SpeculationControlSettings PowerShelli skripti väljundi mõistmine

Kokkuvõte

Et aidata klientidel tuvastada spekulatiivsete käivitamise poole kanali leevendamise olekut, on Microsoft avaldanud PowerShelli skripti, mida kliendid saavad oma süsteemides käitada. Selles teemas selgitatakse, kuidas käivitada skripti ja mida väljund tähendab.

ADV180002, ADV180012, ADV180018ja ADV190013 hõlmavad üheksa nõrkust.

  • CVE-2017-5715 (filiaali sihtmärkide süst)

  • CVE – 2017-5753 (piirete kontrolli ümbersõit)

  • CVE – 2017-5754 (Rogue andmete vahemälu laadimine)

  • CVE – 2018-3639 (spekulatiivne salve ümbersõit)

  • CVE – 2018-3620 (L1-terminali rike – OS)

  • CVE-2018-11091 (Microarchitectural andmete proovimiseks kasutatava vahemälu (MDSUM))

  • CVE-2018-12126 (Microarchitectural salve puhvri andmete proovivõtmine (MSBDS))

  • CVE-2018-12127 (Microarchitectural laadimine (MLPDS))

  • CVE-2018-12130 (Microarchitectural andmete sisestamise puhvri andmete proovivõtmine (MFBDS))

CVE kaitse – 2017-5753 (piirideta tšekk) ei nõua täiendavaid registrisätete või püsivara värskendusi. Selles teemas antakse ülevaade PowerShelli skriptist, mis aitab määrata loendi CVEs, mis nõuavad täiendavaid registrisätete ja mõnel juhul ka püsivara värskendusi.

Lisateave

Skripti installimiseks ja käivitamiseks käivitage järgmised käsud.

PowerShelli kinnitamine PowerShelli galerii abil (Windows Server 2016 või WMF 5.0/5.1)

PowerShelli mooduli installimine

PS> Install-Module SpeculationControl

PowerShelli mooduli käivitamine, et veenduda, kas kaitsed on lubatud

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShelli kinnitamine TechNeti kaudu allalaadimise kaudu (varasemad OS-i versioonid/varasemad WMF-versioonid)

PowerShelli mooduli installimine TechNeti ScriptCenter

  1. Avage https://aka.MS/SpeculationControlPS.

  2. Laadi alla SpeculationControl. zip kohalikule kaustale.

  3. Ekstraktige sisu kohalikule kaustale (nt C:\ADV180002).

PowerShelli mooduli käivitamine, et veenduda, kas kaitsed on lubatud

Käivitage PowerShell ja seejärel (ülaltoodud näite abil) kopeerige ja käivitage järgmised käsud.

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Selle PowerShelli skripti väljund näeb välja järgmine. Lubatud kaitsed kuvatakse väljundina kujul "TRUE".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Spekulatsiooni kontrollimise sätted CVE-2018-3620 [L1 terminali rike]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Spekulatsiooni kontrollimise sätted MDS [microarchitectural andmete proovivõtmine]

Windows OS-i tugi MDS-i vähendamiseks on olemas: True Riistvara on MDS-ile tundlik: True Windows OS-i tugi MDS-i vähendamiseks on lubatud: True BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Viimase väljundi ruudustiku kaardid eelmiste liinide väljunditele. See kuvatakse siis, kui PowerShell prindib funktsiooni abil tagastatud objekti. Järgmises tabelis selgitatakse iga rida.

Väljund

Selgitus

Spekulatsiooni kontrollimise sätted CVE-2017-5715 [filiaali TARGETi süst]

Sellest jaotisest leiate süsteemi oleku variant 2, CVE – 2017-5715 , filiaali sihtmärkide süst.

Riistvara tugi filiaali sihtmärgiks süstimise vähendamiseks on kohal

Kaardid BTIHardwarePresent. See rida annab teada, kas on olemas riistvara funktsioone, et toetada kontori sihtmärkide süstimist. Seadme lõpptootja vastutab värskendatud BIOS-i/püsivara esitamise eest, mis sisaldab CPU tootjate pakutud mikrotasandil. Kui see rida ontõene, on nõutavad riistvara funktsioonid olemas. Kui rida onFALSE, ei saa nõutud riistvara funktsioone esitada ja seetõttu ei saa filiaali sihtmärki süstimise korral lubada.

Märkus. BTIHardwarePresentkehtibka juhul, kui OEM-i värskendus on hostile rakendatud jajuhiseidjärgitakse.

Windows OS-i tugi filiaalidele mõeldud süstimise vähendamiseks on kohal

Kaardid BTIWindowsSupportPresent. See rida ütleb teile, kas Windowsi operatsioonisüsteemi tugi on olemas filiaali TARGETi jaoks. Kui see ontõsi, siis toetab opsüsteem filiaali sihtmärgiks teisendamise lubamist (ja seetõttu on see installinud jaanuari 2018 värskenduse). Kui see onvale, siis jaanuari 2018 värskendust pole süsteemi installitud ja kontorist ei saa lubada.

Märkus. Kui Guest VM ei suuda tuvastada hosti riistvara värskendust, on BTIWindowsSupportEnabled alatiFALSE.

Windows OS-i tugi haru sihtmärkide jaoks on lubatud

Kaardid BTIWindowsSupportEnabled. See rida ütleb teile, kas Windowsi operatsioonisüsteemi tugi on lubatud nii, et see on lubatud. Kui see ontõsi, siis seadme jaoks on lubatud riistvara tugi ja OS-i tugi, sest see on seadme jaoks lubatud, seega onCVE-2017-5715vastu kaitstud. Kui see onvale, on täidetud mõni järgmistest tingimustest.

  • Riistvara tugi pole olemas.

  • OS-i tugi pole saadaval.

  • Süsteemipoliitika on leevendamise keelanud.

Süsteemipoliitika on keelanud Windows OS-i tugi haru sihtmärkide jaoks.

Kaardid BTIDisabledBySystemPolicy. See rida ütleb teile, kas süsteemipoliitika (nt administraatori määratletud poliitika) on keelanud selle, et haru sihtmärk on süstimise kergendanud. Süsteemipoliitika viitab registri juhtelementidele, mis on dokumenteeritudKB 4072698. Kui see ontõsi, vastutab leevendamise keelamise eest süsteemi poliitika. Kui see onvale, on leevendamine muu põhjusega keelatud.

Windows OS-i tugi haru TARGETi jaoks on keelatud riistvara toe puudumise tõttu

Kaardid BTIDisabledByNoHardwareSupport. See rida annab märku, et kui haru sihtmärk on keelatud, on see riistvara toe puudumise tõttu keelatud. Kui see ontõsi, siis selle leevendamise keelamise eest vastutab riistvara toe puudumine. Kui see onvale, on leevendamine muu põhjusega keelatud.

Märkus. Kui Guest VM ei suuda tuvastada hosti riistvara värskendust, on BTIDisabledByNoHardwareSupport alatitõene.

Spekulatsiooni kontrollimise sätted CVE-2017-5754 [Rogue andmete vahemälu laadimine]

Selles jaotises antakse ülevaade süsteemi olekust variant 3,CVE-2017-5754, Rogue andmete vahemälu laadimine. Selle leevendamine on tuntud kui tuuma Virtual Address (VA) vari või petturitest andmete vahemälu koormuse leevendamine.

Riistvara vajab tuuma VA varjutamist

Kaardid KVAShadowRequired. See rida ütleb teile, kas riistvara onCVE-2017-5754suhtes haavatavad. Kui see ontõsi, on riistvara ARVATAVALT haavatavad CVE-2017-5754. Kui see onvale, on riistvara teada, et see pole CVE-2017-5754 suhtes tundlik.

Windows OS-i tugi tuuma VA varjule on kohal

Kaardid KVAShadowWindowsSupportPresent. See rida ütleb teile, kas tuuma VA Shadow funktsiooni jaoks on olemas Windowsi operatsioonisüsteemi tugi. Kui see ontõsi, on seadmesse installitud jaanuari 2018 värskendus ja tuuma VA vari on toetatud. Kui see onvale, siis jaanuari 2018 värskendust ei installita ja tuuma VA Shadow support pole olemas.

Windows OS-i tugi tuuma VA vari on lubatud

Kaardid KVAShadowWindowsSupportEnabled. See rida ütleb teile, kas tuuma VA Shadow funktsioon on lubatud. Kui see ontõsi, siis arvatakse, et riistvara on tundlikCVE-2017-5754-i puhul, on olemas Windowsi operatsioonisüsteemi tugi ja funktsioon on lubatud. Tuuma VA Shadow funktsioon on praegu vaikimisi lubatud Windowsi klientrakendustes ja on Windowsi serveri versioonides vaikimisi keelatud. Kui see onvale, siis kas Windowsi operatsioonisüsteemi tuge pole olemas või funktsioon pole lubatud.

Windows OS-i tugi PCID jõudluse optimeerimiseks on lubatud

Märkus. PCID pole turbe jaoks nõutav. See näitab ainult seda, kas jõudluse parandamine on lubatud. Windows Server 2008 R2 ei toeta PCID

Kaardid KVAShadowPcidEnabled. See rida ütleb teile, kas tuuma VA varju jaoks on lubatud täiendav jõudluse optimeerimine. Kui see ontõsi, siis on võimalik, et tuuma VA vari on lubatud, PCID riistvara tugi on olemas ja PCID optimeerimine tuuma VA vari jaoks on lubatud. Kui see onvale, ei pruugi riistvara või operatsioonisüsteem PCID toetada. See pole PCID optimeerimiseks kasutatav nõrkus.

Windows OS-i tugi spekulatiivse salve ümbersõit Disable ' i jaoks on olemas

Kaardid SSBDWindowsSupportPresent. See rida ütleb teile, kas Windowsi operatsioonisüsteemi tugi spekulatiivse salve ümbersõit-i jaoks on praegu keelatud. Kui see on tõsi , on seadmesse installitud jaanuari 2018 värskendus ja tuuma VA vari on toetatud. Kui see on vale , siis jaanuari 2018 värskendust ei installita ja tuuma VA Shadow support pole olemas.

Riistvara vajab spekulatiivset salve ümbersõit Disable

Kaardid SSBDHardwareVulnerablePresent. See rida ütleb teile, kas riistvara on CVE-2018-3639suhtes haavatavad. Kui see on tõsi , on riistvara ARVATAVALT haavatavad CVE-2018-3639. Kui see on vale , on riistvara teada, et see pole CVE-2018-3639 suhtes tundlik.

Riistvara tugi spekulatiivse salve ümbersõit Disable on kohal

Kaardid SSBDHardwarePresent. See rida annab teada, kas on olemas riistvara funktsioone, mis toetavad spekulatiivse salve ümbersõit-i keelamist. Seadme lõpptootja vastutab Inteli esitatud mikrotasandil sisaldava värskendatud BIOS-i/püsivara esitamise eest. Kui see rida on tõene , on nõutavad riistvara funktsioonid olemas. Kui rida on FALSE , ei saa nõutud riistvara funktsioone esitada ja seetõttu ei saa spekulatiivset salve ümbersõit blokeerida sisse lülitada.

Märkus. SSBDHardwarePresent kehtib ka juhul, kui OEM-i värskendus on hostile rakendatud.

 

Windows OS-i tugi spekulatiivse salve ümbersõit Disable on sisse lülitatud

Kaardid SSBDWindowsSupportEnabledSystemWide. See rida ütleb teile, kui spekulatiivse salve ümbersõit keelata on sisse lülitatud Windowsi operatsioonisüsteemi. Kui see on tõsi , siis riistvara tugi ja OS-i tugiteenused spekulatiivse poe ümbersõit keelamiseks on seadmes, mis takistab spekulatiivset salve ümbersõit tekkimist, kõrvaldades seega turvariski täielikult. Kui see on vale , on täidetud mõni järgmistest tingimustest.

  • Riistvara tugi pole olemas.

  • OS-i tugi pole saadaval.

  • Spekulatiivset salve ümbersõit keelamist pole registrivõtmete kaudu sisse lülitatud. Juhised sisselülitamise kohta leiate järgmistest artiklitest.

Windowsi kliendi juhised IT-spetsialistidele, kes kaitsevad spekulatiivsete käivitamise ja kanali nõrkade külgede eest

Windows Serveri juhised, mis kaitsevad spekulatiivsete käivitamise poole-kanali nõrkusi

 

Spekulatsiooni kontrollimise sätted CVE-2018-3620 [L1 terminali rike]

Selles jaotises antakse ülevaade L1TF (operatsioonisüsteem), millele viitab CVE-2018-3620. See leevendamine tagab selle, et lehe tabeli kirjete esitamiseks poleks kasutatud turvalist lehte raami bitti

Märkus. Selles jaotises ei esitata CVE-2018-3646 viidatud L1TF (VMM) vähendamise oleku kokkuvõtet.

Riistvara on ohustatud L1-terminali süül: True

Kaardid L1TFHardwareVulnerable. See rida ütleb teile, kui riistvara on vastuvõtlikud L1-terminali rikkele (L1TF, CVE-2018-3620). Kui see on tõsi, on riistvara arvatavalt haavatavad CVE-2018-3620. Kui see on vale, on riistvara teada, et see pole CVE-2018-3620 suhtes tundlik.

Windows OS-i tugi L1-terminali rikete leevendamiseks on olemas: True

Kaardid L1TFWindowsSupportPresent. See rida ütleb teile, kui esineb Windowsi operatsioonisüsteemi tugi L1-terminali rikke (L1TF) operatsioonisüsteemi leevendamiseks. Kui see on tõsi, on seadmesse installitud august 2018 värskendus ja CVE-2018-3620 on saadaval. Kui see on vale, siis august 2018 värskendust ei installita ja CVE-2018-3620 ei esine.

Windows OS-i tugi L1-terminali rikete leevendamiseks on lubatud: True

Kaardid L1TFWindowsSupportEnabled. See rida ütleb teile, kas Windowsi operatsioonisüsteemi leevendamine L1-terminali rikke korral (L1TF, CVE-2018-3620) on lubatud. Kui see on tõsi, siis arvatakse, et riistvara on tundlik CVE-2018-3620-i puhul, kui on olemas Windowsi operatsioonisüsteemi tugi ja leevendus on lubatud. Kui see on vale, pole riistvara nii tundlik, Windowsi operatsioonisüsteemi tuge ei esine või seda ei ole lubatud leevendada.

Spekulatsiooni kontrollimise sätted MDS [Microarchitectural andmete proovivõtmine]

Sellest jaotisest leiate MDS-i nõrkade kohtade kogumi, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127ja CVE-2018-12130 süsteemi oleku.

Windows OS-i tugi MDS-i vähendamiseks on olemas

Kaardid MDSWindowsSupportPresent. See rida ütleb teile, kui esineb Windowsi operatsioonisüsteemi Microarchitectural andmete proovivõtmise (MDS) operatsioonisüsteemi leevendamiseks. Kui see on tõsi, on seadmesse installitud mai 2019 värskendus ja MDS-i leevendamine on olemas. Kui see on vale, siis ei saa 2019 värskendust installida ja MDS-i ei esine.

Riistvara on MDS-ile tundlik

Kaardid MDSHardwareVulnerable. See rida ütleb teile, kui riistvara on tundlik Microarchitectural andmete proovivõtmise (MDS) haavatavuse (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) korral. Kui see on tõsi, siis usutavasti mõjutavad need nõrgad kohad riistvara. Kui see on vale, pole riistvara teadaolevalt haavatavad.

Windows OS-i tugi MDS-i vähendamiseks on lubatud

Kaardid MDSWindowsSupportEnabled. See rida ütleb teile, kas Windowsi operatsioonisüsteemi Microarchitectural andmete proovivõtmise (MDS) jaoks on lubatud. Kui see on tõsi, siis usutavasti mõjutavad riistvara MDS haavatavused, Windowsi toetav tugi on olemas ja kergendamine on lubatud. Kui see on vale, pole riistvara nii tundlik, Windowsi operatsioonisüsteemi tuge ei esine või seda ei ole lubatud leevendada.

Eeldatakse, et arvutil on kõik võimalikud vähendamised, mida on vaja iga tingimuse rahuldamiseks.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

Järgmine tabel vastendab väljundi registrivõtmed, mis on kaetud Windows Serveri juhistega, et kaitsta spekulatiivsete käivitamise ja kanali nõrkade külgede eest.

Registrivõti

Vastendamine

FeatureSettingsOverride – bitine 0

Kaardid to-Branch Target süst-BTIWindowsSupportEnabled

FeatureSettingsOverride – bitine 1

Kaardid to-Rogue andmete vahemälu laadimine – VAShadowWindowsSupportEnabled

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×