho de 2023 |
Adição de MMIO e descrições específicas dos valores de saída na secção "Saída que tem todas as mitigações ativadas" |
Resumo
Para o ajudar a verificar o estado das mitigações do canal lateral de execução especulativa, publicámos um script do PowerShell (SpeculationControl) que pode ser executado nos seus dispositivos. Este artigo explica como executar o script SpeculationControl e o que significa a saída.
Os avisos de segurança ADV180002, ADV180012, ADV180018 e ADV190013 abrangem as seguintes nove vulnerabilidades:
-
CVE-2017-5715 (injeção de destino do ramo)
-
CVE-2017-5753 (desativação da verificação de limites)
Nota A proteção para CVE-2017-5753 (verificação de limites) não requer definições de registo ou atualizações de firmware adicionais.
-
CVE-2017-5754 (carregamento de cache de dados não autorizados)
-
CVE-2018-3639 (bypass especulativo da loja)
-
CVE-2018-3620 (Falha do terminal L1 – SO)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Amostragem de Dados da Memória Intermédia do Arquivo Microarchitectural (MSBDS))
-
CVE-2018-12127 (Amostragem de Dados da Porta de Carga Microarchitectural (MLPDS))
-
CVE-2018-12130 (Amostragem de Dados da Memória Intermédia de Preenchimento Microarchitectural (MFBDS))
O Aviso ADV220002 abrange vulnerabilidades adicionais relacionadas com Memory-Mapped E/S (MMIO):
-
CVE-2022-21123 | Leitura de Dados da Memória Intermédia Partilhada (SBDR)
-
CVE-2022-21125 | Amostragem de Dados de Memória Intermédia Partilhada (SBDS)
-
CVE-2022-21127 | Atualização especial da Amostragem de Dados da Memória Intermédia de Registos (Atualização SRBDS)
-
CVE-2022-21166 | Registo de Dispositivos de Escrita Parcial (DRPW)
Este artigo fornece detalhes sobre o script SpeculationControl PowerShell que ajuda a determinar o estado das mitigações para os CVEs listados que requerem definições de registo adicionais e, em alguns casos, atualizações de firmware.
Mais informações
SpeculationControl PowerShell script
Instale e execute o script SpeculationControl com um dos seguintes métodos.
Método 1: verificação do PowerShell com o Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1) |
Instalar o módulo do PowerShell PS> Install-Module SpeculationControl Execute o módulo SpeculationControl PowerShell para verificar se as proteções estão ativadas PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Método 2: verificação do PowerShell com uma transferência do TechNet (versões anteriores do SO/versões anteriores do WMF) |
Instalar o módulo do PowerShell a partir do TechNet ScriptCenter
Execute o módulo do PowerShell para verificar se as proteções estão ativadas Inicie o PowerShell e, em seguida , (com o exemplo acima) copie e execute os seguintes comandos: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Saída do script do PowerShell
O resultado do script SpeculationControl PowerShell será semelhante ao seguinte resultado. As proteções ativadas aparecem na saída como "Verdadeiro".
PS C:\> Get-SpeculationControlSettings
Definições de controlo de especulação para CVE-2017-5715 [injeção de alvo de ramo]
O suporte de hardware para mitigação da injeção de destino do ramo está presente: Falso
O suporte do SO Windows para mitigação da injeção de destino do ramo está presente: Verdadeiro O suporte do SO Windows para mitigação da injeção de destino do ramo está ativado: Falso O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado pela política de sistema: Verdadeiro O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado por ausência de suporte de hardware: VerdadeiroDefinições de controlo de especulação para CVE-2017-5754 [carga de cache de dados não autorizados]
O hardware é vulnerável a cargas de cache de dados não autorizados: Verdadeiro
O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está presente: Verdadeiro O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está ativado: Verdadeiro O hardware requer sombra de VA de kernel: Verdadeiro O suporte do SO Windows para a sombra VA do kernel está presente: Falso O suporte do SO Windows para a sombra va de kernel está ativado: Falso O suporte do SO Windows para otimização de PCID está ativado: Falso Definições de controlo de especulação para CVE-2018-3639 [bypass especulativo da loja]O hardware é vulnerável ao bypass especulativo da loja: Verdadeiro
O suporte de hardware para mitigação de bypass de arquivo especulativo está presente: Falso O suporte do SO Windows para mitigação do bypass especulativo da loja está presente: Verdadeiro O suporte do SO Windows para mitigação de desativação do arquivo especulativo está ativado em todo o sistema: FalsoDefinições de controlo de especulação para CVE-2018-3620 [Falha no terminal L1]
O hardware é vulnerável a uma falha do terminal L1: Verdadeiro
O suporte do SO Windows para mitigação de falhas do terminal L1 está presente: Verdadeiro O suporte do SO Windows para mitigação de falhas do terminal L1 está ativado: VerdadeiroDefinições de controlo de especulação para o MDS [amostragem de dados microarchitecturais]
O suporte do SO Windows para mitigação do MDS está presente: Verdadeiro
O hardware é vulnerável ao MDS: Verdadeiro O suporte do SO Windows para mitigação do MDS está ativado: VerdadeiroDefinições de controlo de especulação para SBDR [dados de memórias intermédias partilhadas lidos]
O suporte do SO Windows para mitigação de SBDR está presente: Verdadeiro
O hardware é vulnerável ao SBDR: Verdadeiro O suporte do SO Windows para mitigação do SBDR está ativado: VerdadeiroDefinições de controlo de especulação para FBSDP [propagador de dados obsoletos da memória intermédia de preenchimento]
O suporte do SO Windows para mitigação FBSDP está presente: Verdadeiro O hardware é vulnerável a FBSDP: Verdadeiro O suporte do SO Windows para mitigação FBSDP está ativado: VerdadeiroDefinições de controlo de especulação para PSDP [propagador de dados obsoletos primários]
O suporte do SO Windows para mitigação PSDP está presente: Verdadeiro
O hardware é vulnerável ao PSDP: Verdadeiro O suporte do SO Windows para mitigação PSDP está ativado: VerdadeiroBTIHardwarePresent: Verdadeiro
BTIWindowsSupportPresent: Verdadeiro BTIWindowsSupportEnabled: Verdadeiro BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: Verdadeiro BTIKernelImportOptimizationEnabled: Verdadeiro RdclHardwareProtectedReported: Verdadeiro RdclHardwareProtected: Falso KVAShadowRequired: Verdadeiro KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: Verdadeiro KVAShadowPcidEnabled: Verdadeiro SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: Verdadeiro SSBDHardwarePresent: Falso SSBDWindowsSupportEnabledSystemWide: Falso L1TFHardwareVulnerable: Verdadeiro L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: Verdadeiro L1TFInvalidPteBit: 45 L1DFlushSupported: Falso HvL1tfStatus Disponível: Verdadeiro HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: Verdadeiro MDSWindowsSupportEnabled: Verdadeiro FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: Verdadeiro FBSDPHardwareVulnerable: Verdadeiro PSDPHardwareVulnerable: VerdadeiroExplicação da saída do script SpeculationControl PowerShell
A grelha de saída final mapeia para a saída das linhas anteriores. Isto é apresentado porque o PowerShell imprime o objeto que é devolvido por uma função. A tabela seguinte explica cada linha na saída do script do PowerShell.
Saída |
Explicação |
Definições de controlo de especulação para CVE-2017-5715 [injeção de alvo de ramo] |
Esta secção fornece o estado do sistema para a variante 2, CVE-2017-5715, injeção de destino do ramo. |
O suporte de hardware para mitigação da injeção de destino do ramo está presente |
Mapeia para BTIHardwarePresent. Esta linha indica se as funcionalidades de hardware estão presentes para suportar a mitigação da injeção de destino do ramo. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pelos fabricantes da CPU. Se esta linha for Verdadeira, as funcionalidades de hardware necessárias estão presentes. Se a linha for Falso, as funcionalidades de hardware necessárias não estão presentes. Por conseguinte, a mitigação da injeção de destino do ramo não pode ser ativada. Nota BTIHardwarePresent será Verdadeiro nas VMs convidadas se a atualização do OEM for aplicada ao anfitrião e a documentação de orientaçãofor seguida. |
O suporte do SO Windows para mitigação da injeção de destino do ramo está presente |
Mapeia para BTIWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows está presente para a mitigação da injeção de destino do ramo. Se for Verdadeiro, o sistema operativo suporta a ativação da mitigação da injeção de destino do ramo (pelo que instalou a atualização de janeiro de 2018). Se for Falso, a atualização de janeiro de 2018 não está instalada no dispositivo e a mitigação da injeção de destino do ramo não pode ser ativada. Nota Se uma VM convidada não conseguir detetar a atualização de hardware do anfitrião, BTIWindowsSupportEnabled será sempre Falso. |
O suporte do SO Windows para mitigação de injeção de destino do ramo está ativado |
Mapeia para BTIWindowsSupportEnabled. Esta linha indica se o suporte do sistema operativo Windows está ativado para a mitigação da injeção de destino do ramo. Se for Verdadeiro, o suporte de hardware e o suporte do SO para a mitigação da injeção de destino do ramo estão ativados para o dispositivo, protegendo assim contra CVE-2017-5715. Se for Falso, uma das seguintes condições é verdadeira:
|
O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado pela política de sistema |
Mapeia para BTIDisabledBySystemPolicy. Esta linha indica se a mitigação da injeção de destino do ramo está desativada pela política de sistema (como uma política definida pelo administrador). A política de sistema refere-se aos controlos de registo, conforme documentado na atualização KB4072698. Se for Verdadeiro, a política de sistema é responsável por desativar a mitigação. Se for Falso, a mitigação será desativada por uma causa diferente. |
O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado por ausência de suporte de hardware |
Mapeia para BTIDisabledByNoHardwareSupport. Esta linha indica se a mitigação da injeção de destino do ramo está desativada devido à ausência de suporte de hardware. Se for Verdadeiro, a ausência de suporte de hardware é responsável por desativar a mitigação. Se for Falso, a mitigação será desativada por uma causa diferente. NotaSe uma VM convidada não conseguir detetar a atualização de hardware do anfitrião, BTIDisabledByNoHardwareSupport será sempre Verdadeiro. |
Definições de controlo de especulação para CVE-2017-5754 [carga de cache de dados não autorizados] |
Esta secção fornece o estado do sistema de resumo para a variante 3, CVE-2017-5754, carga de cache de dados não autorizado. A mitigação é conhecida como sombra de Endereço Virtual (VA) de kernel ou mitigação de carga da cache de dados não autorizados. |
O hardware é vulnerável à carga da cache de dados não autorizados |
Mapeia para RdclHardwareProtected. Esta linha indica se o hardware é vulnerável ao CVE-2017-5754. Se for Verdadeiro, acredita-se que o hardware seja vulnerável ao CVE-2017-5754. Se for Falso, sabe-se que o hardware não é vulnerável ao CVE-2017-5754. |
O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está presente |
Mapeia para KVAShadowWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a funcionalidade de sombra VA do kernel está presente. |
O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está ativado |
Mapeia para KVAShadowWindowsSupportEnabled. Esta linha indica se a funcionalidade de sombra VA do kernel está ativada. Se for Verdadeiro, acredita-se que o hardware é vulnerável ao CVE-2017-5754, o suporte do sistema operativo Windows está presente e a funcionalidade está ativada. |
O hardware requer sombra de VA de kernel |
Mapeia para KVAShadowRequired. Esta linha indica se o seu sistema necessita de sombras de VA de kernel para mitigar uma vulnerabilidade. |
O suporte do SO Windows para a sombra VA do kernel está presente |
Mapeia para KVAShadowWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a funcionalidade de sombra VA do kernel está presente. Se for Verdadeiro, a atualização de janeiro de 2018 é instalada no dispositivo e a sombra VA do kernel é suportada. Se for Falso, a atualização de janeiro de 2018 não está instalada e o suporte de sombra va do kernel não existe. |
O suporte do SO Windows para a sombra va de kernel está ativado |
Mapeia para KVAShadowWindowsSupportEnabled. Esta linha indica se a funcionalidade de sombra VA do kernel está ativada. Se for Verdadeiro, o suporte do sistema operativo Windows está presente e a funcionalidade está ativada. A funcionalidade sombra VA do Kernel está atualmente ativada por predefinição nas versões de cliente do Windows e está desativada por predefinição em versões do Windows Server. Se for Falso, o suporte do sistema operativo Windows não está presente ou a funcionalidade não está ativada. |
O suporte do SO Windows para otimização do desempenho do PCID está ativado NotaO PCID não é necessário para segurança. Indica apenas se uma melhoria de desempenho está ativada. O PCID não é suportado com o Windows Server 2008 R2 |
Mapeia para KVAShadowPcidEnabled. Esta linha indica se está ativada uma otimização de desempenho adicional para a sombra VA do kernel. Se for Verdadeiro, a sombra VA do kernel está ativada, o suporte de hardware para PCID está presente e a otimização do PCID para a sombra VA do kernel está ativada. Se for Falso, o hardware ou o SO poderão não suportar PCID. Não é uma fraqueza de segurança para a otimização do PCID não ser ativada. |
O suporte do SO Windows para a Desativação do Bypass da Loja Especulativa está presente |
Mapeia para SSBDWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a Desativação de Bypass do Arquivo Especulativo está presente. Se for Verdadeiro, a atualização de janeiro de 2018 é instalada no dispositivo e a sombra VA do kernel é suportada. Se for Falso, a atualização de janeiro de 2018 não está instalada e o suporte de sombra va do kernel não existe. |
O hardware requer a Desativação de Desativação do Arquivo Especulativo |
Mapeia para SSBDHardwareVulnerablePresent. Esta linha indica se o hardware é vulnerável ao CVE-2018-3639. Se for Verdadeiro, acredita-se que o hardware seja vulnerável ao CVE-2018-3639. Se for Falso, sabe-se que o hardware não é vulnerável ao CVE-2018-3639. |
O suporte de hardware para a Desativação de Desativação de Arquivo Especulativo está presente |
Mapeia para SSBDHardwarePresent. Esta linha indica se as funcionalidades de hardware estão presentes para suportar a Desativação de Desativação do Arquivo Especulativo. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pela Intel. Se esta linha for Verdadeira, as funcionalidades de hardware necessárias estão presentes. Se a linha for Falso, as funcionalidades de hardware necessárias não estão presentes. Por conseguinte, não é possível ativar a Desativação do Bypass da Loja Especulativa. Nota SSBDHardwarePresent será Verdadeiro nas VMs convidadas se a atualização do OEM for aplicada ao anfitrião. |
O suporte do SO Windows para a Desativação de Bypass da Loja Especulativa está ativado |
Mapeia para SSBDWindowsSupportEnabledSystemWide. Esta linha indica se a opção Desativar o Bypass da Loja Especulativa está ativada no sistema operativo Windows. Se for Verdadeiro, o suporte de hardware e suporte do SO para Disable de Bypass do Arquivo Especulativo está ativado para o dispositivo que impede a ocorrência de um Bypass de Arquivo Especulativo, eliminando assim completamente o risco de segurança. Se for Falso, uma das seguintes condições é verdadeira:
|
Definições de controlo de especulação para CVE-2018-3620 [Falha no terminal L1] |
Esta secção fornece o estado do sistema de resumo para L1TF (sistema operativo) referido pelo CVE-2018-3620. Esta mitigação garante que os bits de moldura de página seguros são utilizados para entradas de tabelas de página não presentes ou inválidas. Nota Esta secção não fornece um resumo do estado de mitigação para L1TF (VMM) referido pelo CVE-2018-3646. |
O hardware é vulnerável a uma falha do terminal L1: Verdadeiro |
Mapeia para L1TFHardwareVulnerable. Esta linha indica se o hardware está vulnerável a Uma Falha de Terminal L1 (L1TF, CVE-2018-3620). Se for Verdadeiro, acredita-se que o hardware seja vulnerável ao CVE-2018-3620. Se for Falso, sabe-se que o hardware não é vulnerável ao CVE-2018-3620. |
O suporte do SO Windows para mitigação de falhas do terminal L1 está presente: Verdadeiro |
Mapeia para L1TFWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo L1 Terminal Fault (L1TF) está presente. Se for Verdadeiro, a atualização de agosto de 2018 é instalada no dispositivo e a mitigação para CVE-2018-3620 está presente. Se for Falso, a atualização de agosto de 2018 não está instalada e a mitigação para CVE-2018-3620 não está presente. |
O suporte do SO Windows para mitigação de falhas do terminal L1 está ativado: Verdadeiro |
Mapeia para L1TFWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para a Falha do Terminal L1 (L1TF, CVE-2018-3620) está ativada. Se for Verdadeiro, acredita-se que o hardware está vulnerável ao CVE-2018-3620, o suporte do sistema operativo Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada. |
Definições de controlo de especulação para o MDS [Amostragem de Dados Microarchitectural] |
Esta secção fornece o estado do sistema para o conjunto de vulnerabilidades do MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e ADV220002. |
O suporte do SO Windows para mitigação do MDS está presente |
Mapeia para MDSWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo Amostragem de Dados Microarchitectural (MDS) está presente. Se for Verdadeiro, a atualização de maio de 2019 é instalada no dispositivo e a mitigação do MDS está presente. Se for Falso, a atualização de maio de 2019 não está instalada e a mitigação do MDS não está presente. |
O hardware é vulnerável ao MDS |
Mapeia para MDSHardwareVulnerable. Esta linha indica se o hardware é vulnerável ao conjunto de vulnerabilidades da Amostragem de Dados Microarchitectural (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável. |
O suporte do SO Windows para mitigação do MDS está ativado |
Mapeia para MDSWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para a Amostragem de Dados Microarchitectural (MDS) está ativada. Se for Verdadeiro, acredita-se que o hardware seja afetado pelas vulnerabilidades do MDS, o suporte do sistema operativo Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada. |
O suporte do SO Windows para mitigação do SBDR está presente |
Mapeia para FBClearWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo SBDR está presente. Se for Verdadeiro, a atualização de junho de 2022 é instalada no dispositivo e a mitigação do SBDR está presente. Se for Falso, a atualização de junho de 2022 não está instalada e a mitigação do SBDR não está presente. |
O hardware é vulnerável ao SBDR |
Mapeia para SBDRSSDPHardwareVulnerable. Esta linha indica se o hardware é vulnerável ao SBDR [dados de memórias intermédias partilhadas lidos] conjunto de vulnerabilidades (CVE-2022-21123). Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável. |
O suporte do SO Windows para mitigação do SBDR está ativado |
Mapeia para FBClearWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para SBDR [leitura de dados de memórias intermédias partilhadas] está ativada. Se for Verdadeiro, acredita-se que o hardware é afetado pelas vulnerabilidades do SBDR, o suporte operacional do Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada. |
O suporte do SO Windows para mitigação FBSDP está presente |
Mapeia para FBClearWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo FBSDP está presente. Se for Verdadeiro, a atualização de junho de 2022 é instalada no dispositivo e a mitigação para FBSDP está presente. Se for Falso, a atualização de junho de 2022 não está instalada e a mitigação para FBSDP não está presente. |
O hardware é vulnerável a FBSDP |
Mapeia para FBSDPHardwareVulnerable. Esta linha indica se o hardware está vulnerável a FBSDP [propagador de dados obsoletos da memória intermédia de preenchimento] conjunto de vulnerabilidades (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável. |
O suporte do SO Windows para mitigação FBSDP está ativado |
Mapeia para FBClearWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para FBSDP [propagador de dados obsoletos da memória intermédia de preenchimento] está ativada. Se for Verdadeiro, acredita-se que o hardware é afetado pelas vulnerabilidades FBSDP, o suporte operacional do Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada. |
O suporte do SO Windows para mitigação PSDP está presente |
Mapeia para FBClearWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo PSDP está presente. Se for Verdadeiro, a atualização de junho de 2022 é instalada no dispositivo e a mitigação para PSDP está presente. Se for Falso, a atualização de junho de 2022 não está instalada e a mitigação para PSDP não está presente. |
O hardware é vulnerável ao PSDP |
Mapeia para PSDPHardwareVulnerable. Esta linha indica se o hardware é vulnerável ao conjunto de vulnerabilidades PSDP [propagador de dados obsoletos primários]. Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável. |
O suporte do SO Windows para mitigação PSDP está ativado |
Mapeia para FBClearWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para PSDP [propagador de dados obsoletos primários] está ativada. Se for Verdadeiro, acredita-se que o hardware é afetado pelas vulnerabilidades do PSDP, o suporte operacional do Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada. |
Saída que tem todas as mitigações ativadas
O resultado seguinte é esperado para um dispositivo que tenha todas as mitigações ativadas, juntamente com o que é necessário para satisfazer cada condição.
BTIHardwarePresent: True -> atualização do OEM BIOS/firmware aplicadaas orientações. BTIDisabledBySystemPolicy: False -> garantir que não está desativado pela política. BTIDisabledByNoHardwareSupport: Falso -> garantir que a atualização do OEM BIOS/firmware é aplicada. BTIKernelRetpolineEnabled: Falso BTIKernelImportOptimizationEnabled: Verdadeiro KVAShadowRequired: True ou False -> nenhuma ação, esta é uma função da CPU que o computador utiliza Se KVAShadowRequired for Verdadeiro KVAShadowWindowsSupportPresent: True -> instalar atualização de janeiro de 2018 KVAShadowWindowsSupportEnabled: True -> no cliente, nenhuma ação necessária. No servidor, siga as orientações. KVAShadowPcidEnabled: True ou False -> nenhuma ação, esta é uma função da CPU que o computador utiliza
BTIWindowsSupportPresent: True -> atualização de janeiro de 2018 instalada BTIWindowsSupportEnabled: True -> no cliente, nenhuma ação necessária. No servidor, sigaSe SSBDHardwareVulnerablePresent for VerdadeiroADV180012 SSBDHardwarePresent: True -> instalar o BIOS/atualização de firmware com suporte para SSBD a partir do OEM do dispositivo SSBDWindowsSupportEnabledSystemWide: True -> siga as ações recomendadas para ativar o SSBD
SSBDWindowsSupportPresent: True -> instalar atualizações do Windows conforme documentado emSe L1TFHardwareVulnerable for VerdadeiroADV180018 L1TFWindowsSupportEnabled: True -> seguir as ações descritas em ADV180018 para o Windows Server ou o Cliente, conforme adequado para ativar a mitigação L1TFInvalidPteBit: 0 L1DFlushSupported: Verdadeiro MDSWindowsSupportPresent: True -> instalar atualização de junho de 2022 MDSHardwareVulnerable: Sabe-se que o hardware false -> não está vulnerável MDSWindowsSupportEnabled: a mitigação true -> para a Amostragem de Dados Microarchitectural (MDS) está ativada FBClearWindowsSupportPresent: True -> instalar atualização de junho de 2022 SBDRSSDPHardwareVulnerable: Acredita-se que o hardware true -> seja afetado por estas vulnerabilidades FBSDPHardwareVulnerable: Acredita-se que o hardware true -> seja afetado por estas vulnerabilidades PSDPHardwareVulnerable: Acredita-se que o hardware true -> seja afetado por estas vulnerabilidades FBClearWindowsSupportEnabled: True -> Representa a ativação de mitigação para SBDR/FBSDP/PSDP. Confirme que o OEM BIOS/firmware está atualizado, FBClearWindowsSupportPresent é Verdadeiro, mitigações ativadas conforme descrito em ADV220002 e KVAShadowWindowsSupportEnabled é Verdadeiro.
L1TFWindowsSupportPresent: True -> instalar atualizações do Windows conforme documentado emRegisto
A tabela seguinte mapeia a saída para as chaves de registo abrangidas na atualização KB4072698: Orientações do Windows Server e do Azure Stack HCI para proteger contra vulnerabilidades do canal lateral de execução especulativa e microarquitectural baseadas em silicone.
Chave do registo |
Mapeamento |
FeatureSettingsOverride – Bit 0 |
Mapas para – Injeção de destino do ramo – BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Mapas para – Carga de cache de dados não autorizados – VAShadowWindowsSupportEnabled |
Referências
Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.