Applies ToWindows 11 Windows 10

Modificare dată

Descrierea modificării

17 iulie 2023

S-au adăugat MMIO și descrieri specifice ale valorilor de ieșire în secțiunea "Ieșire care are activate toate atenuările"

Rezumat

Pentru a vă ajuta să verificați starea atenuării canalului lateral cu execuție speculativă, am publicat un script PowerShell (SpeculationControl) care poate rula pe dispozitivele dvs. Acest articol vă arată cum să rulați scriptul SpeculationControl și ce înseamnă rezultatul.

Recomandările de securitate ADV180002, ADV180012, ADV180018 și ADV190013 acoperă următoarele nouă vulnerabilități:

  • CVE-2017-5715 (injectare țintă ramură)

  • CVE-2017-5753 (ocolire verificare limite)

    Notă Protecția pentru CVE-2017-5753 (verificarea limitelor) nu necesită setări de registry sau actualizări de firmware suplimentare.  

  • CVE-2017-5754 (încărcare cache de date false)

  • CVE-2018-3639 (ocolire store speculativă)

  • CVE-2018-3620 (defecțiune terminal L1 – sistem de operare)

  • CVE-2018-11091 (Eșantionare date microarchitecturală Memorie nechecheabilă (MDSUM))

  • CVE-2018-12126 (Eșantionare date tampon depozit microarchitectural (MSBDS))

  • CVE-2018-12127 (Eșantionarea datelor portului de încărcare microarchitectural (MLPDS))

  • CVE-2018-12130 (Eșantionare date tampon de umplere microarchitecturală (MFBDS))

Sfatul ADV220002 descrie vulnerabilitățile suplimentare legate de I/O (MMIO) Memory-Mapped:

  • CVE-2022-21123 | Date tampon partajate citite (SBDR)

  • CVE-2022-21125 | Eșantionare date tampon partajate (SBDS)

  • CVE-2022-21127 | Actualizare specială de eșantionare a datelor tampon (actualizare SRBDS)

  • CVE-2022-21166 | Înregistrare dispozitiv scriere parțială (DRPW)

Acest articol oferă detalii despre scriptul SpeculationControl PowerShell care ajută la determinarea stării atenuării pentru CV-urile listate care necesită setări de registry suplimentare și, în unele cazuri, actualizări de firmware.

Mai multe informații

Script SpeculationControl PowerShell

Instalați și rulați scriptul SpeculationControl utilizând una dintre următoarele metode.

Metoda 1: Verificarea PowerShell utilizând Galeria PowerShell (Windows Server 2016 sau WMF 5.0/5.1)

Instalarea modulului PowerShell

PS> Install-Module SpeculationControl

Rulați modulul SpeculationControl PowerShell pentru a verifica dacă sunt activate protecțiile

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metoda 2: Verificarea PowerShell utilizând o descărcare de la TechNet (versiunile anterioare ale sistemului de operare/versiunile WMF mai vechi)

Instalarea modulului PowerShell din TechNet ScriptCenter

  1. Accesați https://aka.ms/SpeculationControlPS.

  2. Descărcați SpeculationControl.zip într-un folder local.

  3. Extrageți conținutul într-un folder local, de exemplu C:\ADV180002

Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile

Porniți PowerShell, apoi (utilizând exemplul de mai sus) copiați și rulați următoarele comenzi:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Ieșire script PowerShell

Rezultatul scriptului SpeculationControl PowerShell va semăna cu următoarea ieșire. Protecțiile activate apar în ieșire ca "Adevărat".

PS C:\> Get-SpeculationControlSettings

Setări de control al speculațiilor pentru CVE-2017-5715 [injectare țintă ramură]

Suportul hardware pentru atenuarea injectare țintă ramificație este prezent: False Este prezent suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură: Adevărat Este activat suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură: False Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin politica de sistem: True Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin absența suportului pentru hardware: True

Setări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date rogue]

Hardware-ul este vulnerabil la încărcarea memoriei cache de date necinstite: Adevărat Suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date false este prezent: True Suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date false este activat: True Hardware-ul necesită umbrire VA kernel: True Este prezent suportul sistemului de operare Windows pentru umbra VA kernel: False Suportul sistemului de operare Windows pentru umbra VA a kernelului este activat: False Suportul sistemului de operare Windows pentru optimizarea PCID este activat: False Setări de control al speculațiilor pentru CVE-2018-3639 [ocolire store speculativă]

Hardware-ul este vulnerabil la ocolirea store speculativă: True Este prezentă asistența hardware pentru atenuarea ocolirii store speculative: False Este prezent suportul sistemului de operare Windows pentru atenuarea ocolirii store speculative: Adevărat Suportul sistemului de operare Windows pentru atenuarea ocolirii store speculative este activat la nivel de sistem: False

Setări de control al speculațiilor pentru CVE-2018-3620 [eroare terminal L1]

Hardware-ul este vulnerabil la eroarea terminal L1: True Este prezent suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True Este activat suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True

Setările de control al speculațiilor pentru MDS [eșantionarea datelor microarchitectural]

Este prezent suportul sistemului de operare Windows pentru atenuarea MDS: True Hardware-ul este vulnerabil la MDS: True Suportul sistemului de operare Windows pentru atenuarea MDS este activat: True

Setări de control al speculațiilor pentru SBDR [date tampoane partajate citite] 

Este prezent suportul sistemului de operare Windows pentru atenuarea SBDR: True Hardware-ul este vulnerabil la SBDR: True Este activat suportul sistemului de operare Windows pentru atenuarea SBDR: True 

Setări de control al speculațiilor pentru FBSDP [propagare date de umplere tampon învechit] Este prezent suportul sistemului de operare Windows pentru atenuarea FBSDP: True Hardware-ul este vulnerabil la FBSDP: True Suportul pentru sistemul de operare Windows pentru atenuarea FBSDP este activat: True 

Setările de control al speculațiilor pentru PSDP [propagator principal de date învechite]

Este prezent suportul sistemului de operare Windows pentru atenuarea PSDP: True Hardware-ul este vulnerabil în fața PSDP: True Suportul pentru sistemul de operare Windows pentru atenuarea PSDP este activat: True

BTIHardwarePresent: Adevărat BTIWindowsSupportPresent: Adevărat BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: Fals BTIKernelRetpolineEnabled: Adevărat BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: Fals KVAShadowRequired: Adevărat KVAShadowWindowsSupportPresent: Adevărat KVAShadowWindowsSupportEnabled: Adevărat KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: Adevărat SSBDHardwareVulnerable: Adevărat SSBDHardwarePresent: Fals SSBDWindowsSupportEnabledSystemWide: Fals L1TFHardwareVulnerable: Adevărat L1TFWindowsSupportPresent: Adevărat L1TFWindowsSupportEnabled: Adevărat L1TFInvalidPteBit: 45 L1DFlushSupported: Fals HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: Adevărat MDSHardwareVulnerable: Adevărat MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: Adevărat SBDRSSDPHardwareVulnerable: Adevărat FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Explicarea ieșirii scriptului PowerShell SpeculationControl

Grila finală de ieșire se mapează la ieșirea liniilor precedente. Acest lucru apare deoarece PowerShell imprimă obiectul returnat de o funcție. Următorul tabel explică fiecare linie din ieșirea scriptului PowerShell.

Ieşire

Explicaţie

Setări de control al speculațiilor pentru CVE-2017-5715 [injectare țintă ramură]

Această secțiune oferă starea sistemului pentru varianta 2, CVE-2017-5715, injectare țintă ramură.

Este prezent suportul hardware pentru atenuarea injectare țintă pentru ramură

Hărți la BTIHardwarePresent. Această linie vă spune dacă sunt prezente caracteristici hardware pentru a accepta atenuarea injectare țintă pentru ramură. Producătorul OEM al dispozitivului este responsabil pentru furnizarea BIOS-ului/firmware-ului actualizat care conține microcodul furnizat de producătorii de procesoare. Dacă această linie este True, sunt prezente caracteristicile hardware necesare. Dacă linia este False (Fals), caracteristicile hardware necesare nu sunt prezente. Prin urmare, atenuarea injectare țintă ramură nu poate fi activată.

Notă BTIHardwarePresent va fi True în mașinile virtuale invitat dacă actualizarea OEM se aplică gazdei și sunt urmate instrucțiunile.

Este prezent suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură

Hărți la BTIWindowsSupportPresent. Această linie vă spune dacă este prezent suportul pentru sistemul de operare Windows pentru atenuarea injectare țintă pentru ramură. Dacă este Adevărat, sistemul de operare acceptă activarea atenuării injectare țintă pentru ramură (și, prin urmare, a instalat actualizarea din ianuarie 2018). Dacă este False (Fals), actualizarea din ianuarie 2018 nu este instalată pe dispozitiv și atenuarea injectare țintă pentru ramură nu poate fi activată.

Notă Dacă o mașină virtuală invitat nu poate detecta actualizarea hardware a gazdei, BTIWindowsSupportEnabled va fi întotdeauna False.

Este activat suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură

Hărți la BTIWindowsSupportEnabled. Această linie vă spune dacă este activată asistența pentru sistemul de operare Windows pentru atenuarea injectare țintă pentru ramură. Dacă este Adevărat, suportul pentru hardware și suportul pentru sistemul de operare pentru atenuarea injectare țintă pentru ramură sunt activate pentru dispozitiv, protejând astfel împotriva CVE-2017-5715. Dacă este False (Fals), una dintre următoarele condiții este adevărată:

  • Suportul pentru hardware nu este prezent.

  • Suportul pentru sistemul de operare nu este prezent.

  • Atenuarea este dezactivată de politica de sistem.

Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin politica de sistem

Hărți la BTIDisabledBySystemPolicy. Această linie vă spune dacă atenuarea injectare țintă pentru ramură este dezactivată prin politica de sistem (cum ar fi o politică definită de administrator). Politica de sistem se referă la controalele de registry, după cum este documentat în KB4072698. Dacă este Adevărat, politica de sistem este responsabilă de dezactivarea atenuării. Dacă este False (Fals), atenuarea este dezactivată din altă cauză.

Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin absența suportului pentru hardware

Hărți la BTIDisabledByNoHardwareSupport. Această linie vă spune dacă atenuarea injectare țintă pentru ramură este dezactivată din cauza absenței suportului pentru hardware. Dacă este Adevărat, absența asistenței pentru hardware este responsabilă pentru dezactivarea atenuării. Dacă este False (Fals), atenuarea este dezactivată din altă cauză.

NotăDacă o mașină virtuală invitat nu poate detecta actualizarea de hardware gazdă, BTIDisabledByNoHardwareSupport va fi întotdeauna True.

Setări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date rogue]

Această secțiune oferă starea sistemului de rezumare pentru varianta 3, CVE-2017-5754, încărcare cache de date rogue. Atenuarea pentru aceasta se numește umbră a adresei virtuale (VA) kernel sau atenuarea încărcării cache-ului de date false.

Hardware-ul este vulnerabil la încărcarea memoriei cache de date false

Hărți la RdclHardwareProtected. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2017-5754. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2017-5754. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2017-5754.

Este prezent suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date necinstite

Hărți la KVAShadowWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru caracteristica umbră VA kernel.

Este activată asistența sistemului de operare Windows pentru atenuarea încărcării cache-ului de date necinstite

Hărți la KVAShadowWindowsSupportEnabled. Această linie vă spune dacă este activată caracteristica umbră VA kernel. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2017-5754, este prezent suportul pentru sistemul de operare Windows și caracteristica este activată.

Hardware-ul necesită umbrire VA kernel

Hărți la KVAShadowRequired. Această linie vă spune dacă sistemul necesită umbrire VA kernel pentru a atenua o vulnerabilitate.

Este prezent suportul sistemului de operare Windows pentru umbra VA a kernelului

Hărți la KVAShadowWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru caracteristica umbră VA kernel. Dacă este Adevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar umbra VA a kernelului este acceptată. Dacă este False, actualizarea din ianuarie 2018 nu este instalată, iar suportul kernel umbră VA nu există.

Suportul sistemului de operare Windows pentru umbra VA a kernelului este activat

Hărți la KVAShadowWindowsSupportEnabled. Această linie vă spune dacă este activată caracteristica umbră VA kernel. Dacă este Adevărat, este prezentă asistența pentru sistemul de operare Windows și caracteristica este activată. Caracteristica Kernel VA shadow este activată în prezent în mod implicit în versiunile client de Windows și este dezactivată în mod implicit în versiunile de Windows Server. Dacă este false, suportul pentru sistemul de operare Windows nu este prezent sau caracteristica nu este activată.

Este activat suportul sistemului de operare Windows pentru optimizarea performanței PCID

NotăPCID nu este necesar pentru securitate. Indică doar dacă este activată o îmbunătățire a performanței. PCID nu este acceptat cu Windows Server 2008 R2

Hărți la KVAShadowPcidEnabled. Această linie vă spune dacă este activată o optimizare suplimentară a performanței pentru umbra VA kernel. Dacă este Adevărat, este activată umbra VA a kernelului, este prezent suportul hardware pentru PCID și este activată optimizarea PCID pentru umbra VA a kernelului. Dacă este False, este posibil ca hardware-ul sau sistemul de operare să nu accepte PCID. Nu este o slăbiciune de securitate pentru optimizarea PCID să nu fie activat.

Este prezent suportul sistemului de operare Windows pentru dezactivarea ocolirii Store speculative

Hărți la SSBDWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru dezactivarea ocolirii Store speculative. Dacă este Adevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar umbra VA a kernelului este acceptată. Dacă este False, actualizarea din ianuarie 2018 nu este instalată, iar suportul kernel umbră VA nu există.

Hardware-ul necesită dezactivare ocolire Store speculativă

Hărți la SSBDHardwareVulnerablePresent. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2018-3639. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3639. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2018-3639.

Este prezent suportul hardware pentru dezactivarea ocolirii Store speculative

Hărți la SSBDHardwarePresent. Această linie vă spune dacă caracteristicile hardware sunt prezente pentru a accepta dezactivarea ocolirii Store speculative. Producătorul OEM al dispozitivului este responsabil pentru furnizarea BIOS-ului/firmware-ului actualizat care conține microcodul furnizat de Intel. Dacă această linie este True, sunt prezente caracteristicile hardware necesare. Dacă linia este False (Fals), caracteristicile hardware necesare nu sunt prezente. Prin urmare, dezactivarea ocolirii Store speculative nu poate fi activată.

Notă SSBDHardwarePresent va fi True în mașinile virtuale invitate dacă actualizarea OEM se aplică la gazdă.

Suportul sistemului de operare Windows pentru dezactivarea ocolirii Store speculative este activat

Hărți la SSBDWindowsSupportEnabledSystemWide. Această linie vă spune dacă dezactivarea ocolirii Store speculative este activată în sistemul de operare Windows. Dacă este Adevărat, suportul pentru hardware și suportul sistemului de operare pentru dezactivarea ocolirii Store speculative este activat pentru dispozitivul care previne apariția unei ocoliri store speculative, eliminând astfel complet riscul de securitate. Dacă este False (Fals), una dintre următoarele condiții este adevărată:

Setări de control al speculațiilor pentru CVE-2018-3620 [eroare terminal L1]

Această secțiune oferă starea sistemului rezumat pentru L1TF (sistem de operare) la care face referire CVE-2018-3620. Această atenuare asigură faptul că sunt utilizați biți de cadru pagină siguri pentru intrările de tabel de pagină care nu sunt prezente sau nevalide.

Notă Această secțiune nu oferă un rezumat al stării de atenuare pentru L1TF (VMM) la care face referire CVE-2018-3646.

Hardware-ul este vulnerabil la eroarea terminal L1: True

Hărți la L1TFHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la L1 Terminal Fault (L1TF, CVE-2018-3620). Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3620. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2018-3620.

Este prezent suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True

Hărți la L1TFWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru atenuarea sistemului de operare L1 Terminal Fault (L1TF). Dacă este Adevărat, actualizarea din august 2018 este instalată pe dispozitiv și este prezentă atenuarea pentru CVE-2018-3620 . Dacă este False (Fals), actualizarea din august 2018 nu este instalată și atenuarea pentru CVE-2018-3620 nu este prezentă.

Este activat suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True

Hărți la L1TFWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru L1 Terminal Fault (L1TF, CVE-2018-3620). Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3620, este prezent suportul sistemului de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată.

Setări de control al speculațiilor pentru MDS [Eșantionare date microarchitecturală]

Această secțiune oferă starea sistemului pentru setul de vulnerabilități MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 și ADV220002.

Este prezent suportul sistemului de operare Windows pentru atenuarea MDS

Mapează la MDSWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru atenuarea sistemului de operare Microarchitectural Data Sampling (MDS). Dacă este Adevărat, actualizarea din mai 2019 este instalată pe dispozitiv și este prezentă atenuarea pentru MDS. Dacă este false, actualizarea din mai 2019 nu este instalată și atenuarea pentru MDS nu este prezentă.

Hardware-ul este vulnerabil în fața MDS

Hărți la MDSHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități de eșantionare a datelor microarchitectural (MDS), (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil.

Este activat suportul sistemului de operare Windows pentru atenuarea MDS

Hărți la MDSWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru eșantionarea datelor microarchitectural (MDS). Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile MDS, este prezent suportul sistemului de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată.

Este prezent suportul sistemului de operare Windows pentru atenuarea SBDR

Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare SBDR. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru SBDR. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru SBDR nu este prezentă.

Hardware-ul este vulnerabil la SBDR

Hărți la SBDRSSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități SBDR [date tampon partajate citite] (CVE-2022-21123). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil.

Este activat suportul sistemului de operare Windows pentru atenuarea SBDR

Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru SBDR [date tampoane partajate citite]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile SBDR, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată.

Este prezent suportul sistemului de operare Windows pentru atenuarea FBSDP

Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare FBSDP. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru FBSDP. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru FBSDP nu este prezentă.

Hardware-ul este vulnerabil la FBSDP

Hărți la FBSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități (CVE-2022-21125, CVE-2022-2022-21127 și CVE-2022-21166). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil.

Este activat suportul sistemului de operare Windows pentru atenuarea FBSDP

Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru FBSDP [fill buffer stale data propagator]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile FBSDP, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată.

Este prezent suportul sistemului de operare Windows pentru atenuarea PSDP

Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare PSDP. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru PSDP. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru PSDP nu este prezentă.

Hardware-ul este vulnerabil în fața PSDP

Hărți la PSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități PSDP [propagator principal de date învechite]. Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil.

Este activat suportul sistemului de operare Windows pentru atenuarea PSDP

Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru PSDP [propagator de date vechi principal]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile PSDP, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată.

Ieșire care are activate toate atenuările

Se așteaptă următoarea ieșire pentru un dispozitiv care are activate toate atenuările, împreună cu ceea ce este necesar pentru a satisface fiecare condiție.

BTIHardwarePresent: True -> actualizare BIOS/firmware OEM aplicată BTIWindowsSupportPresent: Adevărat -> actualizarea din ianuarie 2018 instalată BTIWindowsSupportEnabled: Adevărat - > la client, nu este necesară nicio acțiune. Pe server, urmați instrucțiunile.BTIDisabledBySystemPolicy: False -> asigurați-vă că politica nu este dezactivată.BTIDisabledByNoHardwareSupport: False -> asigurați-vă că se aplică actualizarea BIOS/firmware OEM.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True sau False -> nicio acțiune, aceasta este o funcție a procesorului pe care îl utilizează computerul Dacă KVAShadowRequired este Adevărat KVAShadowWindowsSupportPresent: Adevărat - > instalați actualizarea din ianuarie 2018 KVAShadowWindowsSupportEnabled: True -> pe client, nu este necesară nicio acțiune. Pe server, urmați instrucțiunile.KVAShadowPcidEnabled: True sau False - > nicio acțiune, aceasta este o funcție a procesorului utilizat de computer

Dacă SSBDHardwareVulnerablePresent este Adevărat SSBDWindowsSupportPresent: Adevărat - > instalați actualizările Windows, după cum este documentat în ADV180012 SSBDHardwarePresent: Adevărat - > instalați actualizarea BIOS/firmware cu suport pentru SSBD de pe dispozitivul dvs. OEM SSBDWindowsSupportEnabledSystemWide: True -> urmați acțiunile recomandate pentru a activa SSBD

Dacă L1TFHardwareVulnerable este True L1TFWindowsSupportPresent: Adevărat - > instalați actualizările Windows, după cum este documentat în ADV180018 L1TFWindowsSupportEnabled: True -> urmați acțiunile prezentate în ADV180018 pentru Windows Server sau Client, după cum este necesar, pentru a activa atenuarea L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: Adevărat -> instalați actualizarea din iunie 2022 MDSHardwareVulnerable: Se știe că hardware-ul False -> nu este vulnerabil MDSWindowsSupportEnabled: atenuarea Adevărat -> pentru eșantionarea datelor microarchitectural (MDS) este activată FBClearWindowsSupportPresent: Adevărat - > instalați actualizarea din iunie 2022 SBDRSSDPHardwareVulnerable: True -> hardware este considerat a fi afectat de aceste vulnerabilități FBSDPHardwareVulnerable: Se consideră că hardware-ul > adevărat este afectat de aceste vulnerabilități PSDPHardwareVulnerable: se consideră că hardware-ul > adevărat este afectat de aceste vulnerabilități FBClearWindowsSupportEnabled: True -> Reprezintă activarea atenuării pentru SBDR/FBSDP/PSDP. Asigurați-vă că BIOS/firmware OEM este actualizat, FBClearWindowsSupportPresent este True, atenuările activate după cum este descris în ADV220002 și KVAShadowWindowsSupportEnabled este Adevărat.

Registry

Următorul tabel mapează ieșirea la cheile de registry care sunt acoperite în KB4072698: Îndrumări windows Server și Azure Stack HCI pentru a vă proteja împotriva vulnerabilităților de canal lateral bazate pe microarchitectural și speculativ cu execuție speculativă.

Cheie de registry

Cartografiere

FeatureSettingsOverride - Bit 0

Hărți la - Injectare țintă ramură - BTIWindowsSupportEnabled

FeatureSettingsOverride - Bit 1

Hărți la - Încărcare cache de date rogue - VAShadowWindowsSupportEnabled

Referințe

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.