Objašnjenje izlaza skripte za dohvaćanje-SpeculationControlSettings PowerShell

Sažetak

Da bi korisnici mogli potvrditi status spekulativnog izvršavanja nuspojava, Microsoft je objavio skriptu za PowerShell koju korisnici mogu pokrenuti na svojim sustavima. U ovoj se temi objašnjava kako pokrenuti skriptu i što znači izlaz.

Savjeti za ADV180002, ADV180012, ADV180018i ADV190013 pokrivaju devet ranjivosti:

  • CVE-2017-5715 (Ciljna injekcija)

  • CVE-2017-5753 (granica provjeri bypass)

  • CVE-2017-5754 (preuzimanje predmemorije za odbjegle podatke)

  • CVE-2018-3639 (spekulativna trgovina bypass)

  • CVE-2018-3620 (pogreška L1 terminala – OS)

  • CVE-2018-11091 (Microarhitektonski podaci o uzorkovanju memorije (MDSUM))

  • CVE-2018-12126 (Podaci o međuspremniku sustava microarhitektonska pohrana (MSBDS))

  • CVE-2018-12127 (Mikroarhitektonski podaci o uzoru na port (MLPDS))

  • CVE-2018-12130 (Microarhitektonski međuspremnik za popunjavanje podataka (MFBDS))

Zaštita za CVE-2017-5753 (provjera granica) ne zahtijeva dodatne postavke registra ni ažuriranja firmvera. U ovoj se temi nalaze pojedinosti o skriptama za PowerShell koja olakšava određivanje stanja ublazavanja navedenih CVEs-a za koje su potrebne dodatne postavke registra, a u nekim slučajevima i ažuriranja firmvera.

Dodatne informacije

Instalirajte i pokrenite skriptu pokretanjem sljedećih naredbi.

Provjera komponente PowerShell pomoću galerije PowerShell (Windows Server 2016 ili WMF 5.0/5.1)

Instalacija modula PowerShell

PS> Install-Module SpeculationControl

Pokretanje modula PowerShell da biste provjerili je li zaštita omogućena

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Provjera komponente PowerShell pomoću preuzimanja sa servisa TechNet (starije verzije OS-a/starije WMF verzije)

Instalacija modula PowerShell iz programa TechNet ScriptCenter

  1. Idite na https://aka.MS/SpeculationControlPS.

  2. Preuzmite SpeculationControl. zip u lokalnu mapu.

  3. Ekstrakt sadržaja u lokalnu mapu, primjerice C:\ADV180002

Pokretanje modula PowerShell da biste provjerili je li zaštita omogućena

Pokrenite PowerShell, a zatim (pomoću gornjeg primjera) kopirajte i pokrenite sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Izlaz ove skripte iz komponente PowerShell nalikovat će sljedećem. Omogućene zaštite prikazuju se u izlazu kao "True".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Špekulacije postavke kontrole za CVE-2018-3620 [Pogreška L1 terminala]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Špekulacije postavke kontrole za MDS [mikroarhitektonski uzorkovanje podataka]

Podrška za Windows OS za ublažavanje MDS-a je prisutna: True Hardver je ranjiv na MDS: True Omogućen je podrška za Windows OS za MDS ublažavanje: True BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Konačna izlazna rešetka mapira se na izlazni broj prethodnih redaka. To se pojavljuje jer PowerShell ispisuje objekt koji vraća funkcija. U sljedećoj se tablici objašnjava svaki redak.

Izlaz

Objašnjenje

Špekulacije postavke kontrole za CVE-2017-5715 [grančica ciljne injekcije]

U ovom se odjeljku prikazuje status sustava Variant 2, CVE-2017-5715 , ciljna injekcija u grani.

Podrška za hardversku podršku za ciljnu ublažavanje ubrizgavanja

Karte za Bthardwarepresent. U ovom se retku prikazuje jesu li značajke hardvera prisutne da bi podržala smanjivanje ciljne injekcije. OEM je odgovoran za pružanje ažuriranog BIOS-a/firmware-a koji sadrži mikrokod proizvođača CPU-a. Ako je redakistinit, prisutne su potrebne značajke hardvera. Ako je redakFalse, potrebne hardverske značajke nisu prisutne, pa se stoga cilj ublažavanja injekcije ne može omogućiti.

Napomena Bthardwarepresent bit ćeistinitu gostu VMS-u ako je ažuriranje OEM-a primijenjeno na host i slijedeupute.

Podrška za Windows OS za skicu ciljnog ublažavanja injekcije je prisutna

Karte na BTIWindowsSupportPresent. U ovom se retku prikazuje je li Podrška za operacijski sustav Windows prisutna u cilju ublažavanja ubrizgavanja u grani. Ako je toistina, operacijski sustav podržava omogućavanje cilja ublažavanja injekcije (i stoga je instalirao ažuriranje za Siječanj 2018). Ako jeFalse, ažuriranje za Siječanj 2018 nije instalirano u sustavu, a ciljna ublažavanja ubrizgavanja ne može se omogućiti.

Napomena Ako gost VM ne prepozna hardversko ažuriranje glavnog računala, Btwindowssupportenabled uvijek će bitiFalse.

Omogućena je podrška za Windows OS za ciljnu ublažavanje ubrizgavanja

Karte na Btwindowssupportenabled. U ovom se retku prikazuje je li omogućena podrška za operacijski sustav Windows za smanjivanje ciljnog ubrizgavanja u grani. Ako je toistina, Podrška za hardversku podršku i OS za podršku za ciljanje u grani je omogućena za uređaj, čime se štiti odcve-2017-5715. Ako jeFalse, pravi je jedan od sljedećih uvjeta:

  • Podrška za hardver nije prisutna.

  • Podrška za OS nije prisutna.

  • Pravilnik sustava onemogućio je ublažavanje ublažavanja.

Podrška za Windows OS za skicu ciljnog ublažavanja ubrizgavanja onemogućena je pravilima sustava

Maps to Btdisabledusystempolicy. U ovom se retku prikazuje je li pravilo o ublaћivanju injekcije onemogućeno pomoću pravilnika sustava (primjerice pravilnika koje je odredio administrator). Pravilnik sustava odnosi se na kontrole registra kao što je dokumentirano uKB 4072698. Ako je toistina, pravilnik sustava odgovoran je za onemogućivanje ublažavanja. Ako jeFalse, smanjivanje je onemogućeno drugačijim uzrokom.

Podrška za Windows OS za ciljnu ublažavanje ubrizgavanja onemogućena je nedostatkom hardverske podrške

Karte za Btdisabledipodršku. U ovom se retku prikazuje je li onemogućena ciljna ublažavanja injekcije zbog nedostatka hardverske podrške. Ako je toistina, odsutnost hardverske podrške odgovorna je za onemogućivanje ublažavanja. Ako jeFalse, smanjivanje je onemogućeno drugačijim uzrokom.

Napomena Ako gost VM ne prepoznahardverskoažuriranje za hostiranje, Btdisabledisupport će uvijek biti istinit.

Špekulacije postavke kontrole za CVE-2017-5754 [nestašan predmemorija podataka load]

U ovom se odjeljku prikazuje status sustava sažetka za Variant 3,CVE-2017-5754, neraspoređeno Predmemoriranje podataka. Ublažavanje za to poznata je kao sjena u obliku kernel Virtual Address (VA) ili mogućnost ublažavanja učitavanja predmemorije podataka.

Za hardver je potrebna sjenčanje kernela

Karte na KVAShadowRequired. U ovom se retku pokazuje je li hardver ranjiv naCVE-2017-5754. Ako jeistina, smatra se da je hardver ranjiv na CVE-2017-5754. Ako jeFalse, poznato je da hardver nije ranjiv na CVE-2017-5754.

Podrška za Windows OS za kernel VA Shadow je prisutna

Karte na KVAShadowWindowsSupportPresent. U ovom se retku prikazuje je li prisutan operacijski sustav sustava Windows za sjenčanje značajke kernel VA. Ako je toistina, na uređaju je instaliran ažuriranje za Siječanj 2018, a sjena kernel va je podržana. Ako jeFalse, ažuriranje za Siječanj 2018 nije instalirano, a Podrška za kernel va Shadow ne postoji.

Omogućena je podrška za Windows OS za kernel VA Shadow

Karte na KVAShadowWindowsSupportEnabled. U ovom će se retku saznati je li značajka kernel VA sjena omogućena. Ako jeistina, smatra se da je hardver ranjiv nacve-2017-5754, prisutan je podrška za operacijski sustav Windows i značajka je omogućena. Značajka kernela VA Shadow trenutno je omogućena prema zadanim postavkama u klijentskim verzijama sustava Windows te je po zadanom onemogućena na verzijama sustava Windows Server. Ako jeFalse, Podrška za operacijski sustav Windows nije prisutna ili značajka nije omogućena.

Omogućena je podrška za Windows OS za optimizaciju performansi PCID-a

Napomena PCID nije obavezan za sigurnost. Označava samo ako je omogućeno poboljšanje performansi. PCID nije podržan u sustavu Windows Server 2008 R2

Karte za KVAShadowPcidEnabled. U ovom se retku prikazuje je li omogućena dodatna optimizacija performansi za kernel VA Shadow. Ako jeistina, omogućena je kernel va Shadow, hardverska Podrška za PCID je prisutna, a omogućen je i PCID optimizacija za kernel va Shadow. Ako jeFalse, hardver ili OS možda ne podržavaju PCID. Nije omogućena sigurnost za optimizaciju PCID-a.

Podrška za Windows OS za Speculative pohranu zaobići onesposobiti je prisutan

Karte na SSBDWindowsSupportPresent. U ovom se retku prikazuje je li Podrška za operacijski sustav Windows za Speculative skladištenje onemogućivanje prisutna. Ako je to istina , na uređaju je instaliran ažuriranje za Siječanj 2018, a sjena kernel va je podržana. Ako je False , ažuriranje za Siječanj 2018 nije instalirano, a Podrška za kernel va Shadow ne postoji.

Za hardver je potrebna spekulativna zaobilaženje pohrane

Karte na SSBDHardwareVulnerablePresent. U ovom se retku pokazuje je li hardver ranjiv na CVE-2018-3639. Ako je istina , smatra se da je hardver ranjiv na CVE-2018-3639. Ako je False , poznato je da hardver nije ranjiv na CVE-2018-3639.

Omogućena je podrška za hardver za Speculative pohrana

Karte za SSBDHardwarePresent. U ovom se retku prikazuje jesu li značajke hardvera prisutne da bi podržala Špeculative pohranu zaobići onesposobiti. OEM je odgovoran za pružanje ažuriranog BIOS-a/firmvera koji sadrži mikrokod koji vam je omogućio Intel. Ako je redak istinit , prisutne su potrebne značajke hardvera. Ako je redak False , potrebne značajke hardvera neće biti prisutne, pa se ne može uključiti spekulativna mogućnost zaobilaženje pohrane.

Napomena SSBDHardwarePresent bit će istinit u gostu VMS-u ako je ažuriranje OEM-a primijenjeno na glavnog računala.

 

Onemogućena je podrška za Windows OS za Speculative pohranu za zaobilaženje

Karte u programu SSBDWindowsSupportEnabledSystemWide. U ovom se retku prikazuje je li u operacijskom sustavu Windows uključeno Speculative pohrana za onemogućivanje. Ako je to istina , Podrška za hardversku i OS s podrškom za špekulativne pohrane onemogućeno je za uređaj koji sprječava da se pojavi zaobilaženje pohrane u programu Speculative, čime se potpuno eliminira sigurnosni rizik. Ako je False , istinito je jedan od sljedećih uvjeta:

  • Podrška za hardver nije prisutna.

  • Podrška za OS nije prisutna.

  • Pomoću ključeva registra nije uključen Speculative pohrana na premošćivanje. Upute za uključivanje potražite u sljedećim člancima:

Upute za informatike u programu Windows za IT profesionalce za zaštitu od spekulativnog izvršavanja nuspojava u kanalu

Upute za Windows Server za zaštitu od nagađanja na popratnim ranjivosti kanala

 

Špekulacije postavke kontrole za CVE-2018-3620 [Pogreška L1 terminala]

U ovom se odjeljku prikazuje status sistemskog sustava za L1TF (operacijski sustav) na koji se naziva CVE-2018-3620. Ova ublažavanja osigurava da se dijelovi sigurnog okvira stranice koriste za neprisutne ili nevaljane unose tablice stranica.

Napomena U ovom se odjeljku ne prikazuje sažetak statusa ublažavanja za L1TF (VMM) na koji se naziva CVE-2018-3646.

Hardver je ranjiv na terminal fault na L1: True

Karte na L1TFHardwareVulnerable. U ovom se retku prikazuje je li hardver ranjiv na terminal fault (L1TF, CVE-2018-3620). Ako je istina, smatra se da je hardver ranjiv na CVE-2018-3620. Ako je FALSE, poznato je da hardver nije ranjiv na CVE-2018-3620.

Podrška za Windows OS za sustav L1 terminal ublažavanja kvara predstavlja: True

Karte na L1TFWindowsSupportPresent. U ovom se retku prikazuje je li podrška operativnog sustava Windows za L1TF Ako je to istina, na uređaju je instalirana Nadogradnja na 2018 za kolovoz, a prisutna je i ublažavanje za CVE-2018-3620. Ako je FALSE, ažuriranje za Kolovoz 2018 nije instalirano, a ublažavanje za CVE-2018-3620 nije prisutan.

Omogućena je podrška za Windows OS za sustav L1 terminalnog ublažavanja kvara: True

Karte na L1TFWindowsSupportEnabled. U ovom se retku prikazuje je li omogućeno ublažavanje operacijskog sustava Windows za kvar na terminalu za L1 (L1TF, CVE-2018-3620). Ako je istina, smatra se da je hardver ranjiv na CVE-2018-3620, Podrška za operacijski sustav Windows za ublažavanje je prisutna, a olakšavanje je omogućeno. Ako je FALSE, hardver nije ranjiv, Podrška za operacijski sustav Windows nije prisutna ili ublažavanje nije omogućeno.

Špekulacije postavke kontrole za MDS [Mikroarhitektonski uzorkovanje podataka]

U ovom se odjeljku prikazuje status sustava za skup ranjivosti MDS-a, CVE-2018-11091, cve-2018-12126, CVE-2018-12127i CVE-2018-12130

Podrška za Windows OS za MIDS ublažavanja je prisutna

Karte na MDSWindowsSupportPresent. U ovom se retku prikazuje je li u sustavu sustava Windows omogućena podrška za upravljanje Microarhitektonskim podacima (MDS). Ako je to istina, na uređaju će se instalirati ažuriranje svibanj 2019, a prisutna je i ublažavanje MDS-a. Ako je FALSE, ažuriranje svibanj 2019 nije instalirano, a ublažavanje za MDS nije prisutna.

Hardver je ranjiv na MDS

Karte za Mdshard Wareranjiva. U ovom se retku upućuje na to je li hardver ranjiv na Mikroarhitektonska uzorka podataka (MDS) skup ranjivosti (CVE-2018-11091, cve-2018-12126, CVE-2018-12127, CVE-2018-12139). Ako je istina, smatra se da na hardver utječu te ranjivosti. Ako je FALSE, poznato je da hardver nije ranjiv.

Omogućena je podrška za Windows OS za ublažavanje MDS-a

Karte na MDSWindowsSupportEnabled. U ovom se retku prikazuje je li omogućeno ublažavanje operacijskog sustava Windows za stvaranje Mikroarhitektonskih podataka (MDS-a). Ako je to istina, na hardver se smatra da ima utjecaja na ranjivosti MDS-a, da je prisutna Podrška za Windows radi ublažavanja te je li omogućeno ublažavanje. Ako je FALSE, hardver nije ranjiv, Podrška za operacijski sustav Windows nije prisutna ili ublažavanje nije omogućeno.

Očekuje se sljedeći izlaz za računalo s omogućenim svim ublazanjima, zajedno s onim što je potrebno za zadovoljenje svakog uvjeta.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

U sljedećoj se tablici karte izlaze na ključeve registra koje su obuhvaćene smjernicama sustava Windows Server da bi se zaštitili od ranjivosti nuspojava na popratnom kanalu.

Ključ registra

Mapiranje

Web-dio

Ciljna injekcija u grani – Btwindowssupportenabled

Web-dio

Učitavanje predmemorije podataka u odjeljku Maps to-Rogue – VAShadowWindowsSupportEnabled

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×