Applies ToWindows 11 Windows 10

Thay đổi ngày

Mô tả thay đổi

Ngày 17 tháng 7 năm 2023

Đã thêm MMIO và mô tả cụ thể về giá trị đầu ra trong mục "Đầu ra có bật tất cả các biện pháp giảm nhẹ"

Tóm tắt

Để giúp bạn xác minh trạng thái của các biện pháp giảm nhẹ thực hiện suy đoán phía kênh, chúng tôi đã phát hành một tập lệnh PowerShell (SpeculationControl) có thể chạy trên thiết bị của bạn. Bài viết này giải thích cách chạy tập lệnh SpeculationControl và ý nghĩa đầu ra.

Tư vấn bảo mật ADV180002, ADV180012, ADV180018ADV190013 bao gồm chín lỗ hổng sau:

  • CVE-2017-5715 (branch target injection)

  • CVE-2017-5753 (vượt qua kiểm tra giới hạn)

    Lưu ý Tính năng bảo vệ cho CVE-2017-5753 (kiểm tra giới hạn) không yêu cầu cài đặt đăng ký hoặc bản cập nhật vi chương trình bổ sung.  

  • CVE-2017-5754 (tải bộ đệm ẩn dữ liệu giả thiết)

  • CVE-2018-3639 (bỏ qua cửa hàng suy đoán)

  • CVE-2018-3620 (Lỗi thiết bị đầu cuối L1 – HĐH)

  • CVE-2018-11091 (Lấy mẫu Dữ liệu Vi cấu trúc

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (Lấy mẫu Dữ liệu Cổng Tải Vi cấu trúc (MLPDS))

  • CVE-2018-12130 (Lấy mẫu dữ liệu bộ đệm điền vi cấu trúc (MFBDS))

Advisory ADV220002 bao gồm các lỗ hổng Memory-Mapped I/O (MMIO) khác:

  • CVE-2022-21123 | Đã đọc dữ liệu bộ đệm dùng chung (SBDR)

  • CVE-2022-21125 | Lấy mẫu dữ liệu bộ đệm dùng chung (SBDS)

  • CVE-2022-21127 | Bản cập nhật mẫu dữ liệu bộ đệm đăng ký đặc biệt (Bản cập nhật SRBDS)

  • CVE-2022-21166 | Thiết bị Đăng ký Viết một phần (DRPW)

Bài viết này cung cấp chi tiết về tập lệnh PowerShell SpeculationControl giúp xác định trạng thái của các biện pháp giảm nhẹ cho các CVEs được liệt kê yêu cầu cài đặt đăng ký bổ sung và trong một số trường hợp là các bản cập nhật vi chương trình.

Thông tin thêm

Tập lệnh PowerShell SpeculationControl

Cài đặt và chạy tập lệnh SpeculationControl bằng cách sử dụng một trong các phương pháp sau đây.

Phương pháp 1: Xác minh PowerShell bằng cách sử dụng Bộ sưu tập PowerShell (Windows Server 2016 hoặc WMF 5.0/5.1)

Cài đặt mô-đun PowerShell

PS> Install-Module SpeculationControl

Chạy mô-đun SpeculationControl PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Phương pháp 2: Xác minh PowerShell bằng cách sử dụng bản tải xuống từ TechNet (phiên bản HĐH cũ hơn/các phiên bản WMF cũ hơn)

Cài đặt mô-đun PowerShell từ TechNet ScriptCenter

  1. Đi tới https://aka.ms/SpeculationControlPS.

  2. Tải SpeculationControl.zip xuống thư mục cục bộ.

  3. Trích xuất nội dung vào thư mục cục bộ, ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng đã bật tính năng bảo vệ

Khởi động PowerShell, rồi (sử dụng ví dụ ở trên) sao chép và chạy các lệnh sau:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Đầu ra tập lệnh PowerShell

Đầu ra của tập lệnh PowerShell SpeculationControl sẽ giống như đầu ra sau đây. Các tùy chọn bảo vệ đã bật sẽ xuất hiện trong đầu ra là "True".

PS C:\> Get-SpeculationControlSettings

Cài đặt điều khiển suy đoán cho CVE-2017-5715 [branch target injection]

Hỗ trợ phần cứng cho giảm thiểu branch target injection có mặt: False Hiện đã có hỗ trợ HĐH Windows để giảm thiểu tiêm đích nhánh: True Đã bật hỗ trợ HĐH Windows để giảm thiểu branch target injection: False Chính sách hệ thống hỗ trợ Hệ điều hành Windows để giảm thiểu áp dụng đích nhánh bị vô hiệu hóa: True Hỗ trợ HĐH Windows dành cho giảm thiểu branch target injection bị vô hiệu hóa do không có hỗ trợ phần cứng: True

Thiết đặt điều khiển suy đoán cho CVE-2017-5754 [tải bộ đệm ẩn dữ liệu giả định]

Phần cứng dễ bị tải bộ đệm ẩn dữ liệu lừa đảo: True Hiện có hỗ trợ hệ điều hành Windows cho việc giảm nhẹ tải bộ đệm ẩn dữ liệu lừa đảo: True Hỗ trợ HĐH Windows để giảm nhẹ tải bộ đệm ẩn dữ liệu giả định được bật: True Phần cứng yêu cầu kernel VA shadowing: True Hiện có hỗ trợ HĐH Windows cho kernel VA shadow: False Hỗ trợ HĐH Windows cho nhân VA shadow được bật: False Đã bật hỗ trợ HĐH Windows để tối ưu hóa PCID: False Thiết đặt điều khiển suy đoán cho CVE-2018-3639 [bỏ qua cửa hàng suy đoán]

Phần cứng dễ bị bỏ qua bởi cửa hàng suy đoán: True Hỗ trợ phần cứng cho biện pháp giảm nhẹ bỏ qua cửa hàng suy đoán có mặt: False Hỗ trợ hệ điều hành Windows để giảm nhẹ bỏ qua cửa hàng suy đoán có mặt: True Hỗ trợ HĐH Windows để giảm nhẹ bỏ qua cửa hàng suy đoán được bật trên toàn hệ thống: False

Cài đặt điều khiển suy đoán cho CVE-2018-3620 [Lỗi thiết bị đầu cuối L1]

Phần cứng dễ bị lỗi thiết bị đầu cuối L1: True Hiện có hỗ trợ hệ điều hành Windows để giảm thiểu lỗi thiết bị đầu cuối L1: True Đã bật hỗ trợ HĐH Windows để giảm thiểu lỗi thiết bị đầu cuối L1: True

Thiết đặt điều khiển suy đoán cho MDS [lấy mẫu dữ liệu vi cấu trúc]

Hiện có hỗ trợ hệ điều hành Windows để giảm nhẹ MDS: True Phần cứng dễ bị MDS: True Đã bật hỗ trợ HĐH Windows để giảm nhẹ MDS: True

Thiết đặt kiểm soát suy đoán cho SBDR [chia sẻ bộ đệm dữ liệu đọc] 

Hiện đã có hỗ trợ hệ điều hành Windows để giảm nhẹ SBDR: True Phần cứng dễ bị SBDR: True Đã bật hỗ trợ HĐH Windows để giảm nhẹ SBDR: True 

Thiết đặt kiểm soát suy đoán cho FBSDP [điền bộ đệm nền dữ liệu phổ biến] Hiện đã có hỗ trợ HĐH Windows để giảm thiểu FBSDP: Đúng Phần cứng dễ bị FBSDP: True Đã bật hỗ trợ HĐH Windows để giảm thiểu FBSDP: True 

Thiết đặt kiểm soát suy đoán cho PSDP [bộ phát tán dữ liệu chính]

Hiện có hỗ trợ hệ điều hành Windows để giảm thiểu PSDP: True Phần cứng dễ bị PSDP: True Đã bật hỗ trợ HĐH Windows để giảm nhẹ PSDP: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Giải thích về đầu ra tập lệnh PowerShell SpeculationControl

Lưới đầu ra cuối cùng ánh xạ đến đầu ra của các dòng trước đó. Điều này xuất hiện vì PowerShell in đối tượng mà hàm trả về. Bảng sau đây giải thích từng dòng trong đầu ra tập lệnh PowerShell.

Ra

Giải thích

Cài đặt điều khiển suy đoán cho CVE-2017-5715 [branch target injection]

Phần này cung cấp trạng thái hệ thống cho phiên bản 2, CVE-2017-5715, branch target injection.

Hỗ trợ phần cứng cho giảm thiểu tiêm đích chi nhánh có mặt

Bản đồ tới BTIHardwarePresent. Dòng này cho bạn biết liệu các tính năng phần cứng có mặt để hỗ trợ giảm nhẹ mục tiêu chi nhánh. OEM thiết bị chịu trách nhiệm cung cấp BIOS/vi chương trình cập nhật có chứa vi mã do nhà sản xuất CPU cung cấp. Nếu dòng này là True, các tính năng yêu cầu phần cứng có mặt. Nếu dòng là False, các tính năng yêu cầu phần cứng không có mặt. Vì vậy, các chi nhánh mục tiêu tiêm mitigation không thể được kích hoạt.

Lưu ý BTIHardwarePresent sẽ là True trong máy ảo khách nếu bản cập nhật OEM được áp dụng cho máy chủ và hướng dẫn đượctheo sau.

Hiện có hỗ trợ HĐH Windows để giảm thiểu tiêm đích chi nhánh

Bản đồ tới BTIWindowsSupportPresent. Dòng này cho bạn biết liệu hỗ trợ hệ điều hành Windows có mặt để giảm thiểu mục tiêu chi nhánh hay không. Nếu đó là True, hệ điều hành sẽ hỗ trợ kích hoạt biện pháp giảm thiểu branch target injection (và do đó đã cài đặt bản cập nhật tháng 1 năm 2018). Nếu đó là False, bản cập nhật tháng 1 năm 2018 không được cài đặt trên thiết bị và không thể bật biện pháp giảm nhẹ branch target injection.

Lưu ý Nếu một máy ảo khách không thể phát hiện bản cập nhật phần cứng máy chủ, BTIWindowsSupportEnabled sẽ luôn là False.

Đã bật hỗ trợ HĐH Windows cho biện pháp giảm nhẹ branch target injection

Bản đồ tới BTIWindowsSupportEnabled. Dòng này cho bạn biết liệu hỗ trợ hệ điều hành Windows có được kích hoạt cho biện pháp giảm nhẹ mục tiêu chi nhánh hay không. Nếu đó là True, hỗ trợ phần cứng và hỗ trợ hệ điều hành cho biện pháp giảm nhẹ đích nhánh được bật cho thiết bị, do đó, bảo vệ chống lại CVE-2017-5715. Nếu là False, một trong các điều kiện sau đây là đúng:

  • Hỗ trợ phần cứng không có mặt.

  • Hỗ trợ hệ điều hành không có mặt.

  • Giảm nhẹ bị vô hiệu hóa bởi chính sách hệ thống.

Chính sách hệ thống đã vô hiệu hóa hỗ trợ HĐH Windows cho biện pháp giảm thiểu branch target injection

Bản đồ đến BTIDisabledBySystemPolicy. Dòng này cho bạn biết nếu giảm thiểu mục tiêu chi nhánh bị vô hiệu hóa bởi chính sách hệ thống (chẳng hạn như một chính sách do người quản trị xác định). Chính sách hệ thống đề cập đến các điều khiển sổ đăng ký như được ghi trong KB4072698. Nếu đó là True, chính sách hệ thống chịu trách nhiệm vô hiệu hóa các biện pháp giảm nhẹ. Nếu đó là False, biện pháp giảm nhẹ sẽ bị vô hiệu hóa bởi một nguyên nhân khác.

Hỗ trợ HĐH Windows dành cho giảm nhẹ branch target injection bị vô hiệu hóa do không có hỗ trợ phần cứng

Bản đồ đến BTIDisabledByNoHardwareSupport. Dòng này cho bạn biết liệu giảm thiểu mục tiêu chi nhánh bị vô hiệu hóa do sự vắng mặt của hỗ trợ phần cứng. Nếu đó là True, sự vắng mặt của hỗ trợ phần cứng có trách nhiệm vô hiệu hóa các giảm nhẹ. Nếu đó là False, biện pháp giảm nhẹ sẽ bị vô hiệu hóa bởi một nguyên nhân khác.

Lưu ýNếu máy ảo khách không thể phát hiện bản cập nhật phần cứng máy chủ, BTIDisabledByNoHardwareSupport sẽ luôn là True.

Thiết đặt điều khiển suy đoán cho CVE-2017-5754 [tải bộ đệm ẩn dữ liệu giả định]

Phần này cung cấp trạng thái hệ thống tóm tắt cho phiên bản 3, CVE-2017-5754, tải bộ đệm ẩn dữ liệu giả định. Biện pháp giảm nhẹ cho điều này được gọi là đổ bóng địa chỉ ảo nhân (VA) hoặc giảm nhẹ tải bộ đệm ẩn dữ liệu mơ hồ.

Phần cứng dễ bị tải bộ đệm ẩn dữ liệu lừa đảo

Bản đồ tới RdclHardwareProtected. Dòng này cho bạn biết liệu phần cứng có dễ bị tấn công trong CVE-2017-5754 hay không. Nếu đó là True, phần cứng được cho là dễ bị tấn công bởi CVE-2017-5754. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương bởi CVE-2017-5754.

Hiện có hỗ trợ hệ điều hành Windows cho việc giảm nhẹ tải bộ đệm ẩn dữ liệu lừa đảo

Bản đồ tới KVAShadowWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ tính năng đổ bóng VA nhân hay không.

Hỗ trợ HĐH Windows để giảm nhẹ tải bộ đệm ẩn dữ liệu giả định được bật

Bản đồ đến KVAShadowWindowsSupportEnabled. Dòng này cho bạn biết liệu tính năng đổ bóng VA nhân có được bật hay không. Nếu đó là True, phần cứng được cho là dễ gặp phải CVE-2017-5754, hiện có hỗ trợ hệ điều hành Windows và tính năng này được bật.

Phần cứng yêu cầu kernel VA shadowing

Bản đồ đến KVAShadowRequired. Dòng này cho bạn biết liệu hệ thống của bạn có yêu cầu kernel VA shadowing để giảm thiểu một lỗ hổng hay không.

Hiện có hỗ trợ HĐH Windows cho nhân VA shadow

Bản đồ tới KVAShadowWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ tính năng đổ bóng VA nhân hay không. Nếu đó là True, bản cập nhật tháng 1 năm 2018 được cài đặt trên thiết bị và đổ bóng VA nhân được hỗ trợ. Nếu đó là False, bản cập nhật tháng 1 năm 2018 sẽ không được cài đặt và hỗ trợ đổ bóng VA nhân không tồn tại.

Hỗ trợ HĐH Windows cho nhân VA shadow được bật

Bản đồ đến KVAShadowWindowsSupportEnabled. Dòng này cho bạn biết liệu tính năng đổ bóng VA nhân có được bật hay không. Nếu đó là True, hỗ trợ hệ điều hành Windows sẽ xuất hiện và tính năng này được bật. Tính năng Đổ bóng Kernel VA hiện được bật theo mặc định trên các phiên bản máy khách của Windows và bị vô hiệu hóa theo mặc định trên các phiên bản Windows Server. Nếu đó là False, hỗ trợ hệ điều hành Windows không có mặt hoặc tính năng này không được bật.

Đã bật hỗ trợ HĐH Windows để tối ưu hóa hiệu suất PCID

Lưu ýPCID không bắt buộc đối với bảo mật. Nó chỉ cho biết có đang bật cải thiện hiệu năng hay không. PCID không được hỗ trợ với Windows Server 2008 R2

Bản đồ đến KVAShadowPcidEnabled. Dòng này cho bạn biết liệu một tối ưu hóa hiệu suất bổ sung có được bật cho kernel VA shadow hay không. Nếu đó là True, kernel VA shadow được bật, hỗ trợ phần cứng cho PCID và tối ưu hóa PCID cho kernel VA shadow được bật. Nếu là False, phần cứng hoặc HĐH có thể không hỗ trợ PCID. Nó không phải là một điểm yếu bảo mật để tối ưu hóa PCID không được kích hoạt.

Hiện có hỗ trợ HĐH Windows cho Speculative Store Bypass Disable

Bản đồ tới SSBDWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ Speculative Store Bypass Disable hay không. Nếu đó là True, bản cập nhật tháng 1 năm 2018 được cài đặt trên thiết bị và đổ bóng VA nhân được hỗ trợ. Nếu đó là False, bản cập nhật tháng 1 năm 2018 sẽ không được cài đặt và hỗ trợ đổ bóng VA nhân không tồn tại.

Phần cứng yêu cầu Speculative Store Bypass Disable

Bản đồ tới SSBDHardwareVulnerablePresent. Dòng này cho bạn biết liệu phần cứng có dễ bị tấn công trong CVE-2018-3639 hay không. Nếu đó là True, phần cứng được cho là dễ bị tấn công bởi CVE-2018-3639. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương bởi CVE-2018-3639.

Hỗ trợ phần cứng cho Speculative Store Bypass Disable có mặt

Bản đồ tới SSBDHardwarePresent. Dòng này cho bạn biết liệu các tính năng phần cứng có mặt để hỗ trợ Speculative Store Bypass Disable hay không. OEM thiết bị chịu trách nhiệm cung cấp BIOS/vi chương trình cập nhật có chứa vi mã do Intel cung cấp. Nếu dòng này là True, các tính năng yêu cầu phần cứng có mặt. Nếu dòng là False, các tính năng yêu cầu phần cứng không có mặt. Do đó, không thể bật Tính năng Vô hiệu hóa Bỏ qua Cửa hàng Suy đoán.

Lưu ý SSBDHardwarePresent sẽ là True trong máy ảo khách nếu bản cập nhật OEM được áp dụng cho máy chủ.

Hỗ trợ HĐH Windows cho Speculative Store Bypass Disable được bật

Bản đồ tới SSBDWindowsSupportEnabledSystemWide. Dòng này cho bạn biết tính năng Speculative Store Bypass Disable có được bật trong hệ điều hành Windows hay không. Nếu đó là True thì dịch vụ hỗ trợ phần cứng và hỗ trợ hệ điều hành cho Speculative Store Bypass Disable sẽ được bật cho thiết bị ngăn chặn sự cố Bỏ qua Cửa hàng Suy đoán, do đó loại bỏ hoàn toàn rủi ro bảo mật. Nếu là False, một trong các điều kiện sau đây là đúng:

Cài đặt điều khiển suy đoán cho CVE-2018-3620 [Lỗi thiết bị đầu cuối L1]

Mục này cung cấp trạng thái hệ thống tóm tắt cho L1TF (hệ điều hành) được tham chiếu bởi CVE-2018-3620. Biện pháp giảm nhẹ này đảm bảo rằng các bit khung trang an toàn được sử dụng cho mục nhập bảng trang không trình bày hoặc không hợp lệ.

Lưu ý Phần này không cung cấp tóm tắt về trạng thái giảm nhẹ cho L1TF (VMM) được tham chiếu bởi CVE-2018-3646.

Phần cứng dễ bị lỗi thiết bị đầu cuối L1: True

Bản đồ đến L1TFHardwareVulnerable. Dòng này cho bạn biết liệu phần cứng có dễ bị lỗi Terminal L1 (L1TF, CVE-2018-3620 hay không). Nếu đó là True, phần cứng được cho là dễ bị tấn công bởi CVE-2018-3620. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương bởi CVE-2018-3620.

Hiện có hỗ trợ hệ điều hành Windows để giảm thiểu lỗi thiết bị đầu cuối L1: True

Bản đồ tới L1TFWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ biện pháp giảm nhẹ lỗi hệ điều hành L1 Terminal Fault (L1TF) hay không. Nếu đó là True, bản cập nhật tháng 8 năm 2018 được cài đặt trên thiết bị và hiện đang có biện pháp giảm nhẹ cho CVE-2018-3620 . Nếu đó là False, bản cập nhật tháng 8 năm 2018 sẽ không được cài đặt và không có biện pháp giảm nhẹ cho CVE-2018-3620.

Đã bật hỗ trợ HĐH Windows để giảm thiểu lỗi thiết bị đầu cuối L1: True

Bản đồ tới L1TFWindowsSupportEnabled. Dòng này cho bạn biết hệ điều hành Windows có được khắc phục Lỗi Thiết bị đầu cuối L1 (L1TF, CVE-2018-3620) hay không. Nếu đó là True, phần cứng được cho là dễ bị tổn thương bởi CVE-2018-3620, có hỗ trợ hệ điều hành Windows để giảm nhẹ và biện pháp giảm nhẹ được bật. Nếu đó là False, phần cứng không dễ bị tấn công, hỗ trợ hệ điều hành Windows không hiện diện hoặc không bật biện pháp giảm nhẹ.

Thiết đặt kiểm soát suy đoán cho MDS [Lấy mẫu dữ liệu vi cấu trúc]

Phần này cung cấp trạng thái hệ thống cho bộ lỗ hổng MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130ADV220002.

Hiện có hỗ trợ HĐH Windows để giảm nhẹ MDS

Bản đồ tới MDSWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ giảm nhẹ hệ điều hành Microarchitectural Data Sampling (MDS). Nếu đó là True, bản cập nhật tháng 5 năm 2019 được cài đặt trên thiết bị và hiện có biện pháp giảm nhẹ cho MDS. Nếu đó là False, bản cập nhật tháng 5 năm 2019 sẽ không được cài đặt và không có biện pháp giảm nhẹ cho MDS.

Phần cứng dễ bị MDS

Bản đồ đến MDSHardwareVulnerable. Dòng này cho bạn biết liệu phần cứng có dễ gặp phải các lỗ hổng (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Nếu nó là True, phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương.

Đã bật hỗ trợ HĐH Windows để giảm nhẹ MDS

Bản đồ tới MDSWindowsSupportEnabled. Dòng này cho bạn biết liệu hệ điều hành Windows giảm nhẹ cho Microarchitectural Dữ liệu Sampling (MDS) được bật. Nếu nó là True, phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng MDS, hệ điều hành Windows hỗ trợ cho giảm nhẹ hiện nay, và giảm nhẹ được kích hoạt. Nếu đó là False, phần cứng không dễ bị tấn công, hỗ trợ hệ điều hành Windows không hiện diện hoặc không bật biện pháp giảm nhẹ.

Hiện có hỗ trợ hệ điều hành Windows để giảm nhẹ SBDR

Bản đồ tới FBClearWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ giảm nhẹ hệ điều hành SBDR hay không. Nếu đó là True, bản cập nhật tháng 6 năm 2022 được cài đặt trên thiết bị và hiện có biện pháp giảm nhẹ cho SBDR. Nếu đó là False, bản cập nhật tháng 6 năm 2022 không được cài đặt và giảm thiểu cho SBDR không có mặt.

Phần cứng dễ bị SBDR

Bản đồ tới SBDRSSDPHardwareVulnerable. Dòng này cho bạn biết liệu phần cứng có dễ bị SBDR [chia sẻ dữ liệu bộ đệm đọc] tập hợp các lỗ hổng (CVE-2022-21123). Nếu nó là True, phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương.

Đã bật hỗ trợ HĐH Windows để giảm nhẹ SBDR

Bản đồ tới FBClearWindowsSupportEnabled. Dòng này cho bạn biết liệu hệ điều hành Windows giảm nhẹ cho SBDR [chia sẻ bộ đệm dữ liệu đọc] được bật. Nếu đó là True, phần cứng được cho là bị ảnh hưởng bởi lỗ hổng SBDR, cửa sổ hỗ trợ hoạt động để giảm nhẹ hiện nay, và giảm nhẹ được kích hoạt. Nếu đó là False, phần cứng không dễ bị tấn công, hỗ trợ hệ điều hành Windows không hiện diện hoặc không bật biện pháp giảm nhẹ.

Hiện có hỗ trợ hệ điều hành Windows để giảm thiểu FBSDP

Bản đồ tới FBClearWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ giảm nhẹ hệ điều hành FBSDP hay không. Nếu đó là True, bản cập nhật tháng 6 năm 2022 được cài đặt trên thiết bị và có biện pháp giảm nhẹ cho FBSDP. Nếu đó là False, bản cập nhật tháng 6 năm 2022 không được cài đặt và không có biện pháp giảm nhẹ cho FBSDP.

Phần cứng dễ bị FBSDP

Bản đồ đến FBSDPHardwareVulnerable. Dòng này cho bạn biết liệu phần cứng có dễ bị tổn thương với FBSDP [điền bộ phát tán dữ liệu đệm] của các lỗ hổng (CVE-2022-21125, CVE-2022-21127CVE-2022-21166). Nếu nó là True, phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương.

Đã bật hỗ trợ HĐH Windows để giảm thiểu FBSDP

Bản đồ tới FBClearWindowsSupportEnabled. Dòng này cho bạn biết liệu hệ điều hành Windows giảm nhẹ cho FBSDP [điền bộ đệm cũ dữ liệu propagator] được bật. Nếu đó là True, phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng FBSDP, windows hỗ trợ hoạt động để giảm nhẹ hiện nay, và giảm nhẹ được kích hoạt. Nếu đó là False, phần cứng không dễ bị tấn công, hỗ trợ hệ điều hành Windows không hiện diện hoặc không bật biện pháp giảm nhẹ.

Hiện có hỗ trợ hệ điều hành Windows để giảm thiểu PSDP

Bản đồ tới FBClearWindowsSupportPresent. Dòng này cho bạn biết liệu hệ điều hành Windows có hỗ trợ giảm nhẹ hệ điều hành PSDP hay không. Nếu đó là True, bản cập nhật tháng 6 năm 2022 được cài đặt trên thiết bị và hiện có biện pháp giảm nhẹ cho PSDP. Nếu đó là False, bản cập nhật tháng 6 năm 2022 không được cài đặt và không có biện pháp giảm nhẹ cho PSDP.

Phần cứng dễ bị PSDP

Bản đồ đến PSDPHardwareVulnerable. Dòng này cho bạn biết liệu phần cứng có dễ bị PSDP [bộ phát tán dữ liệu stale chính] tập hợp các lỗ hổng. Nếu nó là True, phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng. Nếu đó là False, phần cứng được biết là không dễ bị tổn thương.

Đã bật hỗ trợ HĐH Windows để giảm thiểu PSDP

Bản đồ tới FBClearWindowsSupportEnabled. Dòng này cho bạn biết liệu hệ điều hành Windows giảm nhẹ cho PSDP [bộ phát tán dữ liệu cũ chính] có được bật hay không. Nếu đó là True, phần cứng được cho là bị ảnh hưởng bởi lỗ hổng PSDP, cửa sổ hỗ trợ hoạt động để giảm nhẹ có mặt, và giảm nhẹ được kích hoạt. Nếu đó là False, phần cứng không dễ bị tấn công, hỗ trợ hệ điều hành Windows không hiện diện hoặc không bật biện pháp giảm nhẹ.

Đầu ra có bật tất cả các biện pháp giảm nhẹ

Đầu ra sau đây được mong đợi cho một thiết bị đã bật tất cả các biện pháp giảm nhẹ, cùng với những gì là cần thiết để đáp ứng từng điều kiện.

BTIHardwarePresent: True -> OEM BIOS/firmware update applied BTIWindowsSupportPresent: True -> bản cập nhật tháng 1 năm 2018 đã được cài đặt BTIWindowsSupportEnabled: True -> client, no action required. Trên máy chủ, hãy làm theo hướng dẫn.BTIDisabledBySystemPolicy: False -> đảm bảo không bị vô hiệu hóa bởi chính sách.BTIDisabledByNoHardwareSupport: False -> oem BIOS/firmware update is applied.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True hoặc False -> không có hành động, đây là một chức năng của CPU mà máy tính sử dụng Nếu KVAShadowRequired là True KVAShadowWindowsSupportPresent: True -> cài đặt bản cập nhật Tháng Một 2018 KVAShadowWindowsSupportEnabled: True -> client, no action required. Trên máy chủ, hãy làm theo hướng dẫn.KVAShadowPcidEnabled: True hoặc False -> không có hành động, đây là một chức năng của CPU mà máy tính sử dụng

Nếu SSBDHardwareVulnerablePresent là True SSBDWindowsSupportPresent: True -> cài đặt bản cập nhật Windows như được ghi trong ADV180012 SSBDHardwarePresent: True -> cài đặt BIOS/bản cập nhật vi chương trình với hỗ trợ cho SSBD từ OEM thiết bị của bạn SSBDWindowsSupportEnabledSystemWide: True - > theo các hành động được đề xuất để bật SSBD

Nếu L1TFHardwareVulnerable là True L1TFWindowsSupportPresent: True -> cài đặt bản cập nhật Windows như được ghi trong ADV180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in ADV180018 for Windows Server or Client as appropriate to enable the mitigation L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> bản cập nhật tháng 6 năm 2022 MDSHardwareVulnerable: False -> phần cứng được biết là không dễ bị tổn thương MDSWindowsSupportEnabled: True -> giảm thiểu cho Lấy mẫu dữ liệu vi cấu trúc dữ liệu (MDS) được bật FBClearWindowsSupportPresent: True -> bản cập nhật tháng 6 năm 2022 SBDRSSDPHardwareVulnerable: True -> phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng FBSDPHardwareVulnerable: True -> phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng PSDPHardwareVulnerable: True -> phần cứng được cho là bị ảnh hưởng bởi các lỗ hổng FBClearWindowsSupportEnabled: True -> Represents mitigation enablement for SBDR/FBSDP/PSDP. Đảm bảo OEM BIOS/firmware được cập nhật, FBClearWindowsSupportPresent là True, các biện pháp giảm nhẹ được kích hoạt như được nêu trong ADV220002 và KVAShadowWindowsSupportEnabled là True.

Registry

Bảng sau đây ánh xạ đầu ra vào các khóa đăng ký được đề cập trong KB4072698: hướng dẫn Windows Server và Azure Stack HCI để bảo vệ chống lại lỗ hổng vi hệ thống dựa trên silicon và thực hiện suy đoán phía kênh.

Khóa đăng ký

Ánh xạ

FeatureSettingsOverride – Bit 0

Bản đồ tới - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Bản đồ đến - Tải bộ đệm ẩn dữ liệu Rogue - VAShadowWindowsSupportEnabled

Tham khảo

Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.