Applies ToWindows 11 Windows 10

Zmeniť dátum

Popis zmeny

17. júla 2023

Pridané MMIO a konkrétne popisy výstupných hodnôt v časti Výstup, ktorý má povolené všetky obmedzenia rizík

Zhrnutie

Aby sme vám pomohli overiť stav špekulatívnych zmiernení rizík vedľajšieho kanála spustenia, publikovali sme skript prostredia PowerShell (SpeculationControl), ktorý sa dá spustiť vo vašich zariadeniach. Tento článok vysvetľuje, ako spustiť skript SpeculationControl a čo výstup znamená.

Bezpečnostné poradenstvo ADV180002, ADV180012, ADV180018 a ADV190013 pokrývajú týchto deväť zraniteľností:

  • CVE-2017-5715 (cieľová injekcia vetvy)

  • CVE-2017-5753 (obídenie kontroly hraníc)

    Poznámka Ochrana cve-2017-5753 (kontrola hraníc) nevyžaduje ďalšie nastavenia databázy Registry ani aktualizácie firmvéru.  

  • CVE-2017-5754 (nečestné načítanie vyrovnávacej pamäte údajov)

  • CVE-2018-3639 (špekulatívne obídenie obchodu)

  • CVE-2018-3620 (koncová chyba L1 – OS)

  • CVE-2018-11091 (Pamäť na odber vzoriek mikroarchitekturálnych údajov ( MDSUM))

  • CVE-2018-12126 (vzorkovanie údajov medzipamäte v mikroarchitektúrnom ukladaní (MSBDS))

  • CVE-2018-12127 (vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS))

  • CVE-2018-12130 (vzorkovanie údajov medzipamäte mikroarchitekturálnej výplne (MFBDS))

Poradná ADV220002 zahŕňa ďalšie Memory-Mapped súvisiace chyby súvisiace s I/O (MMIO):

  • CVE-2022-21123 | Čítanie údajov zdieľanej medzipamäte (SBDR)

  • CVE-2022-21125 | Vzorkovanie údajov zdieľanej medzipamäte (SBDS)

  • CVE-2022-21127 | Aktualizácia vzorkovania údajov medzipamäte špeciálneho registra (aktualizácia SRBDS)

  • CVE-2022-21166 | Device Register Partial Write (DRPW)

Tento článok obsahuje podrobnosti o skripte SpeculationControl prostredia PowerShell, ktorý pomáha určiť stav zmiernení pre uvedené CVE, ktoré vyžadujú ďalšie nastavenia databázy Registry a v niektorých prípadoch aktualizácie firmvéru.

Ďalšie informácie

Skript SpeculationControl prostredia PowerShell

Nainštalujte a spustite skript SpeculationControl pomocou niektorej z nasledujúcich metód.

Metóda 1: Overenie prostredia PowerShell pomocou galérie prostredia PowerShell (Windows Server 2016 alebo WMF 5.0/5.1)

Inštalácia modulu prostredia PowerShell

PS> Install-Module SpeculationControl

Spustenie modulu SpeculationControl prostredia PowerShell na overenie, či sú povolené ochrany

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metóda 2: Overenie prostredia PowerShell pomocou sťahovania z lokality TechNet (staršie verzie operačného systému alebo staršie verzie WMF)

Inštalácia modulu Prostredia PowerShell z centra skriptov lokality TechNet

  1. Prejdite na https://aka.ms/SpeculationControlPS.

  2. Stiahnite SpeculationControl.zip do lokálneho priečinka.

  3. Extrahovanie obsahu do lokálneho priečinka, napríklad C:\ADV180002

Spustenie modulu PowerShell na overenie, či sú povolené ochrany

Spustite prostredie PowerShell a potom (pomocou vyššie uvedeného príkladu) skopírujte a spustite nasledujúce príkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Výstup skriptu prostredia PowerShell

Výstup skriptu SpeculationControl prostredia PowerShell bude pripomínať nasledujúci výstup. Povolené ochrany sa vo výstupe zobrazujú ako True.

PS C:\> Get-SpeculationControlSettings

Nastavenia kontroly špekulácií pre CVE-2017-5715 [cieľová injekcia vetvy]

K dispozícii je hardvérová podpora zmiernenia cieľovej injekcie vetvy: False Podpora operačného systému Windows pre zmiernenie cieľovej injekcie vetvy je prítomná: True Podpora systému Windows OS pre obmedzenie rizík cieľovej vloženia vetvy je povolená: False Podpora systému Windows OS pre zmiernenie cieľovej vloženia vetvy je zakázaná systémovou politikou: True Podpora systému Windows OS pre obmedzenie obmedzenia cieľovej vloženia vetvy je vypnutá z dôvodu absencie hardvérovej podpory: True

Nastavenia kontroly špekulácií pre CVE-2017-5754 [nečestné načítanie vyrovnávacej pamäte údajov]

Hardvér je zraniteľný na nečestné načítanie vyrovnávacej pamäte údajov: True Podpora systému Windows OS pre obmedzenie zaťaženia nečestnej vyrovnávacej pamäte údajov je prítomná: True Podpora systému Windows OS pre obmedzenie zaťaženia nečestnej vyrovnávacej pamäte údajov je povolená: True Hardvér vyžaduje tieňovanie jadra VA: True Podpora operačného systému Windows pre tieň VA jadra je prítomná: False Podpora operačného systému Windows pre tieňovanie VA jadra je povolená: False Podpora systému Windows OS pre optimalizáciu PCID je povolená: False Nastavenia kontroly špekulácií pre CVE-2018-3639 [špekulatívne obídenie obchodu]

Hardvér je vystavený špekulatívnemu obídenie obchodu: True Hardvérová podpora pre špekulatívne obmedzenie obídenie ukladacieho priestoru je prítomné: False Podpora systému Windows OS pre obmedzenie obídu špekulatívneho ukladacieho priestoru je prítomná: True Podpora systému Windows OS pre špekulatívne obmedzenie obídenie ukladacieho priestoru je povolená v celom systéme: False

Nastavenia kontroly špekulácií pre CVE-2018-3620 [chyba terminálu L1]

Hardvér je zraniteľný voči poruche terminálu L1: True Podpora systému Windows OS pre zmiernenie chýb terminálu L1 je prítomná: True Podpora systému Windows OS pre zmiernenie chýb terminálu L1 je povolená: True

Nastavenia kontroly špekulácií pre MDS [odber údajov z mikroarchitektúr]

Podpora systému Windows OS pre obmedzenie rizík MDS je k dispozícii: True Hardvér je zraniteľný voči MDS: True Podpora operačného systému Windows pre obmedzenie rizík MDS je povolená: True

Nastavenia kontroly špekulácií pre SBDR [zdieľané údaje medzipamäte sa čítajú] 

Podpora systému Windows OS pre obmedzenie SBDR je prítomná: True Hardvér je zraniteľný voči SBDR: True Podpora operačného systému Windows pre obmedzenie rizík SBDR je povolená: True 

Nastavenia ovládacích prvkov špekulácií pre FBSDP [výplň medzipamäte zastarané rozšírenie údajov] Podpora operačného systému Windows pre obmedzenie FBSDP je prítomná: True Hardvér je zraniteľný voči FBSDP: True Podpora operačného systému Windows pre obmedzenie FBSDP je povolená: True 

Nastavenia kontroly špekulácií pre PSDP [primárny zastarané rozšírenie údajov]

Podpora operačného systému Windows pre obmedzenie PSDP je prítomná: True Hardvér je zraniteľný voči PSDP: True Podpora operačného systému Windows pre obmedzenie PSDP je povolená: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Vysvetlenie výstupu skriptu SpeculationControl prostredia PowerShell

Konečná výstupná mriežka sa primapuje k výstupu predchádzajúcich riadkov. Toto sa zobrazí, pretože PowerShell vytlačí objekt, ktorý funkcia vráti. Nasledujúca tabuľka vysvetľuje každý riadok vo výstupe skriptu prostredia PowerShell.

Výstup

Vysvetlenie

Nastavenia kontroly špekulácií pre CVE-2017-5715 [cieľová injekcia vetvy]

Táto časť obsahuje stav systému pre variant 2, CVE-2017-5715, cieľovú injekciu vetvy.

K dispozícii je hardvérová podpora zmiernenia cieľovej vloženia vetvy

Mapuje na BTIHardwarePresent. V tomto riadku sa dozviete, či sú k dispozícii hardvérové funkcie na podporu zmiernenia cieľovej vloženia vetvy. Zariadenie OEM je zodpovedný za poskytovanie aktualizované BIOS / firmware, ktorý obsahuje mikrokód poskytované výrobcami procesora. Ak je tento riadok pravdivý, k dispozícii sú požadované hardvérové funkcie. Ak má čiara hodnotu False, požadované hardvérové funkcie nie sú k dispozícii. Preto nie je možné povoliť obmedzenie cieľovej injekcie vetvy.

Poznámka BtIHardwarePresent bude mať hodnotu True v hosťovských virtuálnych počítačoch, ak sa aktualizácia OEM použije na hostiteľa a dodrží sa sprievodný materiál.

Podpora operačného systému Windows pre zmiernenie cieľovej vloženia vetvy je prítomná

Mapuje na BTIWindowsSupportPresent. V tomto riadku sa dozviete, či je k dispozícii podpora operačného systému Windows pre obmedzenie rizík vloženia cieľovej vetvy. Ak je hodnota True, operačný systém podporuje povolenie zmiernenia cieľovej injekcie vetvy (a preto nainštaloval aktualizáciu z januára 2018). Ak je hodnota False, aktualizácia z januára 2018 nie je v zariadení nainštalovaná a nie je možné povoliť obmedzenie cieľovej injekcie vetvy.

Poznámka Ak hosťovský virtuálny počítač nedokáže zistiť aktualizáciu hardvéru hostiteľa, btiWindowsSupportEnabled bude mať vždy hodnotu False.

Podpora operačného systému Windows pre obmedzenie cieľovej vloženia vetvy je povolená

Mapuje na BTIWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolená podpora operačného systému Windows pre obmedzenie rizík vloženia cieľovej vetvy. Ak je hodnota True, v zariadení je povolená hardvérová podpora a podpora operačného systému pre zmiernenie cieľovej vpichu vetvy, čím sa chráni pred CVE-2017-5715. Ak je hodnota False, platí jedna z nasledujúcich podmienok:

  • Hardvérová podpora nie je k dispozícii.

  • Podpora operačného systému nie je prítomná.

  • Obmedzenie rizík je zakázané systémovou politikou.

Podpora operačného systému Windows pre zmiernenie cieľovej vloženia vetvy je vypnutá systémovou politikou

Mapuje na BTIDisabledBySystemPolicy. V tomto riadku sa dozviete, či je obmedzenie rizík cieľovej injekcie vetvy zakázané systémovou politikou (napríklad politikou definovanou správcom). Systémová politika odkazuje na ovládacie prvky databázy Registry, ako je uvedené v KB4072698. Ak je hodnota True, systémová politika je zodpovedná za zakázanie zmiernenia. Ak je hodnota False, obmedzenie rizík je zakázané inou príčinou.

Podpora operačného systému Windows pre zmiernenie cieľovej injekcie vetvy je vypnutá z dôvodu absencie hardvérovej podpory

Mapuje na BTIDisabledByNoHardwareSupport. V tomto riadku sa dozviete, či je obmedzenie obmedzenia cieľovej vloženia vetvy zakázané z dôvodu absencie hardvérovej podpory. Ak je hodnota True, za zakázanie obmedzenia je zodpovedná absencia hardvérovej podpory. Ak je hodnota False, obmedzenie rizík je zakázané inou príčinou.

PoznámkaAk hosťovský virtuálny počítač nedokáže zistiť aktualizáciu hardvéru hostiteľa, btiDisabledByNoHardwareSupport bude mať vždy hodnotu True.

Nastavenia kontroly špekulácií pre CVE-2017-5754 [nečestné načítanie vyrovnávacej pamäte údajov]

Táto časť obsahuje súhrnný stav systému pre variant 3, CVE-2017-5754, nečestné načítanie vyrovnávacej pamäte údajov. Zmiernenie tohto problému je známe ako tieň virtuálnej adresy jadra (VA) alebo obmedzenie zaťaženia vyrovnávacej pamäte údajov.

Hardvér je citlivý na nečestné načítanie vyrovnávacej pamäte údajov

Mapuje na RdclHardwareProtected. Táto linka vám povie, či je hardvér zraniteľný voči CVE-2017-5754. Ak je to pravda, hardvér je veril byť zraniteľný voči CVE-2017-5754. Ak je hodnota False, je známe, že hardvér nie je zraniteľný voči CVE-2017-5754.

Pre obmedzenie zaťaženia vyrovnávacej pamäte údajov je prítomná podpora operačného systému Windows

Mapuje na KVAShadowWindowsSupportPresent. Tento riadok vám povie, či je prítomná podpora operačného systému Windows pre funkciu tieňa VA jadra.

Podpora systému Windows OS pre obmedzenie zaťaženia nečestnej vyrovnávacej pamäte údajov je povolená

Mapuje na KVAShadowWindowsSupportEnabled. Tento riadok informuje o tom, či je zapnutá funkcia tieňa VA jadra. Ak je hodnota True, predpokladá sa, že hardvér je zraniteľný voči CVE-2017-5754, je prítomná podpora operačného systému Windows a funkcia je povolená.

Hardvér vyžaduje tieňovanie VA jadra

Mapuje na KVAShadowRequired. Tento riadok vám povie, či váš systém vyžaduje tieňovanie jadra VA na zmiernenie zraniteľnosti.

Podpora operačného systému Windows pre tieň VA jadra je prítomná

Mapuje na KVAShadowWindowsSupportPresent. Tento riadok vám povie, či je prítomná podpora operačného systému Windows pre funkciu tieňa VA jadra. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z januára 2018 a podporuje sa tieň VA jadra. Ak je hodnota False, aktualizácia z januára 2018 nie je nainštalovaná a podpora tieňa VA jadra neexistuje.

Podpora operačného systému Windows pre tieňovanie VA jadra je povolená

Mapuje na KVAShadowWindowsSupportEnabled. Tento riadok informuje o tom, či je zapnutá funkcia tieňa VA jadra. Ak je hodnota True, je k dispozícii podpora operačného systému Windows a funkcia je povolená. Funkcia tieňovania VA jadra je momentálne predvolene povolená v klientskych verziách Windowsu a je predvolene vypnutá vo verziách Windows Servera. Ak je hodnota False, podpora operačného systému Windows nie je k dispozícii alebo funkcia nie je povolená.

Podpora operačného systému Windows optimalizácia výkonu PCID je povolená

PoznámkaIdentifikátor PCID nie je potrebný na zabezpečenie. Označuje len to, či je povolené zlepšenie výkonu. PCID nie je podporované v systéme Windows Server 2008 R2

Mapuje na KVAShadowPcidEnabled. V tomto riadku sa dozviete, či je pre tieň VA jadra povolená dodatočná optimalizácia výkonu. Ak je hodnota True, je povolený tieň VA jadra, je prítomná hardvérová podpora PRE PCID a zapnutá optimalizácia PCID pre tieň VA jadra. Ak je hodnota False, hardvér alebo operačný systém pravdepodobne nepodporuje identifikátor PCID. Optimalizácia PCID nie je pre optimalizáciu PCID povolená.

Podpora systému Windows OS pre špekulatívne store Bypass Disable je prítomný

Mapuje na SSBDWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora operačného systému Windows pre špekulatívne vypnutie obídenie obchodu. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z januára 2018 a podporuje sa tieň VA jadra. Ak je hodnota False, aktualizácia z januára 2018 nie je nainštalovaná a podpora tieňa VA jadra neexistuje.

Hardvér vyžaduje vypnutie špekulatívneho ukladacieho priestoru

Mapuje na SSBDHardwareVulnerablePresent. Táto linka vám oznámi, či je hardvér zraniteľný voči CVE-2018-3639. Ak je to pravda, hardvér je veril byť zraniteľný voči CVE-2018-3639. Ak je hodnota False, je známe, že hardvér nie je zraniteľný voči CVE-2018-3639.

K dispozícii je hardvérová podpora pre vypnutie špekulatívneho ukladacieho priestoru

Mapuje na SSBDHardwarePresent. V tomto riadku sa dozviete, či sú k dispozícii hardvérové funkcie na podporu špekulatívneho vypnutia obídenie obchodu. Zariadenie OEM je zodpovedný za poskytovanie aktualizované BIOS / firmware, ktorý obsahuje mikrokód poskytované Intel. Ak je tento riadok pravdivý, k dispozícii sú požadované hardvérové funkcie. Ak má čiara hodnotu False, požadované hardvérové funkcie nie sú k dispozícii. Preto nie je možné zapnúť špekulatívne vypnutie obídenie ukladacieho priestoru.

Poznámka SSBDHardwarePresent bude mať hodnotu True v hosťovských virtuálnych počítačoch, ak sa aktualizácia OEM použije na hostiteľa.

Podpora operačného systému Windows pre vypnutie špekulatívneho ukladacieho priestoru je zapnutá

Mapuje do SSBDWindowsSupportEnabledSystemWide. V tomto riadku sa dozviete, či je v operačnom systéme Windows zapnuté vypnutie špekulatívneho obíducieho priestoru. Ak je to pravda, hardvérová podpora a podpora operačného systému pre špekulatívne Store Bypass Disable je zapnutá pre zariadenie bráni špekulatívne Store Bypass z vyskytujúce, čím sa eliminuje bezpečnostné riziko úplne. Ak je hodnota False, platí jedna z nasledujúcich podmienok:

Nastavenia kontroly špekulácií pre CVE-2018-3620 [chyba terminálu L1]

Táto časť obsahuje súhrnný stav systému pre L1TF (operačný systém), na ktorý odkazuje CVE-2018-3620. Toto zmiernenie zabezpečí, že bezpečné bity rámu strany sa použijú na neexistujúce alebo neplatné položky stránkovej tabuľky.

Poznámka Táto časť neposkytuje súhrn stavu zmiernenia pre L1TF (VMM), na ktorý odkazuje CVE-2018-3646.

Hardvér je zraniteľný voči poruche terminálu L1: True

Mapuje na L1TFHardwareVulnerable. Táto linka vám oznámi, či je hardvér citlivý na L1 Terminal Fault (L1TF, CVE-2018-3620). Ak je to pravda, hardvér je veril byť zraniteľný voči CVE-2018-3620. Ak je hodnota False, je známe, že hardvér nie je zraniteľný voči CVE-2018-3620.

Podpora systému Windows OS pre zmiernenie chýb terminálu L1 je prítomná: True

Mapuje na L1TFWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora operačného systému Windows pre obmedzenie rizík operačného systému L1 Terminal Fault (L1TF). Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z augusta 2018 a obmedzenie pre CVE-2018-3620 je prítomné. Ak je hodnota False, aktualizácia z augusta 2018 nie je nainštalovaná a obmedzenie rizík pre CVE-2018-3620 nie je prítomné.

Podpora systému Windows OS pre zmiernenie chýb terminálu L1 je povolená: True

Mapuje na L1TFWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík operačného systému Windows pre koncovú chybu L1 (L1TF, CVE-2018-3620). Ak je hodnota True, predpokladá sa, že hardvér je zraniteľný voči CVE-2018-3620, existuje podpora zmiernenia pre operačný systém Windows a obmedzenie je povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, podpora operačného systému Windows nie je k dispozícii alebo obmedzenie rizík nie je povolené.

Nastavenia kontroly špekulácií pre MDS [vzorkovanie údajov z mikroarchitektúr]

Táto časť obsahuje stav systému pre množinu chýb MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 a ADV220002.

Podpora operačného systému Windows pre obmedzenie rizík MDS je prítomná

Mapuje na MDSWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora operačného systému Windows pre obmedzenie rizík operačného systému Microarchitectural Data Sampling (MDS). Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z mája 2019 a existuje obmedzenie rizík pre MDS. Ak je hodnota False, aktualizácia z mája 2019 nie je nainštalovaná a obmedzenie rizík pre MDS nie je prítomné.

Hardvér je zraniteľný voči MDS

Mapuje na MDSHardwareVulnerable. Táto čiara informuje o tom, či je hardvér zraniteľný voči množine zraniteľností (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Podpora operačného systému Windows pre obmedzenie rizík MDS je povolená

Mapuje na MDSWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík operačného systému Windows pre microarchitectural Data Sampling (MDS). Ak je hodnota True, predpokladá sa, že hardvér je ovplyvnený zraniteľnosťami MDS, je prítomná podpora rizík operačného systému Windows a obmedzenie rizík je povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, podpora operačného systému Windows nie je k dispozícii alebo obmedzenie rizík nie je povolené.

Pre obmedzenie rizík SBDR je prítomná podpora operačného systému Windows

Mapuje na FBClearWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora operačného systému Windows pre obmedzenie rizík operačného systému SBDR. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z júna 2022 a obmedzenie pre SBDR je prítomné. Ak je hodnota False, aktualizácia z júna 2022 nie je nainštalovaná a obmedzenie pre SBDR nie je prítomné.

Hardvér je zraniteľný voči SBDR

Mapuje na SBDRSSDPHardwareVulnerable. V tomto riadku sa dozviete, či je hardvér zraniteľný voči súprave zraniteľností (CVE-2022-21123) [prečítané údaje zdieľaných medzipamätí] SBDR. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Podpora operačného systému Windows pre obmedzenie SBDR je povolená

Mapuje na FBClearWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík operačného systému Windows pre SBDR [čítanie údajov zdieľaných medzipamätí]. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený zraniteľnosťami SBDR, je prítomná operačná podpora systému Windows pre obmedzenie rizík a obmedzenie rizík je povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, podpora operačného systému Windows nie je k dispozícii alebo obmedzenie rizík nie je povolené.

Podpora operačného systému Windows pre obmedzenie FBSDP je prítomná

Mapuje na FBClearWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora operačného systému Windows pre obmedzenie rizík operačného systému FBSDP. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z júna 2022 a obmedzenie pre FBSDP je prítomné. Ak je hodnota False, aktualizácia z júna 2022 nie je nainštalovaná a obmedzenie pre FBSDP nie je prítomné.

Hardvér je zraniteľný voči FBSDP

Mapuje na FBSDPHardwareVulnerable. V tomto riadku zistíte, či je hardvér zraniteľný voči FBSDP [rozšíreniu údajov medzipamäte výplne] (CVE-2022-21125, CVE-2022-21127 a CVE-2022-21166). Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Podpora operačného systému Windows pre obmedzenie FBSDP je povolená

Mapuje na FBClearWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík operačného systému Windows pre FBSDP [rozšírenie údajov medzipamäte výplne]. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený zraniteľnosťami FBSDP, je prítomná operačná podpora windowsu pre obmedzenie rizík a obmedzenie rizík je povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, podpora operačného systému Windows nie je k dispozícii alebo obmedzenie rizík nie je povolené.

Podpora operačného systému Windows pre obmedzenie PSDP je prítomná

Mapuje na FBClearWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora operačného systému Windows pre obmedzenie rizík operačného systému PSDP. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z júna 2022 a existuje obmedzenie rizík pre PSDP. Ak je hodnota False, aktualizácia z júna 2022 nie je nainštalovaná a obmedzenie rizík pre PSDP nie je prítomné.

Hardvér je zraniteľný voči PSDP

Mapuje na PSDPHardwareVulnerable. V tomto riadku sa dozviete, či je hardvér zraniteľný voči množine zraniteľností [primárneho zastaraného distribúcie údajov] PSDP. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Podpora operačného systému Windows pre obmedzenie PSDP je povolená

Mapuje na FBClearWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík operačného systému Windows pre PSDP [primárny zastarané rozšírenie údajov]. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený zraniteľnosťami PSDP, je prítomná operačná podpora systému Windows pre obmedzenie rizík a obmedzenie rizík je povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, podpora operačného systému Windows nie je k dispozícii alebo obmedzenie rizík nie je povolené.

Výstup, ktorý má povolené všetky obmedzenia rizík

Nasledujúci výstup sa očakáva pre zariadenie, ktoré má povolené všetky obmedzenia rizík, spolu s tým, čo je potrebné na splnenie každej podmienky.

BTIHardwarePresent: True -> OEM BIOS/aktualizácia firmvéru BTIWindowsSupportPresent: True -> nainštalovaná aktualizácia z januára 2018 BTIWindowsSupportEnabled: True -> v klientovi, nevyžaduje sa žiadna akcia. Na serveri postupujte podľa pokynov.BTIDisabledBySystemPolicy: False -> zabezpečiť, že nie je zakázané politikou.BTIDisabledByNoHardwareSupport: False -> zabezpečiť použitie OEM BIOS/aktualizácia firmvéru.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True alebo False -> žiadna akcia, je to funkcia procesora, ktorý počítač používa Ak má KVAShadowRequired hodnotu True KVAShadowWindowsSupportPresent: True -> nainštalovať aktualizáciu z januára 2018 KVAShadowWindowsSupportEnabled: True -> v klientovi, nevyžaduje sa žiadna akcia. Na serveri postupujte podľa pokynov.KVAShadowPcidEnabled: True alebo False -> žiadna akcia, toto je funkcia procesora, ktorý počítač používa

Ak má SSBDHardwareVulnerablePresent hodnotu True SSBDWindowsSupportPresent: True -> nainštalovať aktualizácie Windowsu ako dokumentované v ADV180012 SSBDHardwarePresent: True -> nainštalovať AKTUALIZÁCIU BIOS/firmvéru s podporou pre SSBD zo zariadenia OEM SSBDWindowsSupportEnabledSystemWide: True – > pomocou odporúčaných akcií zapnite SSBD

Ak má L1TFHardwareVulnerable hodnotu True L1TFWindowsSupportPresent: True -> nainštalovať aktualizácie Windowsu ako dokumentované v ADV180018 L1TFWindowsSupportEnabled: True -> postupovať podľa akcií uvedených v ADV180018 pre Windows Server alebo klienta podľa potreby na povolenie zmiernenia L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> nainštalovať aktualizáciu z júna 2022 MDSHardwareVulnerable: False -> hardvér je známe, že nie je zraniteľný MDSWindowsSupportEnabled: True -> mitigation for Microarchitectural Data Sampling (MDS) is enabled FBClearWindowsSupportPresent: True -> nainštalovať aktualizáciu z júna 2022 SBDRSSDPHardwareVulnerable: True -> hardvér je veril byť ovplyvnený týmito zraniteľnosťami FBSDPHardwareVulnerable: True -> hardvér je veril byť ovplyvnený týmito zraniteľnosťami PSDPHardwareVulnerable: True -> hardvér je veril byť ovplyvnený týmito zraniteľnosťami FBClearWindowsSupportEnabled: True -> Predstavuje povolenie zmiernenia pre SBDR/FBSDP/PSDP. Uistite sa, že OEM BIOS/firmware je aktualizovaný, FBClearWindowsSupportPresent má hodnotu True, povolené zmiernenia, ako je uvedené v ADV220002 a KVAShadowWindowsSupportEnabled má hodnotu True.

Databázy registry

Nasledujúca tabuľka mapuje výstup k kľúčom databázy Registry, ktoré sú zahrnuté v kb4072698: Windows Server a Azure Stack HCI pokyny na ochranu pred silicon-založené mikroarchitekturální a špekulatívne spustenie strane kanála zraniteľnosti.

Kľúč databázy Registry

Mapovanie

FeatureSettingsOverride – Bit 0

Mapuje k - Pobočka cieľová injekcia - BTIWindowsSupportEnabled

FeatureSettingsOverride – bit 1

Mapuje na – nečestné načítanie vyrovnávacej pamäte údajov – VAShadowWindowsSupportEnabled

Referencie

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.