Änderungsprotokoll
| Datum ändern | Beschreibung der Änderung |
|---|---|
| 17. Juli 2023 | MMIO und spezifische Beschreibungen der Ausgabewerte wurden im Abschnitt "Ausgabe, für die alle Risikominderungen aktiviert sind" hinzugefügt. |
Zusammenfassung
Um die Status spekulativer Parallelkanalminderungen für die Ausführung zu überprüfen, haben wir ein PowerShell-Skript (SpeculationControl) veröffentlicht, das auf Ihren Geräten ausgeführt werden kann. In diesem Artikel wird erläutert, wie Sie das SpeculationControl-Skript ausführen und was die Ausgabe bedeutet.
Sicherheitsempfehlungen ADV180002, ADV180012, ADV180018 und ADV190013 decken die folgenden neun Sicherheitsrisiken ab:
CVE-2017-5715 (Branch Target Injection)
CVE-2017-5753 (Bounds Check Bypass)
Hinweis
Hinweis Für den Schutz für CVE-2017-5753 (Begrenzungsprüfung) sind keine zusätzlichen Registrierungseinstellungen oder Firmwareupdates erforderlich.
CVE-2017-5754 (Rogue Data Cache Load)
CVE-2018-3639 (Speculative Store Bypass)
CVE-2018-3620 (L1 Terminal Fault – OS)
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))
Advisory ADV220002 deckt zusätzliche Memory-Mapped-E/A-bezogene Sicherheitsrisiken (MMIO) ab:
- CVE-2022-21123 – Shared Buffer Data Read (SBDR)
- CVE-2022-21125 – Shared Buffer Data Sampling (SBDS)
- CVE-2022-21127 – Special Register Buffer Data Sampling Update (SRBDS Update)
- CVE-2022-21166 | Device Register Partial Write (DRPW)
Dieser Artikel enthält Details über das SpeculationControl PowerShell-Skript, mit dem der Status der Risikominderungen für die aufgeführten CVEs bestimmt werden kann, die zusätzliche Registrierungseinstellungen und in einigen Fällen auch Firmwareupdates erfordern.
Weitere Informationen
SpeculationControl PowerShell-Skript
Installieren Sie das SpeculationControl-Skript, und führen Sie es mit einer der folgenden Methoden aus.
| Methode 1: PowerShell-Überprüfung mithilfe des PowerShell-Katalog (Windows Server 2016 oder WMF 5.0/5.1) |
|---|
Installieren des PowerShell-ModulsPS> Install-Module SpeculationControlAusführen des SpeculationControl PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> Import-Module SpeculationControlPS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
| Methode 2: PowerShell-Überprüfung mithilfe eines TechNet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen) |
|---|
Installieren des PowerShell-Moduls über TechNet ScriptCenter
Starten Sie PowerShell, und kopieren Sie dann (mithilfe des obigen Beispiels) die folgenden Befehle, und führen Sie sie aus: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> CD C:\ADV180002\SpeculationControlPS> Import-Module .\SpeculationControl.psd1PS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-Skriptausgabe
Die Ausgabe des SpeculationControl PowerShell-Skripts ähnelt der folgenden Ausgabe. Aktivierter Schutz wird in der Ausgabe als "True" angezeigt.
PS C:\> Get-SpeculationControlSettings
Spekulationssteuerungseinstellungen für CVE-2017-5715 [Branch Target Injection]
Hardwareunterstützung für die Entschärfung der Branchzieleinschleusung ist vorhanden: False
Windows-Betriebssystemunterstützung für die Entschärfung der Branchzieleinschleusung ist vorhanden: True
Windows-Betriebssystemunterstützung für die Entschärfung von Branchzielen ist aktiviert: False
Die Windows-Betriebssystemunterstützung für die Einschleusung von Branchzielen wird durch die Systemrichtlinie deaktiviert: True
Die Unterstützung des Windows-Betriebssystems für die Einschleusung von Branchzielen ist deaktiviert, da keine Hardwareunterstützung vorhanden ist: True
Spekulationssteuerungseinstellungen für CVE-2017-5754 [Rogue Data Cache Load]
Hardware ist anfällig für nicht autorisiertes Laden des Datencaches: True
Unterstützung des Windows-Betriebssystems für die Entschärfung von nicht autorisierten Datencache-Ladevorgängen ist vorhanden: True
Windows-Betriebssystemunterstützung für die Entschärfung von nicht autorisiertem Datencache ist aktiviert: True
Hardware erfordert Kernel-VA-Shadowing: True
Windows-Betriebssystemunterstützung für Kernel-VA-Schatten vorhanden: False
Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist aktiviert: False
Windows-Betriebssystemunterstützung für die PCID-Optimierung ist aktiviert: False
Spekulationssteuerungseinstellungen für CVE-2018-3639 [Spekulative Speicherumgehung]
Hardware ist anfällig für spekulative Speicherumgehung: True
Hardwareunterstützung für die Risikominderung der spekulativen Speicherumgehung ist vorhanden: False
Windows-Betriebssystemunterstützung für die Risikominderung der spekulativen Speicherumgehung ist vorhanden: True
Die Unterstützung des Windows-Betriebssystems für spekulative Speicherumgehung ist systemweit aktiviert: False
Spekulationssteuerungseinstellungen für CVE-2018-3620 [L1 Terminal Fault]
Hardware ist anfällig für L1 Terminal Fault: True
Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist vorhanden: True
Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist aktiviert: True
Spekulationssteuerungseinstellungen für MDS [Microarchitectural Data Sampling]
Windows-Betriebssystemunterstützung für DIE MDS-Entschärfung ist vorhanden: True
Hardware ist anfällig für MDS: True
Windows-Betriebssystemunterstützung für MDS-Entschärfung ist aktiviert: True
Spekulationssteuerungseinstellungen für SBDR [Shared Buffers Data Read]
Windows-Betriebssystemunterstützung für SBDR-Entschärfung vorhanden: True
Hardware ist anfällig für SBDR: True
Windows-Betriebssystemunterstützung für SBDR-Entschärfung ist aktiviert: True
Spekulationssteuerungseinstellungen für FBSDP [veraltete Datenweitergabe für pufferfüllen]
Unterstützung des Windows-Betriebssystems für die FBSDP-Entschärfung ist vorhanden: True
Hardware ist anfällig für FBSDP: True
Unterstützung des Windows-Betriebssystems für die FBSDP-Entschärfung ist aktiviert: True
Spekulationssteuerungseinstellungen für PSDP [Primary Stale Data Propagator]
Windows-Betriebssystemunterstützung für PSDP-Entschärfung vorhanden: True
Hardware ist anfällig für PSDP: True
Windows-Betriebssystemunterstützung für PSDP-Entschärfung ist aktiviert: True
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
Erläuterung der SpeculationControl PowerShell-Skriptausgabe
Das endgültige Ausgaberaster wird der Ausgabe der vorherigen Zeilen zugeordnet. Dies wird angezeigt, weil PowerShell das Objekt ausgibt, das von einer Funktion zurückgegeben wird. In der folgenden Tabelle wird jede Zeile in der PowerShell-Skriptausgabe erläutert.
| Ausgabe | Erläuterung |
|---|---|
| Spekulationssteuerungseinstellungen für CVE-2017-5715 [Branch Target Injection] | Dieser Abschnitt enthält System-status für Variante 2, CVE-2017-5715, Branchzieleinschleusung. |
| Hardwareunterstützung für die Risikominderung für Branch Target Injection ist vorhanden | Wird BTIHardwarePresent zugeordnet. In dieser Zeile erfahren Sie, ob Hardwarefeatures vorhanden sind, um die Risikominderung für Branch Target Injection zu unterstützen. Der Geräte-OEM ist für die Bereitstellung des aktualisierten BIOS/der aktualisierten Firmware verantwortlich, das den von CPU-Herstellern bereitgestellten Microcode enthält. Wenn diese Zeile auf True festgelegt ist, sind die erforderlichen Hardwarefeatures vorhanden. Wenn diese Zeile auf False festgelegt ist, sind die erforderlichen Hardwarefeatures nicht vorhanden. Daher kann die Risikominderung für Branch Target Injection nicht aktiviert werden. Hinweis BTIHardwarePresent ist auf Gast-VMs true , wenn das OEM-Update auf den Host angewendet wird und die Anleitung befolgt wird. |
| Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist vorhanden | Wird "BTIWindowsSupportPresent" zugeordnet. In dieser Zeile erfahren Sie, ob Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection vorhanden ist. Wenn der Wert auf True festgelegt ist, unterstützt das Betriebssystem die Aktivierung der Risikominderung für Branch Target Injection (und hat daher das Update vom Januar 2018 installiert). Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht auf dem Gerät installiert, und die Risikominderung für Branch Target Injection kann nicht aktiviert werden. Hinweis Wenn eine Gast-VM das Hosthardwareupdate nicht erkennen kann, ist BTIWindowsSupportEnabled immer False. |
| Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aktiviert | Wird "BTIWindowsSupportEnabled" zugeordnet. In dieser Zeile erfahren Sie, ob Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection aktiviert ist. Bei True ist die Hardwareunterstützung und Betriebssystemunterstützung für die Verzweigungszieleinschleusung für das Gerät aktiviert, wodurch der Schutz vor CVE-2017-5715 erfolgt. Wenn false festgelegt ist, ist eine der folgenden Bedingungen erfüllt:
|
| Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection wird durch die Systemrichtlinie deaktiviert. | Wird BTIDisabledBySystemPolicy zugeordnet. In dieser Zeile erfahren Sie, ob die Risikominderung für Brach Target Injection durch eine Systemrichtlinie (z. B. eine vom Administrator definierte Richtlinie) deaktiviert ist. Systemrichtlinie bezieht sich auf die Registrierungssteuerelemente, wie in KB4072698 dokumentiert. Wenn der Wert auf True festgelegt ist, ist die Systemrichtlinie für das Deaktivieren der Risikominderung verantwortlich. Wenn der Wert auf False festgelegt ist, wird die Risikominderung durch eine andere Ursache deaktiviert. |
| Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection wird deaktiviert, wenn keine Hardwareunterstützung vorhanden ist. | Wird BTIDisabledByNoHardwareSupport zugeordnet. In dieser Zeile erfahren Sie, ob die Risikominderung für Branch Target Injection aufgrund fehlender Hardwareunterstützung deaktiviert ist. Wenn eder Wert auf True festgelegt ist, ist das Fehlen von Hardwareunterstützung für das Deaktivieren der Risikominderung verantwortlich. Wenn der Wert auf False festgelegt ist, wird die Risikominderung durch eine andere Ursache deaktiviert. Hinweis Wenn eine Gast-VM das Hosthardwareupdate nicht erkennen kann, ist BTIDisabledByNoHardwareSupport immer True. |
| Spekulationssteuerungseinstellungen für CVE-2017-5754 [Rogue Data Cache Load] | Dieser Abschnitt enthält zusammenfassungssystem status für variante 3, CVE-2017-5754, nicht autorisiertes Laden des Datencaches. Die Risikominderung hierfür wird als Kernel-Schatten für virtuelle Adressen (Virtual Address, VA) oder als Risikominderung für Rogue Data Cache Load bezeichnet. |
| Hardware ist anfällig für Rogue Data Cache Load | Wird RdclHardwareProtected zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für CVE-2017-5754 ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2017-5754. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2017-5754. |
| Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist vorhanden | Wird KVAShadowWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für das Kernel-VA-Schattenfeature vorhanden ist. |
| Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist aktiviert | Wird KVAShadowWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob das Kernel-VA-Schattenfeature aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware anfällig für CVE-2017-5754 ist, die Windows-Betriebssystemunterstützung vorhanden ist und das Feature aktiviert ist. |
| Hardware erfordert Kernel-VA-Shadowing | Wird KVAShadowRequired zugeordnet. In dieser Zeile erfahren Sie, ob Ihr System Kernel-VA-Shadowing erfordert, um ein Sicherheitsrisiko zu mindern. |
| Windows-Betriebssystemunterstützung für Kernel-VA-Schatten vorhanden | Wird KVAShadowWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für das Kernel-VA-Schattenfeature vorhanden ist. Wenn der Wert auf True festgelegt ist wird das Update vom Januar 2018 auf dem Gerät installiert, und der Kernel-VA-Schatten wird unterstützt. Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht installiert, und die Kernel-VA-Schattenunterstützung ist nicht vorhanden. |
| Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist aktiviert | Wird KVAShadowWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob das Kernel-VA-Schattenfeature aktiviert ist. Wenn der Wert auf True festgelegt ist, ist die Windows-Betriebssystemunterstützung vorhanden, und das Feature ist aktiviert. Das Kernel-VA-Schattenfeature ist derzeit standardmäßig auf Clientversionen von Windows aktiviert und in Versionen von Windows Server standardmäßig deaktiviert. Wenn der Wert auf False festgelegt ist, ist entweder die Windows-Betriebssystemunterstützung nicht vorhanden, oder das Feature ist nicht aktiviert. |
| Die Windows-Betriebssystemunterstützung für die PCID-Leistungsoptimierung ist aktiviert. Hinweis PCID ist aus Sicherheitsgründen nicht erforderlich. Sie gibt nur an, ob eine Leistungsverbesserung aktiviert ist. PCID wird mit Windows Server 2008 R2 nicht unterstützt. |
Wird KVAShadowPcidEnabled zugeordnet. In dieser Zeile erfahren Sie, ob eine zusätzliche Leistungsoptimierung für Kernel-VA-Schatten aktiviert ist. Wenn der Wert auf True festgelegt ist, ist der Kernel-VA-Schatten aktiviert, die Hardwareunterstützung für PCID ist vorhanden, und die PCID-Optimierung für Kernel-VA-Schatten ist aktiviert. Wenn der Wert auf False festgelegt ist, unterstützt die Hardware oder das Betriebssystem PCID möglicherweise nicht. Es ist keine Sicherheitsschwäche, dass die PCID-Optimierung nicht aktiviert wird. |
| Die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable ist vorhanden | Wird SSBDWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable vorhanden ist. Bei True wird das Update vom Januar 2018 auf dem Gerät installiert, und der Kernel-VA-Schatten wird unterstützt. Wenn es false ist, ist das Update vom Januar 2018 nicht installiert, und die Kernel-VA-Schattenunterstützung ist nicht vorhanden. |
| Hardware erfordert Speculative Store Bypass Disable | Wird SSBDHardwareVulnerablePresent zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für CVE-2018-3639 ist. Bei True wird angenommen, dass die Hardware anfällig für CVE-2018-3639 ist. Wenn false ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2018-3639. |
| Die Hardwareunterstützung für Speculative Store Bypass Disable ist vorhanden | Wird SSBDHardwarePresent zugeordnet. In dieser Zeile erfahren Sie, ob Hardwarefeatures zur Unterstützung von Speculative Store Bypass Disable vorhanden sind. Der Geräte-OEM ist für die Bereitstellung des aktualisierten BIOS/der aktualisierten Firmware verantwortlich, das den von Intel bereitgestellten Microcode enthält. Wenn diese Zeile auf True festgelegt ist, sind die erforderlichen Hardwarefeatures vorhanden. Wenn die Zeile false ist, sind die erforderlichen Hardwarefeatures nicht vorhanden. Daher kann Speculative Store Bypass Disable nicht aktiviert werden. Hinweis SSBDHardwarePresent ist auf Gast-VMs true , wenn das OEM-Update auf den Host angewendet wird. |
| Die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable ist aktiviert | Wird SSBDWindowsSupportEnabledSystemWide zugeordnet. Diese Zeile gibt an, ob Speculative Store Bypass Disable im Windows-Betriebssystem aktiviert ist. Bei True ist die Hardwareunterstützung und Betriebssystemunterstützung für die Deaktivierung der Spekulativen Speicherumgehung für das Gerät aktiviert, wodurch eine spekulative Speicherumgehung verhindert wird, wodurch das Sicherheitsrisiko vollständig beseitigt wird. Wenn false festgelegt ist, ist eine der folgenden Bedingungen erfüllt:
|
| Spekulationssteuerungseinstellungen für CVE-2018-3620 [L1 Terminal Fault] | Dieser Abschnitt enthält zusammenfassungssystem status für L1TF (Betriebssystem), auf das von CVE-2018-3620 verwiesen wird. Durch diese Risikominderung wird sichergestellt, dass sichere Seitenrahmenbits für nicht vorhandene oder ungültige Seitentabelleneinträge verwendet werden. Hinweis Dieser Abschnitt enthält keine Zusammenfassung der von CVE-2018-3646 genannten status für L1TF (VMM). |
| Hardware ist anfällig für L1 Terminal Fault: True | Wird L1TFHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für L1-Terminalfehler (L1TF, CVE-2018-3620) ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2018-3620. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2018-3620. |
| Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist vorhanden: True | Wird L1TFWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die L1 Terminal Fault (L1TF)-Betriebssystemminderung vorhanden ist. Bei True ist das Update vom August 2018 auf dem Gerät installiert, und die Entschärfung für CVE-2018-3620 ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom August 2018 nicht installiert, und die Risikominderung für CVE-2018-3620 ist nicht vorhanden. |
| Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist aktiviert: True | Wird L1TFWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Entschärfung des Windows-Betriebssystems für L1-Terminalfehler (L1TF, CVE-2018-3620) aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware anfällig für CVE-2018-3620 ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
| Spekulationssteuerungseinstellungen für MDS [Microarchitectural Data Sampling] | Dieser Abschnitt enthält System status für die MDS-Sicherheitsrisiken CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und ADV220002. |
| Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist vorhanden | Wird MDSWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die MDS-Betriebssystemminderung (Microarchitectural Data Sampling) vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Mai 2019 auf dem Gerät installiert, und die Risikominderung für MDS ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Mai 2019 nicht installiert, und die Risikominderung für MDS ist nicht vorhanden. |
| Hardware ist anfällig für MDS | Wird MDSHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für MDS-Sicherheitsrisiken (Microarchitectural Data Sampling) ist (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
| Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist aktiviert | Wird MDSWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für Microarchitectural Data Sampling (MDS) aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den MDS-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
| Die Windows-Betriebssystemunterstützung für SBDR-Risikominderung ist vorhanden | Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die SBDR-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für SBDR ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für SBDR ist nicht vorhanden. |
| Hardware ist anfällig für SBDR | Wird SBDRSSDPHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für SBDR -Sicherheitsrisiken ist (CVE-2022-21123). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
| Die Windows-Betriebssystemunterstützung für SBDR-Risikominderung ist aktiviert | Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für SBDR [Shared Buffers Data Read] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den SBDR-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
| Die Windows-Betriebssystemunterstützung für FBSDP-Risikominderung ist vorhanden | Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die FBSDP-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für FBSDP ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für FBSDP ist nicht vorhanden. |
| Hardware ist anfällig für FBSDP | Wird FBSDPHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für eine Reihe von Sicherheitsrisiken (CVE-2022-21125, CVE-2022-21127 und CVE-2022-21166) ist. Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
| Die Windows-Betriebssystemunterstützung für FBSDP-Risikominderung ist aktiviert | Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für FBSDP [Fill Buffer Stale Data Propagator] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den FBSDP-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
| Die Windows-Betriebssystemunterstützung für PSDP-Risikominderung ist vorhanden | Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die PSDP-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für PSDP ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für PSDP ist nicht vorhanden. |
| Hardware ist anfällig für PSDP | Wird PSDPHardwareVulnerable zugeordnet. Diese Zeile informiert Sie darüber, ob die Hardware anfällig für PSDP-Sicherheitsrisiken [Primary Stale Data Propagator] ist. Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
| Die Windows-Betriebssystemunterstützung für PSDP-Risikominderung ist aktiviert | Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für PSDP [Primary Stale Data Propagator] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den PSDP-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
Ausgabe, bei der alle Risikominderungen aktiviert sind
Die folgende Ausgabe wird für ein Gerät erwartet, für das alle Risikominderungen aktiviert sind, zusammen mit dem, was erforderlich ist, um die einzelnen Bedingungen zu erfüllen.
BTIHardwarePresent: True –> OEM-BIOS-/Firmwareupdate angewendet
BTIWindowsSupportPresent: True> – Update vom Januar 2018 installiert
BTIWindowsSupportEnabled: True –> auf dem Client ist keine Aktion erforderlich. Befolgen Sie auf dem Server die Anleitung.
BTIDisabledBySystemPolicy: False:> Stellen Sie sicher, dass die Richtlinie nicht deaktiviert ist.
BTIDisabledByNoHardwareSupport: False:> Stellen Sie sicher, dass das OEM-BIOS-/Firmwareupdate angewendet wird.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True oder False –> keine Aktion, dies ist eine Funktion der CPU, die der Computer verwendet.
Wenn KVAShadowRequired auf True festgelegt ist
KVAShadowWindowsSupportPresent: True> – Update vom Januar 2018 installieren
KVAShadowWindowsSupportEnabled: True:> Auf dem Client ist keine Aktion erforderlich. Befolgen Sie auf dem Server die Anleitung.
KVAShadowPcidEnabled: True oder False –> keine Aktion, dies ist eine Funktion der CPU, die der Computer verwendet.
Wenn SSBDHardwareVulnerablePresent auf True festgelegt ist
SSBDWindowsSupportPresent: True :> Installieren Sie Windows-Updates, wie in ADV180012
SSBDHardwarePresent: True :> Installieren Sie das BIOS-/Firmwareupdate mit Unterstützung für SSBD von Ihrem Geräte-OEM.
SSBDWindowsSupportEnabledSystemWide: True :> Befolgen Sie die empfohlenen Aktionen , um SSBD zu aktivieren.
Wenn L1TFHardwareVulnerable true ist
L1TFWindowsSupportPresent: True :> Installieren Sie Windows-Updates, wie in ADV180018
L1TFWindowsSupportEnabled: True –> befolgen Sie die in ADV180018 für Windows Server oder Client beschriebenen Aktionen, um die Entschärfung zu aktivieren.
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True> – Update vom Juni 2022 installieren
MDSHardwareVulnerable: False –> Hardware ist bekanntermaßen nicht anfällig
MDSWindowsSupportEnabled: True> – Risikominderung für microarchitectural Data Sampling (MDS) ist aktiviert
FBClearWindowsSupportPresent: True> – Update vom Juni 2022 installieren
SBDRSSDPHardwareVulnerable: True –> Hardware wird angenommen, dass sie von diesen Sicherheitsrisiken betroffen ist
FBSDPHardwareVulnerable: True –> Hardware wird von diesen Sicherheitsrisiken betroffen sein
PSDPHardwareVulnerable: True –> Hardware wird von diesen Sicherheitsrisiken betroffen sein
FBClearWindowsSupportEnabled: True> : Stellt die Aktivierung der Risikominderung für SBDR/FBSDP/PSDP dar. Stellen Sie sicher, dass das OEM-BIOS/die OEM-Firmware aktualisiert wird, FBClearWindowsSupportPresent auf True festgelegt ist, Risikominderungen wie in ADV220002 und KVAShadowsSupportEnabled auf True festgelegt ist.
Registrierung
Die folgende Tabelle ordnet die Ausgabe den Registrierungsschlüsseln zu, die in KB4072698 behandelt werden: Windows Server und Azure Stack HCI-Anleitungen zum Schutz vor sicherheitsrelevanten, mikroarchitecturalen und spekulativen Ausführungsseitenkanälen.
| Registrierungsschlüssel | Zuordnung |
|---|---|
| FeatureSettingsOverride – Bit 0 | Zuordnung zu – Branch Target Injection – BTIWindowsSupportEnabled |
| FeatureSettingsOverride – Bit 1 | Zuordnung zu – Rogue Data Cache Load – VAShadowWindowsSupportEnabled |
Informationsquellen
Haftungsausschluss für Drittanbieterinformationen
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.