Ändra datum |
Beskrivning av ändring |
---|---|
den 17 juli 2023 |
Mmio har lagts till och specifika beskrivningar av utdatavärdena i avsnittet "Utdata som har alla åtgärder aktiverade" |
Sammanfattning
Vi har publicerat ett PowerShell-skript (SpeculationControl) som kan köras på dina enheter för att hjälpa dig att verifiera statusen för spekulativ körning. I den här artikeln förklaras hur du kör SpeculationControl-skriptet och vad utdata innebär.
SäkerhetsrekommendationerNA ADV180002, ADV180012, ADV180018 och ADV190013 omfattar följande nio sårbarheter:
-
CVE-2017-5715 (branch target injection)
-
CVE-2017-5753 (gränser check bypass)
Obs! Skydd för CVE-2017-5753 (gränskontroll) kräver inte ytterligare registerinställningar eller uppdateringar av inbyggd programvara.
-
CVE-2017-5754 (rogue datacachen laddas)
-
CVE-2018-3639 (spekulativ butik bypass)
-
CVE-2018-3620 (L1 terminalfel – OS)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))
Advisory ADV220002 täcker ytterligare Memory-Mapped I/O (MMIO) relaterade sårbarheter:
-
CVE-2022-21123 | Delad buffertdataläsning (SBDR)
-
CVE-2022-21125 | Sampel av delad buffertdata (SBDS)
-
CVE-2022-21127 | Särskild uppdatering för insamling av buffertdata i registret (SRBDS Update)
-
CVE-2022-21166 | Device Register Partial Write (DRPW)
Den här artikeln innehåller information om PowerShell-skriptet SpeculationControl som hjälper dig att fastställa statusen för lösningarna för de listade CV:erna som kräver ytterligare registerinställningar och, i vissa fall, uppdateringar av inbyggd programvara.
Mer information
SpeculationControl PowerShell-skript
Installera och kör SpeculationControl-skriptet med någon av följande metoder.
Metod 1: PowerShell-verifiering med hjälp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1) |
Installera PowerShell-modulen PS> Install-Module SpeculationControl Kör SpeculationControl PowerShell-modulen för att kontrollera att skydd är aktiverade PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metod 2: PowerShell-verifiering med hjälp av en nedladdning från TechNet (tidigare OS-versioner/tidigare WMF-versioner) |
Installera PowerShell-modulen från TechNet ScriptCenter
Kör PowerShell-modulen för att kontrollera att skydd är aktiverade Starta PowerShell och kopiera sedan (med exemplet ovan) och kör följande kommandon: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-skriptutdata
Resultatet av SpeculationControl PowerShell-skriptet liknar följande utdata. Aktiverade skydd visas i utdata som "Sant".
PS C:\> Get-SpeculationControlSettings
Inställningar för spekulationskontroll för CVE-2017-5715 [branch target injection]
Maskinvarustöd för branch target injection mitigation is present: False
Windows OS-stöd för branch target injection mitigation is present: True Windows OS-stöd för branch target injection mitigation is enabled: False Windows OS-stöd för branch target injection mitigation is disabled by system policy: True Windows OS-stöd för branch target injection är inaktiverat på grund av brist på maskinvarustöd: SantInställningar för spekulationskontroll för CVE-2017-5754 [rogue datacachens inläsning]
Maskinvara är sårbar för obehöriga datacachens inläsning: Sant
Windows OS-stöd för rogue data cache load mitigation is present: True Windows OS-stöd för rogue data cache load mitigation is enabled: True Maskinvara kräver VA-skuggning i kernel: Sant Windows OS-stöd för kernel-VA-skugga finns: False Windows OS-stöd för kernel-VA-skugga är aktiverat: Falskt Windows OS-stöd för PCID-optimering är aktiverat: False Inställningar för spekulationskontroll för CVE-2018-3639 [spekulativ store bypass]Maskinvara är sårbar för förbikoppling av spekulativt lager: Sant
Maskinvarustöd för spekulativ store bypass-begränsning finns: False Windows OS-stöd för förbikoppling av spekulativ lagring finns: Sant Windows OS-stöd för förbikoppling av spekulativ lagring är aktiverat för hela systemet: FalseInställningar för spekulationskontroll för CVE-2018-3620 [L1 terminalfel]
Maskinvaran är sårbar för L1-terminalfel: Sant
Windows OS-support för L1 terminalfelreducering finns: Sant Windows OS-stöd för L1 terminalfelreducering är aktiverat: SantInställningar för spekulationskontroll för MDS [microarchitectural data sampling]
Windows OS-support för MDS-åtgärder finns: Sant
Maskinvaran är sårbar för MDS: Sant Windows OS-stöd för MDS-begränsning är aktiverat: SantInställningar för spekulationskontroll för SBDR [delade buffertar data läsa]
Windows OS-stöd för SBDR-begränsning finns: Sant
Maskinvara är sårbar för SBDR: True Windows OS-stöd för SBDR-begränsning är aktiverat: SantInställningar för spekulationskontroll för FBSDP [fyllningsbuffert inaktuell dataspridning]
Windows OS-stöd för FBSDP-begränsning finns: Sant Maskinvaran är sårbar för FBSDP: Sant Windows OS-stöd för FBSDP-begränsning är aktiverat: SantInställningar för spekulationskontroll för PSDP [primär inaktuell dataspridning]
Windows OS-support för PSDP-åtgärder finns: Sant
Maskinvaran är sårbar för PSDP: Sant Windows OS-stöd för PSDP-begränsning är aktiverat: SantBTIHardwarePresent: Sant
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: Sant KVAShadowWindowsSupportPresent: Sant KVAShadowWindowsSupportEnabled: Sant KVAShadowPcidEnabled: Sant SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: Sant SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: Sant L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusTillgängligt: Sant HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: Sant MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: Sant PSDPHardwareVulnerable: SantFörklaring av SpeculationControl PowerShell-skriptutdata
Det slutliga utdatarutnätet mappas till resultatet för de föregående raderna. Det här visas eftersom PowerShell skriver ut objektet som returneras av en funktion. I följande tabell beskrivs varje rad i PowerShell-skriptutdata.
Produktionen |
Förklaring |
Inställningar för spekulationskontroll för CVE-2017-5715 [branch target injection] |
Det här avsnittet innehåller systemstatus för variant 2, CVE-2017-5715, branch target injection. |
Maskinvarustöd för branch target injection mitigation finns |
Kartor till BTIHardwarePresent. På den här raden får du veta om maskinvarufunktioner finns för att stödja branchens målinjektion. Enhets-OEM-tillverkaren ansvarar för att tillhandahålla den uppdaterade BIOS/inbyggda programvaran som innehåller mikrokoden som tillhandahålls av CPU-tillverkare. Om den här raden är True finns de nödvändiga maskinvarufunktionerna. Om raden är False finns inte de nödvändiga maskinvarufunktionerna. Därför kan grenens målinjektion inte aktiveras. Obs! BTIHardwarePresent kommer att vara True i virtuella gästdatorer om OEM-uppdateringen tillämpas på värden och vägledningföljs. |
Windows OS-stöd för branch target injection mitigation is present |
Kartor till BTIWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för branch target injection.this line tells you whether Windows operating system support is present for the branch target injection mitigation. Om det är Sant har operativsystemet stöd för att aktivera branch target injection mitigation (och har därför installerat uppdateringen för januari 2018). Om det är Falskt installeras inte uppdateringen i januari 2018 på enheten och branch target injection-lösningen kan inte aktiveras. Obs! Om en virtuell gästdator inte kan identifiera värdmaskinvaruuppdateringen är BTIWindowsSupportEnabled alltid False. |
Windows OS-stöd för branch target injection mitigation is enabled |
Kartor till BTIWindowsSupportEnabled. Den här raden anger om Support för Windows-operativsystemet är aktiverat för att åtgärda branchmålinjektionen. Om det är Sant är maskinvarusupport och OS-stöd för branch target injection aktiverat för enheten, vilket skyddar mot CVE-2017-5715. Om det är Falskt är något av följande villkor sant:
|
Windows OS-stöd för branch target injection mitigation is disabled by system policy |
Kartor till BTIDisabledBySystemPolicy. På den här raden får du reda på om grenens målinjektion är inaktiverad av systemprincipen (till exempel en administratörsdefinierad princip). Systemprincip refererar till registerkontrollerna som beskrivs i KB4072698. Om det är Sant är systempolicyn ansvarig för att inaktivera begränsningen. Om det är Falskt inaktiveras begränsningen av en annan orsak. |
Windows OS-stöd för branch target injection är inaktiverat på grund av brist på maskinvarusupport |
Kartor till BTIDisabledByNoHardwareSupport. På den här raden får du veta om grenens målinjektion är inaktiverad på grund av att maskinvarusupport saknas. Om det är Sant ansvarar avsaknaden av maskinvarusupport för att inaktivera begränsningen. Om det är Falskt inaktiveras begränsningen av en annan orsak. ObserveraOm en virtuell gästdator inte kan identifiera värdmaskinvaruuppdateringen är BTIDisabledByNoHardwareSupport alltid True. |
Inställningar för spekulationskontroll för CVE-2017-5754 [rogue datacachens inläsning] |
Det här avsnittet innehåller sammanfattande systemstatus för variant 3, CVE-2017-5754, rogue data cache load. Begränsningen för detta kallas kernel virtual address (VA) skugga eller rogue data cache load mitigation. |
Maskinvaran är sårbar för obehörig datacacheinläsning |
Kartor till RdclHardwareProtected. Den här raden anger om maskinvaran är sårbar för CVE-2017-5754. Om det är Sant tros maskinvaran vara sårbar för CVE-2017-5754. Om det är Falskt är maskinvaran känd för att inte vara sårbar för CVE-2017-5754. |
Windows OS-stöd för oseriösa datacacheladdningsreducering finns |
Kartor till KVAShadowWindowsSupportPresent. Den här raden anger om Windows-operativsystemets stöd för kernel-VA-skuggfunktionen finns. |
Windows OS-stöd för rogue data cache load mitigation is enabled |
Kartor till KVAShadowWindowsSupportEnabled. Den här raden anger om VA-skuggfunktionen i kernel är aktiverad. Om det är Sant tros maskinvaran vara sårbar för CVE-2017-5754, Windows-operativsystemets support finns och funktionen är aktiverad. |
Maskinvara kräver KERNEL-VA-skuggning |
Kartor över KVAShadowRequired. Den här raden anger om systemet kräver VA-skuggning av kernel för att minimera en säkerhetsrisk. |
Windows OS-stöd för kernel-VA-skugga finns |
Kartor till KVAShadowWindowsSupportPresent. Den här raden anger om Windows-operativsystemets stöd för kernel-VA-skuggfunktionen finns. Om det är Sant installeras uppdateringen i januari 2018 på enheten och kernel-VA-skugga stöds. Om det är Falskt installeras inte januari 2018-uppdateringen och stöd för kernel-VA-skuggning finns inte. |
Windows OS-stöd för kernel-VA-skugga är aktiverat |
Kartor till KVAShadowWindowsSupportEnabled. Den här raden anger om VA-skuggfunktionen i kernel är aktiverad. Om det är Sant finns support för Windows-operativsystemet och funktionen är aktiverad. Kernel-VA-skuggfunktionen är aktiverad som standard i klientversioner av Windows och är inaktiverad som standard i versioner av Windows Server. Om det är Falskt finns det inte stöd för Windows-operativsystemet eller så är funktionen inte aktiverad. |
Windows OS-stöd för pcID-prestandaoptimering är aktiverat ObserveraPCID krävs inte för säkerhet. Det anger bara om en prestandaförbättring är aktiverad. PCID stöds inte med Windows Server 2008 R2 |
Kartor till KVAShadowPcidEnabled. Den här raden anger om ytterligare prestandaoptimering är aktiverad för kernel-VA-skuggning. Om det är Sant aktiveras kernel-VA-skugga, maskinvarustöd för PCID finns och PCID-optimering för kernel-VA-skugga aktiveras. Om det är Falskt kanske varken maskinvaran eller operativsystemet stöder PCID. Det är inte en säkerhetssvaghet för att PCID-optimeringen inte ska aktiveras. |
Windows OS-stöd för Speculative Store Bypass Disable finns |
Kartor till SSBDWindowsSupportPresent. Den här raden anger om Det finns stöd för Speculative Store Bypass Disable i Windows-operativsystemet. Om det är Sant installeras uppdateringen i januari 2018 på enheten och kernel-VA-skugga stöds. Om det är Falskt installeras inte januari 2018-uppdateringen och stöd för kernel-VA-skuggning finns inte. |
Maskinvara kräver spekulativ store bypass disable |
Kartor till SSBDHardwareVulnerablePresent. Den här raden anger om maskinvaran är sårbar för CVE-2018-3639. Om det är Sant tros maskinvaran vara sårbar för CVE-2018-3639. Om det är Falskt är maskinvaran känd för att inte vara sårbar för CVE-2018-3639. |
Maskinvarustöd för Speculative Store Bypass Disable finns |
Kartor till SSBDHardwarePresent. På den här raden får du veta om maskinvarufunktioner finns för att stödja Speculative Store Bypass Disable. Enhets-OEM-tillverkaren ansvarar för att tillhandahålla den uppdaterade BIOS/inbyggda programvaran som innehåller mikrokoden som tillhandahålls av Intel. Om den här raden är True finns de nödvändiga maskinvarufunktionerna. Om raden är False finns inte de nödvändiga maskinvarufunktionerna. Därför kan inte Spekulativ store Bypass Disable aktiveras. Observera SSBDHardwarePresent kommer att vara True i virtuella gästdatorer om OEM-uppdateringen tillämpas på värden. |
Windows OS-stöd för Speculative Store Bypass Disable är aktiverat |
Kartor till SSBDWindowsSupportEnabledSystemWide. Den här raden anger om Speculative Store Bypass Disable är aktiverat i Windows-operativsystemet. Om det är Sant är maskinvarusupport och OS-stöd för Speculative Store Bypass Disable aktiverat för enheten som förhindrar att spekulativ Store Bypass uppstår, vilket eliminerar säkerhetsrisken helt. Om det är Falskt är något av följande villkor sant:
|
Inställningar för spekulationskontroll för CVE-2018-3620 [L1 terminalfel] |
Det här avsnittet innehåller sammanfattande systemstatus för L1TF (operativsystem) som cve-2018-3620 refererar till. Den här begränsningen säkerställer att säkra sidramsbitar används för att inte presentera eller ogiltiga sidtabellposter. Obs! Det här avsnittet innehåller ingen sammanfattning av begränsningsstatusen för L1TF (VMM) som cve-2018-3646 refererar till. |
Maskinvaran är sårbar för L1-terminalfel: Sant |
Kartor till L1TFHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för L1 Terminal Fault (L1TF, CVE-2018-3620). Om det är Sant tros maskinvaran vara sårbar för CVE-2018-3620. Om det är Falskt är maskinvaran känd för att inte vara sårbar för CVE-2018-3620. |
Windows OS-support för L1 terminalfelreducering finns: Sant |
Kartor till L1TFWindowsSupportPresent. Den här raden anger om Windows-operativsystemet stöder L1 Terminal Fault (L1TF) operativsystemet. Om det är Sant installeras augusti 2018-uppdateringen på enheten och begränsningen för CVE-2018-3620 finns. Om det är Falskt installeras inte augusti 2018-uppdateringen och begränsningen för CVE-2018-3620 finns inte. |
Windows OS-stöd för L1 terminalfelreducering är aktiverat: Sant |
Kartor till L1TFWindowsSupportEnabled. Den här raden anger om Windows-operativsystemet för L1 Terminal Fault (L1TF, CVE-2018-3620) är aktiverat. Om det är Sant tros maskinvaran vara sårbar för CVE-2018-3620, Windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad. |
Inställningar för spekulationskontroll för MDS [Microarchitectural Data Sampling] |
Det här avsnittet innehåller systemstatus för MDS-uppsättningen med sårbarheter, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 och ADV220002. |
Windows OS-support för MDS-åtgärder finns |
Kartor till MDSWindowsSupportPresent. Den här linjen anger om Windows-operativsystemets stöd för operativsystemet Microarchitectural Data Sampling (MDS) finns. Om det är Sant installeras maj 2019-uppdateringen på enheten och begränsningen för MDS finns. Om det är Falskt installeras inte maj 2019-uppdateringen och begränsningen för MDS finns inte. |
Maskinvaran är sårbar för MDS |
Kartor till MDSHardwareVulnerable. Den här linjen berättar om maskinvaran är sårbar för microarchitectural Data Sampling (MDS) uppsättning sårbarheter (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar. |
Windows OS-stöd för MDS-begränsning är aktiverat |
Kartor till MDSWindowsSupportEnabled. Den här linjen anger om Windows-operativsystemet för Microarchitectural Data Sampling (MDS) är aktiverat. Om det är Sant tros maskinvaran påverkas av MDS-sårbarheterna, Windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad. |
Windows OS-stöd för SBDR-begränsning finns |
Kartor till FBClearWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för SBDR-operativsystemet. Om det är Sant installeras uppdateringen för juni 2022 på enheten och begränsningen för SBDR finns. Om det är Falskt installeras inte uppdateringen för juni 2022 och begränsningen för SBDR finns inte. |
Maskinvaran är sårbar för SBDR |
Kartor till SBDRSSDPHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för SBDR [delad buffertdata läs] uppsättning sårbarheter (CVE-2022-21123). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar. |
Windows OS-stöd för SBDR-begränsning är aktiverat |
Kartor till FBClearWindowsSupportEnabled. Den här raden anger om Windows-operativsystemets begränsning för SBDR [läsning av delade buffertar] är aktiverad. Om det är Sant tros maskinvaran påverkas av SBDR-sårbarheterna, windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad. |
Windows OS-stöd för FBSDP-begränsning finns |
Kartor till FBClearWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för FBSDP-operativsystemet. Om det är Sant installeras uppdateringen för juni 2022 på enheten och begränsningen för FBSDP finns. Om det är Falskt installeras inte uppdateringen för juni 2022 och begränsningen för FBSDP finns inte. |
Maskinvaran är sårbar för FBSDP |
Kartor till FBSDPHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för FBSDP [fyllningsbuffert inaktuell dataspridning] uppsättning sårbarheter (CVE-2022-21125, CVE-2022-21127 och CVE-2022-21166). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar. |
Windows OS-stöd för FBSDP-begränsning är aktiverat |
Kartor till FBClearWindowsSupportEnabled. Den här raden anger om Windows-operativsystemets begränsning för FBSDP [inaktuell dataspridning i fyllningsbuffert] är aktiverad. Om det är Sant tros maskinvaran påverkas av FBSDP-sårbarheterna, Windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad. |
Windows OS-support för PSDP-åtgärder finns |
Kartor till FBClearWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för psdp-operativsystemet. Om det är Sant installeras uppdateringen för juni 2022 på enheten och en lösning för PSDP finns. Om det är Falskt installeras inte uppdateringen för juni 2022 och begränsningen för PSDP finns inte. |
Maskinvaran är sårbar för PSDP |
Kartor till PSDPHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för PSDP-säkerhetsrisker (primary stale data propagator). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar. |
Windows OS-stöd för PSDP-begränsning är aktiverat |
Kartor till FBClearWindowsSupportEnabled. Den här raden anger om Windows-operativsystemets begränsning för PSDP [primär inaktuell dataspridning] är aktiverad. Om det är Sant tros maskinvaran påverkas av PSDP-säkerhetsriskerna, windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad. |
Utdata som har alla åtgärder aktiverade
Följande utdata förväntas för en enhet som har alla åtgärder aktiverade, tillsammans med vad som är nödvändigt för att uppfylla varje villkor.
BTIHardwarePresent: True -> OEM BIOS/firmware-uppdatering tillämpadanvisningarna på servern. BTIDisabledBySystemPolicy: False -> se till att inte inaktiveras av principen. BTIDisabledByNoHardwareSupport: False -> se till att OEM BIOS/firmware-uppdateringen tillämpas. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: Sant eller Falskt -> ingen åtgärd, det här är en funktion av cpu som datorn använder Om KVAShadowRequired är Sant KVAShadowWindowsSupportPresent: True -> installera januari 2018-uppdatering KVAShadowWindowsSupportEnabled: True -> på klienten, ingen åtgärd krävs. Följ anvisningarna på servern. KVAShadowPcidEnabled: True eller False -> ingen åtgärd, det här är en funktion av cpu som datorn använder
BTIWindowsSupportPresent: True -> januari 2018-uppdatering installerad BTIWindowsSupportEnabled: True -> på klienten, ingen åtgärd krävs. FöljOm SSBDHardwareVulnerablePresent är SantADV180012 SSBDHardwarePresent: True -> installera BIOS/uppdatering av inbyggd programvara med stöd för SSBD från enhetens OEM-tillverkare SSBDWindowsSupportEnabledSystemWide: True -> följa rekommenderade åtgärder för att aktivera SSBD
SSBDWindowsSupportPresent: True -> installera Windows-uppdateringar som dokumenterats iOm L1TFHardwareVulnerable är SantADV180018 L1TFWindowsSupportEnabled: True -> följa åtgärder som beskrivs i ADV180018 för Windows Server eller Klient efter behov för att aktivera begränsningen L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> installera uppdateringen för juni 2022 MDSHardwareVulnerable: False -> maskinvara är känd för att inte vara sårbar MDSWindowsSupportEnabled: True -> begränsning för Microarchitectural Data Sampling (MDS) är aktiverat FBClearWindowsSupportPresent: True -> installera uppdateringen för juni 2022 SBDRSSDPHardwareVulnerable: True -> maskinvara tros påverkas av dessa sårbarheter FBSDPHardwareVulnerable: True -> maskinvara tros påverkas av dessa sårbarheter PSDPHardwareVulnerable: True -> maskinvara tros påverkas av dessa sårbarheter FBClearWindowsSupportEnabled: True -> Representerar begränsningsaktivering för SBDR/FBSDP/PSDP. Se till att OEM BIOS/firmware uppdateras, FBClearWindowsSupportPresent är True, åtgärder aktiverade enligt beskrivningen i ADV220002 och KVAShadowWindowsSupportEnabled är Sant.
L1TFWindowsSupportPresent: True -> installera Windows-uppdateringar som dokumenterats iRegister
I följande tabell mappas utdata till registernycklarna som beskrivs i KB4072698: Windows Server och Azure Stack HCI-vägledning för skydd mot silicon-baserade säkerhetsproblem med mikroarchitectural och spekulativ exekvering.
Registernyckel |
Mappning |
FeatureSettingsOverride – Bit 0 |
Kartor till – Branch target injection – BTIWindowsSupportEnabled |
FeatureSettingsOverride – bit 1 |
Kartor till - Rogue datacache load - VAShadowWindowsSupportEnabled |
Referenser
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.