|
Päivämäärän muuttaminen |
Muutoksen kuvaus |
|---|---|
|
17. heinäkuuta 2023 |
Lisätty MMIO ja erityiset kuvausten tulosarvoista "Tulos, jossa kaikki lievennykset ovat käytössä" -osassa |
Yhteenveto
Spekulatiivisen suorituspuolen kanavan lievennysten tilan tarkistamista varten julkaisimme PowerShell-komentosarjan (SpeculationControl), joka voidaan suorittaa laitteissasi. Tässä artikkelissa kerrotaan, miten voit suorittaa SpeculationControl-komentosarjan ja mitä tulos tarkoittaa.
Suojaustiedotteet ADV180002, ADV180012, ADV180018 ja ADV190013 kattavat seuraavat yhdeksän haavoittuvuutta:
-
CVE-2017-5715 (haaran kohdeinjektio)
-
CVE-2017-5753 (rajojen tarkistus ohitus)
Huomautus CVE-2017-5753 (bounds check) -suojaus ei edellytä muita rekisteriasetuksia tai laiteohjelmistopäivityksiä.
-
CVE-2017-5754 (tietovälimuistin kuormitus)
-
CVE-2018-3639 (spekulatiivisen myymälän ohitus)
-
CVE-2018-3620 (L1-päätevirhe – käyttöjärjestelmä)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (Mikroarchitectural Fill Buffer Data Sampling (MFBDS))
Advisory ADV220002 kattaa muita Memory-Mapped I/O (MMIO) liittyviä tietoturva-aukkoja:
-
CVE-2022-21123 | Jaetun puskurin tietojen lukeminen (SBDR)
-
CVE-2022-21125 | Jaettu puskuritietojen näytteenotto (SBDS)
-
CVE-2022-21127 | Erityinen rekisteripuskuritietojen otantapäivitys (SRBDS-päivitys)
-
CVE-2022-21166 | Laiterekisteröi osittainen kirjoitus (DRPW)
Tässä artikkelissa on tietoja SpeculationControl PowerShell -komentosarjasta, joka auttaa määrittämään luettelossa olevien cv:iden lievennysten tilan, jotka vaativat muita rekisteriasetuksia ja joissakin tapauksissa laiteohjelmistopäivityksiä.
Lisätietoja
SpeculationControl PowerShell -komentosarja
Asenna ja suorita SpeculationControl-komentosarja jollakin seuraavista tavoista.
|
Menetelmä 1: PowerShellin tarkistaminen PowerShell-valikoiman avulla (Windows Server 2016 tai WMF 5.0/5.1) |
|
PowerShell-moduulin asentaminen PS> Install-Module SpeculationControl Varmista SpeculationControl PowerShell -moduulin avulla, että suojaukset ovat käytössä PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Menetelmä 2: PowerShellin tarkistaminen TechNet-latauksella (aiemmat käyttöjärjestelmäversiot/aiemmat WMF-versiot) |
|
PowerShell-moduulin asentaminen TechNet ScriptCenteristä
Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä Käynnistä PowerShell ja kopioi ja suorita seuraavat komennot (yllä olevan esimerkin avulla): PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-komentosarjan tulos
SpeculationControl PowerShell -komentosarjan tulos muistuttaa seuraavaa tulosta. Käytössä olevat suojaukset näkyvät tulosteessa muodossa "Tosi".
PS C:\> Get-SpeculationControlSettings
Spekulaatioiden hallinta-asetukset CVE-2017-5715 :lle [haaran kohteen lisäys]
Haaran kohdelisäyksen lieventämisen laitteistotuki on läsnä: Epätosi
Windows-käyttöjärjestelmän tuki haaran kohdeinjektointien lieventämiseen on läsnä: Tosi
Windows-käyttöjärjestelmän tuki haaran kohdelisäyksen lieventämiseen on käytössä: False
Windows-käyttöjärjestelmän tuki haarakohteiden lisäysten lieventämiseen on poistettu käytöstä järjestelmäkäytännön mukaan: Tosi
Windows-käyttöjärjestelmän tuki haaran kohdelisäysten lieventämiseen on poistettu käytöstä, koska laitteistotukea ei ole: Tosi
Spekulaatioiden hallinta-asetukset: CVE-2017-5754 [tietovälimuistin kuormitus]
Laitteisto on altis tietovälimuistin kuormitukselle: Tosi
Windows-käyttöjärjestelmän tuki tietovälimuistin kuormituksen lieventämiseen on käytössä: Tosi
Windows-käyttöjärjestelmän tuki tietovälimuistin kuormituksen lieventämiseen on käytössä: Tosi
Laitteisto edellyttää ytimen VA-varjostusta: Tosi
Ytimen VA-varjostuksen Windows-käyttöjärjestelmän tuki on läsnä: Epätosi
Ytimen VA-varjostuksen Windows-käyttöjärjestelmän tuki on käytössä: Epätosi
Windows-käyttöjärjestelmän tuki PCID-optimoinnille on käytössä: Epätosi
Spekulaatioiden hallinta-asetukset CVE-2018-3639:lle [spekulatiivisen myymälän ohitus]
Laitteisto on altis spekulatiivisille säilöjen ohituksella: Tosi
Spekulatiivisen säilön ohitusvähennyksen laitteistotuki on läsnä: Epätosi
Windows-käyttöjärjestelmän tuki spekulatiivisille säilöjen ohitusvähennyksille on läsnä: Tosi
Windows-käyttöjärjestelmän tuki spekulatiivisille säilöjen ohitusvähennyksille on käytössä koko järjestelmässä: False
Spekulaatioiden hallinta-asetukset CVE-2018-3620 :lle [L1-päätevirhe]
Laitteisto on altis L1-päätevirheille: Tosi
Windows-käyttöjärjestelmän tuki L1-päätevirheiden lieventämiseen on käytössä: Tosi
Windows-käyttöjärjestelmän tuki L1-päätevirheiden lieventämiseen on käytössä: Tosi
MDS:n spekulaatioiden hallinta-asetukset [mikroarkkitektural dataotanta]
Windows-käyttöjärjestelmän tuki MDS:n lieventämiseen on käytössä: Tosi
Laitteisto on alttiina MDS:lle: Tosi
Windows-käyttöjärjestelmän mds-lievennystuki on käytössä: Tosi
Spekulaatioiden hallinta-asetukset SBDR:lle [jaetut puskurit-tietojen lukeminen]
Windows-käyttöjärjestelmän tuki SBDR-lievennykseen on käytössä: Tosi
Laitteisto on altis SBDR:lle: True
SBDR-lievennyksen Windows-käyttöjärjestelmän tuki on käytössä: Tosi
Spekulaatioiden hallinta-asetukset FBSDP:lle [täyttöpuskurin tietojen levittäjä]
Windows-käyttöjärjestelmän FBSDP-lievennystuki on käytössä: Tosi
Laitteisto on altis FBSDP:lle: Tosi
Windows-käyttöjärjestelmän FBSDP-lievennystuki on käytössä: Tosi
PSDP:n spekulaatioiden hallinta-asetukset [ensisijainen tietojen levittäjä]
Windows-käyttöjärjestelmän tuki PSDP:n lieventämiseen on käytössä: Tosi
Laitteisto on alttiina PSDP:lle: Tosi
Windows-käyttöjärjestelmän tuki PSDP-lievennykseen on käytössä: Tosi
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
SpeculationControl PowerShell -komentosarjan tulosteen selitys
Lopullinen tulosruudukko yhdistää edellisten rivien tulosteen. Tämä tulee näkyviin, koska PowerShell tulostaa objektin, jonka funktio palauttaa. Seuraavassa taulukossa kerrotaan PowerShellin komentosarjan tulosteen jokaisesta rivistä.
|
Lähtö |
Selitys |
|
Spekulaatioiden hallinta-asetukset CVE-2017-5715 :lle [haaran kohteen lisäys] |
Tässä osassa on järjestelmän tila variantille 2, CVE-2017-5715, haaran kohdeinjektiolle. |
|
Haaran kohdelisäyksen lieventämisen laitteistotuki on käytössä |
Kartat kohteeseen BTIHardwarePresent. Tällä rivillä kerrotaan, onko käytössä laitteisto-ominaisuuksia, jotka tukevat haaran kohdelisäyksen lieventämistä. Laitteen alkuperäinen laitevalmistaja vastaa päivitetyn BIOS/laiteohjelmiston toimittamisesta, joka sisältää suoritinvalmistajien tarjoaman mikrokoodin. Jos tämä rivi on Tosi, tarvittavat laitteisto-ominaisuudet ovat käytettävissä. Jos rivi on Epätosi, tarvittavia laitteisto-ominaisuuksia ei ole. Siksi haaran kohdelisäyksen lieventämistä ei voi ottaa käyttöön. Huomautus BTIHardwarePresent on Tosi vieras virtuaalikoneissa, jos OEM-päivitystä sovelletaan isäntään ja ohjeitaseurataan. |
|
Windows-käyttöjärjestelmän tuki haaran kohdelisäysvähennyksille on käytössä |
Kartat kohteeseen BTIWindowsSupportPresent. Tällä rivillä kerrotaan, onko Windows-käyttöjärjestelmän tukea haaran kohdelisäysvähennystä varten. Jos se on Tosi, käyttöjärjestelmä tukee haaran kohdelisäyksen lieventämisen käyttöönottoa (ja on siksi asentanut tammikuun 2018 päivityksen). Jos se on Epätosi, tammikuun 2018 päivitystä ei asenneta laitteeseen eikä haaran kohteen lisäystä voi lieventää. Huomautus Jos vieraskäyttäjä ei tunnista isäntälaitteistopäivitystä, BTIWindowsSupportEnabled on aina Epätosi. |
|
Windows-käyttöjärjestelmän tuki haaran kohdelisäyksen lieventämiseen on otettu käyttöön |
Kartat kohteeseen BTIWindowsSupportEnabled. Tällä rivillä kerrotaan, onko Windows-käyttöjärjestelmän tuki otettu käyttöön haaran kohdelisäysvähennystä varten. Jos se on Tosi, laitteistotuki ja käyttöjärjestelmän tuki haaran kohdelisäysvähennystä varten ovat käytössä laitteessa, mikä suojaa CVE-2017-5715:ltä. Jos se on Epätosi, jokin seuraavista ehdoista on tosi:
|
|
Windows-käyttöjärjestelmän tuki haaran kohdelisäyksen lieventämiseen on poistettu käytöstä järjestelmäkäytännön mukaan |
Yhdistää BTIDisabledBySystemPolicyyn. Tällä rivillä kerrotaan, onko haaran kohdelisäyksen lieventäminen poistettu käytöstä järjestelmäkäytännöllä (kuten järjestelmänvalvojan määrittämällä käytännöllä). Järjestelmäkäytäntö viittaa rekisterin ohjausobjekteihin, jotka on dokumentoitu versiossa KB4072698. Jos se on Tosi, järjestelmäkäytäntö on vastuussa lievennyksen poistamisesta käytöstä. Jos se on Epätosi, eri syy poistaa lievennyksen käytöstä. |
|
Windows-käyttöjärjestelmän tuki haaran kohdelisäysten lieventämiseen on poistettu käytöstä, koska laitteistotukea ei ole |
Kartat kohteeseen BTIDisabledByNoHardwareSupport. Tällä rivillä kerrotaan, onko haaran kohdelisäys poistettu käytöstä laitteistotuen puuttumisen vuoksi. Jos se on Tosi, laitteistotuen puuttuminen on vastuussa lievennyksen poistamisesta käytöstä. Jos se on Epätosi, eri syy poistaa lievennyksen käytöstä. HuomautusJos vieraskäyttäjä ei tunnista isäntälaitteistopäivitystä, BTIDisabledByNoHardwareSupport on aina Tosi. |
|
Spekulaatioiden hallinta-asetukset: CVE-2017-5754 [tietovälimuistin kuormitus] |
Tässä osassa on yhteenvetojärjestelmän tila muuttujalle 3, CVE-2017-5754, tietovälimuistin lataus. Tämän lievennystä kutsutaan ytimen virtuaaliosoitteen varjostukseksi tai tietojen välimuistin kuormituksen lieventämiseksi. |
|
Laitteisto on altis tietovälimuistin kuormitukselle |
Kartat kohteeseen RdclHardwareProtected. Tämä rivi kertoo, onko laitteisto alttiina CVE-2017-5754:lle. Jos se on Tosi, laitteiston uskotaan olevan altis CVE-2017-5754:lle. Jos se on Epätosi, laitteiston ei tiedetä olevan alttiina CVE-2017-5754:lle. |
|
Windows-käyttöjärjestelmän tuki tietovälimuistin kuormituksen lieventämiseen on käytössä |
Kartat kohteeseen KVAShadowWindowsSupportPresent. Tämä rivi kertoo, onko Windows-käyttöjärjestelmän tuki ytimen VA-varjostustoiminnolle käytössä. |
|
Windows-käyttöjärjestelmän tuki tietovälimuistin kuormituksen lieventämiseen on otettu käyttöön |
Kartat kohteeseen KVAShadowWindowsSupportEnabled. Tämä rivi kertoo, onko ytimen VA-varjostusominaisuus käytössä. Jos se on Tosi, laitteiston uskotaan olevan alttiina CVE-2017-5754:lle, Windows-käyttöjärjestelmän tuki on käytössä ja ominaisuus on käytössä. |
|
Laitteisto edellyttää ytimen VA-varjostusta |
Kartat kohteeseen KVAShadowRequired. Tämä rivi kertoo, vaatiiko järjestelmä ydinvajausta haavoittuvuuden lieventämiseksi. |
|
Ytimen VA-varjostuksen Windows-käyttöjärjestelmän tuki on läsnä |
Kartat kohteeseen KVAShadowWindowsSupportPresent. Tämä rivi kertoo, onko Windows-käyttöjärjestelmän tuki ytimen VA-varjostustoiminnolle käytössä. Jos se on Tosi, tammikuun 2018 päivitys asennetaan laitteeseen ja ytimen VA-varjostus on tuettu. Jos se on Epätosi, tammikuun 2018 päivitystä ei asenneta eikä ytimen VA-varjostustukea ole. |
|
Ytimen VA-varjostuksen Windows-käyttöjärjestelmän tuki on käytössä |
Kartat kohteeseen KVAShadowWindowsSupportEnabled. Tämä rivi kertoo, onko ytimen VA-varjostusominaisuus käytössä. Jos se on Tosi, Windows-käyttöjärjestelmän tuki on käytössä ja ominaisuus on käytössä. Ytimen VA-varjostusominaisuus on tällä hetkellä oletusarvoisesti käytössä Windowsin asiakasversioissa, ja se on oletusarvoisesti poissa käytöstä Windows Serverin versioissa. Jos se on Epätosi, windows-käyttöjärjestelmän tukea ei ole tai ominaisuus ei ole käytössä. |
|
Windows-käyttöjärjestelmän tuki PCID:n suorituskyvyn optimoinnille on käytössä HuomautusPCID-tunnusta ei tarvita suojaukseen. Se ilmaisee vain, onko suorituskyvyn parantaminen käytössä. PCID-tunnusta ei tueta Windows Server 2008 R2:ssa |
Kartat kohteeseen KVAShadowPcidEnabled. Tämä rivi kertoo, onko ytimen VA-varjostukseen otettu käyttöön suorituskyvyn lisäoptimointi. Jos se on Tosi, ytimen VA-varjostus on käytössä, PCID:n laitteistotuki on käytössä ja PCID-optimointi ytimen VA-varjostusta varten on käytössä. Jos se on Epätosi, laitteisto tai käyttöjärjestelmä ei ehkä tue PCID-tunnusta. Se ei ole tietoturvaheikkous, jos PCID-optimointia ei oteta käyttöön. |
|
Windows-käyttöjärjestelmän tuki spekulatiiviselle säilön ohitustoimintoon on läsnä |
Kartat kohteeseen SSBDWindowsSupportPresent. Tämä rivi kertoo, onko Windows-käyttöjärjestelmän tuki spekulatiiviselle Kaupan ohitus -toiminnolle käytössä. Jos se on Tosi, tammikuun 2018 päivitys asennetaan laitteeseen ja ytimen VA-varjostus on tuettu. Jos se on Epätosi, tammikuun 2018 päivitystä ei asenneta eikä ytimen VA-varjostustukea ole. |
|
Laitteisto edellyttää spekulatiivisen säilön ohittamista, joka on poistettava käytöstä |
Kartat kohteeseen SSBDHardwareVulnerablePresent. Tämä rivi kertoo, onko laitteisto alttiina CVE-2018-3639:lle. Jos se on Tosi, laitteiston uskotaan olevan altis CVE-2018-3639:lle. Jos se on Epätosi, laitteisto ei ole alttiina CVE-2018-3639:lle. |
|
Säilön spekulatiivisen ohituksen poistaminen käytöstä -laitteistotuki on käytössä |
Kartat kohteeseen SSBDHardwarePresent. Tämä rivi kertoo, onko käytettävissä laitteisto-ominaisuuksia, jotka tukevat spekulatiivista Storen ohitustoimintoa. Laitteen alkuperäinen laitevalmistaja vastaa intelin tarjoaman mikrokoodin sisältävän päivitetyn BIOS/laiteohjelmiston toimittamisesta. Jos tämä rivi on Tosi, tarvittavat laitteisto-ominaisuudet ovat käytettävissä. Jos rivi on Epätosi, tarvittavia laitteisto-ominaisuuksia ei ole. Siksi spekulatiivista Säilön ohitus käytöstä -toimintoa ei voi ottaa käyttöön. Huomautus SSBDHardwarePresent on Tosi vieras virtuaalikoneissa, jos OEM-päivitystä käytetään isännöintipalvelussa. |
|
Windows-käyttöjärjestelmän tuki spekulatiiviselle säilön ohitustoimintoa varten on käytössä |
Kartat kohteeseen SSBDWindowsSupportEnabledSystemWide. Tämä rivi kertoo, onko Spekulatiivisen Storen ohituksen poistaminen käytöstä käytössä Windows-käyttöjärjestelmässä. Jos se on Tosi, laitteistotuki ja käyttöjärjestelmän tuki spekulatiiviselle Storen ohitustoiminnolle on käytössä laitteessa, joka estää spekulatiivisen Storen ohituksen, mikä poistaa tietoturvariskin kokonaan. Jos se on Epätosi, jokin seuraavista ehdoista on tosi:
|
|
Spekulaatioiden hallinta-asetukset CVE-2018-3620 :lle [L1-päätevirhe] |
Tässä osassa esitetään CVE-2018-3620-kohdassa viitatun L1TF(käyttöjärjestelmän) yhteenvetojärjestelmän tila. Tämä lievennys varmistaa, että turvallisia sivukehysbittiä käytetään sivutaulukon merkintöjen epäkelpoon esittämiseen tai virheelliseen käyttöön. Huomautus Tässä osassa ei ole yhteenvetoa CVE-2018-3646:ssa viitatusta L1TF (VMM) -lievennyksen tilasta. |
|
Laitteisto on altis L1-päätevirheille: Tosi |
Kartat kohteeseen L1TFHardwareVulnerable. Tämä rivi kertoo, onko laitteisto alttiina L1-päätevialle (L1TF, CVE-2018-3620). Jos se on Tosi, laitteiston uskotaan olevan alttiina CVE-2018-3620:lle. Jos se on Epätosi, laitteiston ei tiedetä olevan alttiina CVE-2018-3620:lle. |
|
Windows-käyttöjärjestelmän tuki L1-päätevirheiden lieventämiseen on käytössä: Tosi |
Kartat kohteeseen L1TFWindowsSupportPresent. Tämä linja kertoo, onko Windows-käyttöjärjestelmän tuki L1 Terminal Fault (L1TF) -käyttöjärjestelmän lievennykseen. Jos päivitys on Tosi, elokuun 2018 päivitys asennetaan laitteeseen ja CVE-2018-3620-päivitykseen on olemassa lievennys. Jos päivitys on Epätosi, elokuun 2018 päivitystä ei asenneta eikä CVE-2018-3620-päivitystä ole. |
|
Windows-käyttöjärjestelmän tuki L1-päätevirheiden lieventämiseen on käytössä: Tosi |
Kartat kohteeseen L1TFWindowsSupportEnabled. Tämä linja kertoo, onko Windows-käyttöjärjestelmän L1-päätevirheen (L1TF, CVE-2018-3620) lievennys käytössä. Jos se on Tosi, laitteiston uskotaan olevan alttiina CVE-2018-3620:lle, Windows-käyttöjärjestelmän tuki lievennystä varten on käytössä ja lievennys on käytössä. Jos se on Epätosi, laitteisto ei ole haavoittuvainen, Windows-käyttöjärjestelmän tukea ei ole tai lievennys ei ole käytössä. |
|
MdS:n spekulaatioiden hallinta-asetukset [Mikroarkkitektural Data Sampling] |
Tässä osassa on järjestelmän tila MDS-haavoittuvuuksille, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ja ADV220002. |
|
Windows-käyttöjärjestelmän tuki MDS:n lieventämiseen on käytössä |
Kartat kohteeseen MDSWindowsSupportPresent. Tämä linja kertoo, onko Windows-käyttöjärjestelmän tuki microarchitectural Data Sampling (MDS) -käyttöjärjestelmän lievennykseen. Jos se on Tosi, toukokuun 2019 päivitys asennetaan laitteeseen ja MDS:n lievennys on käytössä. Jos päivitys on Epätosi, toukokuun 2019 päivitystä ei asenneta eikä MDS:n lievennystä ole. |
|
Laitteisto on altis MDS:lle |
Kartat KOHTEESEEN MDSHardwareVulnerable. Tämä linja kertoo, onko laitteisto altis mikroarkkitektural data sampling (MDS) -haavoittuvuuksille (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jos se on Tosi, näiden haavoittuvuuksien uskotaan vaikuttavan laitteistoon. Jos se on Epätosi, laitteiston tiedetään olevan haavoittuva. |
|
Windows-käyttöjärjestelmän tuki MDS:n lieventämiseen on otettu käyttöön |
Kartat kohteeseen MDSWindowsSupportEnabled. Tämä linja kertoo, onko Windows-käyttöjärjestelmän lievennys käytössä mikroarkkitektural data sampling (MDS) -otosta varten. Jos se on Tosi, MDS-haavoittuvuuksien uskotaan vaikuttavan laitteistoon, Windows-käyttöjärjestelmän tuki lievennystä varten on käytössä ja lievennys on käytössä. Jos se on Epätosi, laitteisto ei ole haavoittuvainen, Windows-käyttöjärjestelmän tukea ei ole tai lievennys ei ole käytössä. |
|
Windows-käyttöjärjestelmän tuki SBDR-lievennyksille on käytössä |
Kartat kohteeseen FBClearWindowsSupportPresent. Tämä rivi kertoo, onko Windows-käyttöjärjestelmän tuki SBDR-käyttöjärjestelmän lievennystä varten käytössä. Jos se on Tosi, kesäkuun 2022 päivitys asennetaan laitteeseen ja SBDR:n lievennys on käytössä. Jos se on Epätosi, kesäkuun 2022 päivitystä ei asenneta eikä SBDR:n lievennystä ole. |
|
Laitteisto on altis SBDR:lle |
Kartat kohteeseen SBDRSSDPHardwareVulnerable. Tämä rivi kertoo, onko laitteisto alttiina SBDR:lle [jaetut puskurit tietojen lukeminen] -haavoittuvuusjoukolle (CVE-2022-21123). Jos se on Tosi, näiden haavoittuvuuksien uskotaan vaikuttavan laitteistoon. Jos se on Epätosi, laitteiston tiedetään olevan haavoittuva. |
|
SBDR-lievennyksen Windows-käyttöjärjestelmän tuki on käytössä |
Kartat kohteeseen FBClearWindowsSupportEnabled. Tällä rivillä kerrotaan, onko Windows-käyttöjärjestelmän SBDR-lievennys [jaettujen puskurien tietojen luku] käytössä. Jos se on Tosi, SBDR-haavoittuvuudet vaikuttavat laitteistoon, lievennyksen windows-käyttötuki on käytössä ja lievennys on käytössä. Jos se on Epätosi, laitteisto ei ole haavoittuvainen, Windows-käyttöjärjestelmän tukea ei ole tai lievennys ei ole käytössä. |
|
Windows-käyttöjärjestelmän FBSDP-lievennystuki on käytössä |
Kartat kohteeseen FBClearWindowsSupportPresent. Tämä rivi kertoo, onko Windows-käyttöjärjestelmän tuki FBSDP-käyttöjärjestelmän lievennystä varten olemassa. Jos se on Tosi, kesäkuun 2022 päivitys asennetaan laitteeseen ja FBSDP:n lievennys on käytössä. Jos se on Epätosi, kesäkuun 2022 päivitystä ei asenneta eikä FBSDP:n lievennystä ole. |
|
Laitteisto on altis FBSDP:lle |
Kartat kohteeseen FBSDPHardwareVulnerable. Tämä rivi kertoo, onko laitteisto alttiina FBSDP:lle [täyttöpuskurin tietojen levittäjä] haavoittuvuusjoukolle (CVE-2022-21125, CVE-2022-21127 ja CVE-2022-21166). Jos se on Tosi, näiden haavoittuvuuksien uskotaan vaikuttavan laitteistoon. Jos se on Epätosi, laitteiston tiedetään olevan haavoittuva. |
|
Windows-käyttöjärjestelmän FBSDP-lievennystuki on käytössä |
Kartat kohteeseen FBClearWindowsSupportEnabled. Tämä rivi kertoo, onko Windows-käyttöjärjestelmän FBSDP-lievennys [täyttöpuskurin tietojen levittäjä] käytössä. Jos se on Tosi, FBSDP-haavoittuvuuksien uskotaan vaikuttavan laitteistoon, Windowsin käyttötuki lievennystä varten on käytössä ja lievennys on käytössä. Jos se on Epätosi, laitteisto ei ole haavoittuvainen, Windows-käyttöjärjestelmän tukea ei ole tai lievennys ei ole käytössä. |
|
Windows-käyttöjärjestelmän tuki PSDP:n lieventämiseen on käytössä |
Kartat kohteeseen FBClearWindowsSupportPresent. Tämä rivi kertoo, onko Windows-käyttöjärjestelmätuki PSDP-käyttöjärjestelmän lievennystä varten käytössä. Jos se on Tosi, kesäkuun 2022 päivitys asennetaan laitteeseen ja PSDP:n lievennys on käytössä. Jos se on Epätosi, kesäkuun 2022 päivitystä ei asenneta eikä PSDP:n lievennystä ole. |
|
Laitteisto on altis PSDP:lle |
Kartat PSDPHardwareVulnerableen. Tämä rivi kertoo, onko laitteisto alttiina PSDP-joukolle [ensisijainen tietojen levittäjä] haavoittuvuuksille. Jos se on Tosi, näiden haavoittuvuuksien uskotaan vaikuttavan laitteistoon. Jos se on Epätosi, laitteiston tiedetään olevan haavoittuva. |
|
Windows-käyttöjärjestelmän tuki PSDP-lievennykseen on käytössä |
Kartat kohteeseen FBClearWindowsSupportEnabled. Tämä rivi kertoo, onko WINDOWS-käyttöjärjestelmän lievennys PSDP:lle [ensisijainen stale data propagator] käytössä. Jos se on Tosi, PSDP-haavoittuvuuksien uskotaan vaikuttavan laitteistoon, ikkunoiden käyttötuki lievennystä varten on käytössä ja lievennys on käytössä. Jos se on Epätosi, laitteisto ei ole haavoittuvainen, Windows-käyttöjärjestelmän tukea ei ole tai lievennys ei ole käytössä. |
Tulos, jossa on kaikki lievennykset käytössä
Seuraava tulos on odotettavissa laitteelle, jossa on kaikki lievennykset käytössä, sekä jokaiselle ehdolle tarvittavan tuloksen.
BTIHardwarePresent: True -> OEM BIOS/firmware update käytössä
BTIWindowsSupportPresent: True -> tammikuun 2018 päivitys asennettu
BTIWindowsSupportEnabled: True -> asiakasohjelmassa, mitään toimenpiteitä ei tarvita. Noudata palvelimessa ohjeita.
BTIDisabledBySystemPolicy: False -> varmista, että käytäntö ei poista sitä käytöstä.
BTIDisabledByNoHardwareSupport: False -> varmista, että OEM BIOS/firmware -päivitys on käytössä.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: Tosi tai Epätosi -> ei toimi, tämä on tietokoneen käyttämän
suorittimen funktio
Jos KVAShadowRequired on Tosi
KVAShadowWindowsSupportPresent: True -> install january 2018 update
KVAShadowWindowsSupportEnabled: True -> asiakasohjelmassa, mitään toimenpiteitä ei tarvita. Noudata palvelimessa ohjeita.
KVAShadowPcidEnabled: True tai False -> ei toimi, tämä on tietokoneen käyttämän suorittimen funktio
Jos SSBDHardwareVulnerablePresent on tosi
SSBDWindowsSupportPresent: True -> asenna Windows-päivitykset ADV180012
:ssä kuvatulla tavalla
SSBDHardwarePresent: True -> asentaa BIOS/laiteohjelmistopäivityksen ja tukea SSBD:lle laitteeltasi OEM
SSBDWindowsSupportEnabledSystemWide: True -> ota SSBD käyttöön suositelluilla toiminnoilla
Jos L1TFHardwareVulnerable on Tosi
L1TFWindowsSupportPresent: True -> asenna Windows-päivitykset ADV180018
:ssa kuvatulla tavalla
L1TFWindowsSupportEnabled: True -> seuraa ADV180018 for Windows Server- tai Client -sovelluksessa kuvattuja toimintoja tarpeen mukaan lieventämisen
mahdollistamiseksi
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> asenna kesäkuun 2022 päivitys
MDSHardwareVulnerable: False -> laitteiston tiedetään olevan haavoittuvainen
MDSWindowsSupportEnabled: True -> mitigation for Microarchitectural Data Sampling (MDS) on käytössä
FBClearWindowsSupportPresent: True -> asenna kesäkuun 2022 päivitys
SBDRSSDPHardwareVulnerable: True -> laitteiston uskotaan vaikuttavan näihin haavoittuvuuksiin
FBSDPHardwareVulnerable: True -> laitteiston uskotaan vaikuttavan näihin haavoittuvuuksiin
PSDPHardwareVulnerable: True -> laitteiston uskotaan vaikuttavan näihin haavoittuvuuksiin
FBClearWindowsSupportEnabled: True -> Represents mitigation enablement for SBDR/FBSDP/PSDP. Varmista, että alkuperäinen laitevalmistaja BIOS/laiteohjelmisto on päivitetty, FBClearWindowsSupportPresent on Tosi, ADV220002 :ssa ja KVAShadowWindowsSupportEnabledissa kuvatut lievennykset ovat tosi.
Rekisterin
Seuraava taulukko yhdistää tuloksen rekisteriavaimiin, jotka kuuluvat KB4072698:n piiriin: Windows Serverin ja Azure Stack HCI:n ohjeet suojautumiseen piipohjaisilta mikroarkkitekturalisilta ja spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta.
|
Rekisteriavaimen |
Kartoitus |
|
FeatureSettingsOverride – Bitti 0 |
Kartat kohteeseen - Haaran kohdelisäys - BTIWindowsSupportEnabled |
|
FeatureSettingsOverride – Bitti 1 |
Kartat kohteeseen - Rogue data cache load - VAShadowWindowsSupportEnabled |
Lisätietoja
Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.
