Spremeni datum |
Opis spremembe |
---|---|
17. julij 2023 |
Dodali MMIO in posebne opise izhodnih vrednosti v razdelku »Izhod, ki ima vse omogočene ublažitve posledic« |
Povzetek
Da bi lahko preverili stanje ublažitev stranskega kanala zaradi špekulativnega izvajanja, smo objavili skript ogrodja PowerShell (SpeculationControl), ki se lahko izvaja v vaših napravah. V tem članku je razloženo, kako zaženete skript SpeculationControl in kaj pomeni izhod.
Varnostni nasveti ADV180002, ADV180012, ADV180018 in ADV190013 zajemajo teh devet ranljivosti:
-
CVE-2017-5715 (ciljno injiciranje veje)
-
CVE-2017-5753 (obhod preverjanja z mejami)
Opomba Zaščita za CVE-2017-5753 (preverjanje mej) ne zahteva dodatnih nastavitev registra ali posodobitev vdelane programske opreme.
-
CVE-2017-5754 (nalaganje v predpomnilniku lopovovih podatkov)
-
CVE-2018-3639 (obhod špekulativnega shranjevanja)
-
CVE-2018-3620 (napaka terminala L1 – OS)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (microarchitectural fill buffer data sampling (MFBDS))
Advisory ADV220002 zajema dodatne ranljivostiMemory-Mapped povezane z V/O (MMIO):
-
CVE-2022-21123 | Branje medpomnilnika v skupni rabi (SBDR)
-
CVE-2022-21125 | Vzorčenje podatkov v deljenem medpomnilniku (SBDS)
-
CVE-2022-21127 | Posebna posodobitev vzorčenja podatkov v register medpomnilnika (posodobitev SRBDS)
-
CVE-2022-21166 | Registracija naprave z delnim pisanjem (DRPW)
V tem članku so navedene podrobnosti o skriptu SpeculationControl PowerShell, ki pomaga določiti stanje ublažitev posledic za navedene cvEs, ki zahtevajo dodatne nastavitve registra in v nekaterih primerih posodobitve vdelane programske opreme.
Več informacij
Skript »SpeculationControl PowerShell«
Namestite in zaženite skript SpeculationControl z enim od naslednjih načinov.
1. način: Preverjanje v ogrodju PowerShell z galerijo PowerShell (Windows Server 2016 ali WMF 5.0/5.1) |
Namestitev modula PowerShell PS> Install-Module SpeculationControl Zaženite modul SpeculationControl PowerShell, da preverite, ali so omogočene zaščite PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
2. način: preverjanje v ogrodju PowerShell s prenosom s spletnega mesta TechNet (starejše različice operacijskega sistema/starejše različice ogrodja WMF) |
Namestitev modula PowerShell iz spletnega mesta TechNet ScriptCenter
Zaženite modul PowerShell in preverite, ali so omogočene zaščite Zaženite PowerShell in nato (v zgornjem primeru) kopirajte in zaženite te ukaze: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Izhod skripta ogrodja PowerShell
Rezultat skripta SpeculationControl PowerShell bo podoben rezultatu. Omogočene zaščite so v rezultatu prikazane kot »True«.
PS C:\> Get-SpeculationControlSettings
Nastavitve nadzora špekulacij za CVE-2017-5715 [branch target injection]
Podpora za strojno opremo za ublažitev ciljanega injiciranja veje je prisotna: False
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je prisotna: True Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je omogočena: False Pravilnik sistema onemogoči podporo operacijskega sistema Windows za ublažitev posledic vboda v vejo: Resnično Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je onemogočena, če podpora za strojno opremo ni na voljo: ResničnoNastavitve kontrolnika špekulacij za CVE-2017-5754 [rogue data cache load]
Strojna oprema je ranljiva za nalaganje predpomnilnika za zbiranje podatkov: True
Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je prisotna: True Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je omogočena: True Strojna oprema zahteva senco jedra VA: True Podpora operacijskega sistema Windows za senčenje jedra VA je prisotna: False Podpora operacijskega sistema Windows za senčenje jedra VA je omogočena: False Podpora operacijskega sistema Windows za optimizacijo PCID je omogočena: False Nastavitve kontrolnika špekulacij za CVE-2018-3639 [obhod špekulativnega shranjevanja]Strojna oprema je ranljiva za obhod špekulativnega shranjevanja: True
Podpora za strojno opremo za ublažitev obhoda špekulativnega shranjevanja je prisotna: False Podpora operacijskega sistema Windows za ublažitev obhoda špekulativnega shranjevanja je prisotna: True Podpora operacijskega sistema Windows za ublažitev obhoda špekulativnega shranjevanja je omogočena za celoten sistem: FalseNastavitve nadzora špekulacij za CVE-2018-3620 [napaka terminala L1]
Strojna oprema je ranljiva za napako terminala L1: True
Podpora operacijskega sistema Windows za ublažitev napake terminala L1 je prisotna: True Podpora za operacijski sistem Windows za ublažitev napake terminala L1 je omogočena: TrueNastavitve nadzora špekulacij za MDS [vzorčenje mikroarhiktalnih podatkov]
Podpora operacijskega sistema Windows za ublažitev MDS je prisotna: True
Strojna oprema je ranljiva za MDS: True Podpora za operacijski sistem Windows za ublažitev MDS je omogočena: TrueNastavitve kontrolnika špekulacij za SBDR [prebrani medpomnilniki v skupni rabi]
Podpora za operacijski sistem Windows za ublažitev SBDR je prisotna: True
Strojna oprema je ranljiva za SBDR: True Podpora za operacijski sistem Windows za ublažitev SBDR je omogočena: TrueNastavitve kontrolnika špekulacij za FBSDP [fill buffer stale data propagator]
Podpora operacijskega sistema Windows za ublažitev posledic FBSDP je prisotna: True Strojna oprema je ranljiva za FBSDP: True Podpora operacijskega sistema Windows za ublažitev FBSDP je omogočena: TrueNastavitve kontrolnika špekulacij za PSDP [primarni razmnoževalnik zastarelih podatkov]
Podpora operacijskega sistema Windows za ublažitev psdp je prisotna: True
Strojna oprema je ranljiva za PSDP: True Podpora operacijskega sistema Windows za ublažitev psdp je omogočena: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueRazlaga rezultata skripta SpeculationControl PowerShell
Končna izhodna mreža se preslika v rezultat prejšnjih vrstic. To se prikaže, ker PowerShell natisne predmet, ki ga vrne funkcija. V spodnji tabeli so razložene posamezne vrstice v izhodu skripta ogrodja PowerShell.
Izhod |
Razlaga |
Nastavitve nadzora špekulacij za CVE-2017-5715 [branch target injection] |
V tem razdelku je podano stanje sistema za različico 2 CVE-2017-5715, ciljno injiciranje veje. |
Podpora za strojno opremo za ublažitev posledic za ciljno injiciranje veje je prisotna |
Maps v BTIHardwarePresent. Ta vrstica vam pove, ali so na voljo funkcije strojne opreme za podporo ublažitve posledic v obliki ciljno vboda veje. OEM naprave je odgovoren za zagotavljanje posodobljene BIOS/ vdelane programske opreme, ki vsebuje mikrokod, ki jih proizvajalci CPU. Če je ta vrstica »True«, so na voljo zahtevane funkcije strojne opreme. Če je vrstica »False«, zahtevane funkcije strojne opreme niso prisotne. Zato ublažitev ciljno vbrizgavanje veje ni mogoče omogočiti. Opomba BTIHardwarePresent bo True v gostiteljih navideznih računalnikih, če se posodobitev OEM-ja uporabi za gostitelja in sledinavodilom. |
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je prisotna |
Zemljevidi v storitev BTIWindowsSupportPresent. Ta vrstica vam pove, ali je podpora za operacijski sistem Windows na voljo za ublažitev ublažitve posledic vboda v ciljno vejo. Če je to res, operacijski sistem podpira omogočanje ublažitve posledic v branch target injection (in je zato namestil posodobitev iz januarja 2018). Če je neresnično, posodobitev iz januarja 2018 ni nameščena v napravi in ublažitev posledic veje ciljnega injiciranja ni mogoče omogočiti. Opomba Če gostiteljski navidezni računalnik ne more zaznati posodobitve strojne opreme gostitelja, bo BTIWindowsSupportEnabled vedno False. |
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je omogočena |
Zemljevidi v storitev BTIWindowsSupportEnabled. V tej vrstici je opisano, ali je podpora za operacijski sistem Windows omogočena za ublažitev ublažitve ciljanega injiciranja na vejo. Če je to res, je za napravo omogočena podpora za strojno opremo in podpora operacijskega sistema za ublažitev posledic v obliki podveje ciljnega injiciranja, zato je zaščita pred CVE-2017-5715 omogočena. Če je vrednost False, velja eden od teh pogojev:
|
Pravilnik o sistemu Windows onemogoči podporo operacijskega sistema Windows za ublažitev ublažitve cilja v podveji |
Zemljevidi v BTIDisabledBySystemPolicy. V tej vrstici je opisano, ali pravilnik sistema (na primer pravilnik, ki ga je določil skrbnik) onemogoči ublažitev posledic v obliki v branch target injection (ublažitev cilja v veji). Sistemski pravilnik se nanaša na kontrolnike registra, kot so dokumentirani v posodobitvi KB4072698. Če je odgovor resničen, je sistemski pravilnik odgovoren za onemogočanje ublažitve posledic. Če je neresnično, je ublažitev posledic onemogočena z drugim vzrokom. |
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je onemogočena, če podpora za strojno opremo ni na voljo |
Zemljevidi v BTIDisabledByNoHardwareSupport. Ta vrstica vam pove, ali je podružnica ciljno injiciranje ublažitev onemogočen zaradi odsotnosti podpore za strojno opremo. Če je to res, je za onemogočanje ublažitve težav odgovorna odsotnost podpore za strojno opremo. Če je neresnično, je ublažitev posledic onemogočena z drugim vzrokom. OpombaČe gostiteljski navidezni računalnik ne more zaznati posodobitve strojne opreme gostitelja, bo BTIDisabledByNoHardwareSupport vedno resničen. |
Nastavitve kontrolnika špekulacij za CVE-2017-5754 [rogue data cache load] |
V tem razdelku je prikazano stanje sistema povzetka za različico 3, CVE-2017-5754, nalaganje v predpomnilnik rogue podatkov. Ublažitev te težave je znana kot senca navideznega naslova jedra (VA) ali ublažitev obremenitve predpomnilnika predpomnjenih podatkov. |
Hardware is vulnerable to rogue data cache load |
Maps v RdclHardwareProtected. Ta vrstica vam pove, ali je strojna oprema ranljiva za CVE-2017-5754. Če je res, je strojna oprema ranljiva za CVE-2017-5754. Če je false, je znano, da strojna oprema ni ranljiva za CVE-2017-5754. |
Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je prisotna |
Zemljevidi v KVAShadowWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za funkcijo sence jedra VA. |
Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je omogočena |
Zemljevidi v KVAShadowWindowsSupportEnabled. V tej vrstici je označeno, ali je funkcija senčenja jedra VA omogočena. Če je to res, je strojna oprema ranljiva za CVE-2017-5754, podpora za operacijski sistem Windows je prisotna in funkcija je omogočena. |
Strojna oprema zahteva senco jedra VA |
Zemljevidi v KVAShadowRequired. V tej vrstici je opisano, ali vaš sistem zahteva senčenje jedra VA, da zmanjšate ranljivost. |
Podpora operacijskega sistema Windows za senčenje jedra VA je prisotna |
Zemljevidi v KVAShadowWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za funkcijo sence jedra VA. Če je to res, je v napravi nameščena posodobitev iz januarja 2018, podprta pa je senca jedra VA. Če je false, posodobitev iz januarja 2018 ni nameščena, podpora senčenja jedra VA pa ne obstaja. |
Podpora operacijskega sistema Windows za senčenje jedra VA je omogočena |
Zemljevidi v KVAShadowWindowsSupportEnabled. V tej vrstici je označeno, ali je funkcija senčenja jedra VA omogočena. Če je to res, je podpora za operacijski sistem Windows prisotna in funkcija je omogočena. Funkcija senčenja jedra VA je trenutno privzeto omogočena v odjemalskih različicah sistema Windows in je privzeto onemogočena v različicah strežnika Windows Server. Če je neresnično, podpora za operacijski sistem Windows ni na voljo ali pa funkcija ni omogočena. |
Podpora operacijskega sistema Windows za optimizacijo učinkovitosti delovanja ID-ja računalnika je omogočena OpombaPCID ni potreben za varnost. Označuje le, ali je omogočena izboljšava učinkovitosti delovanja. PCID ni podprt v sistemu Windows Server 2008 R2 |
Zemljevidi v KVAShadowPcidEnabled. Ta vrstica vam pove, ali je za senco jedra VA omogočena dodatna optimizacija učinkovitosti delovanja. Če je vrednost »True«, je omogočena senca jedra VA, podpora za strojno opremo PCID je prisotna, optimizacija PCID za senco jedra VA pa je omogočena. Če je neresnično, strojna oprema ali operacijski sistem morda ne podpirata ID-ja računalnika. To ni varnostna slabost, da optimizacija PCID-ja ni omogočena. |
Podpora operacijskega sistema Windows za onemogočanje špekulativnega shranjevanja je prisotna |
Zemljevidi v SSBDWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za obhod špekulativnega shranjevanja. Če je to res, je v napravi nameščena posodobitev iz januarja 2018, podprta pa je senca jedra VA. Če je false, posodobitev iz januarja 2018 ni nameščena, podpora senčenja jedra VA pa ne obstaja. |
Strojna oprema zahteva onemogoči špekulativnega shranjevanja |
Zemljevidi v SSBDHardwareVulnerablePresent. Ta vrstica vam pove, ali je strojna oprema ranljiva za CVE-2018-3639. Če je res, je strojna oprema ranljiva za CVE-2018-3639. Če je false, je znano, da strojna oprema ni ranljiva za CVE-2018-3639. |
Podpora za strojno opremo za onemogočanje špekulativnega shranjevanja je prisotna |
Zemljevidi v SSBDHardwarePresent. V tej vrstici je opisano, ali so na voljo funkcije strojne opreme za podporo obhoda špekulativnega shranjevanja. OEM naprave je odgovoren za zagotavljanje posodobljene BIOS/ vdelane programske opreme, ki vsebuje mikrokod, ki jih Intel. Če je ta vrstica »True«, so na voljo zahtevane funkcije strojne opreme. Če je vrstica » False«, zahtevane funkcije strojne opreme niso prisotne. Zato onemogočinega obhoda špekulativnega shranjevanja ni mogoče vklopiti. Opomba SSBDHardwarePresent bo true v gostiteljih navideznih računalnikih, če je posodobitev OEM uporabljena za gostitelja. |
Podpora operacijskega sistema Windows za obhod špekulativnega shranjevanja je vklopljena |
Zemljevidi v SSBDWindowsSupportEnabledSystemWide. V tej vrstici je označeno, ali je v operacijskem sistemu Windows vklopljena možnost Onemogoči špekulativnega shranjevanja. Če je to res, je podpora za strojno opremo in podporo operacijskega sistema za obhod špekulativnega shranjevanja vklopljena za napravo, ki preprečuje obhod špekulativnega shranjevanja, s čimer se popolnoma odpravi varnostno tveganje. Če je vrednost False, velja eden od teh pogojev:
|
Nastavitve nadzora špekulacij za CVE-2018-3620 [napaka terminala L1] |
V tem razdelku je navedeno stanje sistema povzetka za L1TF (operacijski sistem), na katerega se nanaša CVE-2018-3620. S tem ublažitvijo zagotovite, da se varni bitni okviri strani uporabljajo za neveljavne vnose v tabelo strani ali za neveljavne vnose v tabelo strani. Opomba V tem razdelku ni povzetka stanja ublažitve posledic za L1TF (VMM), na katerega se nanaša CVE-2018-3646. |
Strojna oprema je ranljiva za napako terminala L1: True |
Zemljevidi v L1TFHardwareVulnerable. Ta vrstica vam pove, ali je strojna oprema ranljiva za napako terminala L1 (L1TF, CVE-2018-3620). Če je res, je strojna oprema ranljiva za CVE-2018-3620. Če je false, je znano, da strojna oprema ni ranljiva za CVE-2018-3620. |
Podpora operacijskega sistema Windows za ublažitev napake terminala L1 je prisotna: True |
Zemljevidi v L1TFWindowsSupportPresent. Ta vrstica vam pove, ali je na voljo podpora za operacijski sistem Windows za ublažitev posledic napake terminala L1 (L1TF). Če je to res, je v napravi nameščena posodobitev iz avgusta 2018, na voljo pa je tudi ublažitev posledic CVE-2018-3620 . Če je neresnično, posodobitev iz avgusta 2018 ni nameščena, ublažitev posledic CVE-2018-3620 pa ni na voljo. |
Podpora za operacijski sistem Windows za ublažitev napake terminala L1 je omogočena: True |
Zemljevidi v L1TFWindowsSupportEnabled. Ta vrstica vam pove, ali je ublažitev težav z operacijskim sistemom Windows za napako terminala L1 (L1TF, CVE-2018-3620) omogočena. Če je to res, je strojna oprema ranljiva za CVE-2018-3620, podpora za operacijski sistem Windows za ublažitev posledic je prisotna in ublažitev je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena. |
Nastavitve nadzora špekulacij za MDS [Microarchitectural Data Sampling] |
V tem razdelku je podano stanje sistema za nabor ranljivosti MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 in ADV220002. |
Podpora za operacijski sistem Windows za ublažitev MDS je prisotna |
Zemljevidi v MDSWindowsSupportPresent. Ta vrstica vam pove, ali je na voljo podpora za operacijski sistem Windows za ublažitev ublažitve posledic za vzorčenje mikroarhiktalnih podatkov (MDS). Če je to res, je v napravi nameščena posodobitev iz maja 2019 in na voljo je ublažitev MDS- a. Če je neresnično, posodobitev iz maja 2019 ni nameščena in ublažitev MDS-jev ni prisotna. |
Strojna oprema je ranljiva za MDS |
Zemljevidi v MDSHardwareVulnerable. Ta vrstica vam pove, ali je strojna oprema ranljiva za nabor ranljivosti zaradi mikroarhiktalnega vzorčenja podatkov (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva. |
Podpora za operacijski sistem Windows za ublažitev MDS je omogočena |
Zemljevidi v MDSWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic za zmanjšanje delovanja operacijskega sistema Windows za vzorčenje mikroarhiktalnih podatkov (MDS). Če je to res, za strojno opremo velja, da na strojno opremo vplivajo ranljivosti sistema MDS, prisotna je podpora operacijskega sistema Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena. |
Podpora operacijskega sistema Windows za ublažitev SBDR je prisotna |
Zemljevidi v FBClearWindowsSupportPresent. Ta vrstica vam pove, ali je na voljo podpora za operacijski sistem Windows za ublažitev posledic za operacijski sistem SBDR. Če je to res, je v napravi nameščena posodobitev iz junija 2022 in prisotna je ublažitev SBDR. Če je false, posodobitev iz junija 2022 ni nameščena in ublažitev SBDR ni prisotna. |
Strojna oprema je ranljiva za SBDR |
Zemljevidi v SBDRSSDPHardwareVulnerable. Ta vrstica vam pove, ali je strojna oprema ranljiva za SBDR [shared buffers data read] nabor ranljivosti (CVE-2022-21123). Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva. |
Podpora za operacijski sistem Windows za ublažitev SBDR je omogočena |
Zemljevidi v FBClearWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic za operacijski sistem Windows za SBDR [prebrani medpomnilniki v skupni rabi]. Če je to res, ranljivosti SBDR vplivajo na strojno opremo, je na voljo podpora za operacijski sistem Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena. |
Podpora operacijskega sistema Windows za ublažitev posledic FBSDP je prisotna |
Zemljevidi v FBClearWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za ublažitev posledic FBSDP. Če je to res, je v napravi nameščena posodobitev iz junija 2022 in na voljo je ublažitev posledic FBSDP. Če je false, posodobitev iz junija 2022 ni nameščena in ublažitev FBSDP-a ni prisotna. |
Strojna oprema je ranljiva za FBSDP |
Zemljevidi v FBSDPHardwareVulnerable. V tej vrstici je označeno, ali je strojna oprema ranljiva za nabor ranljivosti FBSDP [fill buffer stale data propagator] (CVE-2022-21125, CVE-2022-21127 in CVE-2022-21166). Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva. |
Podpora operacijskega sistema Windows za ublažitev FBSDP je omogočena |
Zemljevidi v FBClearWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic za operacijski sistem Windows za FBSDP [fill buffer stale data propagator]. Če je to res, ranljivosti FBSDP vplivajo na strojno opremo, je na voljo podpora za upravljanje sistema Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena. |
Podpora operacijskega sistema Windows za ublažitev psdp je prisotna |
Zemljevidi v FBClearWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora operacijskega sistema Windows za ublažitev posledic za operacijski sistem PSDP. Če je to res, je v napravi nameščena posodobitev iz junija 2022 in prisotna je ublažitev PSDP. Če je false, posodobitev iz junija 2022 ni nameščena, ublažitev PSDP pa ni prisotna. |
Strojna oprema je ranljiva za PSDP |
Zemljevidi v PSDPHardwareVulnerable. V tej vrstici je označeno, ali je strojna oprema ranljiva za nabor ranljivosti PSDP [primarni zastareli razmnoževalnik podatkov]. Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva. |
Podpora operacijskega sistema Windows za ublažitev psdp je omogočena |
Zemljevidi v FBClearWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic operacijskega sistema Windows za PSDP [primarni razširitvenik zastarelih podatkov]. Če je true, ranljivosti PSDP vplivajo na strojno opremo, je na voljo podpora za operacijski sistem Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena. |
Rezultati, za katere so omogočene vse ublažitve posledic
Za napravo, za katero so omogočene vse ublažitve posledic, se pričakuje naslednji izhod, skupaj s tem, kar je potrebno za izpolnitev vsakega pogoja.
BTIHardwarePresent: True -> OEM BIOS/firmware update appliednavodilom. BTIDisabledBySystemPolicy: False -> da ne bo onemogočen s pravilnikom. BTIDisabledByNoHardwareSupport: False -> ali se uporablja posodobitev BIOS/vdelane programske opreme proizvajalca strojne opreme. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True ali False -> dejanje, to je funkcija CPE, ki ga uporablja računalnik Če je KVAShadowRequired resničen KVAShadowWindowsSupportPresent: True -> namestite posodobitev iz januarja 2018 KVAShadowWindowsSupportEnabled: True -> v odjemalcu, ni treba izvesti nobenega dejanja. V strežniku sledite navodilom. KVAShadowPcidEnabled: True ali False ->, to je funkcija CPE, ki ga uporablja računalnik
BTIWindowsSupportPresent: True -> nameščena posodobitev iz januarja 2018 BTIWindowsSupportEnabled: True -> v odjemalcu, ni treba izvesti nobenega dejanja. V strežniku slediteČe je vrednost SSBDHardwareVulnerablePresent resničnaADV180012 SSBDHardwarePresent: True -> BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True - > sledite priporočenim dejanjem za vklop SSBD
SSBDWindowsSupportPresent: True -> posodobitve sistema Windows, kot so dokumentirane vČe je vrednost L1TFHardwareVulnerable resničnaADV180018 L1TFWindowsSupportEnabled: True -> sledite dejanjem, ki so opisana v ADV180018 za Windows Server ali odjemalcu, kot je ustrezno za omogočanje ublažitve posledic L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> namestite posodobitev iz junija 2022 MDSHardwareVulnerable: False -> hardware is known to not be vulnerable MDSWindowsSupportEnabled: True -> za microarchitectural Data Sampling (MDS) je omogočen FBClearWindowsSupportPresent: True -> namestite posodobitev iz junija 2022 SBDRSSDPHardwareVulnerable: Za strojno opremo True -> verjame, da te ranljivosti vplivajo FBSDPHardwareVulnerable: resnično -> strojne opreme je verjel, da je prizadeta zaradi teh ranljivosti PSDPHardwareVulnerable: Resnično -> je verjel, da te ranljivosti vplivajo na strojno opremo FBClearWindowsSupportEnabled: True -> predstavlja omogočanje ublažitve posledic za SBDR/FBSDP/PSDP. Ensure OEM BIOS/firmware is updated, FBClearWindowsSupportPresent is True, mitigations enabled as outlined in ADV220002 and KVAShadowWindowsSupportEnabled is True.
L1TFWindowsSupportPresent: True -> windows updates as documented inRegistracija
V spodnji tabeli so preslikani rezultati v registrske ključe, ki so zajeti v posodobitvi KB4072698: Navodila za Windows Server in Azure Stack HCI za zaščito pred ranljivostmi stranskega kanala, ki temeljijo na mikroarhitektu in špekulativnem izvajanju, na osnovi silicijevega procesorja in špekulativnega izvajanja.
Registrski ključ |
Preslikavo |
FeatureSettingsOverride – Bit 0 |
Zemljevidi v – ciljna injekcija veje – BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Zemljevidi v – nalaganje predpomnilnika podatkov rogue – VAShadowWindowsSupportEnabled |
Sklici
Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.