Applies ToWindows 11 Windows 10

Змінити дату

Опис зміни

17 липня 2023 р.

Додано MMIO та певні описи значень виводу в розділі "Вивід, який містить усі засоби послаблення ризиків"

Зведення

Щоб перевірити стан послаблення ризиків стороннього каналу спекулятивного виконання, ми опублікували сценарій PowerShell (SpeculationControl), який можна запускати на ваших пристроях. У цій статті пояснюється, як запустити сценарій SpeculationControl і що означає результат.

Рекомендації з безпеки ADV180002, ADV180012, ADV180018 і ADV190013 охоплюють такі дев'ять вразливостей:

  • CVE-2017-5715 (ін'єкція цільової гілки)

  • CVE-2017-5753 (обхід меж перевірки)

    Нотатка Для захисту CVE-2017-5753 (перевірка меж) не потрібні додаткові параметри реєстру або оновлення мікропрограм.  

  • CVE-2017-5754 (ізгоїв завантаження кеша даних)

  • CVE-2018-3639 (спекулятивний обхід магазину)

  • CVE-2018-3620 (помилка терміналу L1 – ОС)

  • CVE-2018-11091 (мікроархітектурні дані, що відбирають незайняту пам'ять (MDSUM))

  • CVE-2018-12126 (вибірка буферних даних мікроархітектурного сховища (MSBDS))

  • CVE-2018-12127 (вибірка даних портів портів завантаження мікроархітектури (MLPDS))

  • CVE-2018-12130 (вибірка буферних даних мікроархітектурної заливки (MFBDS))

Рекомендації ADV220002 охоплюють додаткові вразливості, пов'язані з Memory-Mapped вводу-виводу (MMIO):

  • CvE-2022-21123 | Читання спільних буферних даних (SBDR)

  • CvE-2022-21125 | Вибір спільних буферних даних (SBDS)

  • CvE-2022-21127 | Оновлення вибірки спеціальних буферних даних реєстру (оновлення SRBDS)

  • CvE-2022-21166 | Часткове записування реєстрації пристрою (DRPW)

У цій статті наведено докладні відомості про сценарій SpeculationControl PowerShell, який допомагає визначити стан послаблення ризиків для перелічених CVEs, для яких потрібні додаткові параметри реєстру, а в деяких випадках – оновлення мікропрограм.

Додаткові відомості

Сценарій SpeculationControl PowerShell

Інсталюйте та запустіть сценарій SpeculationControl одним із наведених нижче способів.

Спосіб 1. Перевірка PowerShell за допомогою колекції PowerShell (Windows Server 2016 або WMF 5.0/5.1)

Інсталяція модуля PowerShell

PS> Install-Module SpeculationControl

Запустіть модуль SpeculationControl PowerShell, щоб переконатися, що захист увімкнуто

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Спосіб 2. Перевірка PowerShell за допомогою завантаження з TechNet (попередніх версій ОС або попередніх версій WMF)

Інсталяція модуля PowerShell із Центру сценаріїв TechNet

  1. Перейдіть до https://aka.ms/SpeculationControlPS.

  2. Завантажте SpeculationControl.zip до локальної папки.

  3. Видобування вмісту до локальної папки, наприклад C:\ADV180002

Запустіть модуль PowerShell, щоб переконатися, що захист увімкнуто

Запустіть PowerShell, а потім (у наведеному вище прикладі) скопіюйте та виконайте такі команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Вивід сценарію PowerShell

Вивід сценарію SpeculationControl PowerShell матиме такий вигляд: Увімкнуті засоби захисту відображаються у вихідних файлах як "True".

PS C:\> Get-SpeculationControlSettings

Параметри керування спекуляціями для CVE-2017-5715 [ін'єкція цільової гілки]

Наявна підтримка апаратного зниження ризику ін'єкції цільової гілки: False Підтримка ОС Windows для послаблення ризиків ін'єкції цільової гілки присутня: True Увімкнуто підтримку ОС Windows для послаблення ризиків ін'єкції цільової гілки: False Системна політика вимикає підтримку ОС Windows для зниження цільової версії гілки: True Підтримку ОС Windows для послаблення ризиків ін'єкції цільової гілки вимкнуто через відсутність підтримки обладнання: True

Параметри керування спекуляціями для CVE-2017-5754 [ізгоїв завантаження кеша даних]

Обладнання вразливе до навантаження кеша ізгоїв: True Підтримка ОС Windows для зниження ризику завантаження кеша даних ізгоїв: True Увімкнуто підтримку ОС Windows для зниження ризику завантаження кеша даних ізгоїв: True Апаратне забезпечення потребує тіні ядра VA: True Підтримка ОС Windows для тіні Ядра VA присутня: False Увімкнуто підтримку ОС Windows для тіні Ядра VA: False Підтримку ОС Windows для оптимізації PCID увімкнуто: False Параметри керування спекуляціями для CVE-2018-3639 [спекулятивний обхід магазину]

Обладнання вразливе до спекулятивного обходу магазину: True Наявна підтримка обладнання для послаблення ризиків обходу спекулятивного сховища: False Підтримка ОС Windows для послаблення ризиків обходу спекулятивного сховища присутня: True Підтримку ОС Windows для послаблення ризиків обходу спекулятивного сховища увімкнуто в загальносистемі: False

Параметри керування спекуляціями для CVE-2018-3620 [L1 помилка терміналу]

Обладнання вразливе до несправності терміналу L1: True Підтримка ОС Windows для послаблення ризиків несправностей терміналу L1 присутня: True Увімкнуто підтримку ОС Windows для послаблення ризиків несправностей термінала L1: True

Параметри керування спекуляціями для MDS [вибірка мікроархітектурних даних]

Підтримка ОС Windows для послаблення ризиків MDS присутня: True Обладнання вразливе до MDS: True Підтримку ОС Windows для послаблення ризиків MDS увімкнуто: True

Параметри керування спекуляціями для SBDR [читання даних спільних буферів] 

Підтримка ОС Windows для послаблення ризиків SBDR присутня: True Обладнання вразливе до SBDR: True Підтримку ОС Windows для послаблення ризиків SBDR увімкнуто: True 

Параметри керування спекуляціями для FBSDP [буфер заповнення застарілих даних розповсюдження] Підтримка ОС Windows для послаблення ризиків FBSDP присутня: True Обладнання вразливе до FBSDP: True Підтримку ОС Windows для послаблення ризиків FBSDP увімкнуто: True 

Параметри керування спекуляціями для PSDP [основний застарілий розповсюдження даних]

Підтримка ОС Windows для послаблення ризиків PSDP присутня: True Обладнання вразливе до PSDP: True Підтримку ОС Windows для послаблення ризиків PSDP увімкнуто: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Пояснення виводу сценарію SpeculationControl PowerShell

Остаточна сітка виводу відповідає виводу попередніх рядків. Це відбувається тому, що PowerShell друкує об'єкт, який повертає функція. У таблиці нижче описано кожен рядок у виводі сценарію PowerShell.

Вихід

Пояснення

Параметри керування спекуляціями для CVE-2017-5715 [ін'єкція цільової гілки]

У цьому розділі наведено стан системи для варіанта 2, CVE-2017-5715, ін'єкції цільової гілки.

Наявна апаратна підтримка послаблення ризиків ін'єкції цільової гілки

Карти для BTIHardwarePresent. Ця лінія повідомляє, чи наявні апаратні функції для підтримки послаблення ризиків ін'єкції цільової гілки. ВиробникИ оригінального обладнання відповідають за надання оновленої мікропрограми BIOS/мікропрограми, яка містить мікрокоманд, наданий виробниками ЦП. Якщо цей рядок має значення True, доступні обов'язкові апаратні функції. Якщо лінія має значення False, необхідні функції обладнання відсутні. Таким чином, не вдалося ввімкнути зниження цільової гілки.

Нотатка BTIHardwarePresent буде true в гостьових віртуальних машинах, якщо до хоста застосовано оновлення OEM та буде виконано вказівки.

Підтримка ОС Windows для послаблення ризиків ін'єкції цільової гілки присутня

Карти до BTIWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків ін'єкції цільової гілки. Якщо це правда, операційна система підтримує активацію зниження цільової гілки (і, отже, інсталював оновлення за січень 2018 р.). Якщо це false, оновлення за січень 2018 р. не інстальовано на пристрої, і не вдалося ввімкнути послаблення ризиків ін'єкції цільової гілки.

Нотатка Якщо гостьовій ВМ не вдалося виявити оновлення апаратного забезпечення хоста, BTIWindowsSupportEnabled завжди матиме значення False.

Увімкнуто підтримку ОС Windows для послаблення ризиків ін'єкції цільової гілки

Карти для BTIWindowsSupportEnabled. У цьому рядку повідомляється, чи ввімкнуто підтримку операційної системи Windows для зниження ризику ін'єкції цільової гілки. Якщо це правда, для пристрою активовано підтримку обладнання та ОС для зниження ризику ін'єкції цільової гілки, що захищається від CVE-2017-5715. Якщо значення хибне, виконується одна з таких умов:

  • Підтримка обладнання відсутня.

  • Підтримка ОС відсутня.

  • Зниження ризику вимкнуто системною політикою.

Системна політика вимикає підтримку ОС Windows для зниження цільової версії гілки

Карти до BTIDisabledBySystemPolicy. У цьому рядку вказано, чи вимкнуто зниження ризиків ін'єкції цільової гілки системною політикою (наприклад, політикою, визначеною адміністратором). Системна політика посилається на елементи керування реєстром, як описано в KB4072698. Якщо це правда, системна політика несе відповідальність за вимкнення засобу послаблення ризиків. Якщо значення хибне, послаблення ризиків вимикається іншою причиною.

Підтримку ОС Windows для послаблення ризиків ін'єкції цільової гілки вимкнуто через відсутність підтримки обладнання

Карти для BTIDisabledByNoHardwareSupport. У цьому рядку вказано, чи вимкнуто послаблення ризиків ін'єкції цільової гілки через відсутність підтримки обладнання. Якщо це правда, за вимкнення послаблення ризиків відповідає відсутність підтримки обладнання. Якщо значення хибне, послаблення ризиків вимикається іншою причиною.

ПриміткаЯкщо гостьовій ВМ не вдалося виявити оновлення апаратного забезпечення хоста, BTIDisabledByNoHardwareSupport завжди матиме значення True.

Параметри керування спекуляціями для CVE-2017-5754 [ізгоїв завантаження кеша даних]

У цьому розділі наведено стан зведеної системи для варіанта 3, CVE-2017-5754, ізгоїв завантаження кеша даних. Послаблення ризиків для цього відоме як тінь віртуальної адреси ядра (VA) або зниження ризику завантаження кеша даних ізгоїв.

Обладнання вразливе до навантаження кеша ізгоїв

Карти для RdclHardwareProtected. У цій лінії описано, чи вразливе обладнання до CVE-2017-5754. Якщо це правда, обладнання вважається вразливим до CVE-2017-5754. Якщо це False, обладнання, як відомо, не вразливе до CVE-2017-5754.

Підтримка ОС Windows для зниження ризику завантаження кеша даних ізгоїв

Карти до KVAShadowWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для функції тіні ядра VA.

Увімкнуто підтримку ОС Windows для зниження ризику завантаження кеша даних ізгоїв

Карти до KVAShadowWindowsSupportEnabled. У цьому рядку вказується, чи ввімкнуто функцію тіні ядра VA. Якщо це правда, вважається, що обладнання вразливе до CVE-2017-5754, підтримка операційної системи Windows присутня, і ця функція активована.

Апаратне забезпечення потребує тіні ядра VA

Карти до KVAShadowRequired. У цьому рядку ви дізнаєтеся, чи потрібна в системі тінь ядра VA для усунення вразливості.

Підтримка ОС Windows для тіні Ядра VA присутня

Карти до KVAShadowWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для функції тіні ядра VA. Якщо це правда, на пристрої інсталюється оновлення за січень 2018 р., і підтримується тінь Ядра VA. Якщо це хибність, оновлення за січень 2018 р. не інстальовано, а підтримка ядра з тінню VA не існує.

Увімкнуто підтримку ОС Windows для тіні VA ядра

Карти до KVAShadowWindowsSupportEnabled. У цьому рядку вказується, чи ввімкнуто функцію тіні ядра VA. Якщо це правда, доступна підтримка операційної системи Windows і її ввімкнуто. Функцію тіні Ядра VA наразі ввімкнуто за замовчуванням у клієнтських версіях Windows і вимкнуто за замовчуванням у версіях Windows Server. Якщо це хибність, підтримка операційної системи Windows відсутня або її не ввімкнуто.

Підтримку ОС Windows для оптимізації продуктивності PCID увімкнуто

ПриміткаДля безпеки ідентифікатор PCID не потрібен. Це вказує лише на те, чи ввімкнуто підвищення продуктивності. PcID не підтримується Windows Server 2008 R2

Карти до KVAShadowPcidEnabled. У цьому рядку вказується, чи ввімкнуто додаткову оптимізацію продуктивності для тіні ядра VA. Якщо це правда, активовано тінь Ядра VA, доступна апаратна підтримка PCID, а також активовано оптимізацію PCID для тіні Ядра VA. Якщо це false, можливо, обладнання або ОС не підтримують PCID. Це не слабкість безпеки для оптимізації PCID не буде ввімкнуто.

Доступна підтримка ОС Windows для спекулятивного відключення обходу сховища

Карти для SSBDWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для спекулятивного відключення обходу сховища. Якщо це правда, на пристрої інсталюється оновлення за січень 2018 р., і підтримується тінь Ядра VA. Якщо це хибність, оновлення за січень 2018 р. не інстальовано, а підтримка ядра з тінню VA не існує.

Апаратне забезпечення потребує спекулятивного магазину обходу Disable

Карти для SSBDHardwareVulnerablePresent. У цій лінії описано, чи вразливе обладнання до CVE-2018-3639. Якщо це правда, обладнання вважається вразливим до CVE-2018-3639. Якщо це False, обладнання, як відомо, не вразливе до CVE-2018-3639.

Наявна підтримка обладнання для спекулятивного відключення обходу сховища

Карти для SSBDHardwarePresent. Цей рядок повідомляє про наявність апаратних функцій для підтримки спекулятивного відключення обходу сховища. Виробник оригінального обладнання відповідає за надання оновленого BIOS/мікропрограми, що містить мікрокоманд від Intel. Якщо цей рядок має значення True, доступні обов'язкові апаратні функції. Якщо лінія має значення False, необхідні функції обладнання відсутні. Таким чином, спекулятивний магазин обхід вимкнути не можна ввімкнути.

Примітка Якщо до хоста застосовано оновлення OEM, SSBDHardwarePresent матиме значення True в гостьових віртуальних машинах.

Підтримку ОС Windows для спекулятивного сховища вимкніть обхід увімкнуто

Карти для SSBDWindowsSupportEnabledSystemWide. У цьому рядку вказується, чи ввімкнуто в операційній системі Windows функцію спекулятивного відключення обходу сховища. Якщо це правда, підтримка апаратного забезпечення та ОС для спекулятивного відключення обходу магазину увімкнуто для пристрою, який перешкоджає спекулятивному обходу магазину, таким чином повністю усунувши ризик безпеки. Якщо значення хибне, виконується одна з таких умов:

Параметри керування спекуляціями для CVE-2018-3620 [L1 помилка терміналу]

У цьому розділі наведено стан зведеної системи для L1TF (операційної системи), на яку посилається CVE-2018-3620. Це зниження ризику гарантує, що біти рамки безпечної сторінки використовуються для відсутніх або неприпустимих записів таблиці сторінок.

Нотатка У цьому розділі не наведено зведення стану зниження ризику для L1TF (VMM), на який посилається CVE-2018-3646.

Обладнання вразливе до несправності терміналу L1: True

Карти для L1TFHardwareVulnerable. У цьому рядку описано, чи вразливе обладнання до несправності терміналу L1 (L1TF, CVE-2018-3620). Якщо це правда, обладнання вважається вразливим до CVE-2018-3620. Якщо це False, обладнання, як відомо, не вразливе до CVE-2018-3620.

Підтримка ОС Windows для послаблення ризиків несправностей терміналу L1 присутня: True

Карти до L1TFWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи L1 Terminal Fault (L1TF). Якщо це правда, на пристрої інсталюється оновлення за серпень 2018 р., а також засіб послаблення ризиків для CVE-2018-3620 . Якщо це хибність, оновлення за серпень 2018 р. не інстальовано, а послаблення ризиків для CVE-2018-3620 відсутнє.

Увімкнуто підтримку ОС Windows для послаблення ризиків несправностей термінала L1: True

Карти до L1TFWindowsSupportEnabled. У цьому рядку описано, чи активовано послаблення ризиків операційної системи Windows для несправностей терміналів L1 (L1TF, CVE-2018-3620). Якщо це правда, вважається, що обладнання вразливе до CVE-2018-3620, підтримка операційної системи Windows для послаблення ризиків присутня, і засіб послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Параметри керування спекуляціями для MDS [Вибірка мікроархітектурних даних]

У цьому розділі наведено стан системи для набору вразливостей MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 і ADV220002.

Підтримка ОС Windows для послаблення ризиків MDS наявна

Карти для MDSWindowsSupportPresent. У цьому рядку вказується, чи підтримує операційна система Windows засіб захисту від вибірки мікроархітектурних даних (MDS). Якщо це значення true, на пристрої інсталюється оновлення за травень 2019 р., а також засіб послаблення ризиків для MDS. Якщо це false, оновлення за травень 2019 р. не інстальовано, а засіб послаблення ризиків для MDS відсутній.

Обладнання вразливе до MDS

Карти для MDSHardwareVulnerable. У цьому рядку вказано, чи вразливе обладнання до набору вразливостей вибірки мікроархітектурних даних (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків MDS увімкнуто

Карти для MDSWindowsSupportEnabled. У цьому рядку вказується, чи активовано послаблення ризиків операційної системи Windows для вибірки мікроархітектурних даних (MDS). Якщо це правда, обладнання, як вважають, залежить від вразливостей MDS, наявна підтримка операційної системи Windows для послаблення ризиків, а також послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Підтримка ОС Windows для послаблення ризиків SBDR наявна

Карти до FBClearWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи SBDR. Якщо це правда, на пристрої інсталюється оновлення за червень 2022 р., а також засіб послаблення ризиків для SBDR. Якщо це хибність, оновлення за червень 2022 р. не інстальовано, а послаблення ризиків для SBDR відсутнє.

Обладнання вразливе до SBDR

Карти для SBDRSSDPHardwareVulnerable. У цьому рядку вказано, чи вразливе обладнання до SBDR [читання даних спільних буферів] набору вразливостей (CVE-2022-21123). Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків SBDR увімкнуто

Карти до FBClearWindowsSupportEnabled. У цьому рядку вказується, чи активовано послаблення ризиків операційної системи Windows для SBDR [читання даних спільних буферів]. Якщо це правда, обладнання, як вважають, залежить від вразливостей SBDR, windows операційної підтримки для зниження ризику присутній і послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Підтримка ОС Windows для послаблення ризиків FBSDP наявна

Карти до FBClearWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи FBSDP. Якщо це правда, на пристрої інсталюється оновлення за червень 2022 р., а також засіб захисту від FBSDP. Якщо це False, оновлення за червень 2022 р. не інстальовано, а засіб захисту від FBSDP відсутній.

Обладнання вразливе до FBSDP

Карти для FBSDPHardwareVulnerable. У цьому рядку вказано, чи вразливе обладнання до набору вразливостей FBSDP [заповнювач застарілих даних] (CVE-2022-21125, CVE-2022-21127 і CVE-2022-21166). Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків FBSDP увімкнуто

Карти до FBClearWindowsSupportEnabled. У цьому рядку вказано, чи активовано послаблення ризиків операційної системи Windows для FBSDP [розповсюдження застарілих даних у буфері заповнення]. Якщо це правда, обладнання, як вважають, залежить від вразливостей FBSDP, наявна операційна підтримка Windows для послаблення ризиків, а також послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Підтримка ОС Windows для послаблення ризиків PSDP наявна

Карти до FBClearWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи PSDP. Якщо це правда, на пристрої інсталюється оновлення за червень 2022 р. і є засіб послаблення ризиків для PSDP. Якщо це False, оновлення за червень 2022 р. не інстальовано, а засіб послаблення ризиків для PSDP відсутній.

Обладнання вразливе до PSDP

Карти для PSDPHardwareVulnerable. Ця лінія повідомляє, чи обладнання вразливе до набору вразливостей PSDP [основний застарілий розмножувач даних]. Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків PSDP увімкнуто

Карти до FBClearWindowsSupportEnabled. У цьому рядку вказується, чи активовано послаблення ризиків операційної системи Windows для PSDP [основний розповсюдження застарілих даних]. Якщо це правда, обладнання, як вважають, залежить від вразливостей PSDP, windows операційної підтримки для послаблення ризиків присутній і послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Вивід, який містить усі засоби послаблення ризиків

Для пристрою з увімкненими всіма ризиками очікується наведений нижче вивід разом із тим, що необхідно для задоволення кожної умови.

BTIHardwarePresent: True -> Застосовується оновлення OEM BIOS/мікропрограми BTIWindowsSupportPresent: True –> інстальовано оновлення за січень 2018 р. BTIWindowsSupportEnabled: True –> на клієнті, жодних дій не потрібно. Дотримуйтеся вказівок на сервері.BTIDisabledBySystemPolicy: False –> забезпечити, щоб політика не вимкнула її.BTIDisabledByNoHardwareSupport: False -> переконайтеся, що до OEM BIOS/мікропрограми застосовано оновлення.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True або False -> жодної дії, це функція ЦП, який використовує комп'ютер Якщо значення KVAShadowRequired має значення True KVAShadowWindowsSupportPresent: True -> інсталювати оновлення за січень 2018 р. KVAShadowWindowsSupportEnabled: True -> у клієнті, не потрібно виконувати жодних дій. Дотримуйтеся вказівок на сервері.KVAShadowPcidEnabled: True або False -> жодної дії, це функція ЦП, який використовує комп'ютер

Якщо значення SSBDHardwareVulnerablePresent має значення True SSBDWindowsSupportPresent: True -> інсталювати оновлення Windows як описано в ADV180012 SSBDHardwarePresent: True -> інсталювати оновлення BIOS/мікропрограми з підтримкою SSBD від виробника оригінального обладнання пристрою SSBDWindowsSupportEnabledSystemWide: True -> виконайте рекомендовані дії , щоб увімкнути SSBD

Якщо L1TFHardwareVulnerable має значення True L1TFWindowsSupportPresent: True -> інсталювати оновлення Windows як описано в ADV180018 L1TFWindowsSupportEnabled: True -> виконайте дії, описані в ADV180018 для Windows Server або клієнта відповідно, щоб увімкнути послаблення ризиків L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> інсталювати оновлення за червень 2022 р. MDSHardwareVulnerable: False –> обладнання не вразливе MDSWindowsSupportEnabled: > активовано засіб послаблення ризиків для мікроархітектурних даних (MDS). FBClearWindowsSupportPresent: True -> інсталювати оновлення за червень 2022 р. SBDRSSDPHardwareVulnerable: True -> обладнання, як вважають, залежить від цих вразливостей FBSDPHardwareVulnerable: True -> обладнання, як вважають, залежить від цих вразливостей PSDPHardwareVulnerable: True -> обладнання, як вважають, залежить від цих вразливостей FBClearWindowsSupportEnabled: True -> Позначає активацію послаблення ризиків для SBDR/FBSDP/PSDP. Переконайтеся, що OEM BIOS/мікропрограма оновлено, FBClearWindowsSupportPresent має значення True, засоби послаблення ризиків увімкнуто, як зазначено в ADV220002 , а KVAShadowWindowsSupportEnabled – true.

Реєстру

У таблиці нижче наведено вихідні дані в розділах реєстру, охоплених KB4072698: Рекомендації щодо Windows Server та Azure Stack HCI для захисту від вразливостей стороннього каналу мікроархітектури та спекулятивного виконання на основі процесорів мікроархітектури та спекулятивного виконання.

Реєстру

Відображення

FeatureSettingsOverride – біт 0

Карти до - Ін'єкція цільової гілки - BTIWindowsSupportEnabled

FeatureSettingsOverride – біт 1

Карти до - Ізгоїв завантаження кеша даних - VAShadowWindowsSupportEnabled

Посилання

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.