KB4074629: A SpeculationControl PowerShell-szkript kimenetének ismertetése

Módosítási napló

Dátum módosítása	A változás leírása
Július 17, 2023	A "Minden kockázatcsökkentést engedélyező kimenet" szakaszban MMIO és a kimeneti értékek konkrét leírása hozzáadva

Összegzés

A spekulatív végrehajtási, oldalcsatornán elérhető kockázatcsökkentések állapotának ellenőrzéséhez közzétettünk egy PowerShell-szkriptet (SpeculationControl), amely futtatható az eszközein. Ez a cikk ismerteti a SpeculationControl szkript futtatását, és mit jelent a kimenet.

A ADV180002, ADV180012,ADV180018 és ADV190013 biztonsági tanácsok az alábbi kilenc biztonsági rést fedik le:

CVE-2017-5715 (elágazáscél-beszúrás)
CVE-2017-5753 (kötésellenőrzés megkerülése)

Megjegyzés

Megjegyzés A CVE-2017-5753 elleni védelem (kötések ellenőrzése) nem igényel további beállításjegyzék-beállításokat vagy belső vezérlőprogram-frissítéseket.
CVE-2017-5754 (engedélyezetlen adatgyorsítótár betöltése)
CVE-2018-3639 (spekulatív áruház megkerülése)
CVE-2018-3620 (L1 sorkapocshiba – Operációs rendszer)
CVE-2018-11091 (mikroarchitekturális adatok mintavétele, nem gyorsítótárazható memória (MDSUM))
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
CVE-2018-12130 (Mikroarchitekturális kitöltési puffer adatmintavétel (MFBDS))

A tanácsadó ADV220002 az Memory-Mapped I/O (MMIO) biztonsági résekre terjed ki:

CVE-2022-21123 | Megosztott pufferadatok olvasása (SBDR)
CVE-2022-21125 | Megosztott pufferadat-mintavétel (SBDS)
CVE-2022-21127 | Speciális regiszterpuffer adatmintavételi frissítés (SRBDS-frissítés)
CVE-2022-21166 | Eszközregiszter részleges írás (DRPW)

Ez a cikk a SpeculationControl PowerShell-parancsfájlról nyújt részletes tájékoztatást, amely segít meghatározni a felsorolt CVE-k kockázatcsökkentésének állapotát, amely további beállításjegyzék-beállításokat és bizonyos esetekben belső vezérlőprogram-frissítéseket igényel.

További információ

SpeculationControl PowerShell-szkript

Telepítse és futtassa a SpeculationControl parancsfájlt az alábbi módszerek egyikével.

1. módszer: PowerShell-ellenőrzés a PowerShell-galéria használatával (Windows Server 2016 vagy WMF 5.0/5.1)
A PowerShell-modul telepítése `PS> Install-Module SpeculationControl` Futtassa a SpeculationControl PowerShell-modult, és ellenőrizze, hogy engedélyezve vannak-e a védelmek `PS> # Save the current execution policy so it can be reset` `PS> $SaveExecutionPolicy = Get-ExecutionPolicy` `PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser` `PS> Import-Module SpeculationControl` `PS> Get-SpeculationControlSettings` `PS> # Reset the execution policy to the original state` `PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser`

1. módszer: PowerShell-ellenőrzés a PowerShell-galéria használatával (Windows Server 2016 vagy WMF 5.0/5.1)

A PowerShell-modul telepítése
PS> Install-Module SpeculationControl
Futtassa a SpeculationControl PowerShell-modult, és ellenőrizze, hogy engedélyezve vannak-e a védelmek
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2. módszer: PowerShell-ellenőrzés a TechNet webhelyről letölthető eszközzel (korábbi operációsrendszer-verziók/korábbi WMF-verziók)
A PowerShell-modul telepítése a TechNet ScriptCenter alkalmazásból Nyissa meg a https://aka.ms/SpeculationControlPS. Töltse le SpeculationControl.zip egy helyi mappába. Bontsa ki a tartalmat egy helyi mappába, például C:\ADV180002 A PowerShell-modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmek Indítsa el a PowerShellt, majd (a fenti példát követve) másolja és futtassa az alábbi parancsokat: `PS> # Save the current execution policy so it can be reset` `PS> $SaveExecutionPolicy = Get-ExecutionPolicy` `PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser` `PS> CD C:\ADV180002\SpeculationControl` `PS> Import-Module .\SpeculationControl.psd1` `PS> Get-SpeculationControlSettings` `PS> # Reset the execution policy to the original state` `PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser`

2. módszer: PowerShell-ellenőrzés a TechNet webhelyről letölthető eszközzel (korábbi operációsrendszer-verziók/korábbi WMF-verziók)

A PowerShell-modul telepítése a TechNet ScriptCenter alkalmazásból

Nyissa meg a https://aka.ms/SpeculationControlPS.
Töltse le SpeculationControl.zip egy helyi mappába.
Bontsa ki a tartalmat egy helyi mappába, például C:\ADV180002

A PowerShell-modul futtatásával ellenőrizze, hogy engedélyezve vannak-e a védelmek

Indítsa el a PowerShellt, majd (a fenti példát követve) másolja és futtassa az alábbi parancsokat:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-parancsprogram kimenete

A SpeculationControl PowerShell-szkript kimenete a következő kimenetre fog hasonlítani. Az engedélyezett védelem "Igaz" értékkel jelenik meg a kimenetben.

PS C:\> Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]

Az elágazáscél-beszúrás kockázatcsökkentésének hardveres támogatása jelen van: Hamis
A Windows operációs rendszer támogatja az elágazáscél-beszúrásnak a kockázatcsökkentését: Igaz
A Windows operációs rendszer elágazáscél-beszúrási kockázatcsökkentésének támogatása engedélyezve van: Hamis
A Windows operációs rendszer elágazáscél-beszúrási kockázatcsökkentésének támogatása le van tiltva a rendszerházirend miatt: Igaz
A Windows operációs rendszer támogatása az elágazáscél-beszúrásos megoldáshoz le van tiltva a hardvertámogatás hiánya miatt: Igaz

Speculation control settings for CVE-2017-5754 [rogue data cache load]

A hardver sebezhető az engedélyezetlen adatgyorsítótár-terheléssel szemben: Igaz
A Windows operációs rendszer támogatja az engedélyezetlen adatgyorsítótár terheléscsökkentését: Igaz
A Windows operációs rendszer engedélyezve van az engedélyezetlen adatgyorsítótár-terheléscsökkentés támogatására: Igaz

A hardverhez a kernel VA árnyékolása szükséges: Igaz
A Windows operációs rendszer támogatja a kernel VA árnyékát: Hamis
A Windows operációs rendszer támogatja a VA árnyék kernelt: False
A Windows operációs rendszer PCID-optimalizálási támogatása engedélyezve van: Hamis

Speculation control settings for CVE-2018-3639 [speculative store bypass]

A hardver ki van téve a spekulatív áruház megkerülésének: Igaz
A spekulatív tároló megkerülésének kockázatcsökkentése hardveres támogatás van jelen: Hamis
A Windows operációs rendszer támogatja a tároló megkerülésének spekulatív megkerülését célzó kockázatcsökkentést: Igaz
A Windows operációs rendszer támogatása a spekulatív tároló megkerülésének kockázatcsökkentéséhez a rendszer egészében engedélyezve van: Hamis

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

A hardver ki van téve az L1-terminál hibájának: Igaz
A Windows operációs rendszer L1 terminál hibaelhárítási támogatása jelen van: Igaz
A Windows operációs rendszer L1 terminál hibaelhárításának támogatása engedélyezve van: Igaz

Speculation control settings for MDS [microarchitectural data sampling]

A Windows operációs rendszer MDS-kockázatcsökkentési támogatása jelen van: Igaz
A hardver sebezhető az MDS számára: Igaz
A Windows operációs rendszer MDS-kockázatcsökkentési támogatása engedélyezve van: Igaz

SBDR spekulációvezérlési beállításai [megosztott pufferadatok olvasása]

A Windows operációs rendszer SBDR-kockázatcsökkentési támogatása jelen van: Igaz
A hardver sebezhető az SBDR-rel szemben: Igaz
A Windows operációs rendszer SBDR-kockázatcsökkentési támogatása engedélyezve van: Igaz

Speculation control settings for FBSDP [fill buffer elavult data propagator]

A Windows operációs rendszer FBSDP-kockázatcsökkentési támogatása jelen van: Igaz
A hardver sebezhető az FBSDP-vel szemben: Igaz
A Windows operációs rendszer FBSDP-kockázatcsökkentési támogatása engedélyezve van: Igaz

Spekulációvezérlési beállítások a PSDP-hez [elsődleges elavult adatok terjesztője]

A Windows operációs rendszer támogatja a PSDP-kockázatcsökkentést: Igaz
A hardver sebezhető a PSDP-vel szemben: Igaz
A Windows operációs rendszer PSDP-kockázatcsökkentési támogatása engedélyezve van: Igaz

BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: Igaz
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: Igaz
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: Igaz
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True

A SpeculationControl PowerShell-szkript kimenetének magyarázata

A végső kimeneti rács megfeleltethető az előző sorok kimenetének. Ez azért jelenik meg, mert a PowerShell kinyomtatja a függvények által visszaadott objektumot. Az alábbi táblázat ismerteti a PowerShell-parancsfájl kimenetének egyes sorait.

Kimenet	Ismertetés
Speculation control settings for CVE-2017-5715 [branch target injection]	Ez a szakasz a 2. variáns, CVE-2017-5715 elágazáscél-beszúrásának rendszerállapotát ismerteti.
Az elágazáscél-beszúrás kockázatcsökkentésének hardveres támogatása jelen van	Leképezés a következőre: BTIHardwarePresent. Ez a sor ismerteti, hogy vannak-e hardverfunkciók az elágazáscél-beszúrás kockázatcsökkentésének támogatására. Az eszköz eredeti gyártója felelős a frissített BIOS/belső vezérlőprogram biztosításáért, amely tartalmazza a processzor gyártója által biztosított mikrokódot. Ha ez a sor igaz, a szükséges hardverfunkciók jelen vannak. Ha a sor Hamis, a szükséges hardverfunkciók nem találhatók. Ezért az elágazáscél-beszúrás kockázatcsökkentése nem engedélyezhető. MegjegyzésA BTIHardwarePresent igaz értékű lesz a vendég virtuális gépeken, ha az OEM-frissítést telepítik a gazdagépre, és az útmutatást követik.
A Windows operációs rendszer támogatja az elágazáscél-beszúrás kockázatcsökkentését	Leképezés a következőre: BTIWindowsSupportPresent. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatott-e az elágazáscél-injektálás kockázatcsökkentéséhez. Ha értéke True, az operációs rendszer támogatja az elágazáscél-injektálás kockázatcsökkentésének engedélyezését (ezért telepítette a 2018. januári frissítést). Ha értéke Hamis, akkor a 2018. januári frissítés nincs telepítve az eszközre, és az elágazáscél-beszúrásnak kockázatcsökkentése nem engedélyezhető. Megjegyzés Ha egy vendég virtuális gép nem észleli a gazdagép hardverfrissítését, a BTIWindowsSupportEnabled értéke mindig False lesz.
A Windows operációs rendszer támogatása az elágazáscél-beszúrás kockázatcsökkentéséhez engedélyezve van	Leképezés a következőre: BTIWindowsSupportEnabled. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatása engedélyezve van-e az elágazáscél-injektálás kockázatcsökkentéséhez. Ha értéke True, az adott eszköz számára engedélyezve van a hardvertámogatás és az operációs rendszer támogatása az elágazási cél beszúrásának kockázatcsökkentéséhez, így védelmet nyújt a CVE-2017-5715 ellen. Ha hamis, az alábbi feltételek egyike teljesül: A hardvertámogatás nem érhető el. Az operációs rendszer támogatása hiányzik. A kockázatcsökkentést a rendszerházirend letiltotta.
A Windows operációs rendszer elágazáscél-beszúrásos kockázatcsökkentésének támogatása le van tiltva egy rendszerházirend miatt	Leképezés a következőre: BTIDisabledBySystemPolicy. Ez a sor azt jelzi, ha az elágazáscél-injektálás kockázatcsökkentését letiltja egy rendszerházirend (például egy rendszergazda által definiált házirend). A rendszerházirend a KB4072698-ben dokumentált beállításjegyzék-vezérlőkre hivatkozik. Ha értéke True, a kockázatcsökkentés letiltásáért a rendszerházirend felelős. Ha értéke Hamis, akkor a kockázatcsökkentés más okból van letiltva.
A Windows operációs rendszer támogatása az elágazáscél-injektálás kockázatcsökkentéséhez hardvertámogatás hiánya miatt le van tiltva	Leképezés a következőre: BTIDisabledByNoHardwareSupport. Ez a sor azt jelzi, hogy az elágazáscél-injektálás kockázatcsökkentése le van-e tiltva a hardvertámogatás hiánya miatt. Ha értéke Igaz, a hardvertámogatás hiánya felelős a kockázatcsökkentés letiltásáért. Ha értéke Hamis, akkor a kockázatcsökkentés más okból van letiltva. Megjegyzés Ha egy vendég virtuális gép nem észleli a gazdagép hardverfrissítését, a BTIDisabledByNoHardwareSupport mindig igaz értékű lesz.
Speculation control settings for CVE-2017-5754 [rogue data cache load]	Ez a szakasz a 3. variáns, CVE-2017-5754, engedélyezetlen adatgyorsítótár-terhelés rendszerállapotának összegző rendszerállapotát tartalmazza. Ennek kockázatcsökkentését kernel virtuális cím (VA) árnyéknak vagy engedélyezetlen adatgyorsítótár-terheléscsökkentésnek nevezik.
A hardver sebezhető az engedélyezetlen adatgyorsítótár-terheléssel szemben	Leképezés erre: RdclHardwareProtected. Ez a sor jelzi, hogy a hardver sebezhető-e a CVE-2017-5754 számára. Ha igaz, vélhetően a hardver sebezhető a CVE-2017-5754 számára. Ha az érték hamis, akkor ismert, hogy a hardver nem sebezhető a CVE-2017-5754 által szemben.
A Windows operációs rendszer támogatja az engedélyezetlen adatgyorsítótár-terhelés csökkentését	Leképezés a következőre: KVAShadowWindowsSupportPresent. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a kernel VA árnyékszolgáltatását.
A Windows operációs rendszer engedélyezve van az engedélyezetlen adatgyorsítótár-terheléscsökkentés támogatásához	Leképezés a következőre: KVAShadowWindowsSupportEnabled. Ez a sor azt jelzi, hogy a kernel VA árnyék funkciója engedélyezve van-e. Ha értéke Igaz, akkor vélhetően a hardver sebezhető a CVE-2017-5754 számára, a Windows operációs rendszer támogatása jelen van, és a funkció engedélyezve van.
A hardverhez kernel VA árnyékolás szükséges	Leképezések a következőre: KVAShadowRequired. Ez a sor megmutatja, hogy a rendszernek szüksége van-e a kernel VA árnyékolására a biztonsági rés csökkentése érdekében.
A Windows operációs rendszer támogatja a VA árnyék kernelt	Leképezés a következőre: KVAShadowWindowsSupportPresent. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a kernel VA árnyékszolgáltatását. Ha értéke True, akkor a 2018. januári frissítés telepítve van az eszközön, és a kernel VA shadow támogatott. Ha értéke hamis, akkor a 2018. januári frissítés nincs telepítve, és a kernel VA árnyéktámogatása nem létezik.
A Windows operációs rendszer támogatja a VA árnyék kernelt	Leképezés a következőre: KVAShadowWindowsSupportEnabled. Ez a sor azt jelzi, hogy a kernel VA árnyék funkciója engedélyezve van-e. Ha értéke True, az azt jelenti, hogy a Windows operációs rendszer támogatott, és a funkció engedélyezve van. A Kernel VA árnyékfunkciója jelenleg alapértelmezés szerint engedélyezve van a Windows ügyfélverzióin, és alapértelmezés szerint le van tiltva a Windows Server verzióin. Ha értéke Hamis, az vagy nem támogatja a Windows operációs rendszert, vagy a funkció nincs engedélyezve.
A Windows operációs rendszer PCID teljesítményoptimalizálásának támogatása engedélyezve van Megjegyzés A PCID azonosítóra a biztonsághoz nincs szükség. Csak azt jelzi, hogy a teljesítményjavítás engedélyezve van-e. A PCID nem támogatott a Windows Server 2008 R2 rendszerben.	Leképezés a következőre: KVAShadowPcidEnabled. Ez a sor azt jelzi, hogy engedélyezve van-e további teljesítményoptimalizálás a kernel VA árnyékához. Ha igaz , a kernel VA árnyéka engedélyezve van, a PCID hardveres támogatása elérhető, és a PCID optimalizálása a kernel VA árnyékához engedélyezve van. Ha értéke hamis, akkor lehet, hogy a hardver vagy az operációs rendszer nem támogatja a PCID-t. A PCID-optimalizálás engedélyezésének elmulasztása nem biztonsági gyengeség.
A Windows operációs rendszer támogatja a Speculative Store Bypass (Áruház megkerülése) letiltását	Leképezés a következőre: SSBDWindowsSupportPresent. Ez a sor azt mutatja, hogy a Windows operációs rendszer támogatja-e a Speculative Store Bypass Disable szolgáltatást. Ha értéke True, akkor a 2018. januári frissítés telepítve van az eszközön, és a kernel VA shadow támogatott. Ha értéke hamis, akkor a 2018. januári frissítés nincs telepítve, és a kernel VA árnyéktámogatása nem létezik.
A hardverhez spekulatív tároló megkerülése szükséges Letiltás	Leképezés erre: SSBDHardwareVulnerablePresent. Ez a sor jelzi, hogy a hardver sebezhető-e a CVE-2018-3639 által. Ha igaz, vélhetően a hardver sebezhető a CVE-2018-3639 számára. Ha értéke Hamis, akkor ismert, hogy a hardver nem sebezhető a CVE-2018-3639 miatt.
A Speculative Store Bypass Disable hardveres támogatása jelen van	Leképezés az SSBDHardwarePresent szolgáltatásra. Ez a sor azt mutatja meg, hogy vannak-e hardverfunkciók a Speculative Store Bypass Disable (Speculative Store Bypass Distilt) támogatásához. Az eszköz eredeti gyártója felelős az Intel által biztosított mikrokódot tartalmazó frissített BIOS/belső vezérlőprogram biztosításáért. Ha ez a sor igaz, a szükséges hardverfunkciók jelen vannak. Ha a sor Hamis, a szükséges hardverfunkciók nem találhatók. Ezért a Speculative Store Bypass (Áruház megkerülése) letiltása nem kapcsolható be. MegjegyzésAz SSBDHardwarePresent igaz értékű lesz a vendég virtuális gépeken, ha az OEM-frissítést telepítik a gazdagépre.
A Windows operációs rendszer Speculative Store Bypass Disable (Spekulatív tároló megkerülése) letiltásának támogatása be van kapcsolva	Leképezés erre: SSBDWindowsSupportEnabledSystemWide. Ebből a sorból megtudhatja, hogy a Speculative Store Bypass Disable be van-e kapcsolva a Windows operációs rendszeren. Ha értéke True, akkor a Speculative Store Bypass (Speculative Store Bypass letiltása) hardvertámogatás és operációsrendszer-támogatása be van kapcsolva az eszközön, ami megakadályozza a Speculative Store Bypass (Speculative Store Bypass szolgáltatás) használatát, és így teljesen kiküszöböli a biztonsági kockázatot. Ha hamis, az alábbi feltételek egyike teljesül: A hardvertámogatás nem érhető el. Az operációs rendszer támogatása hiányzik. A Speculative Store Bypass Disable on enable through registry keys. Az alábbi cikkekben megtudhatja, hogy miként engedélyezheti őket: KB4073119: Windows-ügyfélre vonatkozó útmutatás informatikai szakembereknek a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez KB4072698: Windows Server és Azure Stack HCI-útmutató a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez
Speculation control settings for CVE-2018-3620 [L1 terminal fault]	Ez a szakasz a CVE-2018-3620 által említett L1TF (operációs rendszer) rendszerállapotának összefoglalóját tartalmazza. Ez a kockázatcsökkentés biztosítja, hogy a rendszer biztonságos oldalkeret biteket használjon a helytelen vagy érvénytelen lapkeret-bejegyzésekhez. Megjegyzés Ez a szakasz nem foglalja össze a CVE-2018-3646 által említett L1TF (VMM) kockázatcsökkentési állapotát.
A hardver ki van téve az L1-terminál hibájának: Igaz	Leképezés erre: L1TFHardwareVulnerable. Ez a sor jelzi, hogy a hardver sebezhető-e az L1 terminálhiba (L1TF, CVE-2018-3620) miatt. Ha igaz, vélhetően a hardver sebezhető a CVE-2018-3620 számára. Ha értéke Hamis, akkor ismert, hogy a hardver nem sebezhető a CVE-2018-3620 által szemben.
A Windows operációs rendszer L1 terminál hibaelhárítási támogatása jelen van: Igaz	Leképezés erre: L1TFWindowsSupportPresent. Ez a sor azt mutatja be, hogy a Windows operációs rendszer támogatja-e az L1 Terminal Fault (L1TF) operációt enyhítő megoldást. Ha igaz, az azt jelenti, hogy a 2018. augusztusi frissítés telepítve van az eszközön, és a CVE-2018-3620-at elhárító megoldás jelen van. Ha értéke hamis, akkor nincs telepítve a 2018. augusztusi frissítés, és a CVE-2018-3620-at károsító megoldás nincs telepítve.
A Windows operációs rendszer L1 terminál hibaelhárításának támogatása engedélyezve van: Igaz	Leképezés a következőre: L1TFWindowsSupportEnabled. Ez a sor azt jelzi, hogy a Windows operációs rendszer L1 Terminal Fault (L1TF, CVE-2018-3620) megoldása engedélyezve van-e. Ha értéke True, a hardver vélhetően sebezhető a CVE-2018-3620 számára, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha értéke Hamis, akkor vagy a hardver nem sebezhető, a Windows operációs rendszer támogatása hiányzik, vagy a kockázatcsökkentés nincs engedélyezve.
Spekulációvezérlési beállítások MDS-hez [Microarchitectural Data Sampling]	Ez a szakasz a biztonsági rések MDS-készletének ( CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 és ADV220002) rendszerállapotát ismerteti.
A Windows operációs rendszer támogatja az MDS kockázatcsökkentését	Leképezés a következőre: MDSWindowsSupportPresent. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e a Microarchitectural Data Sampling (MDS) operációs rendszer kockázatcsökkentő megoldását. Ha igaz, akkor a 2019. májusi frissítés telepítve van az eszközön, és az MDS-t enyhítő megoldás jelen van. Ha értéke hamis, akkor a 2019. májusi frissítés nincs telepítve, és az MDS-t érintő kockázatcsökkentés nincs jelen.
A hardver sebezhető az MDS által okozott kockázattal szemben	Leképezés erre: MDSHardwareVulnerable. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a Microarchitectural Data Sampling (MDS) biztonsági réseivel szemben (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ha az érték True, úgy tűnik, hogy a sebezhetőségek a hardvert érintik. Ha hamis, a hardverről ismert, hogy nem sérülékeny.
A Windows operációs rendszer MDS-kockázatcsökkentési támogatása engedélyezve van	Leképezés a következőre: MDSWindowsSupportEnabled. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer mikroarchitekturális adatmintavételezésre vonatkozó kockázatcsökkentése (MDS). Ha értéke True, akkor a hardvert vélhetően érintik az MDS biztonsági rései, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha értéke Hamis, akkor vagy a hardver nem sebezhető, a Windows operációs rendszer támogatása hiányzik, vagy a kockázatcsökkentés nincs engedélyezve.
A Windows operációs rendszer támogatja az SBDR-kockázatcsökkentést	Leképezések az FBClearWindowsSupportPresent szolgáltatásra. Ez a sor azt jelzi, hogy a Windows operációs rendszer támogatja-e az SBDR operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és az SBDR kockázatcsökkentése jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és az SBDR-re vonatkozó kockázatcsökkentés nincs jelen.
A hardver sebezhető az SBDR-rel szemben	Leképezés a következőre: SBDRSSDPHardwareVulnerable. Ez a sor megmutatja, hogy a hardver sebezhető-e az SBDR [shared buffers data read] biztonsági rések (CVE-2022-21123) számára. Ha az érték True, úgy tűnik, hogy a sebezhetőségek a hardvert érintik. Ha hamis, a hardverről ismert, hogy nem sérülékeny.
A Windows operációs rendszer támogatása az SBDR kockázatcsökkentéséhez engedélyezve van	Leképezés a következőre: FBClearWindowsSupportEnabled. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer SBDR [shared buffers data read] kockázatcsökkentése. Ha értéke True, a hardvert vélhetően érinti az SBDR biztonsági rés, a kockázatcsökkentés Windows operációs támogatása jelen van, és a kockázatcsökkentés engedélyezve van. Ha értéke Hamis, akkor vagy a hardver nem sebezhető, a Windows operációs rendszer támogatása hiányzik, vagy a kockázatcsökkentés nincs engedélyezve.
A Windows operációs rendszer támogatja az FBSDP-kockázatcsökkentést	Leképezések az FBClearWindowsSupportPresent szolgáltatásra. Ez a sor megmutatja, hogy a Windows operációs rendszer támogatja-e az FBSDP operációs rendszer kockázatcsökkentését. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és az FBSDP-re vonatkozó kockázatcsökkentés jelen van. Ha hamis, a 2022. júniusi frissítés nincs telepítve, és az FBSDP-re vonatkozó kockázatcsökkentés nincs jelen.
A hardver sebezhető az FBSDP-vel szemben	Térképek erre: FBSDPHardwareVulnerable. Ez a sor megmutatja, hogy a hardver sebezhető-e az FBSDP [fill buffer elavult adatpropagátor] biztonsági réseivel szemben (CVE-2022-21125, CVE-2022-21127 és CVE-2022-21166). Ha az érték True, úgy tűnik, hogy a sebezhetőségek a hardvert érintik. Ha hamis, a hardverről ismert, hogy nem sérülékeny.
A Windows operációs rendszer FBSDP-kockázatcsökkentési támogatása engedélyezve van	Leképezés a következőre: FBClearWindowsSupportEnabled. Ez a sor azt jelzi, hogy a Windows operációs rendszer FBSDP-re vonatkozó kockázatcsökkentése [fill buffer elavult adatpropagátor] engedélyezve van-e. Ha értéke True, úgy gondoljuk, hogy az FBSDP biztonsági rése érinti a hardvert, a Windows operációs támogatása jelen van a kockázatcsökkentéshez, és a kockázatcsökkentés engedélyezve van. Ha értéke Hamis, akkor vagy a hardver nem sebezhető, a Windows operációs rendszer támogatása hiányzik, vagy a kockázatcsökkentés nincs engedélyezve.
A Windows operációs rendszer támogatja a PSDP-kockázatcsökkentést	Leképezések az FBClearWindowsSupportPresent szolgáltatásra. Ez a sor ismerteti, hogy a Windows operációs rendszer támogatja-e a PSDP operációs rendszer kockázatcsökkentő szolgáltatását. Ha igaz, a 2022. júniusi frissítés telepítve van az eszközön, és a PSDP-re vonatkozó kockázatcsökkentés jelen van. Ha értéke Hamis, akkor a 2022. júniusi frissítés nincs telepítve, és a PSDP-re vonatkozó kockázatcsökkentés nincs jelen.
A hardver sebezhető a PSDP által szemben	Leképezés a következőre: PSDPHardwareVulnerable. Ebből a sorból megtudhatja, hogy a hardver sebezhető-e a PSDP biztonsági réseivel szemben. Ha az érték True, úgy tűnik, hogy a sebezhetőségek a hardvert érintik. Ha hamis, a hardverről ismert, hogy nem sérülékeny.
A Windows operációs rendszer PSDP-kockázatcsökkentési támogatása engedélyezve van	Leképezés a következőre: FBClearWindowsSupportEnabled. Ez a sor azt jelzi, hogy engedélyezve van-e a Windows operációs rendszer PSDP-kockázatcsökkentő funkciója [elsődleges elavult adatterjesztő]. Ha az érték Igaz, akkor a PSDP biztonsági rései vélhetően érintik a hardvert, a Windows operációs rendszer támogatja a kockázatcsökkentést, és a kockázatcsökkentés engedélyezve van. Ha értéke Hamis, akkor vagy a hardver nem sebezhető, a Windows operációs rendszer támogatása hiányzik, vagy a kockázatcsökkentés nincs engedélyezve.

Kimenet, amely minden kockázatcsökkentést engedélyez

A következő kimenet várható egy olyan eszköz esetében, amelyen engedélyezve van az összes kockázatcsökkentés, az egyes feltételek teljesítéséhez szükséges adatokkal együtt.

BTIHardwarePresent: True -> OEM BIOS/firmware frissítés alkalmazva
BTIWindowsSupportPresent: True -> 2018. januári frissítés telepítve
BTIWindowsSupportEnabled: Igaz –> ügyfélen, nincs teendő. A kiszolgálón kövesse az útmutatást.
BTIDisabledBySystemPolicy: False –> győződjön meg arról, hogy nem letiltotta házirend.
BTIDisabledByNoHardwareSupport: Hamis –> győződjön meg róla, hogy az OEM BIOS-/belsővezérlőprogram-frissítés telepítve van.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True or False –> nincs művelet, ez a számítógép által használt CPU függvénye

Ha a KVAShadowRequired értéke igaz
KVAShadowWindowsSupportPresent: True –> a 2018. januári frissítés telepítése
KVAShadowWindowsSupportEnabled: Igaz –> ügyfélen, nincs teendő. A kiszolgálón kövesse az útmutatást.
KVAShadowPcidEnabled: True or False –> nincs művelet, ez a számítógép által használt CPU függvénye

Ha az SSBDHardwareVulnerablePresent igaz
SSBDWindowsSupportPresent: True –> a Windows-frissítések telepítése az ADV180012-ben leírtak szerint
SSBDHardwarePresent: True –> BIOS-/belsővezérlőprogram-frissítés telepítése az SSBD-támogatással az eszköz OEM-jéről
SSBDWindowsSupportEnabledSystemWide: True –> kövesse az ajánlott műveleteket az SSBD bekapcsolásához

Ha az L1TFHardwareVulnerable értéke igaz
L1TFWindowsSupportPresent: True –> a Windows-frissítések telepítése az ADV180018-ben leírtak szerint
L1TFWindowsSupportEnabled: True –> kövesse az ADV180018-ben felvázolt műveleteket Windows Server vagy ügyfélhez szükség szerint a kockázatcsökkentés engedélyezéséhez
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True –> 2022. júniusi frissítés telepítése
MDSHardwareVulnerable: False –> a hardver köztudottan nem sebezhető
MDSWindowsSupportEnabled: Igaz –> a mikroarchitekturális adatmintavételezés kockázatcsökkentése engedélyezve van
FBClearWindowsSupportPresent: True –> telepítés 2022. júniusi frissítés
SBDRSSDPHardwareVulnerable: True – úgy gondoljuk,> hogy ezek a biztonsági rések a hardvert érintik
FBSDPHardwareVulnerable: True – úgy gondoljuk,> hogy a hardvert érintik ezek a biztonsági rések
PSDPHardwareVulnerable: True – úgy gondoljuk,> hogy hardvert érintenek ezek a biztonsági rések
FBClearWindowsSupportEnabled: True –> Az SBDR/FBSDP/PSDP kockázatcsökkentésének engedélyezését jelöli. Győződjön meg arról, hogy az OEM BIOS/belső vezérlőprogram frissül, az FBClearWindowsSupportPresent igaz, a kockázatcsökkentések engedélyezve vannak az ADV220002-ben leírtak szerint, és a KVAShadowWindowsSupportEnabled igaz.

Beállításjegyzék

Az alábbi táblázat leképezi a kimenetet a KB4072698 ismertetett beállításkulcsokra: Windows Server és Azure Stack HCI-útmutató a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez.

Beállításkulcs	Leképezés
FeatureSettingsOverride – 0. bit	Leképezés – Elágazáscél-beszúrás – BTIWindowsSupportEnabled
FeatureSettingsOverride – 1. bit	Megfelelteti a következőt - Rosszindulatú adatgyorsítótár betöltése - VAShadowWindowsSupportEnabled

Hivatkozások

Harmadik felektől származó információkra vonatkozó jogi nyilatkozat

Azért biztosítjuk harmadik felek elérhetőségi adatait, hogy a felhasználók könnyebben találhassanak technikai támogatást. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk az ezen harmadik félre vonatkozó elérhetőségi adatok pontosságát.