KB4074629: Om SpeculationControl PowerShell-scriptoutput

Metode 1: PowerShell-godkendelse ved hjælp af PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installér PowerShell-modulet

PS> Install-Module SpeculationControl

Kør ModuleControl PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metode 2: PowerShell-godkendelse ved hjælp af en download fra TechNet (tidligere OS-versioner/tidligere WMF-versioner)

Installér PowerShell-modulet fra TechNet ScriptCenter

1. Gå til https://aka.ms/SpeculationControlPS.

2. Download SpeculationControl.zip til en lokal mappe.

3. Udpak indholdet til en lokal mappe, f.eks. C:\ADV180002

Kør PowerShell-modulet for at bekræfte, at beskyttelse er aktiveret

Start PowerShell, og kopiér derefter (i eksemplet ovenfor), og kør følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Output

Forklaring

Spekulationskontrolindstillinger for CVE-2017-5715 [branch target injection]

Dette afsnit indeholder systemstatus for variant 2, CVE-2017-5715, grendestinationsinjicering.

Hardwareunderstøttelse af afhjælpning af indsprøjtning til branch-mål findes

Kort til BTIHardwarePresent. Denne linje fortæller dig, om der findes hardwarefunktioner, der understøtter afhjælpning af indskydning af grenens mål. Enhedens OEM er ansvarlig for at levere den opdaterede BIOS/firmware, der indeholder den mikrokode, der leveres af CPU-producenter. Hvis denne linje er Sand, er de nødvendige hardwarefunktioner til stede. Hvis linjen er Falsk, er de nødvendige hardwarefunktioner ikke til stede. Derfor kan indskydningsreduktion af grenens mål ikke aktiveres.

Bemærk! BTIHardwarePresent vil være Sand i virtuelle gæste-VM'er, hvis OEM-opdateringen anvendes på værten, og vejledningenfølges.

Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning af forgreningsmål findes

Kort til BTIWindowsSupportPresent. Denne linje fortæller dig, om Der findes understøttelse af Windows-operativsystemet til afhjælpning af indskydning af grenens mål. Hvis det er sandt, understøtter operativsystemet aktivering af afhjælpning af indsprøjtning af branch-destinationen (og har derfor installeret januar 2018-opdateringen). Hvis den er Falsk, er opdateringen for januar 2018 ikke installeret på enheden, og indskydningsreduktion af grenmålet kan ikke aktiveres.

Bemærk! Hvis en gæste-VM ikke kan registrere værtshardwareopdateringen, vil BTIWindowsSupportEnabled altid være Falsk.

Understøttelse af Windows-operativsystemet til afhjælpning af forgrening af destinationsinjicering er aktiveret

Kort til BTIWindowsSupportEnabled. Denne linje fortæller dig, om understøttelse af Windows-operativsystemet er aktiveret til afhjælpning af indskydning af forgreningsmål. Hvis det er sandt, er hardwareunderstøttelse og OS-understøttelse til afhjælpning af forgreningsdestinationen aktiveret for enheden og beskytter dermed mod CVE-2017-5715. Hvis den er Falsk, er en af følgende betingelser sand:

• Hardwaresupport er ikke til stede.

• Understøttelse af operativsystemet findes ikke.

• Afhjælpningen er deaktiveret af systempolitikken.

Understøttelse af Windows-operativsystemet til afhjælpning af indskydning af grensmål er deaktiveret af systempolitik

Kort til BTIDisabledBySystemPolicy. Denne linje fortæller dig, om afhjælpning af indskydning af grenmål er deaktiveret af systempolitikken (f.eks. en politik, der er defineret af administratoren). Systempolitik henviser til kontrolelementerne i registreringsdatabasen som beskrevet i KB4072698. Hvis det er sandt, er systempolitikken ansvarlig for at deaktivere afhjælpningen. Hvis det er Falsk, deaktiveres afhjælpningen af en anden årsag.

Understøttelse af Windows-operativsystemet til afhjælpning af indsprøjtning af branch-destination er deaktiveret på grund af manglende hardwareunderstøttelse

Kort til BTIDisabledByNoHardwareSupport. Denne linje fortæller dig, om afhjælpning af indskydning af grensmål er deaktiveret på grund af manglende hardwaresupport. Hvis det er sandt, er fraværet af hardwaresupport ansvarlig for at deaktivere afhjælpningen. Hvis det er Falsk, deaktiveres afhjælpningen af en anden årsag.

BemærkHvis en gæste-VM ikke kan registrere værtshardwareopdateringen, vil BTIDisabledByNoHardwareSupport altid være Sand.

Spekulationskontrolindstillinger for CVE-2017-5754 [useriøs datacacheindlæsning]

Dette afsnit indeholder oversigtssystemstatus for variant 3, CVE-2017-5754, useriøse datacacheindlæsning. Afhjælpningen for dette kaldes VA-skygge (Kernel Virtual Address) eller afhjælpning af belastningen af useriøse datacachebelastning.

Hardware er sårbar over for uautoriseret datacacheindlæsning

Kort til RdclHardwareProtected. Denne linje fortæller dig, om hardwaren er sårbar over for CVE-2017-5754. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2017-5754. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2017-5754.

Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacachebelastninger findes

Kort til KVAShadowWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter kerne-VA-skyggefunktionen.

Understøttelse af Windows-operativsystemet til afhjælpning af uautoriserede datacacheindlæsning er aktiveret

Kort til KVAShadowWindowsSupportEnabled. Denne linje fortæller dig, om kerne-VA-skyggefunktionen er aktiveret. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2017-5754, understøttelse af Windows-operativsystemet findes, og funktionen er aktiveret.

Hardware kræver kerne-VA-skygge

Kort til KVAShadowRequired. Denne linje fortæller dig, om systemet kræver kernel VA-skygge for at afhjælpe en sikkerhedsrisiko.

Understøttelse af Windows-operativsystem til kerne-VA-skygge findes

Kort til KVAShadowWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter kerne-VA-skyggefunktionen. Hvis den er sand, installeres opdateringen for januar 2018 på enheden, og kerne-VA-skygge understøttes. Hvis den er Falsk, installeres opdateringen for januar 2018 ikke, og understøttelse af kerne-VA-skygge findes ikke.

Understøttelse af Windows-operativsystem til kerne-VA-skygge er aktiveret

Kort til KVAShadowWindowsSupportEnabled. Denne linje fortæller dig, om kerne-VA-skyggefunktionen er aktiveret. Hvis det er sandt, er understøttelsen af Windows-operativsystemet til stede, og funktionen er aktiveret. Kerne VA-skyggefunktionen er i øjeblikket aktiveret som standard på klientversioner af Windows og er som standard deaktiveret på versioner af Windows Server. Hvis det er falsk, findes der enten ikke support til Windows-operativsystemet, eller også er funktionen ikke aktiveret.

Understøttelse af Windows-operativsystemet til optimering af pc-id'ets ydeevne er aktiveret

BemærkPCID er ikke påkrævet af sikkerhedsmæssige årsager. Den angiver kun, om en forbedring af ydeevnen er aktiveret. PCID understøttes ikke med Windows Server 2008 R2

Kort til KVAShadowPcidEnabled. Denne linje fortæller dig, om en ekstra optimering af ydeevnen er aktiveret for kerne-VA-skygge. Hvis det er Sandt, aktiveres kerne-VA-skygge, hardwareunderstøttes til PCID, og PCID-optimering for kerne-VA-skygge er aktiveret. Hvis det er Falsk, understøtter hardwaren eller operativsystemet muligvis ikke PCID. Det er ikke en sikkerhedssvaghed for PCID-optimeringen, der ikke skal aktiveres.

Understøttelse af Windows-operativsystemet for Speculative Store Bypass Disable findes

Kort til SSBDWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter Speculative Store Bypass Disable. Hvis den er sand, installeres opdateringen for januar 2018 på enheden, og kerne-VA-skygge understøttes. Hvis den er Falsk, installeres opdateringen for januar 2018 ikke, og understøttelse af kerne-VA-skygge findes ikke.

Hardware kræver deaktivering af Speculative Store Bypass

Kort til SSBDHardwareVulnerablePresent. Denne linje fortæller dig, om hardwaren er sårbar over for CVE-2018-3639. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3639. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2018-3639.

Hardwareunderstøttelse for Speculative Store Bypass Disable findes

Kort til SSBDHardwarePresent. Denne linje fortæller dig, om der findes hardwarefunktioner, der understøtter "Speculative Store Bypass Disable". Enhedens OEM er ansvarlig for at levere den opdaterede BIOS/firmware, der indeholder den mikrokode, der leveres af Intel. Hvis denne linje er Sand, er de nødvendige hardwarefunktioner til stede. Hvis linjen er Falsk, er de nødvendige hardwarefunktioner ikke til stede. Derfor kan Speculative Store Bypass Disable ikke aktiveres.

Bemærk SSBDHardwarePresent er sand i virtuelle gæste-VM'er, hvis OEM-opdateringen anvendes på værten.

Understøttelse af Windows-operativsystemet for Speculative Store Bypass Disable er slået til

Kort til SSBDWindowsSupportEnabledSystemWide. Denne linje fortæller dig, om Speculative Store Bypass Disable er slået til i Windows-operativsystemet. Hvis det er sandt, er hardwaresupport og OS-understøttelse for Speculative Store Bypass Disable slået til for den enhed, der forhindrer, at en Speculative Store Bypass finder sted, hvilket eliminerer sikkerhedsrisikoen fuldstændigt. Hvis den er Falsk, er en af følgende betingelser sand:

• Hardwaresupport er ikke til stede.

• Understøttelse af operativsystemet findes ikke.

• Speculative Store Bypass Disable er ikke aktiveret via registreringsdatabasenøgler. Se følgende artikler for at få vejledning i, hvordan du aktiverer dem:

  • KB4073119: Windows-klientvejledning til it-teknikere, der beskytter mod silicon-baserede mikroarkitektur- og speculative execution side-channel-sikkerhedsrisici

  • KB4072698: Vejledning i Windows Server og Azure Stack HCI for at beskytte mod silicon-baserede mikroarkitektur- og speculative execution side-channel-sikkerhedsrisici

Spekulationsindstillinger for CVE-2018-3620 [L1-terminalfejl]

Dette afsnit indeholder en oversigt over systemstatus for L1TF (operativsystem), der henvises til af CVE-2018-3620. Denne afhjælpning sikrer, at sikre siderammebit bruges til ikke at præsentere eller ugyldige sidetabelposter.

Bemærk! Dette afsnit indeholder ikke en oversigt over den afhjælpningsstatus for L1TF (VMM), der henvises til i CVE-2018-3646.

Hardware er sårbar over for L1-terminalfejl: Sand

Kort til L1TFHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for L1 Terminal Fault (L1TF, CVE-2018-3620). Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3620. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar over for CVE-2018-3620.

Windows-operativsystemets understøttelse af L1-terminalfejlhjælp er til stede: Sand

Kort til L1TFWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter L1 Terminal Fault (L1TF)-operativsystemets afhjælpning. Hvis det er sandt, er august 2018-opdateringen installeret på enheden, og afhjælpningen af CVE-2018-3620 er til stede. Hvis den er falsk, installeres august 2018-opdateringen ikke, og afhjælpningen for CVE-2018-3620 findes ikke.

Understøttelse af Windows-operativsystemet til afhjælpning af L1-terminalfejl er aktiveret: Sand

Kort til L1TFWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af L1 Terminal Fault (L1TF, CVE-2018-3620) er aktiveret. Hvis det er sandt, menes hardwaren at være sårbar over for CVE-2018-3620, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Indstillinger for spekulationskontrol for MDS [Microarchitectural Data Sampling]

Dette afsnit indeholder systemstatus for MDS-sættet af sårbarheder, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og ADV220002.

Understøttelse af Windows-operativsystemet til afhjælpning af MDS findes

Kort til MDSWindowsSupportPresent. Denne linje fortæller dig, om Understøttelse af Windows-operativsystemet til afhjælpning af MDS-operativsystemet (Microarchitectural Data Sampling) er til stede. Hvis det er sandt, er maj 2019-opdateringen installeret på enheden, og afhjælpningen af MDS er til stede. Hvis den er Falsk, installeres maj 2019-opdateringen ikke, og afhjælpningen for MDS findes ikke.

Hardware er sårbar over for MDS

Kort til MDSHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for MDS-sæt (Microarchitectural Data Sampling) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af MDS er aktiveret

Kort til MDSWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af Microarchitectural Data Sampling (MDS) er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af MDS-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Understøttelse af Windows-operativsystemet til afhjælpning af SBDR findes

Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter afhjælpning af SBDR-operativsystemet. Hvis det er sandt, installeres opdateringen fra juni 2022 på enheden, og afhjælpningen af SBDR er til stede. Hvis den er Falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for SBDR findes ikke.

Hardware er sårbar over for SBDR

Kort til SBDRSSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for SBDR [delte bufferdata læst] sæt sårbarheder (CVE-2022-21123). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af SBDR er aktiveret

Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Afhjælpning af Windows-operativsystemet for SBDR [delte bufferdata læst] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af SBDR-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP findes

Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP-operativsystemet er til stede. Hvis den er sand, er opdateringen fra juni 2022 installeret på enheden, og afhjælpningen af FBSDP er til stede. Hvis den er falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for FBSDP findes ikke.

Hardware er sårbar over for FBSDP

Tilknytninger til FBSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for FBSDP [fyldbufferforældede dataoverførsel] sæt sårbarheder (CVE-2022-21125, CVE-2022-21127 og CVE-2022-21166). Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af FBSDP er aktiveret

Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af FBSDP [fyldbufferforældede dataoverførsel] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af FBSDP-sikkerhedsrisiciene, Windows-operativsystemet til afhjælpning findes, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Understøttelse af Windows-operativsystemet til afhjælpning af PSDP findes

Kort til FBClearWindowsSupportPresent. Denne linje fortæller dig, om Windows-operativsystemet understøtter afhjælpning af PSDP-operativsystemet. Hvis den er sand, er opdateringen fra juni 2022 installeret på enheden, og afhjælpningen af PSDP er til stede. Hvis den er falsk, installeres opdateringen fra juni 2022 ikke, og afhjælpningen for PSDP findes ikke.

Hardware er sårbar over for PSDP

Kort til PSDPHardwareVulnerable. Denne linje fortæller dig, om hardwaren er sårbar over for PSDP [primær forældet dataoverførsel] sæt sårbarheder. Hvis det er sandt, menes hardwaren at være påvirket af disse sårbarheder. Hvis det er Falsk, er hardwaren kendt for ikke at være sårbar.

Understøttelse af Windows-operativsystemet til afhjælpning af PSDP er aktiveret

Kort til FBClearWindowsSupportEnabled. Denne linje fortæller dig, om Windows-operativsystemets afhjælpning af PSDP [primær forældet dataoverførsel] er aktiveret. Hvis det er sandt, menes hardwaren at være påvirket af PSDP-sikkerhedsrisiciene, windows-operativsystemets understøttelse af afhjælpningen er til stede, og afhjælpningen er aktiveret. Hvis den er Falsk, er hardwaren ikke sårbar, Windows-operativsystemet understøttes ikke, eller afhjælpningen er ikke aktiveret.

Registreringsdatabasenøgle

Kortlægning

FeatureSettingsOverride – Bit 0

Maps to - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled