KB4074629: Vysvětlení výstupu skriptu PowerShellu SpeculationControl

Metoda 1: Ověření PowerShellu pomocí Galerie prostředí PowerShell (Windows Server 2016 nebo WMF 5.0/5.1)

Instalace modulu PowerShellu

PS> Install-Module SpeculationControl

Spuštěním modulu PowerShellu SpeculationControl ověřte, že jsou povolená ochrana.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metoda 2: Ověření PowerShellu pomocí stahování z TechNetu (starší verze operačního systému nebo starší verze WMF)

Instalace modulu PowerShellu z webu TechNet ScriptCenter

1. Přejděte na https://aka.ms/SpeculationControlPS.

2. Stáhněte SpeculationControl.zip do místní složky.

3. Extrahujte obsah do místní složky, například C:\ADV180002.

Spuštěním modulu PowerShellu ověřte, že jsou povolená ochrana.

Spusťte PowerShell a pak (pomocí výše uvedeného příkladu) zkopírujte a spusťte následující příkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Výstup

Vysvětlení

Nastavení ovládacích prvků spekulací pro CVE-2017-5715 [injektáž cílové větve]

Tato část obsahuje stav systému pro variantu 2, CVE-2017-5715, injektáž cíle větve.

K dispozici je hardwarová podpora pro zmírnění rizik injektáže cíle větve.

Mapy do BTIHardwarePresent. Na tomto řádku se dozvíte, jestli existují hardwarové funkce, které podporují zmírnění rizik injektáže cílové větve. Výrobce OEM zařízení zodpovídá za poskytování aktualizovaného systému BIOS/firmwaru, který obsahuje mikrokód od výrobců procesoru. Pokud je tento řádek pravdivý, jsou k dispozici požadované hardwarové funkce. Pokud je řádek False, požadované hardwarové funkce nejsou k dispozici, a proto není možné povolit omezení rizik injektáže cílové větve.

Poznámka BTIHardwarePresent bude na hostovaných virtuálních počítačích true, pokud se na hostitele použila aktualizace OEM a postupuje se podle pokynů.

Windows podpora operačního systému pro zmírnění rizik injektáže cíle větve

Mapy do BTIWindowsSupportPresent. Na tomto řádku se dozvíte, jestli pro zmírnění rizik injektáže cílové větve existuje podpora Windows operačního systému. Pokud je true, operační systém podporuje povolení zmírnění rizik injektáže cílové větve (a proto má nainstalovanou aktualizaci z ledna 2018). Pokud je false, aktualizace z ledna 2018 nebyla na zařízení nainstalovaná a omezení rizik injektáže cíle větve není možné povolit.

Poznámka Pokud hostovaný virtuální počítač nemůže zjistit aktualizaci hardwaru hostitele, bude mít BTIWindowsSupportEnabled vždy hodnotu False.

Windows podpora operačního systému pro zmírnění rizik injektáže cíle větve je povolená.

Mapy na BTIWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je pro zmírnění rizik injektáže cílové větve povolená podpora Windows operačního systému. Pokud je true, je pro zařízení povolená podpora hardwaru a podpora operačního systému pro zmírnění rizik injektáže cílové větve, a tím i ochrana před CVE-2017-5715. Pokud je false, platí jedna z následujících podmínek:

• Podpora hardwaru není k dispozici.

• Podpora operačního systému není k dispozici.

• Omezení rizik bylo zakázáno zásadami systému.

Windows podpora operačního systému pro zmírnění rizik injektáže cíle větve je zakázaná zásadami systému.

Mapy do BTIDisabledBySystemPolicy. Na tomto řádku se dozvíte, jestli zásady systému zakázaly omezení rizik injektáže cíle větve (například zásady definované správcem). Systémové zásady odkazují na ovládací prvky registru, jak je popsáno v článku KB4072698. Pokud je true, systémové zásady zodpovídají za zakázání zmírnění rizik. Pokud je false, omezení rizik je zakázáno jinou příčinou.

Windows podpora operačního systému pro zmírnění rizik injektáže cíle větve je zakázaná kvůli absenci hardwarové podpory.

Mapy na BTIDisabledByNoHardwareSupport. Na tomto řádku se dozvíte, jestli bylo omezení rizik injektáže cíle větve zakázané kvůli absenci hardwarové podpory. Pokud je true, za zákaz omezení rizik zodpovídá absence hardwarové podpory. Pokud je false, omezení rizik je zakázáno jinou příčinou.

PoznámkaPokud hostovaný virtuální počítač nemůže zjistit aktualizaci hardwaru hostitele, bude mít BTIDisabledByNoHardwareSupport vždy hodnotu True.

Nastavení ovládacích prvků spekulací pro CVE-2017-5754 [načtení mezipaměti neautorizovaných dat]

Tato část obsahuje souhrnný stav systému pro variantu 3, CVE-2017-5754 a načtení neautorizované mezipaměti dat. Toto omezení rizik se označuje jako stín virtuální adresy jádra (VA) nebo omezení zatížení neautorizované mezipaměti dat.

Hardware vyžaduje stínování virtuálních počítačů jádra.

Mapy do KVAShadowRequired. Na tomto řádku se dozvíte, jestli je hardware zranitelný vůči CVE-2017-5754. Pokud je true, předpokládá se, že hardware je zranitelný cve-2017-5754. Pokud je false, je známo, že hardware není zranitelný vůči CVE-2017-5754.

Windows je k dispozici podpora operačního systému pro stín VA jádra

Mapy do KVAShadowWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici Windows podpora operačního systému pro funkci stínu VA jádra. Pokud je true, nainstaluje se na zařízení aktualizace z ledna 2018 a podporuje se stín VA jádra. Pokud je false, aktualizace z ledna 2018 se nenainstaluje a podpora stínů VA jádra neexistuje.

Windows je povolená podpora operačního systému pro stín VA jádra

Mapy do KVAShadowWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolená funkce stínu VA jádra. Pokud je true, předpokládá se, že hardware je zranitelný cve-2017-5754, Windows je k dispozici podpora operačního systému a tato funkce je povolená. Stínová funkce VA jádra je aktuálně ve výchozím nastavení povolená v klientských verzích Windows a ve výchozím nastavení je ve verzích Windows Serveru zakázaná. Pokud je false, buď Windows podpora operačního systému není k dispozici, nebo funkce nebyla povolena.

Windows je povolená podpora operačního systému pro optimalizaci výkonu PCID

PoznámkaPCID se pro zabezpečení nevyžaduje. Označuje pouze, jestli je povolené zlepšení výkonu. PCID se u Windows Serveru 2008 R2 nepodporuje

Mapy do KVAShadowPcidEnabled. Na tomto řádku se dozvíte, jestli je pro stín VA jádra povolená další optimalizace výkonu. Pokud je true, je povolený stín VA jádra, je k dispozici hardwarová podpora PCID a byla povolena optimalizace PCID pro stín VA jádra. Pokud je false, hardware nebo operační systém nemusí podporovat PCID. Optimalizace PCID není slabinou zabezpečení, která by se nepovoluje.

Windows podpora operačního systému pro zákaz spekulativního obejití úložiště

Mapy do SSBDWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici podpora Windows operačního systému pro zákaz spekulativního obejití úložiště. Pokud je true, nainstaluje se na zařízení aktualizace z ledna 2018 a podporuje se stín VA jádra. Pokud je false, aktualizace z ledna 2018 se nenainstaluje a podpora stínů VA jádra neexistuje.

Hardware vyžaduje zákaz spekulativního obejití úložiště.

Mapy do SSBDHardwareVulnerablePresent. Na tomto řádku se dozvíte, jestli je hardware zranitelný cve-2018-3639. Pokud je true, předpokládá se, že hardware je zranitelný cve-2018-3639. Pokud je false, je známo, že hardware není zranitelný vůči CVE-2018-3639.

K dispozici je hardwarová podpora pro zákaz spekulativního obejití úložiště.

Mapy do SSBDHardwarePresent. Na tomto řádku se dozvíte, jestli existují hardwarové funkce pro podporu zákazu spekulativního obejití úložiště. Zařízení OEM zodpovídá za poskytování aktualizovaného systému BIOS/firmwaru, který obsahuje mikrokód poskytovaný společností Intel. Pokud je tento řádek pravdivý, jsou k dispozici požadované hardwarové funkce. Pokud je řádek False, požadované hardwarové funkce nejsou k dispozici, a proto nelze zapnout zákaz spekulativního obejití úložiště.

Poznámka SSBDHardwarePresent bude true na hostovaných virtuálních počítačích, pokud byla na hostitele použita aktualizace OEM.

Windows podpora operačního systému pro zákaz spekulativního obejití úložiště je zapnutá.

Mapy do SSBDWindowsSupportEnabledSystemWide. Na tomto řádku se dozvíte, jestli je v operačním systému Windows zapnuté zakázání spekulativního obejití úložiště. Pokud je true, je pro zařízení zapnutá podpora hardwaru a podpora operačního systému pro zakázaný zákaz spekulativního obejití úložiště, což zcela eliminuje bezpečnostní riziko. Pokud je false, platí jedna z následujících podmínek:

• Podpora hardwaru není k dispozici.

• Podpora operačního systému není k dispozici.

• Zákaz spekulativního obejití úložiště nebyl povolen prostřednictvím klíčů registru. Pokyny k jejich povolení najdete v následujících článcích:

  • KB4073119: Windows pokyny pro klienta pro IT profesionály k ochraně před ohrožením zabezpečení z důvodu mikroarchitektury a spekulativního spouštění na straně kanálu na bázi silicon

  • KB4072698: pokyny pro Windows Server a Azure Stack HCI k ochraně před ohrožením zabezpečení na straně kanálu na straně mikroarchitektury a spekulativního spouštění na bázi silicon

Nastavení kontroly spekulací pro CVE-2018-3620 [Chyba terminálu L1]

Tato část obsahuje souhrnný stav systému pro L1TF (operační systém), na který odkazuje CVE-2018-3620. Toto omezení rizik zajišťuje, že se bity bezpečného rámce stránky použijí pro neprezentovat nebo neplatné položky stránkové tabulky.

Poznámka Tato část neposkytuje souhrn stavu zmírnění rizik pro L1TF (VMM), na který odkazuje CVE-2018-3646.

Hardware je zranitelný chybou terminálu L1: Pravda

Mapy do L1TFHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný chybou terminálu L1 (L1TF, CVE-2018-3620). Pokud je true, předpokládá se, že hardware je zranitelný cve-2018-3620. Pokud je false, je známo, že hardware není zranitelný vůči CVE-2018-3620.

Windows podpora operačního systému pro zmírnění chyb terminálu L1 je k dispozici: True

Mapy do L1TFWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici podpora operačního systému L1 Terminal Fault (L1TF) Windows operačního systému. Pokud je true, je na zařízení nainstalovaná aktualizace ze srpna 2018 a je k dispozici omezení rizik pro CVE-2018-3620 . Pokud je false, aktualizace ze srpna 2018 není nainstalovaná a omezení rizik pro CVE-2018-3620 není k dispozici.

Windows podpora operačního systému pro zmírnění chyb terminálu L1 je povolená: True

Mapy do L1TFWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené omezení rizik Windows operačního systému pro chybu terminálu L1 (L1TF, CVE-2018-3620). Pokud je true, předpokládá se, že hardware je zranitelný cve-2018-3620, Windows je k dispozici podpora operačního systému pro zmírnění rizik a bylo povoleno omezení rizik. Pokud je false, buď hardware není zranitelný, Windows podpora operačního systému není k dispozici nebo omezení rizik není povoleno.

Nastavení ovládacích prvků spekulace pro MDS [Vzorkování mikroarchitekturálních dat]

Tato část obsahuje stav systému pro MDS sadu chyb zabezpečení, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 a ADV220002.

Windows podpora operačního systému pro zmírnění MDS je k dispozici

Mapy do MDSWindowsSupportPresent. Na tomto řádku se dozvíte, jestli existuje podpora operačního systému Windows pro zmírnění rizik vzorkování dat mikroarchitektury (MDS). Pokud je true, nainstaluje se na zařízení aktualizace z května 2019 a existuje omezení rizik pro MDS. Pokud je false, aktualizace z května 2019 se nenainstaluje a omezení rizik pro MDS není k dispozici.

Hardware je zranitelný vůči MDS

Mapy k MDSHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný sadou ohrožení zabezpečení vzorkování mikroarchitekturních dat (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Pokud je true, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je false, je známo, že hardware není zranitelný.

Windows podpora operačního systému pro zmírnění MDS je povolená

Mapy na MDSWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené omezení rizik Windows operačního systému pro vzorkování mikroarchitekturálních dat (MDS). Pokud je pravda, předpokládá se, že ohrožení zabezpečení MDS ovlivní hardware, je k dispozici podpora Windows operačního systému pro zmírnění rizik a bylo povoleno omezení rizik. Pokud je false, buď hardware není zranitelný, Windows podpora operačního systému není k dispozici nebo omezení rizik není povoleno.

Windows je k dispozici podpora operačního systému pro zmírnění sbdr

Mapy do FBClearWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici podpora operačního systému Windows pro zmírnění rizik operačního systému SBDR. Pokud je true, na zařízení se nainstaluje aktualizace z června 2022 a je k dispozici omezení rizik pro SBDR. Pokud je false, aktualizace z června 2022 není nainstalována a omezení rizik pro SBDR není k dispozici.

Hardware je zranitelný vůči SBDR

Mapy do SBDRSSDPHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný vůči sadě ohrožení zabezpečení sbdr [sdílená vyrovnávací paměť čtená data] (CVE-2022-21123). Pokud je true, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je false, je známo, že hardware není zranitelný.

podpora Windows operačního systému pro zmírnění sbdr je povolená.

Mapy na FBClearWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené omezení rizik Windows operačního systému pro SBDR [čtení dat sdílených vyrovnávacích pamětí]. Pokud je true, předpokládá se, že ohrožení zabezpečení SBDR ovlivní hardware, je k dispozici provozní podpora windows pro zmírnění rizik a bylo povoleno omezení rizik. Pokud je false, buď hardware není zranitelný, Windows podpora operačního systému není k dispozici nebo omezení rizik není povoleno.

Windows podpora operačního systému pro zmírnění rizik FBSDP

Mapy do FBClearWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici podpora operačního systému Windows pro zmírnění rizik operačního systému FBSDP. Pokud je true, na zařízení se nainstaluje aktualizace z června 2022 a existuje omezení rizik pro FBSDP. Pokud je false, aktualizace z června 2022 není nainstalována a omezení rizik pro FBSDP není k dispozici.

Hardware je zranitelný vůči FBSDP

Mapy na FBSDPHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný sadou ohrožení zabezpečení fbsdp [fill buffer stale data propagator] (CVE-2022-21125, CVE-2022-21127 a CVE-2022-21166). Pokud je true, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je false, je známo, že hardware není zranitelný.

podpora Windows operačního systému pro zmírnění rizik FBSDP je povolená.

Mapy na FBClearWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené omezení rizik Windows operačního systému pro FBSDP [šíření zastaralých dat vyrovnávací paměti výplně]. Pokud je pravda, předpokládá se, že ohrožení zabezpečení FBSDP ovlivní hardware, existuje Windows provozní podpora pro zmírnění rizik a omezení rizik je povolené. Pokud je false, buď hardware není zranitelný, Windows podpora operačního systému není k dispozici nebo omezení rizik není povoleno.

Windows je k dispozici podpora operačního systému pro zmírnění rizik PSDP

Mapy do FBClearWindowsSupportPresent. Na tomto řádku se dozvíte, jestli je k dispozici podpora operačního systému Windows pro zmírnění rizik operačního systému PSDP. Pokud je true, nainstaluje se na zařízení aktualizace z června 2022 a existuje zmírnění rizik pro PSDP. Pokud je false, aktualizace z června 2022 není nainstalována a omezení rizik pro PSDP není k dispozici.

Hardware je zranitelný vůči PSDP

Mapy na PSDPHardwareVulnerable. Na tomto řádku se dozvíte, jestli je hardware zranitelný vůči sadě ohrožení zabezpečení psdp [primárního zastaralého šíření dat]. Pokud je true, předpokládá se, že tato ohrožení zabezpečení ovlivňují hardware. Pokud je false, je známo, že hardware není zranitelný.

podpora Windows operačního systému pro zmírnění rizik psdp je povolená

Mapy na FBClearWindowsSupportEnabled. Na tomto řádku se dozvíte, jestli je povolené omezení rizik Windows operačního systému pro PSDP [primární zastaralý šíření dat]. Pokud je true, předpokládá se, že ohrožení zabezpečení PSDP ovlivní hardware, existuje provozní podpora windows pro zmírnění rizik a je povolené omezení rizik. Pokud je false, buď hardware není zranitelný, Windows podpora operačního systému není k dispozici nebo omezení rizik není povoleno.

Klíč registru

Mapování

FeatureSettingsOverride – Bit 0

Mapy to – Injektáž cíle větve – BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Mapy to – Načtení neautorizované mezipaměti dat – VAShadowWindowsSupportEnabled