Modificare dată |
Descrierea modificării |
---|---|
17 iulie 2023 |
S-au adăugat MMIO și descrieri specifice ale valorilor de ieșire în secțiunea "Ieșire care are activate toate atenuările" |
Rezumat
Pentru a vă ajuta să verificați starea atenuării canalului lateral cu execuție speculativă, am publicat un script PowerShell (SpeculationControl) care poate rula pe dispozitivele dvs. Acest articol vă arată cum să rulați scriptul SpeculationControl și ce înseamnă rezultatul.
Recomandările de securitate ADV180002, ADV180012, ADV180018 și ADV190013 acoperă următoarele nouă vulnerabilități:
-
CVE-2017-5715 (injectare țintă ramură)
-
CVE-2017-5753 (ocolire verificare limite)
Notă Protecția pentru CVE-2017-5753 (verificarea limitelor) nu necesită setări de registry sau actualizări de firmware suplimentare.
-
CVE-2017-5754 (încărcare cache de date false)
-
CVE-2018-3639 (ocolire store speculativă)
-
CVE-2018-3620 (defecțiune terminal L1 – sistem de operare)
-
CVE-2018-11091 (Eșantionare date microarchitecturală Memorie nechecheabilă (MDSUM))
-
CVE-2018-12126 (Eșantionare date tampon depozit microarchitectural (MSBDS))
-
CVE-2018-12127 (Eșantionarea datelor portului de încărcare microarchitectural (MLPDS))
-
CVE-2018-12130 (Eșantionare date tampon de umplere microarchitecturală (MFBDS))
Sfatul ADV220002 descrie vulnerabilitățile suplimentare legate de I/O (MMIO) Memory-Mapped:
-
CVE-2022-21123 | Date tampon partajate citite (SBDR)
-
CVE-2022-21125 | Eșantionare date tampon partajate (SBDS)
-
CVE-2022-21127 | Actualizare specială de eșantionare a datelor tampon (actualizare SRBDS)
-
CVE-2022-21166 | Înregistrare dispozitiv scriere parțială (DRPW)
Acest articol oferă detalii despre scriptul SpeculationControl PowerShell care ajută la determinarea stării atenuării pentru CV-urile listate care necesită setări de registry suplimentare și, în unele cazuri, actualizări de firmware.
Mai multe informații
Script SpeculationControl PowerShell
Instalați și rulați scriptul SpeculationControl utilizând una dintre următoarele metode.
Metoda 1: Verificarea PowerShell utilizând Galeria PowerShell (Windows Server 2016 sau WMF 5.0/5.1) |
Instalarea modulului PowerShell PS> Install-Module SpeculationControl Rulați modulul SpeculationControl PowerShell pentru a verifica dacă sunt activate protecțiile PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metoda 2: Verificarea PowerShell utilizând o descărcare de la TechNet (versiunile anterioare ale sistemului de operare/versiunile WMF mai vechi) |
Instalarea modulului PowerShell din TechNet ScriptCenter
Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile Porniți PowerShell, apoi (utilizând exemplul de mai sus) copiați și rulați următoarele comenzi: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Ieșire script PowerShell
Rezultatul scriptului SpeculationControl PowerShell va semăna cu următoarea ieșire. Protecțiile activate apar în ieșire ca "Adevărat".
PS C:\> Get-SpeculationControlSettings
Setări de control al speculațiilor pentru CVE-2017-5715 [injectare țintă ramură]
Suportul hardware pentru atenuarea injectare țintă ramificație este prezent: False
Este prezent suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură: Adevărat Este activat suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură: False Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin politica de sistem: True Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin absența suportului pentru hardware: TrueSetări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date rogue]
Hardware-ul este vulnerabil la încărcarea memoriei cache de date necinstite: Adevărat
Suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date false este prezent: True Suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date false este activat: True Hardware-ul necesită umbrire VA kernel: True Este prezent suportul sistemului de operare Windows pentru umbra VA kernel: False Suportul sistemului de operare Windows pentru umbra VA a kernelului este activat: False Suportul sistemului de operare Windows pentru optimizarea PCID este activat: False Setări de control al speculațiilor pentru CVE-2018-3639 [ocolire store speculativă]Hardware-ul este vulnerabil la ocolirea store speculativă: True
Este prezentă asistența hardware pentru atenuarea ocolirii store speculative: False Este prezent suportul sistemului de operare Windows pentru atenuarea ocolirii store speculative: Adevărat Suportul sistemului de operare Windows pentru atenuarea ocolirii store speculative este activat la nivel de sistem: FalseSetări de control al speculațiilor pentru CVE-2018-3620 [eroare terminal L1]
Hardware-ul este vulnerabil la eroarea terminal L1: True
Este prezent suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True Este activat suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: TrueSetările de control al speculațiilor pentru MDS [eșantionarea datelor microarchitectural]
Este prezent suportul sistemului de operare Windows pentru atenuarea MDS: True
Hardware-ul este vulnerabil la MDS: True Suportul sistemului de operare Windows pentru atenuarea MDS este activat: TrueSetări de control al speculațiilor pentru SBDR [date tampoane partajate citite]
Este prezent suportul sistemului de operare Windows pentru atenuarea SBDR: True
Hardware-ul este vulnerabil la SBDR: True Este activat suportul sistemului de operare Windows pentru atenuarea SBDR: TrueSetări de control al speculațiilor pentru FBSDP [propagare date de umplere tampon învechit]
Este prezent suportul sistemului de operare Windows pentru atenuarea FBSDP: True Hardware-ul este vulnerabil la FBSDP: True Suportul pentru sistemul de operare Windows pentru atenuarea FBSDP este activat: TrueSetările de control al speculațiilor pentru PSDP [propagator principal de date învechite]
Este prezent suportul sistemului de operare Windows pentru atenuarea PSDP: True
Hardware-ul este vulnerabil în fața PSDP: True Suportul pentru sistemul de operare Windows pentru atenuarea PSDP este activat: TrueBTIHardwarePresent: Adevărat
BTIWindowsSupportPresent: Adevărat BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: Fals BTIKernelRetpolineEnabled: Adevărat BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: Fals KVAShadowRequired: Adevărat KVAShadowWindowsSupportPresent: Adevărat KVAShadowWindowsSupportEnabled: Adevărat KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: Adevărat SSBDHardwareVulnerable: Adevărat SSBDHardwarePresent: Fals SSBDWindowsSupportEnabledSystemWide: Fals L1TFHardwareVulnerable: Adevărat L1TFWindowsSupportPresent: Adevărat L1TFWindowsSupportEnabled: Adevărat L1TFInvalidPteBit: 45 L1DFlushSupported: Fals HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: Adevărat MDSHardwareVulnerable: Adevărat MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: Adevărat SBDRSSDPHardwareVulnerable: Adevărat FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueExplicarea ieșirii scriptului PowerShell SpeculationControl
Grila finală de ieșire se mapează la ieșirea liniilor precedente. Acest lucru apare deoarece PowerShell imprimă obiectul returnat de o funcție. Următorul tabel explică fiecare linie din ieșirea scriptului PowerShell.
Ieşire |
Explicaţie |
Setări de control al speculațiilor pentru CVE-2017-5715 [injectare țintă ramură] |
Această secțiune oferă starea sistemului pentru varianta 2, CVE-2017-5715, injectare țintă ramură. |
Este prezent suportul hardware pentru atenuarea injectare țintă pentru ramură |
Hărți la BTIHardwarePresent. Această linie vă spune dacă sunt prezente caracteristici hardware pentru a accepta atenuarea injectare țintă pentru ramură. Producătorul OEM al dispozitivului este responsabil pentru furnizarea BIOS-ului/firmware-ului actualizat care conține microcodul furnizat de producătorii de procesoare. Dacă această linie este True, sunt prezente caracteristicile hardware necesare. Dacă linia este False (Fals), caracteristicile hardware necesare nu sunt prezente. Prin urmare, atenuarea injectare țintă ramură nu poate fi activată. Notă BTIHardwarePresent va fi True în mașinile virtuale invitat dacă actualizarea OEM se aplică gazdei și sunt urmate instrucțiunile. |
Este prezent suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură |
Hărți la BTIWindowsSupportPresent. Această linie vă spune dacă este prezent suportul pentru sistemul de operare Windows pentru atenuarea injectare țintă pentru ramură. Dacă este Adevărat, sistemul de operare acceptă activarea atenuării injectare țintă pentru ramură (și, prin urmare, a instalat actualizarea din ianuarie 2018). Dacă este False (Fals), actualizarea din ianuarie 2018 nu este instalată pe dispozitiv și atenuarea injectare țintă pentru ramură nu poate fi activată. Notă Dacă o mașină virtuală invitat nu poate detecta actualizarea hardware a gazdei, BTIWindowsSupportEnabled va fi întotdeauna False. |
Este activat suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură |
Hărți la BTIWindowsSupportEnabled. Această linie vă spune dacă este activată asistența pentru sistemul de operare Windows pentru atenuarea injectare țintă pentru ramură. Dacă este Adevărat, suportul pentru hardware și suportul pentru sistemul de operare pentru atenuarea injectare țintă pentru ramură sunt activate pentru dispozitiv, protejând astfel împotriva CVE-2017-5715. Dacă este False (Fals), una dintre următoarele condiții este adevărată:
|
Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin politica de sistem |
Hărți la BTIDisabledBySystemPolicy. Această linie vă spune dacă atenuarea injectare țintă pentru ramură este dezactivată prin politica de sistem (cum ar fi o politică definită de administrator). Politica de sistem se referă la controalele de registry, după cum este documentat în KB4072698. Dacă este Adevărat, politica de sistem este responsabilă de dezactivarea atenuării. Dacă este False (Fals), atenuarea este dezactivată din altă cauză. |
Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin absența suportului pentru hardware |
Hărți la BTIDisabledByNoHardwareSupport. Această linie vă spune dacă atenuarea injectare țintă pentru ramură este dezactivată din cauza absenței suportului pentru hardware. Dacă este Adevărat, absența asistenței pentru hardware este responsabilă pentru dezactivarea atenuării. Dacă este False (Fals), atenuarea este dezactivată din altă cauză. NotăDacă o mașină virtuală invitat nu poate detecta actualizarea de hardware gazdă, BTIDisabledByNoHardwareSupport va fi întotdeauna True. |
Setări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date rogue] |
Această secțiune oferă starea sistemului de rezumare pentru varianta 3, CVE-2017-5754, încărcare cache de date rogue. Atenuarea pentru aceasta se numește umbră a adresei virtuale (VA) kernel sau atenuarea încărcării cache-ului de date false. |
Hardware-ul este vulnerabil la încărcarea memoriei cache de date false |
Hărți la RdclHardwareProtected. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2017-5754. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2017-5754. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2017-5754. |
Este prezent suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date necinstite |
Hărți la KVAShadowWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru caracteristica umbră VA kernel. |
Este activată asistența sistemului de operare Windows pentru atenuarea încărcării cache-ului de date necinstite |
Hărți la KVAShadowWindowsSupportEnabled. Această linie vă spune dacă este activată caracteristica umbră VA kernel. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2017-5754, este prezent suportul pentru sistemul de operare Windows și caracteristica este activată. |
Hardware-ul necesită umbrire VA kernel |
Hărți la KVAShadowRequired. Această linie vă spune dacă sistemul necesită umbrire VA kernel pentru a atenua o vulnerabilitate. |
Este prezent suportul sistemului de operare Windows pentru umbra VA a kernelului |
Hărți la KVAShadowWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru caracteristica umbră VA kernel. Dacă este Adevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar umbra VA a kernelului este acceptată. Dacă este False, actualizarea din ianuarie 2018 nu este instalată, iar suportul kernel umbră VA nu există. |
Suportul sistemului de operare Windows pentru umbra VA a kernelului este activat |
Hărți la KVAShadowWindowsSupportEnabled. Această linie vă spune dacă este activată caracteristica umbră VA kernel. Dacă este Adevărat, este prezentă asistența pentru sistemul de operare Windows și caracteristica este activată. Caracteristica Kernel VA shadow este activată în prezent în mod implicit în versiunile client de Windows și este dezactivată în mod implicit în versiunile de Windows Server. Dacă este false, suportul pentru sistemul de operare Windows nu este prezent sau caracteristica nu este activată. |
Este activat suportul sistemului de operare Windows pentru optimizarea performanței PCID NotăPCID nu este necesar pentru securitate. Indică doar dacă este activată o îmbunătățire a performanței. PCID nu este acceptat cu Windows Server 2008 R2 |
Hărți la KVAShadowPcidEnabled. Această linie vă spune dacă este activată o optimizare suplimentară a performanței pentru umbra VA kernel. Dacă este Adevărat, este activată umbra VA a kernelului, este prezent suportul hardware pentru PCID și este activată optimizarea PCID pentru umbra VA a kernelului. Dacă este False, este posibil ca hardware-ul sau sistemul de operare să nu accepte PCID. Nu este o slăbiciune de securitate pentru optimizarea PCID să nu fie activat. |
Este prezent suportul sistemului de operare Windows pentru dezactivarea ocolirii Store speculative |
Hărți la SSBDWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru dezactivarea ocolirii Store speculative. Dacă este Adevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar umbra VA a kernelului este acceptată. Dacă este False, actualizarea din ianuarie 2018 nu este instalată, iar suportul kernel umbră VA nu există. |
Hardware-ul necesită dezactivare ocolire Store speculativă |
Hărți la SSBDHardwareVulnerablePresent. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2018-3639. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3639. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2018-3639. |
Este prezent suportul hardware pentru dezactivarea ocolirii Store speculative |
Hărți la SSBDHardwarePresent. Această linie vă spune dacă caracteristicile hardware sunt prezente pentru a accepta dezactivarea ocolirii Store speculative. Producătorul OEM al dispozitivului este responsabil pentru furnizarea BIOS-ului/firmware-ului actualizat care conține microcodul furnizat de Intel. Dacă această linie este True, sunt prezente caracteristicile hardware necesare. Dacă linia este False (Fals), caracteristicile hardware necesare nu sunt prezente. Prin urmare, dezactivarea ocolirii Store speculative nu poate fi activată. Notă SSBDHardwarePresent va fi True în mașinile virtuale invitate dacă actualizarea OEM se aplică la gazdă. |
Suportul sistemului de operare Windows pentru dezactivarea ocolirii Store speculative este activat |
Hărți la SSBDWindowsSupportEnabledSystemWide. Această linie vă spune dacă dezactivarea ocolirii Store speculative este activată în sistemul de operare Windows. Dacă este Adevărat, suportul pentru hardware și suportul sistemului de operare pentru dezactivarea ocolirii Store speculative este activat pentru dispozitivul care previne apariția unei ocoliri store speculative, eliminând astfel complet riscul de securitate. Dacă este False (Fals), una dintre următoarele condiții este adevărată:
|
Setări de control al speculațiilor pentru CVE-2018-3620 [eroare terminal L1] |
Această secțiune oferă starea sistemului rezumat pentru L1TF (sistem de operare) la care face referire CVE-2018-3620. Această atenuare asigură faptul că sunt utilizați biți de cadru pagină siguri pentru intrările de tabel de pagină care nu sunt prezente sau nevalide. Notă Această secțiune nu oferă un rezumat al stării de atenuare pentru L1TF (VMM) la care face referire CVE-2018-3646. |
Hardware-ul este vulnerabil la eroarea terminal L1: True |
Hărți la L1TFHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la L1 Terminal Fault (L1TF, CVE-2018-3620). Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3620. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2018-3620. |
Este prezent suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True |
Hărți la L1TFWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru atenuarea sistemului de operare L1 Terminal Fault (L1TF). Dacă este Adevărat, actualizarea din august 2018 este instalată pe dispozitiv și este prezentă atenuarea pentru CVE-2018-3620 . Dacă este False (Fals), actualizarea din august 2018 nu este instalată și atenuarea pentru CVE-2018-3620 nu este prezentă. |
Este activat suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True |
Hărți la L1TFWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru L1 Terminal Fault (L1TF, CVE-2018-3620). Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3620, este prezent suportul sistemului de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Setări de control al speculațiilor pentru MDS [Eșantionare date microarchitecturală] |
Această secțiune oferă starea sistemului pentru setul de vulnerabilități MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 și ADV220002. |
Este prezent suportul sistemului de operare Windows pentru atenuarea MDS |
Mapează la MDSWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru atenuarea sistemului de operare Microarchitectural Data Sampling (MDS). Dacă este Adevărat, actualizarea din mai 2019 este instalată pe dispozitiv și este prezentă atenuarea pentru MDS. Dacă este false, actualizarea din mai 2019 nu este instalată și atenuarea pentru MDS nu este prezentă. |
Hardware-ul este vulnerabil în fața MDS |
Hărți la MDSHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități de eșantionare a datelor microarchitectural (MDS), (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea MDS |
Hărți la MDSWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru eșantionarea datelor microarchitectural (MDS). Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile MDS, este prezent suportul sistemului de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Este prezent suportul sistemului de operare Windows pentru atenuarea SBDR |
Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare SBDR. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru SBDR. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru SBDR nu este prezentă. |
Hardware-ul este vulnerabil la SBDR |
Hărți la SBDRSSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități SBDR [date tampon partajate citite] (CVE-2022-21123). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea SBDR |
Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru SBDR [date tampoane partajate citite]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile SBDR, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Este prezent suportul sistemului de operare Windows pentru atenuarea FBSDP |
Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare FBSDP. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru FBSDP. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru FBSDP nu este prezentă. |
Hardware-ul este vulnerabil la FBSDP |
Hărți la FBSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități (CVE-2022-21125, CVE-2022-2022-21127 și CVE-2022-21166). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea FBSDP |
Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru FBSDP [fill buffer stale data propagator]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile FBSDP, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Este prezent suportul sistemului de operare Windows pentru atenuarea PSDP |
Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare PSDP. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru PSDP. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru PSDP nu este prezentă. |
Hardware-ul este vulnerabil în fața PSDP |
Hărți la PSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități PSDP [propagator principal de date învechite]. Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea PSDP |
Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru PSDP [propagator de date vechi principal]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile PSDP, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Ieșire care are activate toate atenuările
Se așteaptă următoarea ieșire pentru un dispozitiv care are activate toate atenuările, împreună cu ceea ce este necesar pentru a satisface fiecare condiție.
BTIHardwarePresent: True -> actualizare BIOS/firmware OEM aplicatăinstrucțiunile. BTIDisabledBySystemPolicy: False -> asigurați-vă că politica nu este dezactivată. BTIDisabledByNoHardwareSupport: False -> asigurați-vă că se aplică actualizarea BIOS/firmware OEM. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True sau False -> nicio acțiune, aceasta este o funcție a procesorului pe care îl utilizează computerul Dacă KVAShadowRequired este Adevărat KVAShadowWindowsSupportPresent: Adevărat - > instalați actualizarea din ianuarie 2018 KVAShadowWindowsSupportEnabled: True -> pe client, nu este necesară nicio acțiune. Pe server, urmați instrucțiunile. KVAShadowPcidEnabled: True sau False - > nicio acțiune, aceasta este o funcție a procesorului utilizat de computer
BTIWindowsSupportPresent: Adevărat -> actualizarea din ianuarie 2018 instalată BTIWindowsSupportEnabled: Adevărat - > la client, nu este necesară nicio acțiune. Pe server, urmațiDacă SSBDHardwareVulnerablePresent este AdevăratADV180012 SSBDHardwarePresent: Adevărat - > instalați actualizarea BIOS/firmware cu suport pentru SSBD de pe dispozitivul dvs. OEM SSBDWindowsSupportEnabledSystemWide: True -> urmați acțiunile recomandate pentru a activa SSBD
SSBDWindowsSupportPresent: Adevărat - > instalați actualizările Windows, după cum este documentat înDacă L1TFHardwareVulnerable este TrueADV180018 L1TFWindowsSupportEnabled: True -> urmați acțiunile prezentate în ADV180018 pentru Windows Server sau Client, după cum este necesar, pentru a activa atenuarea L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: Adevărat -> instalați actualizarea din iunie 2022 MDSHardwareVulnerable: Se știe că hardware-ul False -> nu este vulnerabil MDSWindowsSupportEnabled: atenuarea Adevărat -> pentru eșantionarea datelor microarchitectural (MDS) este activată FBClearWindowsSupportPresent: Adevărat - > instalați actualizarea din iunie 2022 SBDRSSDPHardwareVulnerable: True -> hardware este considerat a fi afectat de aceste vulnerabilități FBSDPHardwareVulnerable: Se consideră că hardware-ul > adevărat este afectat de aceste vulnerabilități PSDPHardwareVulnerable: se consideră că hardware-ul > adevărat este afectat de aceste vulnerabilități FBClearWindowsSupportEnabled: True -> Reprezintă activarea atenuării pentru SBDR/FBSDP/PSDP. Asigurați-vă că BIOS/firmware OEM este actualizat, FBClearWindowsSupportPresent este True, atenuările activate după cum este descris în ADV220002 și KVAShadowWindowsSupportEnabled este Adevărat.
L1TFWindowsSupportPresent: Adevărat - > instalați actualizările Windows, după cum este documentat înRegistry
Următorul tabel mapează ieșirea la cheile de registry care sunt acoperite în KB4072698: Îndrumări windows Server și Azure Stack HCI pentru a vă proteja împotriva vulnerabilităților de canal lateral bazate pe microarchitectural și speculativ cu execuție speculativă.
Cheie de registry |
Cartografiere |
FeatureSettingsOverride - Bit 0 |
Hărți la - Injectare țintă ramură - BTIWindowsSupportEnabled |
FeatureSettingsOverride - Bit 1 |
Hărți la - Încărcare cache de date rogue - VAShadowWindowsSupportEnabled |
Referințe
Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.