KB4074629: PowerShelli skriptiväljundi speculationControli mõistmine

Muudatuste logi

Muuda kuupäeva	Muutuse kirjeldus
17. juuli 2023	Lisati MMIO ja väljundväärtuste konkreetsed kirjeldused jaotises "Väljund, millel on kõik leevendused lubatud"

Kokkuvõte

Külgmise kanali spekulatiivsete käivitamise leevenduste oleku kontrollimiseks avaldasime PowerShelli skripti (SpeculationControl), mis saab teie seadmetes töötada. Selles artiklis selgitatakse, kuidas käivitada skripti SpeculationControl ja mida väljund tähendab.

Turbenõuandlad ADV180002, ADV180012, ADV180018 ja ADV190013 hõlmavad järgmist üheksat nõrkust:

CVE-2017-5715 (haru sihtsüst)
CVE-2017-5753 (tõkkekontrolli möödumine)

Märkus.

Märkus CVE-2017-5753 (tõkkekontrolli) kaitse ei nõua täiendavaid registrisätteid ega püsivaravärskendusi.
CVE-2017-5754 (andmevahemälu rogue load)
CVE-2018-3639 (spekulatiivse salve möödumine)
CVE-2018-3620 (L1 terminali viga – OS)
CVE-2018-11091 (Microarchitectural data sampling Uncacheable Memory (MDSUM))
CVE-2018-12126 (Microarchitectural Store'i puhvri andmete valim (MSBDS))
CVE-2018-12127 (Microarchitectural koormuse pordiandmete proovide võtmine (MLPDS))
CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))

Nõuandev ADV220002 hõlmab täiendavaid Memory-Mapped I/O (MMIO) seotud nõrkusi.

CVE-2022-21123 | Ühispuhvri andmed loetud (SBDR)
CVE-2022-21125 | Ühispuhvri andmete valim (SBDS)
CVE-2022-21127 | Registripuhvri andmete diskreetimise erivärskendus (SRBDS-i värskendus)
CVE-2022-21166 | Seadmeregistri osaline kirjutamine (DRPW)

Sellest artiklist leiate üksikasjad PowerShelli skripti SpeculationControl kohta, mis aitab kindlaks määrata loendi CVE-de leevenduste oleku, mis nõuavad täiendavaid registrisätteid ja mõnel juhul püsivaravärskendusi.

Lisateave

SpeculationControl PowerShelli skript

Installige ja käivitage skript SpeculationControl, kasutades ühte järgmistest meetoditest.

1. meetod: PowerShelli kontrollimine PowerShelli galerii abil (Windows Server 2016 või WMF 5.0/5.1)
PowerShelli mooduli installimine `PS> Install-Module SpeculationControl` Käivitage Moodul SpeculationControl PowerShell, et kontrollida, kas kaitsed on lubatud `PS> # Save the current execution policy so it can be reset` `PS> $SaveExecutionPolicy = Get-ExecutionPolicy` `PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser` `PS> Import-Module SpeculationControl` `PS> Get-SpeculationControlSettings` `PS> # Reset the execution policy to the original state` `PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser`

1. meetod: PowerShelli kontrollimine PowerShelli galerii abil (Windows Server 2016 või WMF 5.0/5.1)

PowerShelli mooduli installimine
PS> Install-Module SpeculationControl
Käivitage Moodul SpeculationControl PowerShell, et kontrollida, kas kaitsed on lubatud
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2. meetod: PowerShelli kontrollimine TechNeti allalaadimise abil (varasemad operatsioonisüsteemi versioonid /varasemad WMF-i versioonid)
PowerShelli mooduli installimine TechNeti ScriptCenterest Avage https://aka.ms/SpeculationControlPS. Laadige SpeculationControl.zip alla kohalikku kausta. Ekstraktige sisu kohalikku kausta, näiteks C:\ADV180002 Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud Käivitage PowerShell ja seejärel (ülaltoodud näites) kopeerige ja käivitage järgmised käsud. `PS> # Save the current execution policy so it can be reset` `PS> $SaveExecutionPolicy = Get-ExecutionPolicy` `PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser` `PS> CD C:\ADV180002\SpeculationControl` `PS> Import-Module .\SpeculationControl.psd1` `PS> Get-SpeculationControlSettings` `PS> # Reset the execution policy to the original state` `PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser`

2. meetod: PowerShelli kontrollimine TechNeti allalaadimise abil (varasemad operatsioonisüsteemi versioonid /varasemad WMF-i versioonid)

PowerShelli mooduli installimine TechNeti ScriptCenterest

Avage https://aka.ms/SpeculationControlPS.
Laadige SpeculationControl.zip alla kohalikku kausta.
Ekstraktige sisu kohalikku kausta, näiteks C:\ADV180002

Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud

Käivitage PowerShell ja seejärel (ülaltoodud näites) kopeerige ja käivitage järgmised käsud.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShelli skriptiväljund

PowerShelli skripti SpeculationControl väljund sarnaneb järgmise väljundiga. Lubatud kaitse kuvatakse väljundis väärtusena "Tõene".

PS C:\> Get-SpeculationControlSettings

CVE-2017-5715 spekuleerimise juhtelemendi sätted [haru sihtsüst]

Haru sihtkoha sisestamise leevenduse riistvaratugi on olemas: väär
Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on olemas: tõene
Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on lubatud: Väär
Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on süsteemipoliitika poolt keelatud: tõene
Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on riistvaratoe puudumise tõttu keelatud: tõene

CVE-2017-5754 spekuleerimise juhtelemendi sätted [andmevahemälu rändandmete vahemälu koormus]

Riistvara on haavatav andmevahemälu koormusele, mis on ebamäärane: tõene
Windowsi operatsioonisüsteemi tugi muutmälu andmete vahemälu laadimise leevenduse jaoks on olemas: tõene
Windowsi operatsioonisüsteemi tugi muutmälu andmete vahemälu laadimise leevendamiseks on lubatud: true

Riistvara nõuab tuuma VA varjustust: tõene
Windowsi operatsioonisüsteemi tuuma VA varju tugi on olemas: False
Windowsi operatsioonisüsteemi tuuma VA varju tugi on lubatud: False
Windowsi operatsioonisüsteemi tugi PCID optimeerimiseks on lubatud: väär

CVE-2018-3639 spekuleerimise juhtelemendi sätted [spekulatiivse salve möödumine]

Riistvara on spekulatiivse salve möödumise suhtes haavatav: tõene
Spekulatiivse salve möödumise leevenduse riistvaratugi on olemas: väär
Windowsi operatsioonisüsteemi spekulatiivse salve möödumise leevenduse tugi on olemas: True
Windowsi operatsioonisüsteemi spekulatiivse salve möödumise leevenduse tugi on lubatud kogu süsteemis: Väär

CVE-2018-3620 spekuleerimise juhtelemendi sätted [L1 terminali tõrge]

Riistvara on L1 terminali tõrkele haavatav: tõene
Windowsi operatsioonisüsteemi tugi L1 terminali tõrke leevendamiseks on olemas: tõene
Windowsi operatsioonisüsteemi tugi L1 terminali tõrke leevendamiseks on lubatud: true

MDS-i spekuleerimise juhtelemendi sätted [mikroarhitektuuriliste andmete valim]

Windowsi operatsioonisüsteemi tugi MDS-i leevendusmeetmete jaoks on olemas: True
Riistvara on MDS-i suhtes haavatav: true
Windowsi operatsioonisüsteemi tugi MDS-i leevenduse jaoks on lubatud: True

SBDR-i spekuleerimise juhtelemendi sätted [ühispuhvrite andmete lugemine]

Windowsi operatsioonisüsteemi SBDR-i leevendusmeetmete tugi on olemas: true
Riistvara on SBDR-ile haavatav: true
Windowsi operatsioonisüsteemi SBDR-i leevendusmeetmete tugi on lubatud: True

FBSDP spekuleerimise juhtelemendi sätted [täitepuhvri aegunud andmete levitaja]

Windowsi operatsioonisüsteemi tugi FBSDP leevenduse jaoks on olemas: tõene
Riistvara on FBSDP suhtes haavatav: tõene
Windowsi operatsioonisüsteemi tugi FBSDP leevenduse jaoks on lubatud: True

PSDP spekuleerimise juhtelemendi sätted [esmane aegunud andmete levitaja]

Windowsi operatsioonisüsteemi tugi PSDP-leevenduse jaoks on olemas: tõene
Riistvara on PSDP suhtes haavatav: tõene
Windowsi operatsioonisüsteemi tugi PSDP leevenduse jaoks on lubatud: True

BTIHardwarePresent: tõene
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: tõene
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: tõene
BTIKernelImportOptimizationEnabled: tõene
RdclHardwareProtectedReported: tõene
RdclHardwareProtected: False
KVAShadowRequired: tõene
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: tõene
KVAShadowPcidEnabled: tõene
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: tõene
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: tõene
MDSWindowsSupportEnabled: tõene
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: tõene
FBSDPHardwareVulnerable: tõene
PSDPHardwareVulnerable: tõene

PowerShelli skriptiväljundi SpeculationControl selgitus

Lõplik väljundruudustik vastendab eelnevate joonte väljundi. See kuvatakse seetõttu, et PowerShell prindib funktsiooni tagastatud objekti. Järgmises tabelis selgitatakse PowerShelli skriptiväljundi iga rida.

Väljund	Selgitus
CVE-2017-5715 spekuleerimise juhtelemendi sätted [haru sihtsüst]	Selles jaotises on toodud süsteemi olek variant 2, CVE-2017-5715, haru sihtsüst.
Haru sihtkoha sisestamise leevenduse riistvaratugi on olemas	Kaardid: BTIHardwarePresent. See rida annab teile teada, kas haru sihtkoha sisestamise leevenduse toetamiseks on olemas riistvarafunktsioonid. Seadme OEM vastutab värskendatud BIOS-i/püsivara pakkumise eest, mis sisaldab protsessoritootjate pakutavat mikrokoodi. Kui see rida on Tõene, on olemas nõutavad riistvarafunktsioonid. Kui jooneks on False, pole nõutavad riistvarafunktsioonid saadaval. Seetõttu ei saa haru sihtkoha sisestamise leevendust lubada. Märkus Kui hostile on rakendatud OEM-i värskendus ja järgitakse juhiseid, on BTIHardwarePresent külalis-virtuaalarvutites tõene.
Windowsi operatsioonisüsteemi tugi haru sihtsisseprindi leevenduse jaoks on olemas	Kaardid: BTIWindowsSupportPresent. See rida annab teile teada, kas Haru sihtsisseprindi leevenduse jaoks on olemas Windowsi operatsioonisüsteemi tugi. Kui see on tõene, toetab operatsioonisüsteem haru sihtkoha sisestamise leevenduse lubamist (ja on seetõttu installinud 2018. aasta jaanuari värskenduse). Kui see on väär, ei installita seadmesse 2018. aasta jaanuari värskendust ja haru sihtsüstimise leevendust ei saa lubada. Märkus Kui külalis-VM ei tuvasta hosti riistvaravärskendust, on BTIWindowsSupportEnabled alati väär.
Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on lubatud	Kaardid: BTIWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi on lubatud haru sihtsisestuse leevenduse jaoks. Kui see on tõene, on seadmes lubatud riistvaratugi ja operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks, kaitstes seda CVE-2017-5715 vastu. Kui see on väär, on täidetud üks järgmistest tingimustest. Riistvaratuge pole olemas. Operatsioonisüsteemi tuge pole. Süsteemipoliitika on leevenduse keelanud.
Windowsi operatsioonisüsteemi tugi haru sihtsüstimise leevenduse jaoks on süsteemipoliitika poolt keelatud	Vastendab rakendusega BTIDisabledBySystemPolicy. See rida annab teile teada, kas haru sihtkoha sisestamise leevendus on süsteemipoliitikaga (nt administraatori määratletud poliitika) keelatud. Süsteemipoliitika viitab registri juhtelementidele, mis on dokumenteeritud KB4072698. Kui see on tõene, vastutab leevenduse keelamise eest süsteemipoliitika. Kui see on väär, on leevendus muul põhjusel keelatud.
Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on riistvaratoe puudumise tõttu keelatud	Kaardid: BTIDisabledByNoHardwareSupport. See rida annab teile teada, kas haru sihtkoha sisestamise leevendus on riistvaratoe puudumise tõttu keelatud. Kui see on tõene, on riistvaratoe puudumine leevenduse keelamise eest vastutav. Kui see on väär, on leevendus muul põhjusel keelatud. Märkus Kui külalis-VM ei tuvasta hosti riistvaravärskendust, on BTIDisabledByNoHardwareSupport alati tõene.
CVE-2017-5754 spekuleerimise juhtelemendi sätted [andmevahemälu rändandmete vahemälu koormus]	Selles jaotises antakse ülevaade süsteemi olekust variant 3, CVE-2017-5754, andmevahemälu koormuse rogue. Selle leevendust nimetatakse tuuma virtuaalaadressi (VA) varjuks või andmevahemälu koormuse tõkestuseks.
Riistvara on haavatav andmevahemälu koormusele, mis on ebalev	Kaardid: RdclHardwareProtected. See rida annab teile teada, kas riistvara on CVE-2017-5754 suhtes haavatav. Kui see on tõene, arvatakse, et riistvara on CVE-2017-5754 suhtes haavatav. Kui see on väär, pole riistvara teadaolevalt CVE-2017-5754 suhtes haavatav.
Windowsi operatsioonisüsteemi tugi muutmälu andmete vahemälu laadimise leevendamiseks on olemas	KVAShadowWindowsSupportPresent kaardid. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tuuma VA varjufunktsiooni tugi on olemas.
Windowsi operatsioonisüsteemi tugi andmevahemälu koormuse leevendamiseks on lubatud	KVAShadowWindowsSupportEnabled kaardid. See rida annab teile teada, kas tuuma VA varjufunktsioon on lubatud. Kui see on tõene, arvatakse, et riistvara on CVE-2017-5754 suhtes haavatav, Windowsi operatsioonisüsteemi tugi on olemas ja funktsioon on lubatud.
Riistvara nõuab tuuma VA varjustust	KVAShadowRequired kaardid. See rida annab teile teada, kas teie süsteem nõuab nõrkuse leevendamiseks tuuma VA varjustust.
Windowsi operatsioonisüsteemi tuuma VA varju tugi on olemas	KVAShadowWindowsSupportPresent kaardid. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tuuma VA varjufunktsiooni tugi on olemas. Kui see on tõene, installitakse seadmesse 2018. aasta jaanuari värskendus ja tuuma VA vari on toetatud. Kui see on väär, pole 2018. aasta jaanuari värskendust installitud ja tuuma VA varjutuge pole olemas.
Windowsi operatsioonisüsteemi tuuma VA varju tugi on lubatud	KVAShadowWindowsSupportEnabled kaardid. See rida annab teile teada, kas tuuma VA varjufunktsioon on lubatud. Kui see on tõene, on Olemas Windowsi operatsioonisüsteemi tugi ja funktsioon on lubatud. Tuum VA varju funktsioon on praegu Windowsi klientversioonides vaikimisi lubatud ja Windows Server versioonides vaikimisi keelatud. Kui see on väär, pole Windowsi operatsioonisüsteemi tuge või funktsioon pole lubatud.
Windowsi operatsioonisüsteemi tugi PCID jõudluse optimeerimiseks on lubatud Märkus PcID pole turvalisuse jaoks nõutav. See näitab ainult seda, kas jõudluse parandamine on lubatud. Windows Server 2008 R2 ei toeta arvuti ID-t	KVAShadowPcidEnabled kaardid. See rida annab teile teada, kas tuuma VA varju jaoks on lubatud täiendav jõudluse optimeerimine. Kui see on tõene, on tuuma VA vari lubatud, olemas on PCID riistvaratugi ja tuuma VA varju PCID optimeerimine on lubatud. Kui see on väär, ei pruugi riistvara või os pcID-d toetada. PcID optimeerimise lubamine ei ole turbenõrkus.
Windowsi operatsioonisüsteemi spekulatiivsete salveeralduste keelamise tugi on olemas	Kaardid: SSBDWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi Speculative Store Bypass Disable jaoks on olemas. Kui see on tõene, installitakse seadmesse 2018. aasta jaanuari värskendus ja tuuma VA vari on toetatud. Kui see on väär, pole 2018. aasta jaanuari värskendust installitud ja tuuma VA varjutuge pole olemas.
Riistvara nõuab Speculative Store Bypass Disable	Kaardid: SSBDHardwareVulnerablePresent. See rida annab teile teada, kas riistvara on CVE-2018-3639 suhtes haavatav. Kui see on tõene, arvatakse, et riistvara on CVE-2018-3639 suhtes haavatav. Kui see on väär, pole riistvara teadaolevalt CVE-2018-3639 suhtes haavatav.
Speculative Store Bypass Disable riistvaratugi on olemas	Kaardid: SSBDHardwarePresent. See rida annab teile teada, kas riistvarafunktsioonid toetavad Speculative Store Bypassi keelamist. Seadme OEM vastutab värskendatud BIOS-i/püsivara pakkumise eest, mis sisaldab Inteli pakutavat mikrokoodi. Kui see rida on Tõene, on olemas nõutavad riistvarafunktsioonid. Kui jooneks on False, pole nõutavad riistvarafunktsioonid saadaval. Seetõttu ei saa Speculative Store Bypass Disable sisse lülitada. Märkus Kui hostile on rakendatud OEM-i värskendus, on SSBDHardwarePresent külalis-virtuaalarvutites tõene .
Windowsi operatsioonisüsteemi tugi Speculative Store Bypass Disable jaoks on sisse lülitatud	Kaardid SSBDWindowsSupportEnabledSystemWide'iga. See rida annab teile teada, kas Speculative Store Bypass Disable (Speculative Store Bypass Disable) on Windowsi operatsioonisüsteemis sisse lülitatud. Kui see on tõene, on Speculative Store Bypass Disable riistvaratugi ja operatsioonisüsteemi tugi sisse lülitatud seadme jaoks, mis takistab Speculative Store Bypassi esinemist, kõrvaldades seega turberiski täielikult. Kui see on väär, on täidetud üks järgmistest tingimustest. Riistvaratuge pole olemas. Operatsioonisüsteemi tuge pole. Speculative Store Bypass Disable pole registrivõtmete kaudu lubatud. Nende lubamise juhised leiate järgmistest artiklitest. KB4073119: Windowsi kliendisuunised IT-spetsialistidele, et kaitsta seda protsessoripõhiste mikroarhitektuuriliste ja spekulatiivsete käivitamise külgmise kanali nõrkuste eest KB4072698: Windows Server ja Azure Stack HCI suunised ränipõhiste mikroarhitektuuriliste ja spekulatiivsete käivitamise külgmise kanali nõrkuste eest kaitsmiseks
CVE-2018-3620 spekuleerimise juhtelemendi sätted [L1 terminali tõrge]	Selles jaotises on toodud CVE-2018-3620 osutatud L1TF-i (operatsioonisüsteem) kokkuvõtlik süsteemi olek. See leevendus tagab, et ohutuid lehepaneeli bitte kasutatakse lehetabeli kirjete mitteesitamiseks või sobimatuks tegemiseks. Märkus Selles jaotises ei esitata kokkuvõteT CVE-2018-3646 viidatud L1TF (VMM) leevendusoleku kohta.
Riistvara on L1 terminali tõrkele haavatav: tõene	Kaardid: L1TFHardwareVulnerable. See rida ütleb teile, kas riistvara on haavatav L1 terminali viga (L1TF, CVE-2018-3620). Kui see on tõene, arvatakse, et riistvara on CVE-2018-3620 suhtes haavatav. Kui see on väär, pole riistvara teadaolevalt CVE-2018-3620 suhtes haavatav.
Windowsi operatsioonisüsteemi tugi L1 terminali tõrke leevendamiseks on olemas: tõene	Kaardid: L1TFWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi L1 terminali vea (L1TF) operatsioonisüsteemi leevendus on olemas. Kui see on tõene, installitakse seadmesse 2018. aasta augusti värskendus ja CVE-2018-3620 leevendus on olemas. Kui see on väär, pole 2018. aasta augusti värskendust installitud ja CVE-2018-3620 leevendus pole olemas.
Windowsi operatsioonisüsteemi tugi L1 terminali tõrke leevendamiseks on lubatud: true	Kaardid: L1TFWindowsSupportEnabled. See rida ütleb teile, kas Windowsi operatsioonisüsteemi leevendus L1 terminali tõrke (L1TF, CVE-2018-3620) jaoks on lubatud. Kui see on tõene, arvatakse, et riistvara on CVE-2018-3620 suhtes haavatav, Windowsi operatsioonisüsteemi tugi leevendusele on olemas ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.
MDS-i spekuleerimise juhtelemendi sätted [Microarchitectural Data Sampling]	Selles jaotises on toodud MDS-i nõrkuste kogumi, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ja ADV220002 süsteemi olek.
Windowsi operatsioonisüsteemi tugi MDS-i leevendusmeetmete jaoks on olemas	Kaardid: MDSWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi Microarchitectural andmevalimite (MDS) operatsioonisüsteemi leevenduse jaoks on olemas. Kui see on tõene, installitakse seadmesse 2019. aasta mai värskendus ja MDS-i leevendus on olemas. Kui see on väär, pole 2019. aasta mai värskendust installitud ja MDS-i leevendust pole.
Riistvara on MDS-ile haavatav	Kaardid: MDSHardwareVulnerable. See rida annab teile teada, kas riistvara on haavatavuste (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) suhtes haavatav. Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.
Windowsi operatsioonisüsteemi tugi MDS-i leevendusmeetmete jaoks on lubatud	Kaardid: MDSWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus Microarchitectural andmevalimite (MDS) jaoks on lubatud. Kui see on tõene, arvatakse, et riistvara mõjutavad MDS-i nõrkused, on olemas Windowsi operatsioonisüsteemi tugi leevendusele ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.
Windowsi operatsioonisüsteemi SBDR-i leevendusmeetmete tugi on olemas	Kaardid: FBClearWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi SBDR-operatsioonisüsteemi leevendusmeetmete jaoks on olemas. Kui see on tõene, installitakse seadmesse 2022. aasta juuni värskendus ja SBDR-i leevendus on olemas. Kui see on väär, pole 2022. aasta juuni värskendust installitud ja SBDR-i leevendus pole olemas.
Riistvara on SBDR-ile haavatav	Vastendab SBDRSSDPHardwareVulnerable'iga. See rida annab teile teada, kas riistvara on SBDR-ile haavatavuse (CVE-2022-21123) suhtes haavatavuste komplekt (CVE-2022-21123) haavatavused haavatavad. Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.
Windowsi operatsioonisüsteemi SBDR-i leevendusmeetmete tugi on lubatud	Kaardid: FBClearWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus SBDR-i jaoks [jagatud puhvrite andmete lugemine] on lubatud. Kui see on tõene, siis arvatakse, et riistvara mõjutavad SBDR-i nõrkused, leevenduse jaoks on olemas windowsi tugi ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.
Windowsi operatsioonisüsteemi tugi FBSDP leevenduse jaoks on olemas	Kaardid: FBClearWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi FBSDP operatsioonisüsteemi leevendusmeetmete jaoks on olemas. Kui see on tõene, installitakse seadmesse 2022. aasta juuni värskendus ja FBSDP leevendus on olemas. Kui see on väär, pole 2022. aasta juuni värskendust installitud ja FBSDP leevendus pole olemas.
Riistvara on FBSDP-le haavatav	Kaardid: FBSDPHardwareVulnerable. See rida annab teile teada, kas riistvara on FBSDP suhtes haavatav (fill buffer stale data propagator] set of vulnerabilities (CVE-2022-21125, CVE-2022-21127 ja CVE-2022-21166). Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.
Windowsi operatsioonisüsteemi tugi FBSDP leevenduse jaoks on lubatud	Kaardid: FBClearWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus FBSDP jaoks [täitepuhvri aegunud andmete levitaja] on lubatud. Kui see on tõene, arvatakse, et FBSDP nõrkused mõjutavad riistvara, on olemas Windowsi operatsioonisüsteemi tugi leevenduse jaoks ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.
Windowsi operatsioonisüsteemi tugi PSDP leevenduse jaoks on olemas	Kaardid: FBClearWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi PSDP operatsioonisüsteemi leevendusmeetmete jaoks on olemas. Kui see on tõene, installitakse seadmesse 2022. aasta juuni värskendus ja PSDP leevendus on olemas. Kui see on väär, pole 2022. aasta juuni värskendust installitud ja PSDP leevendus pole olemas.
Riistvara on PSDP-le haavatav	Vastendab PSDPHardwareVulnerable'iga. See rida annab teile teada, kas riistvara on PSDP -le [esmane aegunud andmete levitaja] haavatavate nõrkuste komplekt. Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.
Windowsi operatsioonisüsteemi tugi PSDP-leevenduse jaoks on lubatud	Kaardid: FBClearWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus PSDP jaoks [primaarsete aegunud andmete levitaja] on lubatud. Kui see on tõene, siis arvatakse, et riistvara mõjutavad PSDP nõrkused, leevenduse jaoks on olemas Windowsi operatsioonisüsteemi tugi ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.

Väljund, millel on kõik leevendused lubatud

Järgmist väljundit eeldatakse seadme jaoks, kus on kõik leevendused lubatud, koos sellega, mis on vajalik iga tingimuse täitmiseks.

BTIHardwarePresent: True –> OEM-i BIOS-i/püsivaravärskendus on rakendatud
BTIWindowsSupportPresent: tõene –> 2018. aasta jaanuari värskendus on installitud
BTIWindowsSupportEnabled: Tõene –> kliendis pole vaja midagi teha. Järgige serveris juhiseid.
BTIDisabledBySystemPolicy: False –> veenduge, et poliitika ei oleks keelatud.
BTIDisabledByNoHardwareSupport: False –> veenduge, et OEM-i BIOS-i/püsivara värskendus oleks rakendatud.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: tõene
KVAShadowRequired: Tõene või Väär –> pole toimingut, see on arvuti protsessori funktsioon

Kui KVAShadowRequired on tõene
KVAShadowWindowsSupportPresent: True –> 2018. aasta jaanuari värskenduse installimine
KVAShadowWindowsSupportEnabled: Tõene –> kliendis pole vaja midagi teha. Järgige serveris juhiseid.
KVAShadowPcidEnabled: Tõene või Väär –> pole toimingut, see on arvuti kasutatava protsessori funktsioon

Kui SSBDHardwareVulnerablePresent on tõene
SSBDWindowsSupportPresent: True –> Windowsi värskenduste installimine dokumenteerituna ADV180012
SSBDHardwarePresent: True –> installige BIOS-i/püsivara värskendus, mis toetab teie seadme OEM-i SSBD-i.
SSBDWindowsSupportEnabledSystemWide: True –> järgige SSBD sisselülitamiseks soovitatud toiminguid

Kui L1TFHardwareVulnerable on tõene
L1TFWindowsSupportPresent: True –> Windowsi värskenduste installimine dokumenteerituna ADV180018
L1TFWindowsSupportEnabled: True –> järgige leevenduse lubamiseks Windows Server või kliendi jaoks ADV180018 kirjeldatud toiminguid.
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: tõene –> 2022. aasta juuni värskenduse installimine
MDSHardwareVulnerable: False –> riistvara pole teadaolevalt haavatav
MDSWindowsSupportEnabled: True –> Microarchitectural andmete valimi (MDS) leevendamine on lubatud
FBClearWindowsSupportPresent: True –> 2022. aasta juuni värskenduse installimine
SBDRSSDPHardwareVulnerable: True –> riistvara on usutavasti mõjutatud neist nõrkustest.
FBSDPHardwareVulnerable: True –> riistvara on usutavasti mõjutatud nende nõrkuste tõttu
PSDPHardwareVulnerable: True –> riistvara, mida need nõrkused arvatavasti mõjutavad
FBClearWindowsSupportEnabled: True –> tähistab SBDR-i/ FBSDP/PSDP leevenduse lubamist. Veenduge, et OEM-i BIOS-i/püsivara on värskendatud, FBClearWindowsSupportPresent on Tõene, leevendused lubatud, nagu on kirjeldatud ADV220002 ja KVAShadowWindowsSupportEnabled,on tõene.

Registri

Järgmises tabelis vastendatakse väljundid registrivõtmetega, mis on hõlmatud KB4072698: Windows Server ja Azure Stack HCI suunised, et kaitsta külgmise kanali ränipõhiste mikroarhitektuuriliste ja spekulatiivsete käivitamise nõrkuste eest.

Registrivõti	Mapping
FeatureSettingsOverride – 0-bitine	Vastendused - Haru sihtkoha sisestamine - BTIWindowsSupportEnabled
FeatureSettingsOverride – 1. bitt	Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled

Viited

Kolmanda osapoole teabe lahtiütlus

Teile edastatakse kolmandate osapoolte kontaktteavet, et hõlbustada tehnilise toe leidmist. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Sealjuures ei garanteerita kolmandate osapoolte kontaktteabe täpsust.