|
Změnit datum |
Popis změny |
|---|---|
|
úterý 17. července 2023 |
Přidání funkce MMIO a konkrétních popisů výstupních hodnot v části "Výstup s povolenými všemi omezeními rizik" |
Shrnutí
Abychom vám pomohli ověřit stav zmírnění rizik spekulativního spuštění postranním kanálem, publikovali jsme skript PowerShellu (SpeculationControl), který se dá spustit na vašich zařízeních. Tento článek vysvětluje, jak spustit skript SpeculationControl a co znamená výstup.
Informační zpravodaje zabezpečení ADV180002, ADV180012, ADV180018 a ADV190013 zahrnují následujících devět ohrožení zabezpečení:
-
CVE-2017-5715 (injektáž cíle větve)
-
CVE-2017-5753 (obejití kontrol hranic)
Poznámka Ochrana pro CVE-2017-5753 (kontrola hranic) nevyžaduje další nastavení registru ani aktualizace firmwaru.
-
CVE-2017-5754 (zatížení mezipaměti podvodných dat)
-
CVE-2018-3639 (spekulativní obejití obchodu)
-
CVE-2018-3620 (chyba terminálu L1 – operační systém)
-
CVE-2018-11091 (Mikroarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Vzorkování dat vyrovnávací paměti úložiště mikroarchitetektury (MSBDS))
-
CVE-2018-12127 (Vzorkování dat portu mikroarchitetekturního zatížení (MLPDS))
-
CVE-2018-12130 (Vzorkování dat vyrovnávací paměti mikroarchitectural (MFBDS))
Poradce ADV220002 se zabývá dalšími chybami zabezpečení souvisejícími s Memory-Mapped I/O (MMIO):
-
CVE-2022-21123 | Čtení dat sdílené vyrovnávací paměti (SBDR)
-
CVE-2022-21125 | Vzorkování dat sdílené vyrovnávací paměti (SBDS)
-
CVE-2022-21127 | Zvláštní aktualizace vzorkování dat vyrovnávací paměti registru (aktualizace SRBDS)
-
CVE-2022-21166 | Částečný zápis registrace zařízení (DRPW)
Tento článek obsahuje podrobnosti o skriptu Prostředí PowerShellu pro SpeculationControl, který pomáhá určit stav zmírnění rizik u uvedených CVR, které vyžadují další nastavení registru a v některých případech aktualizace firmwaru.
Další informace
Skript Prostředí PowerShell pro SpeculationControl
Nainstalujte a spusťte skript SpeculationControl pomocí jedné z následujících metod.
|
Metoda 1: Ověření PowerShellu pomocí Galerie prostředí PowerShell (Windows Server 2016 nebo WMF 5.0/5.1) |
|
Instalace modulu PowerShellu PS> Install-Module SpeculationControl Spuštěním modulu Prostředí PowerShell Pro spekulativní ovládání ověřte, že je povolená ochrana. PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Metoda 2: Ověření PowerShellu pomocí souboru ke stažení z TechNetu (starší verze operačního systému nebo starší verze WMF) |
|
Instalace modulu PowerShellu z webu TechNet ScriptCenter
Spuštěním modulu PowerShellu ověřte, že je povolená ochrana. Spusťte PowerShell a pak (pomocí výše uvedeného příkladu) zkopírujte a spusťte následující příkazy: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Výstup skriptu PowerShellu
Výstup powershellového skriptu SpeculationControl bude vypadat podobně jako následující výstup. Povolené ochrany se ve výstupu zobrazí jako True.
PS C:\> Get-SpeculationControlSettings
Nastavení kontroly spekulací pro CVE-2017-5715 [injektáž cíle větve]
Hardwarová podpora pro zmírnění rizik injektáže větve: False
Existuje podpora operačního systému Windows pro zmírnění rizik injektáže v rámci větve: True
Je povolená podpora operačního systému Windows pro zmírnění rizik injektáže cíle větve: False
Podpora operačního systému Windows pro zmírnění rizik injektáže větve je zakázána zásadami systému: True
Podpora operačního systému Windows pro zmírnění rizik injektáže větve je zakázána absencí podpory hardwaru: Pravda
Nastavení kontroly spekulací pro CVE-2017-5754 [zatížení mezipaměti podvodných dat]
Hardware je zranitelný vůči podvodnému zatížení mezipaměti dat: Pravda
Existuje podpora operačního systému Windows pro omezení rizik souvisejících s podvodnou mezipamětí dat: True
Je povolená podpora operačního systému Windows pro omezení rizik souvisejících s podvodnou mezipamětí dat: True
Hardware vyžaduje stínování VA jádra: True
Existuje podpora operačního systému Windows pro stín VA jádra: False
Je povolená podpora operačního systému Windows pro stín VA jádra: False
Je povolená podpora operačního systému Windows pro optimalizaci PCID: False
Nastavení kontroly spekulací pro CVE-2018-3639 [spekulativní obejití obchodu]
Hardware je zranitelný proti spekulativnímu obejití úložiště: True
Hardwarová podpora pro zmírnění rizik spekulativního obejití obchodů je k dispozici: False
Existuje podpora operačního systému Windows pro zmírnění rizik spekulativního obejití obchodů: True
Podpora operačního systému Windows pro zmírnění rizik spekulativního obejití obchodů je povolená v celém systému: False
Nastavení kontroly spekulací pro CVE-2018-3620 [Chyba terminálu L1]
Hardware je ohrožený chybou terminálu L1: True
Existuje podpora operačního systému Windows pro zmírnění chyb terminálu L1: True
Je povolená podpora operačního systému Windows pro zmírnění chyb terminálu L1: True
Nastavení kontroly spekulací pro MDS [vzorkování mikroarchitekturních dat]
Existuje podpora operačního systému Windows pro zmírnění rizik MDS: True
Hardware je zranitelný vůči MDS: True
Podpora operačního systému Windows pro zmírnění rizik MDS je povolená: True
Nastavení řízení spekulací pro SBDR [čtení dat sdílených vyrovnávacích pamětí]
Existuje podpora operačního systému Windows pro zmírnění rizik SBDR: True
Hardware je zranitelný vůči SBDR: True
Podpora operačního systému Windows pro zmírnění rizik SBDR je povolená: True
Nastavení kontroly spekulací pro FBSDP [fill buffer zastaralého zprostředkovatele dat]
Existuje podpora operačního systému Windows pro zmírnění rizik FBSDP: True
Hardware je zranitelný vůči FBSDP: True
Je povolená podpora operačního systému Windows pro zmírnění rizik FBSDP: True
Nastavení řízení spekulací pro PSDP [primární zastaralý zprostředkovatel dat]
Existuje podpora operačního systému Windows pro zmírnění potíží s protokolem PSDP: True
Hardware je zranitelný vůči protokolu PSDP: True
Podpora operačního systému Windows pro zmírnění rizik PROTOKOLU PSDP je povolená: True
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowSupportPresent: True
KVAShadowWindowSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
Vysvětlení výstupu skriptu Prostředí PowerShell Pro spekulativní ovládací prvek
Konečná výstupní mřížka se mapuje na výstup z předchozích řádků. To se zobrazí, protože PowerShell vytiskne objekt vrácený funkcí. Následující tabulka vysvětluje jednotlivé řádky ve výstupu skriptu PowerShellu.
|
Výstup |
Vysvětlení |
|
Nastavení kontroly spekulací pro CVE-2017-5715 [injektáž cíle větve] |
Tato část obsahuje informace o stavu systému pro variantu 2 , CVE-2017-5715, injektáž cíle větve. |
|
Podpora hardwaru pro zmírnění rizik injektáže větve |
Mapuje na BTIHardwarePresent. Na tomto řádku zjistíte, jestli jsou k dispozici hardwarové funkce, které podporují zmírnění rizik injektáže v rámci větve. Výrobce OEM zařízení zodpovídá za poskytování aktualizovaného systému BIOS nebo firmwaru, který obsahuje mikrokód od výrobců procesoru. Pokud má tento řádek hodnotu True, jsou k dispozici požadované hardwarové funkce. Pokud je řádek false, požadované hardwarové funkce nejsou k dispozici. Proto omezení rizik injektáže cíle větve nelze povolit. Poznámka BTIHardwarePresent bude mít na virtuálních počítačích hosta hodnotu True, pokud se na hostitele použije aktualizace OEM a postupuje se podle pokynů. |
|
Existuje podpora operačního systému Windows pro zmírnění rizik injektáže větve |
Mapuje se na BTIWindowsSupportPresent. Na tomto řádku zjistíte, jestli je k dispozici podpora operačního systému Windows pro zmírnění rizik injektáže cíle větve. Pokud je hodnota True, operační systém podporuje povolení zmírnění rizik injektáže cíle větve (a proto nainstaloval aktualizaci z ledna 2018). Pokud je nepravda, aktualizace z ledna 2018 není na zařízení nainstalovaná a omezení rizik injektáže cíle větve není možné povolit. Poznámka Pokud hostovaný virtuální počítač nemůže zjistit aktualizaci hostitelského hardwaru, BTIWindowsSupportEnabled bude vždy false. |
|
Je povolená podpora operačního systému Windows pro zmírnění rizik injektáže cíle větve. |
Mapuje se na BTIWindowsSupportEnabled. Na tomto řádku zjistíte, jestli je pro zmírnění rizik injektáže cíle větve povolená podpora operačního systému Windows. Pokud je hodnota True, je pro zařízení povolená podpora hardwaru a operačního systému pro zmírnění rizik injektáže větve, což chrání před CVE-2017-5715. Pokud je hodnota Nepravda, platí jedna z následujících podmínek:
|
|
Podpora operačního systému Windows pro zmírnění rizik injektáže větve je zakázána systémových zásad |
Mapuje se na BTIDisabledBySystemPolicy. Na tomto řádku se dozvíte, jestli je omezení rizik injektáže větve zakázáno systémovou zásadou (například zásadou definovanou správcem). Systémové zásady odkazují na ovládací prvky registru, jak je popsáno v článku KB4072698. Pokud je hodnota True, je za zakázání zmírnění rizik zodpovědná systémová zásada. Pokud je nepravda, omezení rizik se zakáže z jiné příčiny. |
|
Podpora operačního systému Windows pro zmírnění rizik injektáže větve je zakázaná kvůli absenci podpory hardwaru |
Mapuje na BTIDisabledByNoHardwareSupport. Na tomto řádku se dozvíte, jestli je omezení rizik injektáže cíle větve zakázané kvůli absenci hardwarové podpory. Pokud je hodnota True, je za zakázání zmírnění rizik zodpovědná absence podpory hardwaru. Pokud je nepravda, omezení rizik se zakáže z jiné příčiny. Poznámka Pokud hostovaný virtuální počítač nemůže rozpoznat aktualizaci hostitelského hardwaru, BTIDisabledByNoHardwareSupport bude mít vždy hodnotu True. |
|
Nastavení kontroly spekulací pro CVE-2017-5754 [zatížení mezipaměti podvodných dat] |
Tato část obsahuje souhrnný stav systému pro variantu 3, CVE-2017-5754, podvodné načtení mezipaměti dat. Zmírnění tohoto problému se označuje jako stín virtuální adresy jádra (VA) nebo omezení rizik zatížení mezipaměti neautorizovaných dat. |
|
Hardware je zranitelný vůči podvodnému zatížení mezipaměti dat |
Mapuje se na RdclHardwareProtected. Na tomto řádku se dozvíte, jestli je hardware ohrožený cve-2017-5754. Pokud je hodnota True, má se za to, že hardware je zranitelný vůči CVE-2017-5754. Pokud je hodnota Nepravda, je známo, že hardware není zranitelný vůči cve-2017-5754. |
|
Existuje podpora operačního systému Windows pro omezení rizik souvisejících s podvodnou mezipamětí dat |
Mapuje na KVAShadowWindowsSupportPresent. Na tomto řádku zjistíte, jestli je k dispozici podpora operačního systému Windows pro funkci stínování ohrožení zabezpečení jádra. |
|
Je povolená podpora operačního systému Windows pro zmírnění zatížení mezipaměti neautorizovaných dat. |
Mapuje se na KVAShadowWindowsSupportEnabled. Na tomto řádku zjistíte, jestli je povolená funkce stínu VA jádra. Pokud je hodnota True, má se za to, že hardware je zranitelný vůči cve-2017-5754, je k dispozici podpora operačního systému Windows a tato funkce je povolená. |
|
Hardware vyžaduje stínování VA jádra. |
Mapuje na KVAShadowRequired. Na tomto řádku zjistíte, jestli váš systém ke zmírnění ohrožení zabezpečení vyžaduje stínování posouzení ohrožení zabezpečení jádra. |
|
Existuje podpora operačního systému Windows pro stín VA jádra |
Mapuje na KVAShadowWindowsSupportPresent. Na tomto řádku zjistíte, jestli je k dispozici podpora operačního systému Windows pro funkci stínování ohrožení zabezpečení jádra. Pokud je hodnota True, na zařízení se nainstaluje aktualizace z ledna 2018 a stín VA jádra se podporuje. Pokud je hodnota False, aktualizace z ledna 2018 není nainstalovaná a podpora stínového stínu jádra VA neexistuje. |
|
Je povolená podpora operačního systému Windows pro stín VA jádra. |
Mapuje se na KVAShadowWindowsSupportEnabled. Na tomto řádku zjistíte, jestli je povolená funkce stínu VA jádra. Pokud je hodnota True, je k dispozici podpora operačního systému Windows a tato funkce je povolená. Funkce stínování VA jádra je ve výchozím nastavení povolená v klientských verzích Windows a ve výchozím nastavení je ve verzích Windows Serveru zakázaná. Pokud je hodnota Nepravda, podpora operačního systému Windows není k dispozici nebo tato funkce není povolená. |
|
Je povolená podpora operačního systému Windows pro optimalizaci výkonu PCID. Poznámka PCID se pro zabezpečení nevyžaduje. Pouze označuje, jestli je povolené zlepšení výkonu. Windows Server 2008 R2 nepodporuje PCID. |
Mapuje na KVAShadowPcidEnabled. Na tomto řádku se dozvíte, jestli je pro stín VA jádra povolená další optimalizace výkonu. Pokud je hodnota True, je povolený stín VA jádra, je k dispozici hardwarová podpora pro PCID a optimalizace PCID pro stín VA jádra je povolená. Pokud je hodnota False, hardware nebo operační systém nemusí podporovat PCID. Není slabinou zabezpečení, aby optimalizace PCID nebyla povolena. |
|
Existuje podpora operačního systému Windows pro zakázání spekulativního obejití obchodu |
Mapuje se na SSBDWindowsSupportPresent. Na tomto řádku se dozvíte, jestli operační systém Windows podporuje funkci Speculative Store Bypass Disable. Pokud je hodnota True, na zařízení se nainstaluje aktualizace z ledna 2018 a stín VA jádra se podporuje. Pokud je hodnota False, aktualizace z ledna 2018 není nainstalovaná a podpora stínového stínu jádra VA neexistuje. |
|
Hardware vyžaduje zakázání spekulativního obejití úložiště |
Mapuje se na SSBDHardwareVulnerablePresent. Na tomto řádku zjistíte, jestli je hardware zranitelný vůči CVE-2018-3639. Pokud je hodnota True, má se za to, že hardware je zranitelný vůči CVE-2018-3639. Pokud je hodnota Nepravda, je známo, že hardware není zranitelný vůči cve-2018-3639. |
|
Je k dispozici podpora hardwaru pro zakázání spekulativního storu obejití |
Mapuje se na SSBDHardwarePresent. Na tomto řádku zjistíte, jestli jsou k dispozici hardwarové funkce pro podporu zákazu spekulativního obejití obchodu. Výrobce OEM zařízení je zodpovědný za poskytování aktualizovaného systému BIOS nebo firmwaru, který obsahuje mikrokód od společnosti Intel. Pokud má tento řádek hodnotu True, jsou k dispozici požadované hardwarové funkce. Pokud je řádek false, požadované hardwarové funkce nejsou k dispozici. Proto není možné zapnout funkci Speculative Store Bypass Disable. Poznámka SSBDHardwarePresent bude mít na virtuálních počítačích hosta hodnotu True , pokud se na hostitele použije aktualizace OEM. |
|
Je zapnutá podpora operačního systému Windows pro zakázání spekulativního obejití obchodu. |
Mapuje se na SSBDWindowsSupportEnabledSystemWide. Na tomto řádku zjistíte, jestli je v operačním systému Windows zapnuté zakázání spekulativního obchodu. Pokud je hodnota True, je pro zařízení zapnutá podpora hardwaru a operačního systému pro zakázání spekulativního obejití obchodů, která brání v tom, aby došlo k spekulativnímu obejití úložiště, čímž se zcela eliminuje bezpečnostní riziko. Pokud je hodnota Nepravda, platí jedna z následujících podmínek:
|
|
Nastavení kontroly spekulací pro CVE-2018-3620 [Chyba terminálu L1] |
Tato část obsahuje souhrnný stav systému pro L1TF (operační systém), na který odkazuje CVE-2018-3620. Toto zmírnění rizik zajišťuje, že se pro položky tabulky stránky, které nejsou přítomné nebo neplatné, používají bezpečné bity rámců stránky. Poznámka Tato část neobsahuje souhrn stavu zmírnění rizika pro L1TF (VMM), na který odkazuje CVE-2018-3646. |
|
Hardware je ohrožený chybou terminálu L1: True |
Mapuje se na L1TFHardwareVulnerable. Na tomto řádku zjistíte, jestli je hardware ohrožený chybou terminálu L1 (L1TF, CVE-2018-3620). Pokud je hodnota True, má se za to, že hardware je zranitelný vůči cve-2018-3620. Pokud je hodnota False, je známo, že hardware není zranitelný vůči cve-2018-3620. |
|
Existuje podpora operačního systému Windows pro zmírnění chyb terminálu L1: True |
Mapuje se na L1TFWindowsSupportPresent. Na tomto řádku se dozvíte, jestli existuje podpora operačního systému Windows pro zmírnění rizik selhání terminálu L1 (L1TF). Pokud je hodnota True, nainstaluje se na zařízení aktualizace ze srpna 2018 a existuje zmírnění chyby CVE-2018-3620 . Pokud je nepravda, aktualizace ze srpna 2018 není nainstalovaná a zmírnění chyby CVE-2018-3620 neexistuje. |
|
Je povolená podpora operačního systému Windows pro zmírnění chyb terminálu L1: True |
Mapuje se na L1TFWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené zmírnění rizik pro chybu terminálu L1 (L1TF, CVE-2018-3620) operačního systému Windows. Pokud je hodnota True, má se za to, že hardware je zranitelný vůči cve-2018-3620, operační systém Windows podporuje zmírnění rizik a je povoleno zmírnění rizik. Pokud je hodnota Nepravda, hardware není zranitelný, není k dispozici podpora operačního systému Windows nebo není povoleno zmírnění rizik. |
|
Nastavení kontroly spekulací pro MDS [Microarchitectural Data Sampling] |
Tato část obsahuje stav systému pro sadu chyb zabezpečení MDS , CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 a ADV220002. |
|
Existuje podpora operačního systému Windows pro zmírnění rizik MDS |
Mapuje se na MDSWindowsSupportPresent. Na tomto řádku zjistíte, jestli existuje podpora operačního systému Windows pro zmírnění rizik pro mikroarchitectural Data Sampling (MDS). Pokud je hodnota True, na zařízení se nainstaluje aktualizace z května 2019 a existuje zmírnění rizik pro MDS. Pokud je nepravda, aktualizace z května 2019 není nainstalovaná a zmírnění rizik pro MDS není k dispozici. |
|
Hardware je zranitelný vůči MDS |
Mapuje na MDSHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware ohrožený sadou ohrožení zabezpečení pro vzorkování dat microarchitectural (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Pokud je hodnota True, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je hodnota False, je známo, že hardware není zranitelný. |
|
Je povolená podpora operačního systému Windows pro zmírnění rizik MDS |
Mapuje se na MDSWindowsSupportEnabled. Na tomto řádku zjistíte, jestli je povolené zmírnění rizik operačního systému Windows pro mikroarchitectural Data Sampling (MDS). Pokud je hodnota True, předpokládá se, že je hardware ovlivněn ohroženími zabezpečení MDS, existuje podpora operačního systému Windows pro zmírnění rizik a je povoleno zmírnění rizik. Pokud je hodnota Nepravda, hardware není zranitelný, není k dispozici podpora operačního systému Windows nebo není povoleno zmírnění rizik. |
|
Existuje podpora operačního systému Windows pro zmírnění rizik SBDR |
Mapuje se na FBClearWindowsSupportPresent. Na tomto řádku zjistíte, jestli existuje podpora operačního systému Windows pro zmírnění rizik v operačním systému SBDR. Pokud je hodnota True, nainstaluje se na zařízení aktualizace z června 2022 a existuje zmírnění rizik pro SBDR. Pokud je nepravda, aktualizace z června 2022 není nainstalovaná a zmírnění rizik pro SBDR není k dispozici. |
|
Hardware je zranitelný vůči SBDR |
Mapuje se na SBDRSSDPHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný vůči sadě chyb zabezpečení SBDR [čtení dat sdílených vyrovnávacích pamětí] (CVE-2022-21123). Pokud je hodnota True, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je hodnota False, je známo, že hardware není zranitelný. |
|
Je povolená podpora operačního systému Windows pro zmírnění rizik SBDR |
Mapuje se na FBClearWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené zmírnění rizik operačního systému Windows pro SBDR [čtení dat sdílených vyrovnávacích pamětí]. Pokud je hodnota True, má se za to, že na hardware mají vliv chyby zabezpečení SBDR, je k dispozici podpora pro zmírnění rizik v operačním systému Windows a je povoleno zmírnění rizik. Pokud je hodnota Nepravda, hardware není zranitelný, není k dispozici podpora operačního systému Windows nebo není povoleno zmírnění rizik. |
|
Existuje podpora operačního systému Windows pro zmírnění rizik FBSDP |
Mapuje se na FBClearWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici podpora operačního systému Windows pro zmírnění rizik operačního systému FBSDP. Pokud je hodnota True, na zařízení se nainstaluje aktualizace z června 2022 a existuje zmírnění rizik pro FBSDP. Pokud je false, aktualizace z června 2022 není nainstalována a zmírnění rizik pro FBSDP není k dispozici. |
|
Hardware je zranitelný vůči FBSDP |
Mapuje na FBSDPHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný vůči sadě chyb zabezpečení FBSDP [fill buffer zastaralého data propagatoru] (CVE-2022-21125, CVE-2022-21127 a CVE-2022-21166). Pokud je hodnota True, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je hodnota False, je známo, že hardware není zranitelný. |
|
Je povolená podpora operačního systému Windows pro zmírnění rizik FBSDP. |
Mapuje se na FBClearWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené zmírnění rizik operačního systému Windows pro FBSDP [fill buffer zastaralý zprostředkovatel dat]. Pokud je hodnota True, předpokládá se, že na hardware mají vliv ohrožení zabezpečení FBSDP, je k dispozici podpora operačního systému Windows pro zmírnění rizik a je povoleno zmírnění rizik. Pokud je hodnota Nepravda, hardware není zranitelný, není k dispozici podpora operačního systému Windows nebo není povoleno zmírnění rizik. |
|
Existuje podpora operačního systému Windows pro zmírnění potíží s protokolem PSDP. |
Mapuje se na FBClearWindowsSupportPresent. Na tomto řádku zjistíte, jestli existuje podpora operačního systému Windows pro zmírnění rizik operačního systému PSDP. Pokud je hodnota True, nainstaluje se na zařízení aktualizace z června 2022 a existuje zmírnění rizik pro PROTOKOL PSDP. Pokud je nepravda, aktualizace z června 2022 není nainstalovaná a zmírnění rizik pro protokol PSDP není k dispozici. |
|
Hardware je zranitelný vůči protokolu PSDP |
Mapuje se na PSDPHardwareVulnerable. Na tomto řádku zjistíte, jestli je hardware zranitelný vůči sadě ohrožení zabezpečení PSDP [primární zastaralý zprostředkovatel dat]. Pokud je hodnota True, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je hodnota False, je známo, že hardware není zranitelný. |
|
Podpora operačního systému Windows pro zmírnění rizik PROTOKOLU PSDP je povolená. |
Mapuje se na FBClearWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené zmírnění rizik operačního systému Windows pro PSDP [primární zastaralý zprostředkovatel dat]. Pokud je hodnota True, má se za to, že je hardware ovlivněný ohroženími zabezpečení PROTOKOLU PSDP, je k dispozici podpora operačního systému Windows pro zmírnění rizik a je povoleno zmírnění rizik. Pokud je hodnota Nepravda, hardware není zranitelný, není k dispozici podpora operačního systému Windows nebo není povoleno zmírnění rizik. |
Výstup s povolenými všemi omezeními rizik
Následující výstup se očekává pro zařízení, které má povolená všechna omezení rizik, spolu s tím, co je nezbytné ke splnění jednotlivých podmínek.
BTIHardwarePresent: True -> byla použita
aktualizace systému BIOS nebo firmwaru OEM
BTIWindowsSupportPresent: True -> aktualizace z ledna 2018 nainstalována
BTIWindowsSupportEnabled: True -> na klientovi, nevyžaduje se žádná akce. Na serveru postupujte podle pokynů.
BTIDisabledBySystemPolicy: False –> zajistit, aby zásady nezakázaly.
BTIDisabledByNoHardwareSupport: False -> zajistit, aby byla použita aktualizace OEM BIOS nebo firmwaru.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True nebo False -> žádná akce, jedná se o funkci procesoru, který počítač používá.
Pokud má KVAShadowRequired hodnotu True
KVAShadowWindowsSupportPresent: True -> nainstalovat aktualizaci
z ledna 2018
KVAShadowWindowsSupportEnabled: True -> na klientovi, nevyžaduje se žádná akce. Na serveru postupujte podle pokynů.
KVAShadowPcidEnabled: True nebo False -> žádná akce, jedná se o funkci procesoru, který počítač používá.
Pokud má SSBDHardwareVulnerablePresent hodnotu True
SSBDWindowsSupportPresent: True -> nainstalovat aktualizace Windows, jak je popsáno v tématu ADV180012
.
SSBDHardwarePresent: True -> nainstalovat aktualizaci systému BIOS nebo firmwaru s podporou SSBD ze zařízení OEM
SSBDWindowsSupportEnabledSystemWide: True -> podle doporučených akcí zapnout SSBD
Pokud L1TFHardwareVulnerable má hodnotu True
L1TFWindowsSupportPresent: True -> nainstalovat aktualizace Windows, jak je popsáno v tématu ADV180018
L1TFWindowsSupportEnabled: True -> podle potřeby provádět akce popsané v ADV180018 pro Windows Server nebo klienta, aby se povolilo zmírnění rizik
.
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> nainstalovat aktualizaci
z června 2022
MDSHardwareVulnerable: False –> hardware není ohrožený
MDSWindowsSupportEnabled: Je povolené
omezení rizik > mikroarchitectural data sampling (MDS)
FBClearWindowsSupportPresent: True -> nainstalovat aktualizaci
z června 2022
SBDRSSDPHardwareVulnerable: Má se za to, že tato ohrožení zabezpečení
ovlivňuje hardware >.
FBSDPHardwareVulnerable: True -> hardware je pravděpodobně ovlivněn těmito chybami
zabezpečení
PSDPHardwareVulnerable: True -> hardware je pravděpodobně ovlivněn těmito chybami
zabezpečení
FBClearWindowsSupportEnabled: True -> Představuje povolení zmírnění rizik pro SBDR/FBSDP/PSDP. Ujistěte se, že je OEM BIOS/firmware aktualizovaný, FBClearWindowsSupportPresent má hodnotu True, zmírnění rizik povolená, jak je uvedeno v ADV220002 a KVAShadowWindowsSupportEnabled je true.
Registru
Následující tabulka mapuje výstup na klíče registru, které jsou popsány v aktualizaci KB4072698: Pokyny pro Windows Server a Azure Stack HCI k ochraně před chybami zabezpečení postranního kanálu mikroarchitekturálního a spekulativního spuštění na bázi procesoru.
|
Klíč registru |
Mapování |
|
FeatureSettingsOverride – Bit 0 |
Mapy na – Injektáž cíle větve – BTIWindowsSupportEnabled |
|
FeatureSettingsOverride – Bit 1 |
Mapy na – Nepovolené načtení mezipaměti dat – VAShadowWindowsSupportEnabled |
Reference
Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.
