|
Dátum módosítása |
A módosítás leírása |
|---|---|
|
2023. július 17. |
Hozzáadta az MMIO-t és a kimeneti értékek konkrét leírását a "Kimenet, amely minden kockázatcsökkentést engedélyezve van" szakaszban |
Összefoglalás
A spekulatív végrehajtás oldalcsatornás kockázatcsökkentéseinek állapotának ellenőrzéséhez közzétettünk egy PowerShell-szkriptet (SpeculationControl), amely futtatható az eszközein. Ez a cikk bemutatja, hogyan futtatható a SpeculationControl szkript, és mit jelent a kimenet.
Az ADV180002, az ADV180012, az ADV180018 és az ADV190013 biztonsági tanácsadás a következő kilenc biztonsági rést fedi le:
-
CVE-2017-5715 (ágcél injektálás)
-
CVE-2017-5753 (határellenőrzés megkerülése)
Megjegyzés A CVE-2017-5753 védelme (a korlátok ellenőrzése) nem igényel további beállításjegyzék-beállításokat vagy belső vezérlőprogram-frissítéseket.
-
CVE-2017-5754 (rosszindulatú adatgyorsítótár-terhelés)
-
CVE-2018-3639 (spekulatív tároló megkerülése)
-
CVE-2018-3620 (L1 terminálhiba – operációs rendszer)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (mikroarchitekturális kitöltőpuffer adatmintázása (MFBDS))
Az ADV220002 tanácsadó a Memory-Mapped I/O-hoz (MMIO) kapcsolódó további biztonsági réseket fedi le:
-
CVE-2022-21123 | Megosztott pufferadatok olvasása (SBDR)
-
CVE-2022-21125 | Megosztott pufferadatok mintavételezése (SBDS)
-
CVE-2022-21127 | Speciális regiszterpufferadatok mintavételezési frissítése (SRBDS-frissítés)
-
CVE-2022-21166 | Eszközregisztrálás részleges írása (DRPW)
Ez a cikk részletesen ismerteti a SpeculationControl PowerShell-szkriptet, amely segít meghatározni a felsorolt, további beállításjegyzék-beállításokat és bizonyos esetekben belső vezérlőprogram-frissítéseket igénylő CVE-k kockázatcsökkentéseinek állapotát.
További információ
SpeculationControl PowerShell-szkript
Telepítse és futtassa a SpeculationControl szkriptet az alábbi módszerek egyikével.
|
1. módszer: PowerShell-ellenőrzés a PowerShell-galéria használatával (Windows Server 2016 vagy WMF 5.0/5.1) |
|
A PowerShell-modul telepítése PS> Install-Module SpeculationControl Futtassa a SpeculationControl PowerShell-modult annak ellenőrzéséhez, hogy a védelem engedélyezve van-e PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
2. módszer: PowerShell-ellenőrzés a TechNet letöltésével (korábbi operációsrendszer-verziók/korábbi WMF-verziók) |
|
A PowerShell-modul telepítése a TechNet ScriptCenterból
A PowerShell-modul futtatásával ellenőrizze, hogy a védelem engedélyezve van-e Indítsa el a PowerShellt, majd (a fenti példával) másolja és futtassa a következő parancsokat: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-szkript kimenete
A SpeculationControl PowerShell-szkript kimenete az alábbihoz hasonló lesz. Az engedélyezett védelem "Igaz" értékként jelenik meg a kimenetben.
PS C:\> Get-SpeculationControlSettings
Spekulációs vezérlési beállítások a CVE-2017-5715 -höz [ágcél injektálása]
Az ágcél-injektálási kockázatcsökkentés hardveres támogatása jelen van: Hamis
A Windows operációs rendszer támogatja az ági célinjektálási kockázatcsökkentést: Igaz
A Windows operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentéshez engedélyezve van: Hamis
A windowsos operációs rendszer támogatását a rendszerházirend letiltja az ágcél-injektálási kockázatcsökkentéshez: Igaz
A windowsos operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentés hardvertámogatás hiányában le van tiltva: Igaz
Spekulációs vezérlési beállítások a CVE-2017-5754 esetében [rosszindulatú adatgyorsítótár-terhelés]
A hardver sebezhető a rosszindulatú adatgyorsítótár-terheléssel szemben: Igaz
A Windows operációs rendszer támogatja a rosszindulatú adatgyorsítótár terheléscsökkentését: Igaz
A Windows operációs rendszer támogatja a rosszindulatú adatgyorsítótár terheléscsökkentését: Igaz
A hardverhez kernel VA árnyékolása szükséges: Igaz
A Windows operációs rendszer támogatja a kernel VA árnyékát: Hamis
A Windows operációs rendszer támogatása a kernel VA árnyékához engedélyezve van: Hamis
A Windows operációs rendszer PCID-optimalizálási támogatása engedélyezve van: Hamis
Spekulációs vezérlési beállítások a CVE-2018-3639-hez [spekulatív tároló megkerülése]
A hardver sebezhető a spekulatív tároló megkerülésével szemben: Igaz
A spekulatív tárolók megkerülésével kapcsolatos kockázatcsökkentés hardveres támogatása jelen van: Hamis
A Spekulatív tárolók megkerülése esetén a Windows operációs rendszer támogatása jelen van: Igaz
A Spekulatív tárolók megkerülésével kapcsolatos kockázatcsökkentés windowsos operációsrendszer-támogatása rendszerszinten engedélyezve van: Hamis
A CVE-2018-3620 spekulációs vezérlési beállításai [L1 terminálhiba]
A hardver sebezhető az L1 terminálhibával szemben: Igaz
A Windows operációs rendszer támogatja az L1 terminálhibák elhárítását: Igaz
A Windows operációs rendszer támogatása az L1 terminálhibák elhárításához engedélyezve van: Igaz
Spekulációs vezérlési beállítások az MDS-hez [mikroarchitekturális adatok mintavételezése]
A Windows operációs rendszer MDS-kockázatcsökkentési támogatása jelen van: Igaz
A hardver sebezhető az MDS-nek: Igaz
A Windows operációs rendszer MDS-kockázatcsökkentéshez való támogatása engedélyezve van: Igaz
Spekulációs vezérlési beállítások az SBDR-hez [megosztott pufferek adatainak olvasása]
A Windows operációs rendszer támogatja az SBDR-kockázatcsökkentést: Igaz
A hardver sebezhető az SBDR-vel szemben: Igaz
A Windows operációs rendszer támogatása az SBDR-kockázatcsökkentéshez engedélyezve van: Igaz
Spekulációs vezérlési beállítások az FBSDP-hez [kitöltőpuffer elavult adatpropagálója]
A Windows operációs rendszer támogatja az FBSDP-kockázatcsökkentést: Igaz
A hardver sebezhető az FBSDP-vel szemben: Igaz
A Windows operációs rendszer támogatása az FBSDP-kockázatcsökkentéshez engedélyezve van: Igaz
Spekulációs vezérlési beállítások a PSDP-hez [elsődleges elavult adatpropagáló]
A Windows operációs rendszer támogatja a PSDP-kockázatcsökkentést: Igaz
A hardver sebezhető a PSDP-vel szemben: Igaz
A Windows operációs rendszer PSDP-kockázatcsökkentéshez való támogatása engedélyezve van: Igaz
BTIHardwarePresent: Igaz
BTIWindowsSupportPresent: Igaz
BTIWindowsSupportEnabled: Igaz
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: Igaz
BTIKernelImportOptimizationEnabled: Igaz
RdclHardwareProtectedReported: Igaz
RdclHardwareProtected: False
KVAShadowRequired: Igaz
KVAShadowWindowsSupportPresent: Igaz
KVAShadowWindowsSupportEnabled: Igaz
KVAShadowPcidEnabled: Igaz
SSBDWindowsSupportPresent: Igaz
SSBDHardwareVulnerable: Igaz
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: Igaz
L1TFWindowsSupportPresent: Igaz
L1TFWindowsSupportEnabled: Igaz
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: Igaz
MDSWindowsSupportPresent: Igaz
MDSHardwareVulnerable: Igaz
MDSWindowsSupportEnabled: Igaz
FBClearWindowsSupportPresent: Igaz
SBDRSSDPHardwareVulnerable: Igaz
FBSDPHardwareVulnerable: Igaz
PSDPHardwareVulnerable: Igaz
A SpeculationControl PowerShell-szkript kimenetének magyarázata
A végső kimeneti rács az előző sorok kimenetére van leképeződve. Ez azért jelenik meg, mert a PowerShell kinyomtatja a függvény által visszaadott objektumot. Az alábbi táblázat a PowerShell-szkript kimenetének minden sorát ismerteti.
|
Kimeneti |
Magyarázat |
|
Spekulációs vezérlési beállítások a CVE-2017-5715 -höz [ágcél injektálása] |
Ez a szakasz a 2., CVE-2017-5715. |
|
Hardveres támogatás érhető el az ág célinjektálásának kockázatcsökkentéséhez |
A BTIHardwarePresentre van leképezve. Ez a sor azt jelzi, hogy vannak-e hardverfunkciók az ág célinjektálási kockázatcsökkentésének támogatásához. Az eszközgyártó feladata a processzorgyártók által biztosított mikrokódot tartalmazó frissített BIOS/belső vezérlőprogram biztosítása. Ha ez a sor Igaz, a szükséges hardverfunkciók is elérhetők. Ha a sor Hamis, a szükséges hardverfunkciók nem jelennek meg. Ezért az ág célinjektálási kockázatcsökkentése nem engedélyezhető. Megjegyzés A BTIHardwarePresent igaz lesz a vendég virtuális gépeken, ha az OEM-frissítést alkalmazza a gazdagépre, ésútmutatást követ. |
|
A Windows operációs rendszer támogatja az ági célinjektálási kockázatcsökkentést |
Térképek a BTIWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e az ág célinjektálási kockázatcsökkentését. Ha igaz, az operációs rendszer támogatja az ág célinjektálási kockázatcsökkentésének engedélyezését (ezért telepítette a 2018. januári frissítést). Ha hamis, a 2018. januári frissítés nincs telepítve az eszközön, és az ág célinjektálási kockázatcsökkentése nem engedélyezhető. Megjegyzés Ha egy vendég virtuális gép nem észleli a gazdagép hardverfrissítését, a BTIWindowsSupportEnabled mindig False (Hamis) lesz. |
|
Engedélyezve van a Windows operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentéshez |
Térképek a BTIWindowsSupportEnabled fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatása engedélyezve van-e az ág célinjektálási kockázatcsökkentéséhez. Ha igaz, az ágcél-injektálási kockázatcsökkentés hardvertámogatása és operációsrendszer-támogatása engedélyezve van az eszközön, így védelmet nyújt a CVE-2017-5715-höz. Ha hamis, az alábbi feltételek egyike teljesül:
|
|
A windowsos operációs rendszer támogatását a rendszerházirend letiltotta a fiókcél-injektálási kockázatcsökkentéshez |
Leképezi a BTIDisabledBySystemPolicy objektumot. Ez a sor azt jelzi, hogy az ágcél injektálási kockázatcsökkentését letiltotta-e a rendszerházirend (például egy rendszergazda által definiált szabályzat). A rendszerházirend a KB4072698-ban dokumentált beállításjegyzék-vezérlőkre hivatkozik. Ha igaz, a rendszerházirend felelős a kockázatcsökkentés letiltásáért. Ha hamis, a kockázatcsökkentést egy másik ok tiltja le. |
|
A Windows operációs rendszer támogatása az ágcél-injektálási kockázatcsökkentés hardvertámogatás hiányában le van tiltva |
A BTIDisabledByNoHardwareSupport leképezése. Ez a sor azt jelzi, hogy az ág célinjektálási kockázatcsökkentése le van-e tiltva a hardvertámogatás hiánya miatt. Ha igaz, a hardvertámogatás hiánya felelős a kockázatcsökkentés letiltásáért. Ha hamis, a kockázatcsökkentést egy másik ok tiltja le. MegjegyzésHa egy vendég virtuális gép nem tudja észlelni a gazdagép hardverfrissítését, a BTIDisabledByNoHardwareSupport mindig Igaz értékű lesz. |
|
Spekulációs vezérlési beállítások a CVE-2017-5754 esetében [rosszindulatú adatgyorsítótár-terhelés] |
Ez a szakasz a 3. változat, a CVE-2017-5754 és a rosszindulatú adatgyorsítótár-terhelés összefoglaló rendszerállapotát ismerteti. Ennek megoldását kernel virtuális cím (VA) árnyékának vagy a rosszindulatú adatgyorsítótár terheléscsökkentésének nevezik. |
|
A hardver sebezhető a rosszindulatú adatgyorsítótár-terheléssel szemben |
Az RdclHardwareProtected leképezése. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a CVE-2017-5754-es verzióval szemben. Ha igaz, akkor a hardver sebezhetőnek tűnik a CVE-2017-5754-zel szemben. Ha hamis, a hardverről ismert, hogy nem sebezhető a CVE-2017-5754-tal szemben. |
|
A Windows operációs rendszer támogatja a rosszindulatú adatgyorsítótár terheléscsökkentését |
Leképezések a KVAShadowWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a kernel VA árnyékszolgáltatását. |
|
Engedélyezve van a Windows operációs rendszer támogatása a rosszindulatú adatgyorsítótár terheléscsökkentéséhez |
Térkép a KVAShadowWindowsSupportEnabled fájlra. Ez a sor jelzi, hogy a kernel VA árnyék funkciója engedélyezve van-e. Ha igaz, a hardverről úgy vélik, hogy sebezhető a CVE-2017-5754, a Windows operációs rendszer támogatása és a funkció engedélyezve van. |
|
A hardverhez kernel VA árnyékolása szükséges |
A KVAShadowRequired térképe. Ez a sor azt jelzi, hogy a rendszernek szüksége van-e kernelszintű biztonságirés-árnyékolásra a biztonsági rések mérsékléséhez. |
|
A Windows operációs rendszer támogatja a kernel VA árnyékát |
Leképezések a KVAShadowWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a kernel VA árnyékszolgáltatását. Ha igaz, a 2018. januári frissítés telepítve van az eszközön, és a kernel VA árnyéka támogatott. Ha hamis, a 2018. januári frissítés nincs telepítve, és a kernel VA árnyéktámogatása nem létezik. |
|
A Windows operációs rendszer támogatása a kernel VA árnyékához engedélyezve van |
Térkép a KVAShadowWindowsSupportEnabled fájlra. Ez a sor jelzi, hogy a kernel VA árnyék funkciója engedélyezve van-e. Ha igaz, a Windows operációs rendszer támogatása jelen van, és a funkció engedélyezve van. A Kernel VA árnyék funkciója jelenleg alapértelmezés szerint engedélyezve van a Windows ügyfélverzióiban, és alapértelmezés szerint le van tiltva a Windows Server verzióiban. Ha hamis, akkor vagy a Windows operációs rendszer támogatása nincs jelen, vagy a funkció nincs engedélyezve. |
|
A Windows operációs rendszer pcID-teljesítményoptimalizálási támogatása engedélyezve van MegjegyzésA biztonsághoz nincs szükség PCID azonosítóra. Csak azt jelzi, hogy engedélyezve van-e a teljesítmény javítása. A PCID nem támogatott a Windows Server 2008 R2-ben |
A KVAShadowPcidEnabled útvonalra van leképezve. Ez a sor azt jelzi, hogy engedélyezve van-e további teljesítményoptimalizálás a kernel VA árnyékához. Ha igaz, a kernel VA árnyéka engedélyezve van, a PCID hardveres támogatása jelen van, és a RENDSZERAZONOSÍTÓ optimalizálása a kernel VA árnyékához engedélyezve van. Ha hamis, előfordulhat, hogy a hardver vagy az operációs rendszer nem támogatja a PCID-t. Nem biztonsági gyengeség, hogy a PCID-optimalizálás nem engedélyezhető. |
|
A Spekulatív áruház megkerülését letiltó Windows operációs rendszer támogatása jelen van |
Leképezések az SSBDWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a spekulatív áruház megkerülési letiltását. Ha igaz, a 2018. januári frissítés telepítve van az eszközön, és a kernel VA árnyéka támogatott. Ha hamis, a 2018. januári frissítés nincs telepítve, és a kernel VA árnyéktámogatása nem létezik. |
|
A hardverhez spekulatív tároló megkerülése le kell tiltani |
Leképezi az SSBDHardwareVulnerablePresentet. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a CVE-2018-3639-nel szemben. Ha igaz, akkor a hardver sebezhetőnek tűnik a CVE-2018-3639-zel szemben. Ha hamis, a hardverről ismert, hogy nem sebezhető a CVE-2018-3639-tal szemben. |
|
A spekulatív tároló megkerülése letiltásának hardveres támogatása jelen van |
Leképezi az SSBDHardwarePresentet. Ebből a sorból megtudhatja, hogy vannak-e hardverfunkciók a spekulatív áruház megkerülő letiltásának támogatásához. Az eszköz OEM-jének feladata az Intel által biztosított mikrokódot tartalmazó frissített BIOS/belső vezérlőprogram biztosítása. Ha ez a sor Igaz, a szükséges hardverfunkciók is elérhetők. Ha a sor Hamis, a szükséges hardverfunkciók nem jelennek meg. Ezért a spekulatív tároló megkerülése letiltása nem kapcsolható be. Megjegyzés Az SSBDHardwarePresent értéke Igaz lesz a vendég virtuális gépeken, ha az OEM-frissítést alkalmazza a gazdagépre. |
|
A Spekulatív áruház megkerülése letiltás windowsos operációs rendszer általi támogatása be van kapcsolva |
Leképezi az SSBDWindowsSupportEnabledSystemWide objektumot. Ez a sor azt jelzi, hogy a Spekulatív tár megkerülése letiltás be van-e kapcsolva a Windows operációs rendszerben. Ha igaz, a spekulatív áruház megkerülésének letiltása hardvertámogatása és operációsrendszer-támogatása be van kapcsolva az eszközön, ami megakadályozza a spekulatív tároló megkerülését, így teljes mértékben kiküszöböli a biztonsági kockázatot. Ha hamis, az alábbi feltételek egyike teljesül:
|
|
A CVE-2018-3620 spekulációs vezérlési beállításai [L1 terminálhiba] |
Ez a szakasz a CVE-2018-3620 által hivatkozott L1TF (operációs rendszer) összefoglaló rendszerállapotát ismerteti. Ez a kockázatcsökkentés biztosítja, hogy a rendszer biztonságos oldalkeretbiteket használ a nem jelen lévő vagy érvénytelen oldaltábla-bejegyzésekhez. Megjegyzés Ez a szakasz nem tartalmazza a CVE-2018-3646 által hivatkozott L1TF (VMM) kockázatcsökkentési állapotát. |
|
A hardver sebezhető az L1 terminálhibával szemben: Igaz |
Leképezhető az L1TFHardwareVulnerable fájlra. Ez a sor jelzi, hogy a hardver sebezhető-e az L1 terminálhibával (L1TF, CVE-2018-3620). Ha igaz, a hardverről úgy vélik, hogy sebezhető a CVE-2018-3620-tal szemben. Ha hamis, a hardverről ismert, hogy nem sebezhető a CVE-2018-3620-tal szemben. |
|
A Windows operációs rendszer támogatja az L1 terminálhibák elhárítását: Igaz |
Térképek az L1TFWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e az L1 terminálhiba (L1TF) operációs rendszer kockázatcsökkentését. Ha igaz, a 2018. augusztusi frissítés telepítve van az eszközön, és a CVE-2018-3620 kockázatcsökkentése is jelen van. Ha hamis, a 2018. augusztusi frissítés nincs telepítve, és a CVE-2018-3620 kockázatcsökkentése nincs jelen. |
|
A Windows operációs rendszer támogatása az L1 terminálhibák elhárításához engedélyezve van: Igaz |
Megfelel az L1TFWindowsSupportEnabled fájlnak. Ez a sor jelzi, hogy engedélyezve van-e az L1 terminálhiba (L1TF, CVE-2018-3620) Windows operációsrendszer-kockázatcsökkentése. Ha igaz, a hardver sebezhetőnek tűnik a CVE-2018-3620 rendszerrel szemben, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve. |
|
Spekulációs vezérlési beállítások az MDS-hez [Mikroarchitekturális adatok mintavételezése] |
Ez a szakasz a biztonsági rések MDS-készletének rendszerállapotát tartalmazza: CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 és ADV220002. |
|
A Windows operációs rendszer MDS-kockázatcsökkentési támogatása jelen van |
Leképezések az MDSWindowsSupportPresent fájlra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a mikroarchitekturális adatmintavétel (MDS) operációs rendszer kockázatcsökkentését. Ha igaz, a 2019. májusi frissítés telepítve van az eszközön, és az MDS-sel kapcsolatos kockázatcsökkentés is jelen van. Ha hamis, a 2019. májusi frissítés nincs telepítve, és az MDS-sel kapcsolatos kockázatcsökkentés nincs jelen. |
|
A hardver sebezhető az MDS-hez |
Az MDSHardwareVulnerable leképezése. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a mikroarchitekturális adatmintavétel (MDS) biztonsági réseinek (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) miatt. Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető. |
|
A Windows operációs rendszer támogatása az MDS-kockázatcsökkentéshez engedélyezve van |
Leképezések az MDSWindowsSupportEnabled fájlra. Ez a sor jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése a mikroarchitekturális adatmintavételhez (MDS). Ha igaz, úgy vélik, hogy a hardverre hatással vannak az MDS biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve. |
|
A Windows operációs rendszer támogatja az SBDR-kockázatcsökkentést |
Leképezések az FBClearWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e az SBDR operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és az SBDR-hez tartozó kockázatcsökkentés is jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és az SBDR-hez tartozó kockázatcsökkentés nincs jelen. |
|
A hardver sebezhető az SBDR-vel szemben |
Leképezi az SBDRSSDPHardwareVulnerable függvényt. Ez a sor azt jelzi, hogy a hardver sebezhető-e az SBDR [megosztott pufferek adatainak olvasása] biztonsági rések készletével (CVE-2022-21123). Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető. |
|
A Windows operációs rendszer támogatása az SBDR-kockázatcsökkentéshez engedélyezve van |
Megfelel az FBClearWindowsSupportEnabled fájlnak. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése az SBDR [megosztott pufferek adatainak olvasása] esetében. Ha igaz, úgy vélik, hogy a hardverre hatással vannak az SBDR biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve. |
|
A Windows operációs rendszer támogatása az FBSDP-kockázatcsökkentéshez jelen van |
Leképezések az FBClearWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e az FBSDP operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és az FBSDP-vel kapcsolatos kockázatcsökkentés is jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és az FBSDP-vel kapcsolatos kockázatcsökkentés nincs jelen. |
|
A hardver sebezhető az FBSDP-vel szemben |
Az FBSDPHardwareVulnerable leképezése. Ez a sor azt jelzi, hogy a hardver sebezhető-e az FBSDP [kitöltőpuffer elavult adatpropagálója] biztonsági rések készletével (CVE-2022-21125, CVE-2022-21127 és CVE-2022-21166). Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető. |
|
A Windows operációs rendszer támogatása az FBSDP-kockázatcsökkentéshez engedélyezve van |
Megfelel az FBClearWindowsSupportEnabled fájlnak. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése az FBSDP [kitöltőpuffer elavult adatpropagátora] esetében. Ha igaz, úgy vélik, hogy a hardverre hatással vannak az FBSDP biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve. |
|
A Windows operációs rendszer támogatja a PSDP-kockázatcsökkentést |
Leképezések az FBClearWindowsSupportPresent fájlra. Ez a sor jelzi, hogy a Windows operációs rendszer támogatja-e a PSDP operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és a PSDP-vel kapcsolatos kockázatcsökkentés is jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és a PSDP-vel kapcsolatos kockázatcsökkentés nincs jelen. |
|
A hardver sebezhető a PSDP-vel szemben |
A PSDPHardwareVulnerable leképezése. Ez a sor azt jelzi, hogy a hardver sebezhető-e a biztonsági rések PSDP-készletével (elsődleges elavult adatpropagátor). Ha igaz, úgy vélik, hogy a hardverre hatással vannak ezek a biztonsági rések. Ha hamis, a hardver nem sebezhető. |
|
A Windows operációs rendszer PSDP-kockázatcsökkentéshez való támogatása engedélyezve van |
Megfelel az FBClearWindowsSupportEnabled fájlnak. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer kockázatcsökkentése az [elsődleges elavult adatok propagálója] PSDP-hez. Ha igaz, úgy vélik, hogy a hardvert érintik a PSDP biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha hamis, a hardver nem sebezhető, a Windows operációs rendszer támogatása nincs jelen, vagy a kockázatcsökkentés nincs engedélyezve. |
Az összes kockázatcsökkentést engedélyező kimenet
A következő kimenet várható egy olyan eszköz esetében, amelyen engedélyezve van az összes kockázatcsökkentés, valamint az egyes feltételek teljesítéséhez szükséges adatok.
BTIHardwarePresent: True -> OEM BIOS/firmware-frissítés alkalmazva
BTIWindowsSupportPresent: True -> 2018. januári frissítés telepítve
BTIWindowsSupportEnabled: True -> az ügyfélen, nincs szükség beavatkozásra. A kiszolgálón kövesse az útmutatást.
BTIDisabledBySystemPolicy: False -> győződjön meg arról, hogy a szabályzat nem tiltja le.
BTIDisabledByNoHardwareSupport: False -> győződjön meg arról, hogy az OEM BIOS/firmware-frissítés alkalmazva van.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: Igaz
KVAShadowRequired: Igaz vagy Hamis - > nincs művelet, ez a számítógép által használt
PROCESSZOR függvénye
Ha a KVAShadowRequired értéke Igaz
KVAShadowWindowsSupportPresent: True -> install 2018. januári frissítés
KVAShadowWindowsSupportEnabled: True -> az ügyfélen, nincs szükség beavatkozásra. A kiszolgálón kövesse az útmutatást.
KVAShadowPcidEnabled: Igaz vagy Hamis - > nincs művelet, ez a számítógép által használt PROCESSZOR függvénye
Ha az SSBDHardwareVulnerablePresent értéke Igaz
SSBDWindowsSupportPresent: True -> telepítse a Windows-frissítéseket az ADV180012-ben
dokumentált módon
SSBDHardwarePresent: Igaz – > telepítse a BIOS/belső vezérlőprogram frissítését az eszköz OEM-jének
SSBD-támogatásával
SSBDWindowsSupportEnabledSystemWide: True -> kövesse az SSBD bekapcsolásához javasolt műveleteket
Ha az L1TFHardwareVulnerable értéke Igaz
L1TFWindowsSupportPresent: True -> telepítse a Windows-frissítéseket az ADV180018-ban
dokumentált módon
L1TFWindowsSupportEnabled: True -> kövesse a Windows Server vagy ügyfél ADV180018-ban ismertetett műveleteket a kockázatcsökkentés
engedélyezéséhez
L1TFInvalidPteBit: 0
L1DFlushSupported: Igaz
MDSWindowsSupportPresent: True -> install 2022. júniusi frissítés
MDSHardwareVulnerable: Hamis > hardverről ismert, hogy nem sebezhető
MDSWindowsSupportEnabled: A mikroarchitekturális adatmintavétel (MDS) true -> kockázatcsökkentése
engedélyezve van
FBClearWindowsSupportPresent: True -> install 2022. júniusi frissítés
SBDRSSDPHardwareVulnerable: Igaz – > hardvert vélhetően érintik ezek a biztonsági rések
FBSDPHardwareVulnerable: Igaz - > hardverről úgy vélik, hogy ezek a biztonsági rések
befolyásolják
PSDPHardwareVulnerable: Igaz - > hardverről úgy vélik, hogy ezek a biztonsági rések
befolyásolják
FBClearWindowsSupportEnabled: True -> Az SBDR/FBSDP/PSDP kockázatcsökkentési engedélyezését jelöli. Győződjön meg arról, hogy az OEM BIOS/belső vezérlőprogram frissült, az FBClearWindowsSupportPresent értéke Igaz, az ADV220002-ben és a KVAShadowWindowsSupportEnabledben ismertetett kockázatcsökkentések true (Igaz) értékűek.
Rendszerleíró
Az alábbi táblázat leképezi a kimenetet a KB4072698-ban tárgyalt beállításkulcsokhoz: A Windows Server és az Azure Stack HCI útmutatója a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez.
|
Beállításkulcs |
Hozzárendelés |
|
FeatureSettingsOverride – 0. bit |
Leképezések – Ág célinjektálás – BTIWindowsSupportEnabled |
|
FeatureSettingsOverride – 1. bit |
Térképek – Rogue adatgyorsítótár betöltése – VAShadowWindowsSupportEnabled |
Referenciák
Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.
