|
Дата изменения |
Описание изменения |
|---|---|
|
17 июля 2023 г. |
Добавлены MMIO и конкретные описания выходных значений в разделе "Выходные данные с включенными всеми меры по устранению рисков" |
Сводка
Чтобы помочь вам проверить состояние спекулятивных мер по устранению рисков на стороне канала, мы опубликовали сценарий PowerShell (SpeculationControl), который может выполняться на ваших устройствах. В этой статье объясняется, как запустить скрипт SpeculationControl и что означает выходные данные.
Рекомендации по безопасности ADV180002, ADV180012, ADV180018 и ADV190013 охватывают следующие девять уязвимостей:
-
CVE-2017-5715 (внедрение целевой ветви)
-
CVE-2017-5753 (границы проверка обход)
Примечание Для защиты CVE-2017-5753 (границы проверка) не требуются дополнительные параметры реестра или обновления встроенного ПО.
-
CVE-2017-5754 (загрузка изгоев кэша данных)
-
CVE-2018-3639 (обход спекулятивного хранилища)
-
CVE-2018-3620 (ошибка терминала L1 — ОС)
-
CVE-2018-11091 (микроархитектурная выборка данных, неуправляемая память (MDSUM))
-
CVE-2018-12126 (выборка буферных данных микроархитектурного хранилища (MSBDS))
-
CVE-2018-12127 (выборка данных порта микроархитектурной загрузки (MLPDS))
-
CVE-2018-12130 (выборка данных буфера микроархитектурной заполнения (MFBDS))
Рекомендации ADV220002 охватывают дополнительные уязвимости, связанные с Memory-Mapped ввода-вывода (MMIO):
-
CVE-2022-21123 | Чтение данных общего буфера (SBDR)
-
CVE-2022-21125 | Выборка данных общего буфера (SBD)
-
CVE-2022-21127 | Специальное обновление выборки данных буфера регистра (обновление SRBDS)
-
CVE-2022-21166 | Частичная запись регистра устройства (DRPW)
В этой статье содержатся сведения о скрипте PowerShell SpeculationControl, который помогает определить состояние устранения рисков для перечисленных cvEs, требующих дополнительных параметров реестра, а в некоторых случаях — обновлений встроенного ПО.
Дополнительные сведения
Сценарий PowerShell SpeculationControl
Установите и запустите скрипт SpeculationControl с помощью одного из следующих методов.
|
Способ 1. Проверка PowerShell с помощью коллекция PowerShell (Windows Server 2016 или WMF 5.0/5.1) |
|
Установка модуля PowerShell PS> Install-Module SpeculationControl Запустите модуль PowerShell SpeculationControl, чтобы проверить, включена ли защита. PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Способ 2. Проверка PowerShell с помощью загрузки из TechNet (более ранние версии ОС или более ранние версии WMF) |
|
Установка модуля PowerShell из TechNet ScriptCenter
Запустите модуль PowerShell, чтобы убедиться, что защита включена. Запустите PowerShell, а затем (используя приведенный выше пример) скопируйте и выполните следующие команды: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Выходные данные скрипта PowerShell
Выходные данные скрипта PowerShell SpeculationControl будут выглядеть следующим образом. Включенные защиты отображаются в выходных данных как "True".
PS C:\> Get-SpeculationControlSettings
Параметры управления спекуляциями для CVE-2017-5715 [внедрение цели ветви]
Присутствует аппаратная поддержка для устранения рисков внедрения целевых ветвей: False Поддержка ОС Windows для устранения рисков внедрения целевых ветвей присутствует: True Включена поддержка ос Windows для устранения рисков внедрения целевых ветвей: False Поддержка ОС Windows для устранения рисков внедрения целевых ветвей отключена системной политикой: True Поддержка ос Windows для устранения рисков внедрения целевых ветвей отключена из-за отсутствия поддержки оборудования: True
Параметры управления спекуляциями для CVE-2017-5754 [загрузка кэша данных изгоев]
Оборудование уязвимо для несанкционированной загрузки кэша данных: True Поддержка ОС Windows для устранения несанкционированной нагрузки кэша данных присутствует: True Включена поддержка операционной системы Windows для защиты от нагрузки из кэша данных: True Для оборудования требуется затенение va ядра: True Поддержка ос Windows для теневых виртуальной машины ядра присутствует: False Включена поддержка ос Windows для теневых виртуальной машины ядра: false Включена поддержка оптимизации PCID в ОС Windows: false Параметры управления спекуляциями для CVE-2018-3639 [обход спекулятивного хранилища]
Оборудование уязвимо для обхода спекулятивных хранилищ: True Присутствует аппаратная поддержка для устранения рисков обхода спекулятивных хранилищ: False Поддержка ОС Windows для устранения рисков обхода спекулятивных хранилищ присутствует: True Поддержка ос Windows для защиты от обхода спекулятивного хранилища включена в масштабах всей системы: False
Параметры управления спекуляциями для CVE-2018-3620 [ошибка терминала L1]
Оборудование уязвимо для сбоя терминала L1: True Поддержка операционной системы Windows для устранения сбоев терминала L1: True Включена поддержка операционной системы Windows для устранения сбоев терминала L1: True
Параметры управления спекуляцией для MDS [выборка микроархитектурных данных]
Поддержка операционной системы Windows для устранения рисков MDS: True Оборудование уязвимо для MDS: True Включена поддержка ос Windows для устранения рисков MDS: True
Параметры управления спекуляцией для SBDR [чтение данных общих буферов]
Поддержка операционной системы Windows для устранения рисков SBDR: True Оборудование уязвимо для SBDR: True Включена поддержка операционной системы Windows для устранения рисков SBDR: True
Параметры управления спекуляцией для FBSDP [заполнения буфера распространения устаревших данных] Поддержка операционной системы Windows для устранения рисков FBSDP присутствует: True Оборудование уязвимо для FBSDP: True Поддержка операционной системы Windows для устранения рисков FBSDP включена: True
Параметры управления спекуляцией для PSDP [основной устаревший метод распространения данных]
Поддержка операционной системы Windows для устранения рисков PSDP: True Оборудование уязвимо для PSDP: True Поддержка операционной системы Windows для устранения рисков PSDP включена: True
BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SbDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True
Объяснение выходных данных скрипта PowerShell для SpeculationControl
Итоговая сетка выходных данных сопоставляется с выходными данными предыдущих строк. Это появляется, так как PowerShell выводит объект, возвращаемый функцией. В следующей таблице описана каждая строка в выходных данных скрипта PowerShell.
|
Выход |
Объяснение |
|
Параметры управления спекуляциями для CVE-2017-5715 [внедрение цели ветви] |
В этом разделе представлено состояние системы для варианта 2, CVE-2017-5715, внедрение целевой ветви. |
|
Присутствует аппаратная поддержка для устранения рисков внедрения целевых ветвей |
Сопоставляется с BTIHardwarePresent. В этой строке показано, существуют ли аппаратные функции для поддержки устранения рисков внедрения целевых ветвей. Изготовитель оборудования отвечает за предоставление обновленного BIOS/встроенного ПО, содержащего микрокод, предоставляемый производителями ЦП. Если эта строка имеет значение True, необходимые аппаратные функции присутствуют. Если строка имеет значение False, необходимые функции оборудования отсутствуют. Таким образом, невозможно включить устранение рисков внедрения целевых ветвей. Примечание BTIHardwarePresent будет иметь значение True на гостевых виртуальных машинах, если обновление OEM применяется к узлу и выполняется руководство. |
|
Поддержка ОС Windows для устранения рисков внедрения целевых ветвей |
Сопоставляется с BTIWindowsSupportPresent. В этой строке показано, существует ли поддержка операционной системы Windows для устранения рисков внедрения целевых ветвей. Если задано значение True, операционная система поддерживает включение защиты от внедрения целевых ветвей (и, следовательно, установила обновление за январь 2018 г.). Если имеет значение False, обновление за январь 2018 г. не устанавливается на устройстве, и невозможно включить устранение рисков внедрения целевых ветвей. Примечание Если гостевая виртуальная машина не может обнаружить обновление оборудования узла, BTIWindowsSupportEnabled всегда будет иметь значение False. |
|
Включена поддержка ос Windows для устранения рисков внедрения целевых ветвей. |
Сопоставляется с BTIWindowsSupportEnabled. В этой строке показано, включена ли поддержка операционной системы Windows для устранения рисков внедрения целевых ветвей. Если задано значение True, для устройства включена поддержка оборудования и поддержка ОС для устранения рисков внедрения целевых ветвей, что обеспечивает защиту от CVE-2017-5715. Если имеет значение False, выполняется одно из следующих условий:
|
|
Системная политика отключает поддержку windows для устранения рисков внедрения целевых ветвей |
Сопоставляется с BTIDisabledBySystemPolicy. В этой строке показано, отключена ли системная политика (например, политика, определяемая администратором). Системная политика ссылается на элементы управления реестром, как описано в обновлении KB4072698. Если задано значение True, системная политика отвечает за отключение мер по устранению рисков. Если имеет значение False, устранение рисков отключается по другой причине. |
|
Поддержка ос Windows для устранения рисков внедрения целевых ветвей отключена из-за отсутствия поддержки оборудования |
Сопоставляется с BTIDisabledByNoHardwareSupport. В этой строке показано, отключена ли защита от внедрения целевых ветвей из-за отсутствия поддержки оборудования. Если имеет значение True, отсутствие аппаратной поддержки отвечает за отключение мер по устранению рисков. Если имеет значение False, устранение рисков отключается по другой причине. ПримечаниеЕсли гостевая виртуальная машина не может обнаружить обновление оборудования узла, BTIDisabledByNoHardwareSupport всегда будет иметь значение True. |
|
Параметры управления спекуляциями для CVE-2017-5754 [загрузка кэша данных изгоев] |
В этом разделе приводится сводное состояние системы для варианта 3, CVE-2017-5754, загрузка неопубликованного кэша данных. Устранение этой проблемы называется тенью виртуального адреса ядра (VA) или несанкционированным устранением нагрузки кэша данных. |
|
Оборудование уязвимо для несанкционированной загрузки кэша данных |
Сопоставляется с RdclHardwareProtected. Эта строка показывает, уязвимо ли оборудование к CVE-2017-5754. Если это значение True, считается, что оборудование уязвимо для CVE-2017-5754. Если имеет значение False, известно, что оборудование не уязвимо для CVE-2017-5754. |
|
Поддержка ОС Windows для защиты от неопубликованной нагрузки кэша данных присутствует |
Сопоставляется с KVAShadowWindowsSupportPresent. В этой строке показано, присутствует ли поддержка операционной системой Windows функции тени va ядра. |
|
Включена поддержка операционной системы Windows для защиты от нагрузки в кэше данных. |
Сопоставляется с KVAShadowWindowsSupportEnabled. В этой строке показано, включена ли теневая функция ядра VA. Если имеет значение True, считается, что оборудование уязвимо для CVE-2017-5754, поддержка операционной системы Windows присутствует, и эта функция включена. |
|
Для оборудования требуется затенение va ядра |
Сопоставляется с KVAShadowRequired. В этой строке показано, требуется ли системе затенение va ядра для устранения уязвимости. |
|
Поддержка ос Windows для теневой виртуальной машины ядра присутствует |
Сопоставляется с KVAShadowWindowsSupportPresent. В этой строке показано, присутствует ли поддержка операционной системой Windows функции тени va ядра. Если задано значение True, на устройстве устанавливается обновление за январь 2018 г., и поддерживается тень va ядра. Если имеет значение False, обновление за январь 2018 г. не устанавливается, а поддержка теневых обновлений для ядра VA не существует. |
|
Включена поддержка ос Windows для теневых теневых виртуальной машины ядра |
Сопоставляется с KVAShadowWindowsSupportEnabled. В этой строке показано, включена ли теневая функция ядра VA. Если задано значение True, поддержка операционной системы Windows присутствует, и эта функция включена. Теневая функция ядра va в настоящее время включена по умолчанию в клиентских версиях Windows и отключена по умолчанию в версиях Windows Server. Если имеет значение False, либо поддержка операционной системы Windows отсутствует, либо эта функция не включена. |
|
Включена поддержка операционной системы Windows для оптимизации производительности PCID ПримечаниеPCID не требуется для обеспечения безопасности. Он указывает только, включено ли повышение производительности. PCID не поддерживается в Windows Server 2008 R2 |
Сопоставляется с KVAShadowPcidEnabled. Эта строка показывает, включена ли дополнительная оптимизация производительности для тени va ядра. Если задано значение True, то включена тень va ядра, присутствует поддержка оборудования для PCID, а также включена оптимизация PCID для тени va ядра. Если имеет значение False, оборудование или ОС могут не поддерживать PCID. Это не является слабым местом безопасности, поскольку оптимизация PCID не должна быть включена. |
|
Поддержка ос Windows для спекулятивного отключения обхода хранилища доступна |
Сопоставляется с SSBDWindowsSupportPresent. В этой строке показано, существует ли поддержка операционной системы Windows для спекулятивного отключения обхода хранилища. Если задано значение True, на устройстве устанавливается обновление за январь 2018 г., и поддерживается тень va ядра. Если имеет значение False, обновление за январь 2018 г. не устанавливается, а поддержка теневых обновлений для ядра VA не существует. |
|
Оборудование требует отключения обхода спекулятивного хранилища |
Сопоставляется с SSBDHardwareVulnerablePresent. Эта строка показывает, уязвимо ли оборудование к CVE-2018-3639. Если это значение True, считается, что оборудование уязвимо для CVE-2018-3639. Если имеет значение False, известно, что оборудование не уязвимо для CVE-2018-3639. |
|
Поддержка аппаратного обеспечения для отключения обхода спекулятивного хранилища |
Сопоставляется с SSBDHardwarePresent. В этой строке показано, существуют ли аппаратные функции для поддержки спекулятивного обхода хранилища. Изготовитель оборудования устройства отвечает за предоставление обновленного BIOS/встроенного ПО, содержащего микрокод, предоставляемый Intel. Если эта строка имеет значение True, необходимые аппаратные функции присутствуют. Если строка имеет значение False, необходимые функции оборудования отсутствуют. Поэтому отключить обход спекулятивного хранилища нельзя. Примечание SSBDHardwarePresent будет иметь значение True на гостевых виртуальных машинах, если обновление OEM применяется к узлу. |
|
Включена поддержка ос Windows для спекулятивного обхода store |
Сопоставляется с SSBDWindowsSupportEnabledSystemWide. В этой строке показано, включена ли функция обхода спекулятивного хранилища в операционной системе Windows. Если задано значение True, для устройства включена поддержка оборудования и поддержка ос для спекулятивного обхода хранилища, что полностью устраняет риск безопасности. Если имеет значение False, выполняется одно из следующих условий:
|
|
Параметры управления спекуляциями для CVE-2018-3620 [ошибка терминала L1] |
В этом разделе приводится сводное состояние системы для L1TF (операционная система), на которую ссылается CVE-2018-3620. Это гарантирует, что биты безопасного кадра страницы используются для не присутствующих или недопустимых записей таблицы страниц. Примечание В этом разделе не приводится сводка состояния устранения рисков для L1TF (VMM), на который ссылается CVE-2018-3646. |
|
Оборудование уязвимо для сбоя терминала L1: True |
Сопоставляется с L1TFHardwareVulnerable. Эта строка сообщает, уязвимо ли оборудование к сбоям терминала L1 (L1TF, CVE-2018-3620). Если это значение True, считается, что оборудование уязвимо для CVE-2018-3620. Если имеет значение False, известно, что оборудование не уязвимо для CVE-2018-3620. |
|
Поддержка операционной системы Windows для устранения сбоев терминала L1: True |
Сопоставляется с L1TFWindowsSupportPresent. В этой строке показано, поддерживается ли операционная система Windows для устранения неполадок операционной системы L1 Terminal Fault (L1TF). Если задано значение True, на устройстве устанавливается обновление за август 2018 г., а также присутствует устранение рисков для CVE-2018-3620 . Если имеет значение False, обновление за август 2018 г. не устанавливается, а устранение рисков для CVE-2018-3620 отсутствует. |
|
Включена поддержка операционной системы Windows для устранения сбоев терминала L1: True |
Сопоставляется с L1TFWindowsSupportEnabled. В этой строке показано, включена ли защита операционной системы Windows от сбоя терминала L1 (L1TF, CVE-2018-3620). Если задано значение True, считается, что оборудование уязвимо для CVE-2018-3620, поддержка операционной системы Windows для устранения рисков присутствует, а устранение рисков включено. Если имеет значение False, либо оборудование не уязвимо, поддержка операционной системы Windows отсутствует, либо устранение рисков не включено. |
|
Параметры управления спекуляцией для MDS [выборка микроархитектурных данных] |
В этом разделе представлено состояние системы для набора уязвимостей MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 и ADV220002. |
|
Поддержка операционной системы Windows для устранения рисков MDS присутствует |
Сопоставляется с MDSWindowsSupportPresent. В этой строке показано, существует ли поддержка операционной системы Windows для устранения рисков с выборкой микроархитектурных данных (MDS). Если задано значение True, на устройстве устанавливается обновление за май 2019 г., и существует устранение рисков для MDS. Если имеет значение False, обновление за май 2019 г. не устанавливается, а устранение рисков для MDS отсутствует. |
|
Оборудование уязвимо для MDS |
Сопоставляется с MDSHardwareVulnerable. Эта строка показывает, уязвимо ли оборудование к набору уязвимостей микроархитектурной выборки данных (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Если это значение True, считается, что на оборудование влияют эти уязвимости. Если имеет значение False, известно, что оборудование не является уязвимым. |
|
Включена поддержка операционной системы Windows для устранения рисков MDS |
Сопоставляется с MDSWindowsSupportEnabled. В этой строке показано, включена ли защита операционной системы Windows для микроархитектурной выборки данных (MDS). Если задано значение True, на оборудование, как полагают, влияют уязвимости MDS, поддержка операционной системы Windows для устранения рисков присутствует, а устранение рисков включено. Если имеет значение False, либо оборудование не уязвимо, поддержка операционной системы Windows отсутствует, либо устранение рисков не включено. |
|
Поддержка операционной системы Windows для устранения рисков SBDR присутствует |
Сопоставляется с FBClearWindowsSupportPresent. В этой строке показано, существует ли поддержка операционной системы Windows для защиты операционной системы SBDR. Если задано значение True, на устройстве устанавливается обновление за июнь 2022 г., а также присутствует устранение рисков для SBDR. Если имеет значение False, обновление за июнь 2022 г. не устанавливается, а устранение рисков для SBDR отсутствует. |
|
Оборудование уязвимо для SBDR |
Сопоставляется с SBDRSSDPHardwareVulnerable. В этой строке показано, уязвимо ли оборудование к набору уязвимостей SBDR [общие буферы для чтения] (CVE-2022-21123). Если это значение True, считается, что на оборудование влияют эти уязвимости. Если имеет значение False, известно, что оборудование не является уязвимым. |
|
Включена поддержка ос Windows для устранения рисков SBDR |
Сопоставляется с FBClearWindowsSupportEnabled. В этой строке показано, включена ли защита операционной системы Windows для SBDR [чтение данных общих буферов]. Если задано значение True, считается, что на оборудование влияют уязвимости SBDR, операционная поддержка windows для устранения рисков присутствует, а устранение рисков включено. Если имеет значение False, либо оборудование не уязвимо, поддержка операционной системы Windows отсутствует, либо устранение рисков не включено. |
|
Поддержка операционной системы Windows для устранения рисков FBSDP присутствует |
Сопоставляется с FBClearWindowsSupportPresent. В этой строке показано, присутствует ли поддержка операционной системы Windows для устранения рисков для операционной системы FBSDP. Если задано значение True, на устройстве устанавливается обновление за июнь 2022 г., и существует устранение рисков для FBSDP. Если имеет значение False, обновление за июнь 2022 г. не устанавливается, а устранение рисков для FBSDP отсутствует. |
|
Оборудование уязвимо для FBSDP |
Сопоставляется с FBSDPHardwareVulnerable. Эта строка показывает, уязвимо ли оборудование к набору уязвимостей FBSDP [заполнить буфер распространения устаревших данных] (CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166). Если это значение True, считается, что на оборудование влияют эти уязвимости. Если имеет значение False, известно, что оборудование не является уязвимым. |
|
Включена поддержка операционной системы Windows для устранения рисков FBSDP |
Сопоставляется с FBClearWindowsSupportEnabled. В этой строке показано, включена ли защита операционной системы Windows для FBSDP [средство распространения устаревших данных в буфере заполнения]. Если задано значение True, считается, что на оборудование влияют уязвимости FBSDP, присутствует операционная поддержка Windows для устранения рисков, а устранение рисков включено. Если имеет значение False, либо оборудование не уязвимо, поддержка операционной системы Windows отсутствует, либо устранение рисков не включено. |
|
Поддержка операционной системы Windows для устранения рисков PSDP присутствует |
Сопоставляется с FBClearWindowsSupportPresent. В этой строке показано, поддерживается ли операционная система Windows для устранения рисков операционной системы PSDP. Если задано значение True, на устройстве устанавливается обновление за июнь 2022 г., и существует устранение рисков для PSDP. Если имеет значение False, обновление за июнь 2022 г. не устанавливается, а устранение рисков для PSDP отсутствует. |
|
Оборудование уязвимо для PSDP |
Сопоставляется с PSDPHardwareVulnerable. В этой строке показано, уязвимо ли оборудование к набору уязвимостей PSDP [основной устаревший метод распространения данных]. Если это значение True, считается, что на оборудование влияют эти уязвимости. Если имеет значение False, известно, что оборудование не является уязвимым. |
|
Поддержка операционной системы Windows для устранения рисков PSDP включена |
Сопоставляется с FBClearWindowsSupportEnabled. В этой строке показано, включена ли защита операционной системы Windows для PSDP [основного устаревшего средства распространения данных]. Если задано значение True, предполагается, что на оборудование влияют уязвимости PSDP, операционная поддержка windows для устранения рисков присутствует, а устранение рисков включено. Если имеет значение False, либо оборудование не уязвимо, поддержка операционной системы Windows отсутствует, либо устранение рисков не включено. |
Выходные данные со всеми включенными средствами устранения рисков
Следующие выходные данные ожидаются для устройства, для которого включены все способы устранения рисков, а также то, что необходимо для удовлетворения каждого условия.
BTIHardwarePresent: True —> применено обновление BIOS/встроенного ПО oem. BTIWindowsSupportPresent: true -> установлено обновление за январь 2018 г. BTIWindowsSupportEnabled: true -> на клиенте, никаких действий не требуется. На сервере следуйте указаниям.BTIDisabledBySystemPolicy: false -> убедитесь, что политика не отключается.BTIDisabledByNoHardwareSupport: false -> убедитесь, что применено обновление BIOS/встроенного ПО oem.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True или False —> никаких действий, это функция ЦП, используемого компьютером Если KVAShadowRequired имеет значение True KVAShadowWindowsSupportPresent: True -> установить обновление за январь 2018 г. KVAShadowWindowsSupportEnabled: true -> на клиенте, никаких действий не требуется. На сервере следуйте указаниям.KVAShadowPcidEnabled: True или False —> нет действия, это функция ЦП, используемого компьютером
Если SSBDHardwareVulnerablePresent имеет значение True SSBDWindowsSupportPresent: True —> установить обновления Windows, как описано в ADV180012 SSBDHardwarePresent: True — > установить обновление BIOS или встроенного ПО с поддержкой SSBD от изготовителя оборудования устройства SSBDWindowsSupportEnabledSystemWide: True -> следуйте рекомендуемым действиям , чтобы включить SSBD
Если L1TFHardwareVulnerable имеет значение True L1TFWindowsSupportPresent: True -> установить обновления Windows, как описано в ADV180018 L1TFWindowsSupportEnabled: true -> следуйте действиям, описанным в adv180018 для Windows Server или client соответствующим образом, чтобы включить устранение рисков. L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> установить обновление за июнь 2022 г. MDSHardwareVulnerable: false -> оборудование, как известно, не является уязвимым MDSWindowsSupportEnabled: включено > устранение рисков для микроархитектурной выборки данных (MDS) FBClearWindowsSupportPresent: True -> установить обновление за июнь 2022 г. SBDRSSDPHardwareVulnerable: true -> оборудование, как полагают, подвержено влиянию этих уязвимостей FBSDPHardwareVulnerable: true -> оборудование, как полагают, подвержено влиянию этих уязвимостей PSDPHardwareVulnerable: true -> оборудование, как полагают, подвержено влиянию этих уязвимостей FBClearWindowsSupportEnabled: true -> Представляет включение мер по устранению рисков для SBDR/FBSDP/PSDP. Убедитесь, что BIOS/встроенное ПО oem обновлено, FBClearWindowsSupportPresent имеет значение True, устранение рисков включено, как описано в ADV220002 и KVAShadowsSupportEnabled имеет значение True.
Реестр
В следующей таблице выходные данные сопоставляются с разделами реестра, описанными в статье KB4072698: Руководство по Windows Server и Azure Stack HCI для защиты от микроархитектурных и спекулятивных уязвимостей при выполнении на основе кремния.
|
Раздел реестра |
Сопоставление |
|
FeatureSettingsOverride — бит 0 |
Сопоставление с — внедрение цели ветви — BTIWindowsSupportEnabled |
|
FeatureSettingsOverride — бит 1 |
Сопоставление с — загрузка кэша данных rogue — VAShadowWindowsSupportEnabled |
Ссылки
Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.
