KB4074629: SpeculationControl PowerShelli skripti väljundi mõistmine

1. meetod: PowerShelli kontrollimine PowerShelli galerii abil (Windows Server 2016 või WMF 5.0/5.1)

PowerShelli mooduli installimine

PS> Install-Module SpeculationControl

Käivitage Moodul SpeculationControl PowerShell, et kontrollida, kas kaitsed on lubatud

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2. meetod: PowerShelli kontrollimine TechNeti allalaadimise abil (varasemad operatsioonisüsteemi versioonid /varasemad WMF-i versioonid)

PowerShelli mooduli installimine TechNeti ScriptCenterest

1. Avage https://aka.ms/SpeculationControlPS.

2. Laadige SpeculationControl.zip alla kohalikku kausta.

3. Ekstraktige sisu kohalikku kausta, näiteks C:\ADV180002

Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud

Käivitage PowerShell ja seejärel (ülaltoodud näites) kopeerige ja käivitage järgmised käsud.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Väljund

Selgitus

CVE-2017-5715 spekuleerimise juhtelemendi sätted [haru sihtsüst]

Selles jaotises on toodud süsteemi olek variant 2, CVE-2017-5715, haru sihtsüst.

Haru sihtkoha sisestamise leevenduse riistvaratugi on olemas

Kaardid: BTIHardwarePresent. See rida annab teile teada, kas haru sihtkoha sisestamise leevenduse toetamiseks on olemas riistvarafunktsioonid. Seadme OEM vastutab värskendatud BIOS-i/püsivara pakkumise eest, mis sisaldab protsessoritootjate pakutavat mikrokoodi. Kui see rida on Tõene, on olemas nõutavad riistvarafunktsioonid. Kui jooneks on False, pole nõutavad riistvarafunktsioonid saadaval. Seetõttu ei saa haru sihtkoha sisestamise leevendust lubada.

Märkus Kui hostile on rakendatud OEM-i värskendus ja järgitakse juhiseid, on BTIHardwarePresent külalis-virtuaalarvutites tõene.

Windowsi operatsioonisüsteemi tugi haru sihtsisseprindi leevenduse jaoks on olemas

Kaardid: BTIWindowsSupportPresent. See rida annab teile teada, kas Haru sihtsisseprindi leevenduse jaoks on olemas Windowsi operatsioonisüsteemi tugi. Kui see on tõene, toetab operatsioonisüsteem haru sihtkoha sisestamise leevenduse lubamist (ja on seetõttu installinud 2018. aasta jaanuari värskenduse). Kui see on väär, ei installita seadmesse 2018. aasta jaanuari värskendust ja haru sihtsüstimise leevendust ei saa lubada.

Märkus Kui külalis-VM ei tuvasta hosti riistvaravärskendust, on BTIWindowsSupportEnabled alati väär.

Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on lubatud

Kaardid: BTIWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi on lubatud haru sihtsisestuse leevenduse jaoks. Kui see on tõene, on seadmes lubatud riistvaratugi ja operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks, kaitstes seda CVE-2017-5715 vastu. Kui see on väär, on täidetud üks järgmistest tingimustest.

• Riistvaratuge pole olemas.

• Operatsioonisüsteemi tuge pole.

• Süsteemipoliitika on leevenduse keelanud.

Windowsi operatsioonisüsteemi tugi haru sihtsüstimise leevenduse jaoks on süsteemipoliitika poolt keelatud

Vastendab rakendusega BTIDisabledBySystemPolicy. See rida annab teile teada, kas haru sihtkoha sisestamise leevendus on süsteemipoliitikaga (nt administraatori määratletud poliitika) keelatud. Süsteemipoliitika viitab registri juhtelementidele, nagu on dokumenteeritud värskenduses KB4072698. Kui see on tõene, vastutab leevenduse keelamise eest süsteemipoliitika. Kui see on väär, on leevendus muul põhjusel keelatud.

Windowsi operatsioonisüsteemi tugi haru sihtkoha sisestamise leevenduse jaoks on riistvaratoe puudumise tõttu keelatud

Kaardid: BTIDisabledByNoHardwareSupport. See rida annab teile teada, kas haru sihtkoha sisestamise leevendus on riistvaratoe puudumise tõttu keelatud. Kui see on tõene, on riistvaratoe puudumine leevenduse keelamise eest vastutav. Kui see on väär, on leevendus muul põhjusel keelatud.

MärkusKui külalis-VM ei tuvasta hosti riistvaravärskendust, on BTIDisabledByNoHardwareSupport alati tõene.

CVE-2017-5754 spekuleerimise juhtelemendi sätted [andmevahemälu rändandmete vahemälu koormus]

Selles jaotises antakse ülevaade süsteemi olekust variant 3, CVE-2017-5754, andmevahemälu koormuse rogue. Selle leevendust nimetatakse tuuma virtuaalaadressi (VA) varjuks või andmevahemälu koormuse tõkestuseks.

Riistvara on haavatav andmevahemälu koormusele, mis on ebalev

Kaardid: RdclHardwareProtected. See rida annab teile teada, kas riistvara on CVE-2017-5754 suhtes haavatav. Kui see on tõene, arvatakse, et riistvara on CVE-2017-5754 suhtes haavatav. Kui see on väär, pole riistvara teadaolevalt CVE-2017-5754 suhtes haavatav.

Windowsi operatsioonisüsteemi tugi muutmälu andmete vahemälu laadimise leevendamiseks on olemas

KVAShadowWindowsSupportPresent kaardid. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tuuma VA varjufunktsiooni tugi on olemas.

Windowsi operatsioonisüsteemi tugi andmevahemälu koormuse leevendamiseks on lubatud

KVAShadowWindowsSupportEnabled kaardid. See rida annab teile teada, kas tuuma VA varjufunktsioon on lubatud. Kui see on tõene, arvatakse, et riistvara on CVE-2017-5754 suhtes haavatav, Windowsi operatsioonisüsteemi tugi on olemas ja funktsioon on lubatud.

Riistvara nõuab tuuma VA varjustust

KVAShadowRequired kaardid. See rida annab teile teada, kas teie süsteem nõuab nõrkuse leevendamiseks tuuma VA varjustust.

Windowsi operatsioonisüsteemi tuuma VA varju tugi on olemas

KVAShadowWindowsSupportPresent kaardid. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tuuma VA varjufunktsiooni tugi on olemas. Kui see on tõene, installitakse seadmesse 2018. aasta jaanuari värskendus ja tuuma VA vari on toetatud. Kui see on väär, pole 2018. aasta jaanuari värskendust installitud ja tuuma VA varjutuge pole olemas.

Windowsi operatsioonisüsteemi tuuma VA varju tugi on lubatud

KVAShadowWindowsSupportEnabled kaardid. See rida annab teile teada, kas tuuma VA varjufunktsioon on lubatud. Kui see on tõene, on Olemas Windowsi operatsioonisüsteemi tugi ja funktsioon on lubatud. Tuuma VA varju funktsioon on praegu Windowsi klientversioonides vaikimisi lubatud ja Windows Serveri versioonides vaikimisi keelatud. Kui see on väär, pole Windowsi operatsioonisüsteemi tuge või funktsioon pole lubatud.

Windowsi operatsioonisüsteemi tugi PCID jõudluse optimeerimiseks on lubatud

MärkusPcID pole turvalisuse jaoks nõutav. See näitab ainult seda, kas jõudluse parandamine on lubatud. Windows Server 2008 R2 ei toeta PCID-t

KVAShadowPcidEnabled kaardid. See rida annab teile teada, kas tuuma VA varju jaoks on lubatud täiendav jõudluse optimeerimine. Kui see on tõene, on tuuma VA vari lubatud, olemas on PCID riistvaratugi ja tuuma VA varju PCID optimeerimine on lubatud. Kui see on väär, ei pruugi riistvara või os pcID-d toetada. PcID optimeerimise lubamine ei ole turbenõrkus.

Windowsi operatsioonisüsteemi spekulatiivsete salveeralduste keelamise tugi on olemas

Kaardid: SSBDWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi Speculative Store Bypass Disable jaoks on olemas. Kui see on tõene, installitakse seadmesse 2018. aasta jaanuari värskendus ja tuuma VA vari on toetatud. Kui see on väär, pole 2018. aasta jaanuari värskendust installitud ja tuuma VA varjutuge pole olemas.

Riistvara nõuab Speculative Store Bypass Disable

Kaardid: SSBDHardwareVulnerablePresent. See rida annab teile teada, kas riistvara on CVE-2018-3639 suhtes haavatav. Kui see on tõene, arvatakse, et riistvara on CVE-2018-3639 suhtes haavatav. Kui see on väär, pole riistvara teadaolevalt CVE-2018-3639 suhtes haavatav.

Speculative Store Bypass Disable riistvaratugi on olemas

Kaardid: SSBDHardwarePresent. See rida annab teile teada, kas riistvarafunktsioonid toetavad Speculative Store Bypassi keelamist. Seadme OEM vastutab värskendatud BIOS-i/püsivara pakkumise eest, mis sisaldab Inteli pakutavat mikrokoodi. Kui see rida on Tõene, on olemas nõutavad riistvarafunktsioonid. Kui jooneks on False, pole nõutavad riistvarafunktsioonid saadaval. Seetõttu ei saa Speculative Store Bypass Disable sisse lülitada.

Märkus Kui hostile on rakendatud OEM-i värskendus, on SSBDHardwarePresent külalis-virtuaalarvutites tõene .

Windowsi operatsioonisüsteemi tugi Speculative Store Bypass Disable jaoks on sisse lülitatud

Kaardid SSBDWindowsSupportEnabledSystemWide'iga. See rida annab teile teada, kas Speculative Store Bypass Disable (Speculative Store Bypass Disable) on Windowsi operatsioonisüsteemis sisse lülitatud. Kui see on tõene, on Speculative Store Bypass Disable riistvaratugi ja operatsioonisüsteemi tugi sisse lülitatud seadme jaoks, mis takistab Speculative Store Bypassi esinemist, kõrvaldades seega turberiski täielikult. Kui see on väär, on täidetud üks järgmistest tingimustest.

• Riistvaratuge pole olemas.

• Operatsioonisüsteemi tuge pole.

• Speculative Store Bypass Disable pole registrivõtmete kaudu lubatud. Nende lubamise juhised leiate järgmistest artiklitest.

  • KB4073119: Windowsi kliendisuunised IT-spetsialistidele, et kaitsta end silikoonipõhiste mikroarhitektuuriliste ja spekulatiivsete käivitamise külgmise kanali nõrkuste eest

  • KB4072698: Windows Serveri ja Azure Stack HCI suunised ränipõhiste mikroarhitektuuriliste ja spekulatiivsete käivitamise külgmise kanali nõrkuste eest kaitsmiseks

CVE-2018-3620 spekuleerimise juhtelemendi sätted [L1 terminali tõrge]

Selles jaotises on toodud CVE-2018-3620 osutatud L1TF-i (operatsioonisüsteem) kokkuvõtlik süsteemi olek. See leevendus tagab, et ohutuid lehepaneeli bitte kasutatakse lehetabeli kirjete mitteesitamiseks või sobimatuks tegemiseks.

Märkus Selles jaotises ei esitata kokkuvõteT CVE-2018-3646 viidatud L1TF (VMM) leevendusoleku kohta.

Riistvara on L1 terminali tõrkele haavatav: tõene

Kaardid: L1TFHardwareVulnerable. See rida ütleb teile, kas riistvara on haavatav L1 terminali viga (L1TF, CVE-2018-3620). Kui see on tõene, arvatakse, et riistvara on CVE-2018-3620 suhtes haavatav. Kui see on väär, pole riistvara teadaolevalt CVE-2018-3620 suhtes haavatav.

Windowsi operatsioonisüsteemi tugi L1 terminali tõrke leevendamiseks on olemas: tõene

Kaardid: L1TFWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi L1 terminali vea (L1TF) operatsioonisüsteemi leevendus on olemas. Kui see on tõene, installitakse seadmesse 2018. aasta augusti värskendus ja CVE-2018-3620 leevendus on olemas. Kui see on väär, pole 2018. aasta augusti värskendust installitud ja CVE-2018-3620 leevendus pole olemas.

Windowsi operatsioonisüsteemi tugi L1 terminali tõrke leevendamiseks on lubatud: true

Kaardid: L1TFWindowsSupportEnabled. See rida ütleb teile, kas Windowsi operatsioonisüsteemi leevendus L1 terminali tõrke (L1TF, CVE-2018-3620) jaoks on lubatud. Kui see on tõene, arvatakse, et riistvara on CVE-2018-3620 suhtes haavatav, Windowsi operatsioonisüsteemi tugi leevendusele on olemas ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.

MDS-i spekuleerimise juhtelemendi sätted [Microarchitectural Data Sampling]

Selles jaotises on toodud MDS-i nõrkuste kogumi, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ja ADV220002 süsteemiolek.

Windowsi operatsioonisüsteemi tugi MDS-i leevendusmeetmete jaoks on olemas

Kaardid: MDSWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi Microarchitectural andmevalimite (MDS) operatsioonisüsteemi leevenduse jaoks on olemas. Kui see on tõene, installitakse seadmesse 2019. aasta mai värskendus ja MDS-i leevendus on olemas. Kui see on väär, pole 2019. aasta mai värskendust installitud ja MDS-i leevendust pole.

Riistvara on MDS-ile haavatav

Kaardid: MDSHardwareVulnerable. See rida annab teile teada, kas riistvara on haavatavuste (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) suhtes haavatav. Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.

Windowsi operatsioonisüsteemi tugi MDS-i leevendusmeetmete jaoks on lubatud

Kaardid: MDSWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus Microarchitectural andmevalimite (MDS) jaoks on lubatud. Kui see on tõene, arvatakse, et riistvara mõjutavad MDS-i nõrkused, on olemas Windowsi operatsioonisüsteemi tugi leevendusele ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.

Windowsi operatsioonisüsteemi SBDR-i leevendusmeetmete tugi on olemas

Kaardid: FBClearWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi SBDR-operatsioonisüsteemi leevendusmeetmete jaoks on olemas. Kui see on tõene, installitakse seadmesse 2022. aasta juuni värskendus ja SBDR-i leevendus on olemas. Kui see on väär, pole 2022. aasta juuni värskendust installitud ja SBDR-i leevendus pole olemas.

Riistvara on SBDR-ile haavatav

Vastendab SBDRSSDPHardwareVulnerable'iga. See rida annab teile teada, kas riistvara on SBDR-ile haavatavuse (CVE-2022-21123) suhtes haavatavuste komplekt (CVE-2022-21123) haavatavused haavatavad. Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.

Windowsi operatsioonisüsteemi SBDR-i leevendusmeetmete tugi on lubatud

Kaardid: FBClearWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus SBDR-i jaoks [jagatud puhvrite andmete lugemine] on lubatud. Kui see on tõene, siis arvatakse, et riistvara mõjutavad SBDR-i nõrkused, leevenduse jaoks on olemas windowsi tugi ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.

Windowsi operatsioonisüsteemi tugi FBSDP leevenduse jaoks on olemas

Kaardid: FBClearWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi FBSDP operatsioonisüsteemi leevendusmeetmete jaoks on olemas. Kui see on tõene, installitakse seadmesse 2022. aasta juuni värskendus ja FBSDP leevendus on olemas. Kui see on väär, pole 2022. aasta juuni värskendust installitud ja FBSDP leevendus pole olemas.

Riistvara on FBSDP-le haavatav

Kaardid: FBSDPHardwareVulnerable. See rida annab teile teada, kas riistvara on FBSDP suhtes haavatav (fill buffer stale data propagator] set of vulnerabilities (CVE-2022-21125, CVE-2022-21127 ja CVE-2022-21166). Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.

Windowsi operatsioonisüsteemi tugi FBSDP leevenduse jaoks on lubatud

Kaardid: FBClearWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus FBSDP jaoks [täitepuhvri aegunud andmete levitaja] on lubatud. Kui see on tõene, arvatakse, et FBSDP nõrkused mõjutavad riistvara, on olemas Windowsi operatsioonisüsteemi tugi leevenduse jaoks ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.

Windowsi operatsioonisüsteemi tugi PSDP leevenduse jaoks on olemas

Kaardid: FBClearWindowsSupportPresent. See rida annab teile teada, kas Windowsi operatsioonisüsteemi tugi PSDP operatsioonisüsteemi leevendusmeetmete jaoks on olemas. Kui see on tõene, installitakse seadmesse 2022. aasta juuni värskendus ja PSDP leevendus on olemas. Kui see on väär, pole 2022. aasta juuni värskendust installitud ja PSDP leevendus pole olemas.

Riistvara on PSDP-le haavatav

Vastendab PSDPHardwareVulnerable'iga. See rida annab teile teada, kas riistvara on PSDP -le [esmane aegunud andmete levitaja] haavatavate nõrkuste komplekt. Kui see on tõene, siis arvatakse, et need nõrkused mõjutavad riistvara. Kui see on väär, pole riistvara teadaolevalt haavatav.

Windowsi operatsioonisüsteemi tugi PSDP-leevenduse jaoks on lubatud

Kaardid: FBClearWindowsSupportEnabled. See rida annab teile teada, kas Windowsi operatsioonisüsteemi leevendus PSDP jaoks [primaarsete aegunud andmete levitaja] on lubatud. Kui see on tõene, siis arvatakse, et riistvara mõjutavad PSDP nõrkused, leevenduse jaoks on olemas Windowsi operatsioonisüsteemi tugi ja leevendus on lubatud. Kui see on väär, pole riistvara haavatav, Windowsi operatsioonisüsteemi tuge pole või leevendus pole lubatud.

Registrivõti

Kaardistamine

FeatureSettingsOverride – 0-bitine

Vastendused - Haru sihtkoha sisestamine - BTIWindowsSupportEnabled

FeatureSettingsOverride – 1. bitt

Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled