Applies ToWindows 11 Windows 10

Alterar data

Descrição da alteração

17 de julho de 2023

Adição de MMIO e descrições específicas dos valores de saída na secção "Saída que tem todas as mitigações ativadas"

Resumo

Para o ajudar a verificar o estado das mitigações do canal lateral de execução especulativa, publicámos um script do PowerShell (SpeculationControl) que pode ser executado nos seus dispositivos. Este artigo explica como executar o script SpeculationControl e o que significa a saída.

Os avisos de segurança ADV180002, ADV180012, ADV180018 e ADV190013 abrangem as seguintes nove vulnerabilidades:

  • CVE-2017-5715 (injeção de destino do ramo)

  • CVE-2017-5753 (desativação da verificação de limites)

    Nota A proteção para CVE-2017-5753 (verificação de limites) não requer definições de registo ou atualizações de firmware adicionais.  

  • CVE-2017-5754 (carregamento de cache de dados não autorizados)

  • CVE-2018-3639 (bypass especulativo da loja)

  • CVE-2018-3620 (Falha do terminal L1 – SO)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Amostragem de Dados da Memória Intermédia do Arquivo Microarchitectural (MSBDS))

  • CVE-2018-12127 (Amostragem de Dados da Porta de Carga Microarchitectural (MLPDS))

  • CVE-2018-12130 (Amostragem de Dados da Memória Intermédia de Preenchimento Microarchitectural (MFBDS))

O Aviso ADV220002 abrange vulnerabilidades adicionais relacionadas com Memory-Mapped E/S (MMIO):

  • CVE-2022-21123 | Leitura de Dados da Memória Intermédia Partilhada (SBDR)

  • CVE-2022-21125 | Amostragem de Dados de Memória Intermédia Partilhada (SBDS)

  • CVE-2022-21127 | Atualização especial da Amostragem de Dados da Memória Intermédia de Registos (Atualização SRBDS)

  • CVE-2022-21166 | Registo de Dispositivos de Escrita Parcial (DRPW)

Este artigo fornece detalhes sobre o script SpeculationControl PowerShell que ajuda a determinar o estado das mitigações para os CVEs listados que requerem definições de registo adicionais e, em alguns casos, atualizações de firmware.

Mais informações

SpeculationControl PowerShell script

Instale e execute o script SpeculationControl com um dos seguintes métodos.

Método 1: verificação do PowerShell com o Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1)

Instalar o módulo do PowerShell

PS> Install-Module SpeculationControl

Execute o módulo SpeculationControl PowerShell para verificar se as proteções estão ativadas

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Método 2: verificação do PowerShell com uma transferência do TechNet (versões anteriores do SO/versões anteriores do WMF)

Instalar o módulo do PowerShell a partir do TechNet ScriptCenter

  1. Aceda a https://aka.ms/SpeculationControlPS.

  2. Transfira SpeculationControl.zip para uma pasta local.

  3. Extraia os conteúdos para uma pasta local, por exemplo C:\ADV180002

Execute o módulo do PowerShell para verificar se as proteções estão ativadas

Inicie o PowerShell e, em seguida , (com o exemplo acima) copie e execute os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Saída do script do PowerShell

O resultado do script SpeculationControl PowerShell será semelhante ao seguinte resultado. As proteções ativadas aparecem na saída como "Verdadeiro".

PS C:\> Get-SpeculationControlSettings

Definições de controlo de especulação para CVE-2017-5715 [injeção de alvo de ramo]

O suporte de hardware para mitigação da injeção de destino do ramo está presente: Falso O suporte do SO Windows para mitigação da injeção de destino do ramo está presente: Verdadeiro O suporte do SO Windows para mitigação da injeção de destino do ramo está ativado: Falso O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado pela política de sistema: Verdadeiro O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado por ausência de suporte de hardware: Verdadeiro

Definições de controlo de especulação para CVE-2017-5754 [carga de cache de dados não autorizados]

O hardware é vulnerável a cargas de cache de dados não autorizados: Verdadeiro O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está presente: Verdadeiro O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está ativado: Verdadeiro O hardware requer sombra de VA de kernel: Verdadeiro O suporte do SO Windows para a sombra VA do kernel está presente: Falso O suporte do SO Windows para a sombra va de kernel está ativado: Falso O suporte do SO Windows para otimização de PCID está ativado: Falso Definições de controlo de especulação para CVE-2018-3639 [bypass especulativo da loja]

O hardware é vulnerável ao bypass especulativo da loja: Verdadeiro O suporte de hardware para mitigação de bypass de arquivo especulativo está presente: Falso O suporte do SO Windows para mitigação do bypass especulativo da loja está presente: Verdadeiro O suporte do SO Windows para mitigação de desativação do arquivo especulativo está ativado em todo o sistema: Falso

Definições de controlo de especulação para CVE-2018-3620 [Falha no terminal L1]

O hardware é vulnerável a uma falha do terminal L1: Verdadeiro O suporte do SO Windows para mitigação de falhas do terminal L1 está presente: Verdadeiro O suporte do SO Windows para mitigação de falhas do terminal L1 está ativado: Verdadeiro

Definições de controlo de especulação para o MDS [amostragem de dados microarchitecturais]

O suporte do SO Windows para mitigação do MDS está presente: Verdadeiro O hardware é vulnerável ao MDS: Verdadeiro O suporte do SO Windows para mitigação do MDS está ativado: Verdadeiro

Definições de controlo de especulação para SBDR [dados de memórias intermédias partilhadas lidos] 

O suporte do SO Windows para mitigação de SBDR está presente: Verdadeiro O hardware é vulnerável ao SBDR: Verdadeiro O suporte do SO Windows para mitigação do SBDR está ativado: Verdadeiro 

Definições de controlo de especulação para FBSDP [propagador de dados obsoletos da memória intermédia de preenchimento] O suporte do SO Windows para mitigação FBSDP está presente: Verdadeiro O hardware é vulnerável a FBSDP: Verdadeiro O suporte do SO Windows para mitigação FBSDP está ativado: Verdadeiro 

Definições de controlo de especulação para PSDP [propagador de dados obsoletos primários]

O suporte do SO Windows para mitigação PSDP está presente: Verdadeiro O hardware é vulnerável ao PSDP: Verdadeiro O suporte do SO Windows para mitigação PSDP está ativado: Verdadeiro

BTIHardwarePresent: Verdadeiro BTIWindowsSupportPresent: Verdadeiro BTIWindowsSupportEnabled: Verdadeiro BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: Verdadeiro BTIKernelImportOptimizationEnabled: Verdadeiro RdclHardwareProtectedReported: Verdadeiro RdclHardwareProtected: Falso KVAShadowRequired: Verdadeiro KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: Verdadeiro KVAShadowPcidEnabled: Verdadeiro SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: Verdadeiro SSBDHardwarePresent: Falso SSBDWindowsSupportEnabledSystemWide: Falso L1TFHardwareVulnerable: Verdadeiro L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: Verdadeiro L1TFInvalidPteBit: 45 L1DFlushSupported: Falso HvL1tfStatus Disponível: Verdadeiro HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: Verdadeiro MDSWindowsSupportEnabled: Verdadeiro FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: Verdadeiro FBSDPHardwareVulnerable: Verdadeiro PSDPHardwareVulnerable: Verdadeiro

Explicação da saída do script SpeculationControl PowerShell

A grelha de saída final mapeia para a saída das linhas anteriores. Isto é apresentado porque o PowerShell imprime o objeto que é devolvido por uma função. A tabela seguinte explica cada linha na saída do script do PowerShell.

Saída

Explicação

Definições de controlo de especulação para CVE-2017-5715 [injeção de alvo de ramo]

Esta secção fornece o estado do sistema para a variante 2, CVE-2017-5715, injeção de destino do ramo.

O suporte de hardware para mitigação da injeção de destino do ramo está presente

Mapeia para BTIHardwarePresent. Esta linha indica se as funcionalidades de hardware estão presentes para suportar a mitigação da injeção de destino do ramo. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pelos fabricantes da CPU. Se esta linha for Verdadeira, as funcionalidades de hardware necessárias estão presentes. Se a linha for Falso, as funcionalidades de hardware necessárias não estão presentes. Por conseguinte, a mitigação da injeção de destino do ramo não pode ser ativada.

Nota BTIHardwarePresent será Verdadeiro nas VMs convidadas se a atualização do OEM for aplicada ao anfitrião e a documentação de orientaçãofor seguida.

O suporte do SO Windows para mitigação da injeção de destino do ramo está presente

Mapeia para BTIWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows está presente para a mitigação da injeção de destino do ramo. Se for Verdadeiro, o sistema operativo suporta a ativação da mitigação da injeção de destino do ramo (pelo que instalou a atualização de janeiro de 2018). Se for Falso, a atualização de janeiro de 2018 não está instalada no dispositivo e a mitigação da injeção de destino do ramo não pode ser ativada.

Nota Se uma VM convidada não conseguir detetar a atualização de hardware do anfitrião, BTIWindowsSupportEnabled será sempre Falso.

O suporte do SO Windows para mitigação de injeção de destino do ramo está ativado

Mapeia para BTIWindowsSupportEnabled. Esta linha indica se o suporte do sistema operativo Windows está ativado para a mitigação da injeção de destino do ramo. Se for Verdadeiro, o suporte de hardware e o suporte do SO para a mitigação da injeção de destino do ramo estão ativados para o dispositivo, protegendo assim contra CVE-2017-5715. Se for Falso, uma das seguintes condições é verdadeira:

  • O suporte de hardware não está presente.

  • O suporte do SO não está presente.

  • A mitigação é desativada pela política de sistema.

O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado pela política de sistema

Mapeia para BTIDisabledBySystemPolicy. Esta linha indica se a mitigação da injeção de destino do ramo está desativada pela política de sistema (como uma política definida pelo administrador). A política de sistema refere-se aos controlos de registo, conforme documentado na atualização KB4072698. Se for Verdadeiro, a política de sistema é responsável por desativar a mitigação. Se for Falso, a mitigação será desativada por uma causa diferente.

O suporte do SO Windows para mitigação da injeção de destino do ramo está desativado por ausência de suporte de hardware

Mapeia para BTIDisabledByNoHardwareSupport. Esta linha indica se a mitigação da injeção de destino do ramo está desativada devido à ausência de suporte de hardware. Se for Verdadeiro, a ausência de suporte de hardware é responsável por desativar a mitigação. Se for Falso, a mitigação será desativada por uma causa diferente.

NotaSe uma VM convidada não conseguir detetar a atualização de hardware do anfitrião, BTIDisabledByNoHardwareSupport será sempre Verdadeiro.

Definições de controlo de especulação para CVE-2017-5754 [carga de cache de dados não autorizados]

Esta secção fornece o estado do sistema de resumo para a variante 3, CVE-2017-5754, carga de cache de dados não autorizado. A mitigação é conhecida como sombra de Endereço Virtual (VA) de kernel ou mitigação de carga da cache de dados não autorizados.

O hardware é vulnerável à carga da cache de dados não autorizados

Mapeia para RdclHardwareProtected. Esta linha indica se o hardware é vulnerável ao CVE-2017-5754. Se for Verdadeiro, acredita-se que o hardware seja vulnerável ao CVE-2017-5754. Se for Falso, sabe-se que o hardware não é vulnerável ao CVE-2017-5754.

O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está presente

Mapeia para KVAShadowWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a funcionalidade de sombra VA do kernel está presente.

O suporte do SO Windows para mitigação de carga da cache de dados não autorizado está ativado

Mapeia para KVAShadowWindowsSupportEnabled. Esta linha indica se a funcionalidade de sombra VA do kernel está ativada. Se for Verdadeiro, acredita-se que o hardware é vulnerável ao CVE-2017-5754, o suporte do sistema operativo Windows está presente e a funcionalidade está ativada.

O hardware requer sombra de VA de kernel

Mapeia para KVAShadowRequired. Esta linha indica se o seu sistema necessita de sombras de VA de kernel para mitigar uma vulnerabilidade.

O suporte do SO Windows para a sombra VA do kernel está presente

Mapeia para KVAShadowWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a funcionalidade de sombra VA do kernel está presente. Se for Verdadeiro, a atualização de janeiro de 2018 é instalada no dispositivo e a sombra VA do kernel é suportada. Se for Falso, a atualização de janeiro de 2018 não está instalada e o suporte de sombra va do kernel não existe.

O suporte do SO Windows para a sombra va de kernel está ativado

Mapeia para KVAShadowWindowsSupportEnabled. Esta linha indica se a funcionalidade de sombra VA do kernel está ativada. Se for Verdadeiro, o suporte do sistema operativo Windows está presente e a funcionalidade está ativada. A funcionalidade sombra VA do Kernel está atualmente ativada por predefinição nas versões de cliente do Windows e está desativada por predefinição em versões do Windows Server. Se for Falso, o suporte do sistema operativo Windows não está presente ou a funcionalidade não está ativada.

O suporte do SO Windows para otimização do desempenho do PCID está ativado

NotaO PCID não é necessário para segurança. Indica apenas se uma melhoria de desempenho está ativada. O PCID não é suportado com o Windows Server 2008 R2

Mapeia para KVAShadowPcidEnabled. Esta linha indica se está ativada uma otimização de desempenho adicional para a sombra VA do kernel. Se for Verdadeiro, a sombra VA do kernel está ativada, o suporte de hardware para PCID está presente e a otimização do PCID para a sombra VA do kernel está ativada. Se for Falso, o hardware ou o SO poderão não suportar PCID. Não é uma fraqueza de segurança para a otimização do PCID não ser ativada.

O suporte do SO Windows para a Desativação do Bypass da Loja Especulativa está presente

Mapeia para SSBDWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a Desativação de Bypass do Arquivo Especulativo está presente. Se for Verdadeiro, a atualização de janeiro de 2018 é instalada no dispositivo e a sombra VA do kernel é suportada. Se for Falso, a atualização de janeiro de 2018 não está instalada e o suporte de sombra va do kernel não existe.

O hardware requer a Desativação de Desativação do Arquivo Especulativo

Mapeia para SSBDHardwareVulnerablePresent. Esta linha indica se o hardware é vulnerável ao CVE-2018-3639. Se for Verdadeiro, acredita-se que o hardware seja vulnerável ao CVE-2018-3639. Se for Falso, sabe-se que o hardware não é vulnerável ao CVE-2018-3639.

O suporte de hardware para a Desativação de Desativação de Arquivo Especulativo está presente

Mapeia para SSBDHardwarePresent. Esta linha indica se as funcionalidades de hardware estão presentes para suportar a Desativação de Desativação do Arquivo Especulativo. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pela Intel. Se esta linha for Verdadeira, as funcionalidades de hardware necessárias estão presentes. Se a linha for Falso, as funcionalidades de hardware necessárias não estão presentes. Por conseguinte, não é possível ativar a Desativação do Bypass da Loja Especulativa.

Nota SSBDHardwarePresent será Verdadeiro nas VMs convidadas se a atualização do OEM for aplicada ao anfitrião.

O suporte do SO Windows para a Desativação de Bypass da Loja Especulativa está ativado

Mapeia para SSBDWindowsSupportEnabledSystemWide. Esta linha indica se a opção Desativar o Bypass da Loja Especulativa está ativada no sistema operativo Windows. Se for Verdadeiro, o suporte de hardware e suporte do SO para Disable de Bypass do Arquivo Especulativo está ativado para o dispositivo que impede a ocorrência de um Bypass de Arquivo Especulativo, eliminando assim completamente o risco de segurança. Se for Falso, uma das seguintes condições é verdadeira:

Definições de controlo de especulação para CVE-2018-3620 [Falha no terminal L1]

Esta secção fornece o estado do sistema de resumo para L1TF (sistema operativo) referido pelo CVE-2018-3620. Esta mitigação garante que os bits de moldura de página seguros são utilizados para entradas de tabelas de página não presentes ou inválidas.

Nota Esta secção não fornece um resumo do estado de mitigação para L1TF (VMM) referido pelo CVE-2018-3646.

O hardware é vulnerável a uma falha do terminal L1: Verdadeiro

Mapeia para L1TFHardwareVulnerable. Esta linha indica se o hardware está vulnerável a Uma Falha de Terminal L1 (L1TF, CVE-2018-3620). Se for Verdadeiro, acredita-se que o hardware seja vulnerável ao CVE-2018-3620. Se for Falso, sabe-se que o hardware não é vulnerável ao CVE-2018-3620.

O suporte do SO Windows para mitigação de falhas do terminal L1 está presente: Verdadeiro

Mapeia para L1TFWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo L1 Terminal Fault (L1TF) está presente. Se for Verdadeiro, a atualização de agosto de 2018 é instalada no dispositivo e a mitigação para CVE-2018-3620 está presente. Se for Falso, a atualização de agosto de 2018 não está instalada e a mitigação para CVE-2018-3620 não está presente.

O suporte do SO Windows para mitigação de falhas do terminal L1 está ativado: Verdadeiro

Mapeia para L1TFWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para a Falha do Terminal L1 (L1TF, CVE-2018-3620) está ativada. Se for Verdadeiro, acredita-se que o hardware está vulnerável ao CVE-2018-3620, o suporte do sistema operativo Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada.

Definições de controlo de especulação para o MDS [Amostragem de Dados Microarchitectural]

Esta secção fornece o estado do sistema para o conjunto de vulnerabilidades do MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e ADV220002.

O suporte do SO Windows para mitigação do MDS está presente

Mapeia para MDSWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo Amostragem de Dados Microarchitectural (MDS) está presente. Se for Verdadeiro, a atualização de maio de 2019 é instalada no dispositivo e a mitigação do MDS está presente. Se for Falso, a atualização de maio de 2019 não está instalada e a mitigação do MDS não está presente.

O hardware é vulnerável ao MDS

Mapeia para MDSHardwareVulnerable. Esta linha indica se o hardware é vulnerável ao conjunto de vulnerabilidades da Amostragem de Dados Microarchitectural (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável.

O suporte do SO Windows para mitigação do MDS está ativado

Mapeia para MDSWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para a Amostragem de Dados Microarchitectural (MDS) está ativada. Se for Verdadeiro, acredita-se que o hardware seja afetado pelas vulnerabilidades do MDS, o suporte do sistema operativo Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada.

O suporte do SO Windows para mitigação do SBDR está presente

Mapeia para FBClearWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo SBDR está presente. Se for Verdadeiro, a atualização de junho de 2022 é instalada no dispositivo e a mitigação do SBDR está presente. Se for Falso, a atualização de junho de 2022 não está instalada e a mitigação do SBDR não está presente.

O hardware é vulnerável ao SBDR

Mapeia para SBDRSSDPHardwareVulnerable. Esta linha indica se o hardware é vulnerável ao SBDR [dados de memórias intermédias partilhadas lidos] conjunto de vulnerabilidades (CVE-2022-21123). Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável.

O suporte do SO Windows para mitigação do SBDR está ativado

Mapeia para FBClearWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para SBDR [leitura de dados de memórias intermédias partilhadas] está ativada. Se for Verdadeiro, acredita-se que o hardware é afetado pelas vulnerabilidades do SBDR, o suporte operacional do Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada.

O suporte do SO Windows para mitigação FBSDP está presente

Mapeia para FBClearWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo FBSDP está presente. Se for Verdadeiro, a atualização de junho de 2022 é instalada no dispositivo e a mitigação para FBSDP está presente. Se for Falso, a atualização de junho de 2022 não está instalada e a mitigação para FBSDP não está presente.

O hardware é vulnerável a FBSDP

Mapeia para FBSDPHardwareVulnerable. Esta linha indica se o hardware está vulnerável a FBSDP [propagador de dados obsoletos da memória intermédia de preenchimento] conjunto de vulnerabilidades (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável.

O suporte do SO Windows para mitigação FBSDP está ativado

Mapeia para FBClearWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para FBSDP [propagador de dados obsoletos da memória intermédia de preenchimento] está ativada. Se for Verdadeiro, acredita-se que o hardware é afetado pelas vulnerabilidades FBSDP, o suporte operacional do Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada.

O suporte do SO Windows para mitigação PSDP está presente

Mapeia para FBClearWindowsSupportPresent. Esta linha indica se o suporte do sistema operativo Windows para a mitigação do sistema operativo PSDP está presente. Se for Verdadeiro, a atualização de junho de 2022 é instalada no dispositivo e a mitigação para PSDP está presente. Se for Falso, a atualização de junho de 2022 não está instalada e a mitigação para PSDP não está presente.

O hardware é vulnerável ao PSDP

Mapeia para PSDPHardwareVulnerable. Esta linha indica se o hardware é vulnerável ao conjunto de vulnerabilidades PSDP [propagador de dados obsoletos primários]. Se for Verdadeiro, acredita-se que o hardware seja afetado por estas vulnerabilidades. Se for Falso, sabe-se que o hardware não está vulnerável.

O suporte do SO Windows para mitigação PSDP está ativado

Mapeia para FBClearWindowsSupportEnabled. Esta linha indica se a mitigação do sistema operativo Windows para PSDP [propagador de dados obsoletos primários] está ativada. Se for Verdadeiro, acredita-se que o hardware é afetado pelas vulnerabilidades do PSDP, o suporte operacional do Windows para a mitigação está presente e a mitigação está ativada. Se for Falso, o hardware não está vulnerável, o suporte do sistema operativo Windows não está presente ou a mitigação não está ativada.

Saída que tem todas as mitigações ativadas

O resultado seguinte é esperado para um dispositivo que tenha todas as mitigações ativadas, juntamente com o que é necessário para satisfazer cada condição.

BTIHardwarePresent: True -> atualização do OEM BIOS/firmware aplicada BTIWindowsSupportPresent: True -> atualização de janeiro de 2018 instalada BTIWindowsSupportEnabled: True -> no cliente, nenhuma ação necessária. No servidor, siga as orientações.BTIDisabledBySystemPolicy: False -> garantir que não está desativado pela política.BTIDisabledByNoHardwareSupport: Falso -> garantir que a atualização do OEM BIOS/firmware é aplicada.BTIKernelRetpolineEnabled: Falso BTIKernelImportOptimizationEnabled: Verdadeiro KVAShadowRequired: True ou False -> nenhuma ação, esta é uma função da CPU que o computador utiliza Se KVAShadowRequired for Verdadeiro KVAShadowWindowsSupportPresent: True -> instalar atualização de janeiro de 2018 KVAShadowWindowsSupportEnabled: True -> no cliente, nenhuma ação necessária. No servidor, siga as orientações.KVAShadowPcidEnabled: True ou False -> nenhuma ação, esta é uma função da CPU que o computador utiliza

Se SSBDHardwareVulnerablePresent for Verdadeiro SSBDWindowsSupportPresent: True -> instalar atualizações do Windows conforme documentado em ADV180012 SSBDHardwarePresent: True -> instalar o BIOS/atualização de firmware com suporte para SSBD a partir do OEM do dispositivo SSBDWindowsSupportEnabledSystemWide: True -> siga as ações recomendadas para ativar o SSBD

Se L1TFHardwareVulnerable for Verdadeiro L1TFWindowsSupportPresent: True -> instalar atualizações do Windows conforme documentado em ADV180018 L1TFWindowsSupportEnabled: True -> seguir as ações descritas em ADV180018 para o Windows Server ou o Cliente, conforme adequado para ativar a mitigação L1TFInvalidPteBit: 0 L1DFlushSupported: Verdadeiro MDSWindowsSupportPresent: True -> instalar atualização de junho de 2022 MDSHardwareVulnerable: Sabe-se que o hardware false -> não está vulnerável MDSWindowsSupportEnabled: a mitigação true -> para a Amostragem de Dados Microarchitectural (MDS) está ativada FBClearWindowsSupportPresent: True -> instalar atualização de junho de 2022 SBDRSSDPHardwareVulnerable: Acredita-se que o hardware true -> seja afetado por estas vulnerabilidades FBSDPHardwareVulnerable: Acredita-se que o hardware true -> seja afetado por estas vulnerabilidades PSDPHardwareVulnerable: Acredita-se que o hardware true -> seja afetado por estas vulnerabilidades FBClearWindowsSupportEnabled: True -> Representa a ativação de mitigação para SBDR/FBSDP/PSDP. Confirme que o OEM BIOS/firmware está atualizado, FBClearWindowsSupportPresent é Verdadeiro, mitigações ativadas conforme descrito em ADV220002 e KVAShadowWindowsSupportEnabled é Verdadeiro.

Registo

A tabela seguinte mapeia a saída para as chaves de registo abrangidas na atualização KB4072698: Orientações do Windows Server e do Azure Stack HCI para proteger contra vulnerabilidades do canal lateral de execução especulativa e microarquitectural baseadas em silicone.

Chave do registo

Mapeamento

FeatureSettingsOverride – Bit 0

Mapas para – Injeção de destino do ramo – BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Mapas para – Carga de cache de dados não autorizados – VAShadowWindowsSupportEnabled

Referências

Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.