Applies ToWindows 11 Windows 10

เปลี่ยนวันที่

คําอธิบายเกี่ยวกับการเปลี่ยนแปลง

วันที่ 17 กรกฎาคม 2566

เพิ่ม MMIO และคําอธิบายเฉพาะของค่าผลลัพธ์ในส่วน "ผลลัพธ์ที่เปิดใช้งานการบรรเทาทั้งหมด"

บทสรุป

เราได้เผยแพร่สคริปต์ PowerShell (SpeculationControl) ที่สามารถทํางานบนอุปกรณ์ของคุณเพื่อช่วยคุณตรวจสอบสถานะของการดําเนินการแบบคาดการณ์ได้ บทความนี้อธิบายวิธีการเรียกใช้สคริปต์ SpeculationControl และความหมายของผลลัพธ์

คําแนะนําด้านความปลอดภัย ADV180002, ADV180012, ADV180018 และ ADV190013 ครอบคลุมช่องโหว่เก้าจุดต่อไปนี้:

  • CVE-2017-5715 (การฉีดเป้าหมายสาขา)

  • CVE-2017-5753 (เลี่ยงผ่านการตรวจสอบขอบเขต)

    หมายเหตุ การป้องกันสําหรับ CVE-2017-5753 (การตรวจสอบขอบเขต) ไม่จําเป็นต้องมีการตั้งค่ารีจิสทรีหรือการอัปเดตเฟิร์มแวร์เพิ่มเติม  

  • CVE-2017-5754 (โหลดแคชข้อมูลปลอม)

  • CVE-2018-3639 (การบายพาสร้านค้าแบบคาดการณ์)

  • CVE-2018-3620 (ข้อผิดพลาดของเทอร์มินัล L1 – ระบบปฏิบัติการ)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (การสุ่มตัวอย่างข้อมูลที่เก็บบัฟเฟอร์ตรวจเก็บถาวรแบบไมโคร (MSBDS))

  • CVE-2018-12127 (การสุ่มตัวอย่างข้อมูลพอร์ตโหลดสถาปัตยกรรมขนาดเล็ก (MLPDS))

  • CVE-2018-12130 (การสุ่มตัวอย่างข้อมูลบัฟเฟอร์แบบเติมแบบไมโคร (MFBDS))

คําแนะนํา ADV220002 ครอบคลุมช่องโหว่ที่เกี่ยวข้องกับMemory-Mapped I/O (MMIO):

  • CVE-2022-21123 | CVE การอ่านข้อมูลบัฟเฟอร์ที่ใช้ร่วมกัน (SBDR)

  • CVE-2022-21125 | CVE การสุ่มตัวอย่างข้อมูลบัฟเฟอร์ที่ใช้ร่วมกัน (SBDS)

  • CVE-2022-21127 | CVE การอัปเดตการสุ่มตัวอย่างข้อมูลบัฟเฟอร์การลงทะเบียนพิเศษ (การอัปเดต SRBDS)

  • CVE-2022-21166 | CVE Device Register Partial Write (DRPW)

บทความนี้แสดงรายละเอียดเกี่ยวกับสคริปต์ SpeculationControl PowerShell ที่ช่วยระบุสถานะของการแก้ไขสําหรับ CVEs ที่แสดงอยู่ในรายการซึ่งต้องใช้การตั้งค่ารีจิสทรีเพิ่มเติม และในบางกรณีคือการอัปเดตเฟิร์มแวร์

ข้อมูลเพิ่มเติม

สคริปต์ SpeculationControl PowerShell

ติดตั้งและเรียกใช้สคริปต์ SpeculationControl โดยใช้หนึ่งในวิธีต่อไปนี้

วิธีที่ 1: การตรวจสอบ PowerShell โดยใช้ PowerShell Gallery (Windows Server 2016 หรือ WMF 5.0/5.1)

ติดตั้งโมดูล PowerShell

PS> Install-Module SpeculationControl

เรียกใช้โมดูล SpeculationControl PowerShell เพื่อตรวจสอบว่าเปิดใช้งานการป้องกันแล้ว

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

วิธีที่ 2: การตรวจสอบ PowerShell โดยใช้การดาวน์โหลดจาก TechNet (ระบบปฏิบัติการเวอร์ชันก่อนหน้า/WMF เวอร์ชันก่อนหน้า)

ติดตั้งโมดูล PowerShell จาก TechNet ScriptCenter

  1. ไปที่ https://aka.ms/SpeculationControlPS

  2. ดาวน์โหลดSpeculationControl.zip ลงในโฟลเดอร์ภายในเครื่อง

  3. แยกเนื้อหาไปยังโฟลเดอร์ภายในเครื่อง ตัวอย่างเช่น C:\ADV180002

เรียกใช้มอดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน

เริ่ม PowerShell แล้ว (ใช้ตัวอย่างด้านบน) คัดลอกและเรียกใช้คําสั่งต่อไปนี้:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

เอาต์พุตสคริปต์ PowerShell

เอาต์พุตของสคริปต์ SpeculationControl PowerShell จะมีลักษณะคล้ายกับเอาต์พุตต่อไปนี้ การป้องกันที่เปิดใช้งานจะปรากฏในผลลัพธ์เป็น "จริง"

PS C:\> Get-SpeculationControlSettings

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2017-5715 [การใส่เป้าหมายสาขา]

การสนับสนุนฮาร์ดแวร์สําหรับการลดการใส่เป้าหมายสาขาเป็นปัจจุบัน: เท็จ การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขาปรากฏ: True การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขาถูกเปิดใช้งาน: False การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขาถูกปิดใช้งานโดยนโยบายระบบ: True การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขาถูกปิดใช้งานเมื่อไม่มีการสนับสนุนฮาร์ดแวร์: จริง

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2017-5754 [โหลดแคชข้อมูลปลอม]

ฮาร์ดแวร์มีความเสี่ยงต่อการโหลดแคชข้อมูลข้าม: จริง การสนับสนุนระบบปฏิบัติการ Windows สําหรับการบรรเทาการโหลดแคชข้อมูลแบบโรสมีดังนี้: จริง เปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการบรรเทาการโหลดแคชข้อมูลแบบโรก: จริง ฮาร์ดแวร์ต้องใช้การทําเงา VA เคอร์เนล: จริง การสนับสนุน Windows OS สําหรับเคอร์เนล VA เงาปรากฏ: เท็จ การสนับสนุน Windows OS สําหรับเคอร์เนล VA เงาถูกเปิดใช้งาน: False การสนับสนุน Windows OS สําหรับการปรับ PCID ให้เหมาะสมถูกเปิดใช้งาน: False การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2018-3639 [การบายพาสร้านค้าแบบคาดการณ์]

ฮาร์ดแวร์มีความเสี่ยงต่อการบายพาสร้านค้าแบบคาดการณ์: จริง การสนับสนุนฮาร์ดแวร์สําหรับการลดการเลี่ยงผ่านร้านค้าแบบคาดการณ์เป็นปัจจุบัน: False การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการเลี่ยงผ่านสโตร์แบบคาดการณ์ปรากฏอยู่: จริง การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการเลี่ยงผ่านร้านค้าแบบคาดการณ์ได้เปิดใช้งานทั้งระบบ: เท็จ

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2018-3620 [ข้อบกพร่องของเทอร์มินัล L1]

ฮาร์ดแวร์มีความเสี่ยงต่อความผิดพลาดของเทอร์มินัล L1: จริง การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดข้อผิดพลาดของเทอร์มินัล L1 ปรากฏ: จริง การสนับสนุน Windows OS สําหรับการลดข้อบกพร่องของเทอร์มินัล L1 เปิดใช้งานอยู่: จริง

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ MDS [การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก]

การสนับสนุน Windows OS สําหรับการลดปัญหา MDS มีอยู่: จริง ฮาร์ดแวร์มีความเสี่ยงต่อ MDS: จริง การสนับสนุน Windows OS สําหรับการลดปัญหา MDS ถูกเปิดใช้งาน: จริง

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ SBDR [อ่านข้อมูลบัฟเฟอร์ที่ใช้ร่วมกัน] 

การสนับสนุน Windows OS สําหรับการลดปัญหา SBDR มีอยู่: จริง ฮาร์ดแวร์มีความเสี่ยงต่อ SBDR: จริง การสนับสนุน Windows OS สําหรับการลดปัญหา SBDR ถูกเปิดใช้งาน: จริง 

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ FBSDP [fill buffer stale data propagator] การสนับสนุน Windows OS สําหรับการลดปัญหา FBSDP มีอยู่: จริง ฮาร์ดแวร์มีความเสี่ยงต่อ FBSDP: จริง การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลด FBSDP ถูกเปิดใช้งาน: จริง 

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ PSDP [ตัวเผยแพร่ข้อมูลหลักค้าง]

การสนับสนุน Windows OS สําหรับการลดปัญหา PSDP มีอยู่: จริง ฮาร์ดแวร์มีความเสี่ยงต่อ PSDP: จริง การสนับสนุน Windows OS สําหรับการลด PSDP ถูกเปิดใช้งาน: จริง

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

คําอธิบายของเอาต์พุตสคริปต์ SpeculationControl PowerShell

ตารางผลลัพธ์ขั้นสุดท้ายจะแมปกับผลลัพธ์ของบรรทัดก่อนหน้า ซึ่งปรากฏขึ้นเนื่องจาก PowerShell พิมพ์วัตถุที่ถูกส่งกลับโดยฟังก์ชัน ตารางต่อไปนี้อธิบายแต่ละบรรทัดในผลลัพธ์สคริปต์ PowerShell

ผลลัพธ์

คำ อธิบาย

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2017-5715 [การใส่เป้าหมายสาขา]

ส่วนนี้แสดงสถานะระบบสําหรับตัวแปรที่ 2, CVE-2017-5715, การใส่เป้าหมายสาขา

การสนับสนุนฮาร์ดแวร์สําหรับการลดการใส่เป้าหมายสาขาปรากฏอยู่

แผนที่ไปยัง BTIHardwarePresent บรรทัดนี้จะบอกให้คุณทราบว่ามีคุณลักษณะของฮาร์ดแวร์อยู่เพื่อสนับสนุนการลดการฉีดเป้าหมายสาขาหรือไม่ OEM อุปกรณ์เป็นผู้รับผิดชอบในการจัดหา BIOS/เฟิร์มแวร์ที่อัปเดตซึ่งมี Microcode ที่ผู้ผลิต CPU ให้มา หากบรรทัดนี้เป็น True คุณลักษณะของฮาร์ดแวร์ที่จําเป็นจะปรากฏขึ้น หากบรรทัดนั้นเป็น False คุณลักษณะของฮาร์ดแวร์ที่จําเป็นจะไม่ปรากฏ ดังนั้น จึงไม่สามารถเปิดใช้งานการลดการใส่เป้าหมายสาขาได้

หมายเหตุ BTIHardwarePresent จะเป็น True ในเครื่องเสมือน Guest ถ้ามีการนําการอัปเดต OEM ไปใช้กับโฮสต์และทําตามคําแนะนํา

มีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขา

แผนที่ไปยัง BTIWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการฉีดเป้าหมายสาขาหรือไม่ หากเป็น True ระบบปฏิบัติการจะสนับสนุนการลดการฉีดเป้าหมายสาขา (ดังนั้นจึงติดตั้งการอัปเดตประจําเดือนมกราคม 2018) หากเป็น False การอัปเดตประจําเดือนมกราคม 2018 จะไม่ได้ติดตั้งบนอุปกรณ์ และไม่สามารถเปิดใช้งานการลดการป้อนเป้าหมายสาขาได้

หมายเหตุ หาก VM แบบผู้เยี่ยมชมไม่พบการอัปเดตฮาร์ดแวร์โฮสต์ BTIWindowsSupportEnabled จะเป็นเท็จเสมอ

เปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขา

แผนที่ไปยัง BTIWindowsSupportEnabled บรรทัดนี้จะบอกให้คุณทราบว่ามีการเปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการฉีดเป้าหมายสาขาหรือไม่ หากเป็น True การสนับสนุนฮาร์ดแวร์และระบบปฏิบัติการสําหรับการลดการฉีดเป้าหมายสาขาจะถูกเปิดใช้งานสําหรับอุปกรณ์จึงป้องกัน CVE-2017-5715 ถ้าเป็น False เงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้เป็นจริง:

  • การสนับสนุนฮาร์ดแวร์ไม่ปรากฏ

  • ไม่มีการสนับสนุนระบบปฏิบัติการ

  • นโยบายของระบบปิดใช้งานการลดปัญหา

การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขาถูกปิดใช้งานโดยนโยบายระบบ

แมปไปยัง BTIDisabledBySystemPolicy บรรทัดนี้จะบอกคุณว่าการลดการใส่เป้าหมายสาขาถูกปิดใช้งานโดยนโยบายระบบ (เช่น นโยบายที่ผู้ดูแลระบบกําหนด) นโยบายระบบ อ้างอิงถึงตัวควบคุมรีจิสทรีตามที่ระบุไว้ใน KB4072698 ถ้าเป็น True นโยบายของระบบจะรับผิดชอบในการปิดใช้งานการลดปัญหา ถ้าเป็น False การลดปัญหาจะถูกปิดใช้งานด้วยสาเหตุอื่น

การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการใส่เป้าหมายสาขาถูกปิดใช้งานเมื่อไม่มีการสนับสนุนฮาร์ดแวร์

แผนที่ไปยัง BTIDisabledByNoHardwareSupport บรรทัดนี้จะบอกให้คุณทราบว่าการลดการใส่เป้าหมายสาขาถูกปิดใช้งานเนื่องจากไม่มีการสนับสนุนฮาร์ดแวร์ หากเป็น True การขาดการสนับสนุนฮาร์ดแวร์มีหน้าที่รับผิดชอบในการปิดใช้งานการบรรเทา ถ้าเป็น False การลดปัญหาจะถูกปิดใช้งานด้วยสาเหตุอื่น

หมาย เหตุหาก VM แบบผู้เยี่ยมชมไม่พบการอัปเดตฮาร์ดแวร์โฮสต์ BTIDisabledByNoHardwareSupport จะเป็นจริงเสมอ

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2017-5754 [โหลดแคชข้อมูลปลอม]

ส่วนนี้แสดงสถานะของระบบสรุปสําหรับตัวแปรที่ 3, CVE-2017-5754, โหลดแคชข้อมูลปลอม การลดปัญหาสําหรับปัญหานี้เรียกว่าเงาที่อยู่เสมือน (VA) เคอร์เนลหรือการลดโหลดแคชข้อมูลแบบโรส

ฮาร์ดแวร์มีความเสี่ยงต่อการโหลดแคชข้อมูลแบบโรส

แผนที่ไปยัง RdclHardwareProtected บรรทัดนี้จะบอกคุณว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2017-5754 หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2017-5754 ถ้าเป็น False แสดงว่าฮาร์ดแวร์ไม่เสี่ยงต่อ CVE-2017-5754

มีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการบรรเทาการโหลดแคชข้อมูลแบบโรส

แผนที่ไปยัง KVAShadowWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับคุณลักษณะ Kernel VA Shadow หรือไม่

เปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการบรรเทาการโหลดแคชข้อมูลแบบโรส

แผนที่ไปยัง KVAShadowWindowsSupportEnabled บรรทัดนี้จะบอกคุณว่าคุณลักษณะ Kernel VA shadow เปิดใช้งานอยู่หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2017-5754 แสดงว่ามีการสนับสนุนระบบปฏิบัติการ Windows และเปิดใช้งานฟีเจอร์นี้

ฮาร์ดแวร์ต้องใช้การทําเงา VA เคอร์เนล

แผนที่ไปยัง KVAShadowRequired บรรทัดนี้จะบอกให้คุณทราบว่าระบบของคุณจําเป็นต้องใช้การทําเงาเคอร์เนล VA เพื่อลดช่องโหว่หรือไม่

การสนับสนุน Windows OS สําหรับเคอร์เนล VA เงาปรากฏอยู่

แผนที่ไปยัง KVAShadowWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับคุณลักษณะ Kernel VA Shadow หรือไม่ ถ้าเป็น True จะมีการติดตั้งการอัปเดตประจําเดือนมกราคม 2018 บนอุปกรณ์ และแชโดว์ VA เคอร์เนลได้รับการสนับสนุน ถ้าเป็น False จะไม่มีการติดตั้งการอัปเดตประจําเดือนมกราคม 2018 และไม่มีการสนับสนุนเงา VA เคอร์เนลอยู่

การสนับสนุน Windows OS สําหรับเคอร์เนล VA เงาถูกเปิดใช้งาน

แผนที่ไปยัง KVAShadowWindowsSupportEnabled บรรทัดนี้จะบอกคุณว่าคุณลักษณะ Kernel VA shadow เปิดใช้งานอยู่หรือไม่ หากเป็น True แสดงว่ามีการสนับสนุนระบบปฏิบัติการ Windows และฟีเจอร์นี้เปิดใช้งานอยู่ คุณลักษณะเคอร์เนล VA เงาจะเปิดใช้งานอยู่ตามค่าเริ่มต้นบนรุ่นไคลเอ็นต์ของ Windows และถูกปิดใช้งานตามค่าเริ่มต้นบน Windows Server รุ่น หากเป็นเท็จ การสนับสนุนระบบปฏิบัติการ Windows จะไม่ปรากฏ หรือฟีเจอร์นี้ไม่ได้เปิดใช้งาน

เปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการปรับประสิทธิภาพการทํางานของ PCID ให้เหมาะสม

หมาย เหตุไม่จําเป็นต้องใช้ PCID เพื่อความปลอดภัย ซึ่งระบุว่ามีการเปิดใช้งานการปรับปรุงประสิทธิภาพการทํางานหรือไม่เท่านั้น PCID ไม่ได้รับการสนับสนุนกับ Windows Server 2008 R2

แผนที่ไปยัง KVAShadowPcidEnabled บรรทัดนี้จะบอกให้คุณทราบว่ามีการเปิดใช้งานการปรับประสิทธิภาพให้เหมาะสมเพิ่มเติมสําหรับเงา VA เคอร์เนลหรือไม่ หากเป็น True เงาเคอร์เนล VA จะถูกเปิดใช้งาน การสนับสนุนฮาร์ดแวร์สําหรับ PCID มีอยู่ และเปิดใช้งานการปรับ PCID ให้เหมาะสมสําหรับเคอร์เนล VA เงา หากเป็นเท็จ ฮาร์ดแวร์หรือระบบปฏิบัติการอาจไม่รองรับ PCID ซึ่งไม่ใช่จุดอ่อนด้านความปลอดภัยสําหรับการปรับ PCID ให้เหมาะสมที่สุดที่จะไม่เปิดใช้งาน

มีการสนับสนุนระบบปฏิบัติการ Windows สําหรับ Speculative Store Bypass Disable อยู่

แผนที่ไปยัง SSBDWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับ Speculative Store Bypass Disable หรือไม่ ถ้าเป็น True จะมีการติดตั้งการอัปเดตประจําเดือนมกราคม 2018 บนอุปกรณ์ และแชโดว์ VA เคอร์เนลได้รับการสนับสนุน ถ้าเป็น False จะไม่มีการติดตั้งการอัปเดตประจําเดือนมกราคม 2018 และไม่มีการสนับสนุนเงา VA เคอร์เนลอยู่

ฮาร์ดแวร์จําเป็นต้องมีการปิดใช้งานการเลี่ยงผ่านสโตร์แบบคาดการณ์

แผนที่ไปยัง SSBDHardwareVulnerablePresent บรรทัดนี้จะบอกคุณว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2018-3639 หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2018-3639 ถ้าเป็น False แสดงว่าฮาร์ดแวร์ไม่เสี่ยงต่อ CVE-2018-3639

มีการสนับสนุนฮาร์ดแวร์สําหรับ Speculative Store Bypass Disable

แผนที่ไปยัง SSBDHardwarePresent บรรทัดนี้จะบอกให้คุณทราบว่ามีฟีเจอร์ของฮาร์ดแวร์เพื่อสนับสนุนการปิดใช้งานการเลี่ยงผ่าน Speculative Store หรือไม่ อุปกรณ์ OEM เป็นผู้รับผิดชอบในการจัดหา BIOS/เฟิร์มแวร์ที่อัปเดตซึ่งมี Microcode ให้บริการโดย Intel หากบรรทัดนี้เป็น True คุณลักษณะของฮาร์ดแวร์ที่จําเป็นจะปรากฏขึ้น หากบรรทัดนั้นเป็น False คุณลักษณะของฮาร์ดแวร์ที่จําเป็นจะไม่ปรากฏ ดังนั้น ไม่สามารถเปิดการปิดใช้งานการเลี่ยงผ่านสโตร์แบบคาดการณ์ได้

หมาย เหตุ SSBDHardwarePresent จะ เป็นจริง ในเครื่องเสมือน Guest ถ้ามีการนําการอัปเดต OEM ไปใช้กับโฮสต์

การสนับสนุนระบบปฏิบัติการ Windows สําหรับ Speculative Store Bypass Disable เปิดอยู่

แมปไปยัง SSBDWindowsSupportEnabledSystemWide บรรทัดนี้จะบอกคุณว่าการปิดใช้งานการเลี่ยงผ่านสโตร์แบบคาดการณ์เปิดอยู่ในระบบปฏิบัติการ Windows หรือไม่ หากเป็น True การสนับสนุนฮาร์ดแวร์และระบบปฏิบัติการสําหรับ Speculative Store Bypass Disable เปิดอยู่สําหรับอุปกรณ์ที่ป้องกันไม่ให้เกิดการเลี่ยงผ่าน Speculative Store ดังนั้นจึงช่วยลดความเสี่ยงด้านความปลอดภัยอย่างสมบูรณ์ ถ้าเป็น False เงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้เป็นจริง:

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ CVE-2018-3620 [ข้อบกพร่องของเทอร์มินัล L1]

ส่วนนี้แสดงสถานะของระบบสรุปสําหรับ L1TF (ระบบปฏิบัติการ) ที่อ้างอิงโดย CVE-2018-3620 การลดนี้ช่วยให้แน่ใจว่าบิตเฟรมเพจที่ปลอดภัยจะถูกใช้สําหรับไม่มีหรือไม่มีรายการตารางเพจที่ไม่ถูกต้อง

หมายเหตุ ส่วนนี้ไม่มีข้อมูลสรุปของสถานะการลดปัญหาสําหรับ L1TF (VMM) ที่อ้างอิงโดย CVE-2018-3646

ฮาร์ดแวร์มีความเสี่ยงต่อความผิดพลาดของเทอร์มินัล L1: จริง

แผนที่ไปยัง L1TFHardwareVulnerable บรรทัดนี้จะบอกให้คุณทราบว่าฮาร์ดแวร์มีความเสี่ยงต่อความผิดพลาดของเทอร์มินัล L1 (L1TF, CVE-2018-3620) หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2018-3620 ถ้าเป็น False จะทราบว่าฮาร์ดแวร์ไม่มีความเสี่ยงต่อ CVE-2018-3620

การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดข้อผิดพลาดของเทอร์มินัล L1 ปรากฏ: จริง

แผนที่ไปยัง L1TFWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดความผิดพลาดของเทอร์มินัล L1 (L1TF) หรือไม่ หากเป็น True จะมีการติดตั้งการอัปเดตประจําเดือนสิงหาคม 2018 บนอุปกรณ์ และการแก้ไขสําหรับ CVE-2018-3620 จะปรากฏขึ้น หากเป็น False จะไม่มีการติดตั้งการอัปเดตประจําเดือนสิงหาคม 2018 และการแก้ไขสําหรับ CVE-2018-3620 ไม่มีอยู่

การสนับสนุน Windows OS สําหรับการลดข้อบกพร่องของเทอร์มินัล L1 เปิดใช้งานอยู่: จริง

แมปไปยัง L1TFWindowsSupportEnabled บรรทัดนี้จะบอกให้คุณทราบว่ามีการเปิดใช้งานการลดระบบปฏิบัติการ Windows สําหรับ L1 Terminal Fault (L1TF, CVE-2018-3620) หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์มีความเสี่ยงต่อ CVE-2018-3620 ซึ่งเป็นการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดปัญหาและมีการเปิดใช้งานการลดปัญหา หากเป็น False แสดงว่าฮาร์ดแวร์ไม่มีความเสี่ยง การสนับสนุนระบบปฏิบัติการ Windows ไม่ปรากฏ หรือไม่มีการเปิดใช้งานการลดปัญหา

การตั้งค่าการควบคุมการเก็งกําไรสําหรับ MDS [การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก]

ส่วนนี้แสดงสถานะของระบบสําหรับชุดช่องโหว่ MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 และ ADV220002

มีการสนับสนุน Windows OS สําหรับการลดปัญหา MDS

แผนที่ไปยัง MDSWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดการสุ่มตัวอย่างข้อมูล Microarchitectural Data Sampling (MDS) หรือไม่ หากเป็น True จะมีการติดตั้งการอัปเดตเดือนพฤษภาคม 2019 บนอุปกรณ์ และการแก้ไข MDS จะปรากฏขึ้น หากเป็น False จะไม่มีการติดตั้งการอัปเดตเดือนพฤษภาคม 2019 และการแก้ไข MDS ไม่มีอยู่

ฮาร์ดแวร์มีความเสี่ยงต่อ MDS

แผนที่ไปยัง MDSHardwareVulnerable บรรทัดนี้จะบอกคุณว่าฮาร์ดแวร์มีความเสี่ยงต่อการสุ่มตัวอย่างข้อมูล (MDS) ของ Microarchitural Data Sampling (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่เหล่านี้ หากเป็น เท็จ แสดงว่าทราบว่าฮาร์ดแวร์ไม่มีช่องโหว่

การสนับสนุน Windows OS สําหรับการลดปัญหา MDS ถูกเปิดใช้งาน

แผนที่ไปยัง MDSWindowsSupportEnabled บรรทัดนี้จะบอกให้คุณทราบว่าการบรรเทาระบบปฏิบัติการ Windows สําหรับการสุ่มตัวอย่างข้อมูล (MDS) ของ Microarchitectural (MDS) เปิดใช้งานอยู่หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่ MDS การสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดปัญหามีอยู่และเปิดใช้งานการบรรเทา หากเป็น False แสดงว่าฮาร์ดแวร์ไม่มีความเสี่ยง การสนับสนุนระบบปฏิบัติการ Windows ไม่ปรากฏ หรือไม่มีการเปิดใช้งานการลดปัญหา

การสนับสนุน Windows OS สําหรับการลดปัญหา SBDR ปรากฏอยู่

แผนที่ไปยัง FBClearWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการแก้ไขระบบปฏิบัติการ SBDR หรือไม่ หากเป็น True จะมีการติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 บนอุปกรณ์ และการแก้ไข SBDR จะปรากฏขึ้น หากเป็น เท็จ จะไม่มีการติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 และการแก้ไข SBDR ไม่ปรากฏ

ฮาร์ดแวร์มีความเสี่ยงต่อ SBDR

แผนที่ไปยัง SBDRSSDPHardwareVulnerable บรรทัดนี้จะบอกให้คุณทราบว่าฮาร์ดแวร์มีความเสี่ยงต่อ SBDR [การแชร์บัฟเฟอร์ข้อมูลที่อ่าน] ชุดของช่องโหว่ (CVE-2022-21123) หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่เหล่านี้ หากเป็น เท็จ แสดงว่าทราบว่าฮาร์ดแวร์ไม่มีช่องโหว่

การสนับสนุน Windows OS สําหรับการลดปัญหา SBDR ถูกเปิดใช้งาน

แผนที่ไปยัง FBClearWindowsSupportEnabled บรรทัดนี้จะบอกให้คุณทราบว่ามีการเปิดใช้งานการลดปัญหาของระบบปฏิบัติการ Windows สําหรับ SBDR [อ่านข้อมูลบัฟเฟอร์ที่ใช้ร่วมกัน] หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่ SBDR การสนับสนุนการดําเนินการของ Windows สําหรับการบรรเทาจะปรากฏขึ้นและเปิดใช้งานการบรรเทา หากเป็น False แสดงว่าฮาร์ดแวร์ไม่มีความเสี่ยง การสนับสนุนระบบปฏิบัติการ Windows ไม่ปรากฏ หรือไม่มีการเปิดใช้งานการลดปัญหา

มีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลด FBSDP

แผนที่ไปยัง FBClearWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดระบบปฏิบัติการ FBSDP หรือไม่ หากเป็น True จะมีการติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 บนอุปกรณ์ และการแก้ไข FBSDP จะปรากฏขึ้น หากเป็น เท็จ จะไม่มีการติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 และการแก้ไข FBSDP ไม่ปรากฏ

ฮาร์ดแวร์มีความเสี่ยงต่อ FBSDP

แผนที่ไปยัง FBSDPHardwareVulnerable บรรทัดนี้จะบอกคุณว่าฮาร์ดแวร์มีความเสี่ยงต่อ FBSDP [fill buffer stale data propagator] ชุดของช่องโหว่ (CVE-2022-21125, CVE-2022-21127 และ CVE-2022-21166) หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่เหล่านี้ หากเป็น เท็จ แสดงว่าทราบว่าฮาร์ดแวร์ไม่มีช่องโหว่

มีการเปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดปัญหา FBSDP

แผนที่ไปยัง FBClearWindowsSupportEnabled บรรทัดนี้จะบอกให้คุณทราบว่ามีการเปิดใช้งานการลดระบบปฏิบัติการ Windows สําหรับ FBSDP [fill buffer stale data propagator] หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่ FBSDP การสนับสนุนการดําเนินการของ Windows สําหรับการลดปัญหามีอยู่และเปิดใช้งานการบรรเทา หากเป็น False แสดงว่าฮาร์ดแวร์ไม่มีความเสี่ยง การสนับสนุนระบบปฏิบัติการ Windows ไม่ปรากฏ หรือไม่มีการเปิดใช้งานการลดปัญหา

มีการสนับสนุน Windows OS สําหรับการลดปัญหา PSDP

แผนที่ไปยัง FBClearWindowsSupportPresent บรรทัดนี้จะบอกให้คุณทราบว่ามีการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดระบบปฏิบัติการ PSDP หรือไม่ หากเป็น True จะมีการติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 บนอุปกรณ์ และการแก้ไข PSDP จะปรากฏขึ้น หากเป็น เท็จ จะไม่มีการติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 และการแก้ไข PSDP ไม่ปรากฏ

ฮาร์ดแวร์มีความเสี่ยงต่อ PSDP

แผนที่ไปยัง PSDPHardwareVulnerable บรรทัดนี้จะบอกคุณว่าฮาร์ดแวร์มีความเสี่ยงต่อ PSDP [ตัวเผยแพร่ข้อมูลหลัก] ชุดของช่องโหว่หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่เหล่านี้ หากเป็น เท็จ แสดงว่าทราบว่าฮาร์ดแวร์ไม่มีช่องโหว่

มีการเปิดใช้งานการสนับสนุนระบบปฏิบัติการ Windows สําหรับการลดปัญหา PSDP

แผนที่ไปยัง FBClearWindowsSupportEnabled บรรทัดนี้จะบอกคุณว่าการบรรเทาระบบปฏิบัติการ Windows สําหรับ PSDP [ตัวเผยแพร่ข้อมูลหลัก] เปิดใช้งานอยู่หรือไม่ หากเป็น True เชื่อว่าฮาร์ดแวร์จะได้รับผลกระทบจากช่องโหว่ PSDP การสนับสนุนการดําเนินการของ Windows สําหรับการลดปัญหามีอยู่และเปิดใช้งานการบรรเทา หากเป็น False แสดงว่าฮาร์ดแวร์ไม่มีความเสี่ยง การสนับสนุนระบบปฏิบัติการ Windows ไม่ปรากฏ หรือไม่มีการเปิดใช้งานการลดปัญหา

ผลลัพธ์ที่เปิดใช้งานการบรรเทาทั้งหมด

ผลลัพธ์ต่อไปนี้ที่คาดไว้สําหรับอุปกรณ์ที่เปิดใช้งานการแก้ไขทั้งหมด พร้อมกับสิ่งที่จําเป็นเพื่อตอบสนองแต่ละเงื่อนไข

BTIHardwarePresent: ใช้การอัปเดต TRUE -> OEM BIOS/เฟิร์มแวร์ BTIWindowsSupportPresent: True -> ติดตั้งการอัปเดตประจําเดือนมกราคม 2018 BTIWindowsSupportEnabled: True -> บนไคลเอ็นต์ ไม่ต้องดําเนินการใดๆ บนเซิร์ฟเวอร์ ทําตามคําแนะนําBTIDisabledBySystemPolicy: False -> ตรวจสอบให้แน่ใจว่าไม่ได้ปิดใช้งานโดยนโยบายBTIDisabledByNoHardwareSupport: False -> ตรวจสอบให้แน่ใจว่ามีการนําการอัปเดต BIOS/เฟิร์มแวร์ของ OEM ไปใช้BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True หรือ False -> ไม่มีการดําเนินการ นี่คือฟังก์ชันของ CPU ที่คอมพิวเตอร์ใช้ ถ้า KVAShadowRequired เป็นจริง KVAShadowWindowsSupportPresent: True -> ติดตั้งการอัปเดตประจําเดือนมกราคม 2018 KVAShadowWindowsSupportEnabled: True -> บนไคลเอ็นต์ ไม่ต้องดําเนินการใดๆ บนเซิร์ฟเวอร์ ทําตามคําแนะนําKVAShadowPcidEnabled: True หรือ False -> ไม่มีการดําเนินการ นี่คือฟังก์ชันของ CPU ที่คอมพิวเตอร์ใช้

ถ้า SSBDHardwareVulnerablePresent เป็น True SSBDWindowsSupportPresent: True -> ติดตั้งการอัปเดต Windows ตามที่ระบุไว้ใน ADV180012 SSBDHardwarePresent: True -> ติดตั้งการอัปเดต BIOS/เฟิร์มแวร์ด้วยการสนับสนุน SSBD จากอุปกรณ์ของคุณ OEM SSBDWindowsSupportEnabledSystemWide: True -> ทําตาม การดําเนินการที่แนะนํา เพื่อเปิด SSBD

ถ้า L1TFHardwareVulnerable เป็น True L1TFWindowsSupportPresent: True -> ติดตั้งการอัปเดต Windows ตามที่ระบุไว้ใน ADV180018 L1TFWindowsSupportEnabled: True -> ดําเนินการตามที่ระบุไว้ใน ADV180018 สําหรับ Windows Server หรือไคลเอ็นต์ตามความเหมาะสมเพื่อเปิดใช้งานการลดปัญหา L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> ติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 MDSHardwareVulnerable: ไม่รู้จักฮาร์ดแวร์ False -> มีความเสี่ยง MDSWindowsSupportEnabled: True -> mitigation for Microarchitectural Data Sampling (MDS) ถูกเปิดใช้งาน FBClearWindowsSupportPresent: True -> ติดตั้งการอัปเดตประจําเดือนมิถุนายน 2022 SBDRSSDPHardwareVulnerable: True -> hardware is believed to be affected by these vulnerabilities FBSDPHardwareVulnerable: True -> hardware is believed to be affected by these vulnerabilities PSDPHardwareVulnerable: True -> hardware is believed to be affected by these vulnerabilities FBClearWindowsSupportEnabled: True -> หมายถึงการเปิดใช้งานการลดปัญหาสําหรับ SBDR/FBSDP/PSDP ตรวจสอบให้แน่ใจว่า OEM BIOS/เฟิร์มแวร์ได้รับการอัปเดต FBClearWindowsSupportPresent เป็นจริง การลดปัญหาจะเปิดใช้งานตามที่ระบุไว้ใน ADV220002 และ KVAShadowWindowsSupportEnabled เป็นจริง

รี จิ สทรี

ตารางต่อไปนี้แมปผลลัพธ์กับรีจิสทรีคีย์ที่ครอบคลุมใน KB4072698: คําแนะนํา Windows Server และ Azure Stack HCI เพื่อป้องกันช่องโหว่ที่อาศัยไมโครเคอร์นิคอนและช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์

รีจิสทรีคีย์

แมป

FeatureSettingsOverride – Bit 0

แผนที่ - การใส่เป้าหมายสาขา - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

แผนที่ - โหลดแคชข้อมูล Rogue - VAShadowWindowsSupportEnabled

แหล่งอ้างอิง

เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย