Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ubah tanggal

Deskripsi perubahan

17 Juli 2023

Menambahkan MMIO dan deskripsi spesifik dari nilai output dalam bagian "Output yang memiliki semua mitigasi diaktifkan"

Rangkuman

Untuk membantu Anda memverifikasi status mitigasi saluran sisi eksekusi spekulatif, kami menerbitkan skrip PowerShell (SpeculationControl) yang dapat berjalan di perangkat Anda. Artikel ini menjelaskan cara menjalankan skrip SpeculationControl dan apa arti outputnya.

Penasihat keamanan ADV180002, ADV180012, ADV180018, dan ADV190013 mencakup sembilan kerentanan berikut:

  • CVE-2017-5715 (injeksi target cabang)

  • CVE-2017-5753 (bypass pemeriksaan terikat)

    Catatan Perlindungan untuk CVE-2017-5753 (pemeriksaan batas) tidak memerlukan pengaturan registri atau pembaruan firmware tambahan.  

  • CVE-2017-5754 (pemuatan cache data nakal)

  • CVE-2018-3639 (bypass toko spekulatif)

  • CVE-2018-3620 (Kesalahan terminal L1 – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))

Advisory ADV220002 mencakup kerentanan tambahan Memory-Mapped I/O (MMIO):

  • CVE-2022-21123 | Baca Data Penyangga Bersama (SBDR)

  • CVE-2022-21125 | Pengambilan sampel data penyangga bersama (SBDS)

  • CVE-2022-21127 | Special Register Buffer Data Sampling Update (Pembaruan SRBDS)

  • CVE-2022-21166 | Device Register Partial Write (DRPW)

Artikel ini menyediakan detail tentang skrip SpeculationControl PowerShell yang membantu menentukan status mitigasi untuk CVEs terdaftar yang memerlukan pengaturan registri tambahan dan, dalam beberapa kasus, pembaruan firmware.

Informasi selengkapnya

SpekulasiKontrol skrip PowerShell

Instal dan jalankan skrip SpeculationControl menggunakan salah satu metode berikut.

Metode 1: Verifikasi PowerShell menggunakan Galeri PowerShell (Windows Server 2016 atau WMF 5.0/5.1)

Menginstal modul PowerShell

PS> Install-Module SpeculationControl

Jalankan modul SpeculationControl PowerShell untuk memverifikasi bahwa proteksi diaktifkan

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metode 2: Verifikasi PowerShell menggunakan unduhan dari TechNet (versi OS yang lebih lama/versi WMF yang lebih lama)

Menginstal modul PowerShell dari TechNet ScriptCenter

  1. Buka https://aka.ms/SpeculationControlPS.

  2. Unduh SpeculationControl.zip ke folder lokal.

  3. Ekstrak konten ke folder lokal, misalnya C:\ADV180002

Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan

Mulai PowerShell, lalu (menggunakan contoh di atas) menyalin dan menjalankan perintah berikut:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Output skrip PowerShell

Output skrip SpeculationControl PowerShell akan menyerupai output berikut ini. Perlindungan yang diaktifkan muncul dalam output sebagai "True."

PS C:\> Get-SpeculationControlSettings

Pengaturan kontrol spekulasi untuk CVE-2017-5715 [injeksi target cabang]

Dukungan perangkat keras untuk mitigasi injeksi target cabang hadir: False
Dukungan WINDOWS OS untuk mitigasi injeksi target cabang hadir: True
Dukungan WINDOWS OS untuk mitigasi injeksi target cabang diaktifkan: False
Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan oleh kebijakan sistem: True
Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan dengan tidak adanya dukungan perangkat keras: True

Pengaturan kontrol spekulasi untuk CVE-2017-5754 [pemuatan cache data nakal]

Perangkat keras rentan terhadap pemuatan cache data nakal: True
Dukungan WINDOWS OS untuk mitigasi muat cache data nakal hadir: True
Dukungan WINDOWS OS untuk mitigasi muat cache data nakal diaktifkan: True

Perangkat keras memerlukan bayangan kernel VA: True
Dukungan WINDOWS OS untuk kernel VA shadow hadir: False
Dukungan OS Windows untuk bayangan VA kernel diaktifkan: False
Dukungan OS Windows untuk optimasi PCID diaktifkan: False

Pengaturan kontrol spekulasi untuk CVE-2018-3639 [bypass toko spekulatif]

Perangkat keras rentan terhadap bypass toko spekulatif: True
Dukungan perangkat keras untuk mitigasi bypass bursa spekulatif hadir: False
Dukungan OS Windows untuk mitigasi bypass bursa spekulatif hadir: True
Dukungan OS Windows untuk mitigasi bypass bursa spekulatif diaktifkan di seluruh sistem: False

Pengaturan kontrol spekulasi untuk CVE-2018-3620 [Kesalahan terminal L1]

Perangkat keras rentan terhadap kesalahan terminal L1: True
Dukungan OS Windows untuk mitigasi kesalahan terminal L1 hadir: True
Dukungan WINDOWS OS untuk mitigasi kesalahan terminal L1 diaktifkan: True

Pengaturan kontrol spekulasi untuk MDS [pengambilan sampel data mikroarsitektural]

Dukungan OS Windows untuk mitigasi MDS hadir: True
Perangkat keras rentan terhadap MDS: True
Dukungan OS Windows untuk mitigasi MDS diaktifkan: True

Pengaturan kontrol spekulasi untuk SBDR [data buffer bersama dibaca] 

Dukungan OS Windows untuk mitigasi SBDR hadir: True
Perangkat keras rentan terhadap SBDR: True
Dukungan OS Windows untuk mitigasi SBDR diaktifkan: True 

Pengaturan kontrol spekulasi untuk FBSDP [buffer isi penyebar data basi]

Dukungan OS Windows untuk mitigasi FBSDP hadir: True
Perangkat keras rentan terhadap FBSDP: True
Dukungan OS Windows untuk mitigasi FBSDP diaktifkan: True 

Pengaturan kontrol spekulasi untuk PSDP [penyebar data utama basi]

Dukungan OS Windows untuk mitigasi PSDP hadir: True
Perangkat keras rentan terhadap PSDP: True
Dukungan OS Windows untuk mitigasi PSDP diaktifkan: True

BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True

Penjelasan output skrip SpeculationControl PowerShell

Peta kisi output akhir ke output garis sebelumnya. Ini muncul karena PowerShell mencetak objek yang dikembalikan oleh fungsi. Tabel berikut ini menjelaskan setiap baris dalam output skrip PowerShell.

Output

Penjelasan

Pengaturan kontrol spekulasi untuk CVE-2017-5715 [injeksi target cabang]

Bagian ini menyediakan status sistem untuk varian 2, CVE-2017-5715, injeksi target cabang.

Dukungan perangkat keras untuk mitigasi injeksi target cabang hadir

Peta ke BTIHardwarePresent. Baris ini memberi tahu Anda apakah fitur perangkat keras hadir untuk mendukung mitigasi injeksi target cabang. OEM perangkat bertanggung jawab untuk menyediakan BIOS / firmware yang diperbarui yang berisi kode mikro yang disediakan oleh produsen CPU. Jika baris ini True, fitur perangkat keras yang diperlukan akan hadir. Jika baris false, fitur perangkat keras yang diperlukan tidak ada. Oleh karena itu, mitigasi injeksi target cabang tidak dapat diaktifkan.

Catatan BTIHardwarePresent akan True dalam VM tamu jika pembaruan OEM diterapkan pada host dan panduandiikuti.

Dukungan OS Windows untuk mitigasi injeksi target cabang hadir

Peta ke BTIWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows hadir untuk mitigasi injeksi target cabang. Jika benar, sistem operasi mendukung mengaktifkan mitigasi injeksi target cabang (dan oleh karena itu telah menginstal pembaruan Januari 2018). Jika false, pembaruan Januari 2018 tidak diinstal pada perangkat, dan mitigasi injeksi target cabang tidak dapat diaktifkan.

Catatan Jika VM tamu tidak dapat mendeteksi pembaruan perangkat keras host, BTIWindowsSupportEnabled akan selalu False.

Dukungan OS Windows untuk mitigasi injeksi target cabang diaktifkan

Peta ke BTIWindowsSupportEnabled. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows diaktifkan untuk mitigasi injeksi target cabang. Jika true, dukungan perangkat keras dan dukungan OS untuk mitigasi injeksi target cabang diaktifkan untuk perangkat, sehingga melindungi terhadap CVE-2017-5715. Jika False, salah satu kondisi berikut ini benar:

  • Dukungan perangkat keras tidak ada.

  • Dukungan OS tidak ada.

  • Mitigasi dinonaktifkan oleh kebijakan sistem.

Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan oleh kebijakan sistem

Peta ke BTIDisabledBySystemPolicy. Baris ini memberi tahu Anda jika mitigasi injeksi target cabang dinonaktifkan oleh kebijakan sistem (seperti kebijakan yang ditentukan administrator). Kebijakan sistem merujuk pada kontrol registri seperti yang didokumentasikan dalam KB4072698. Jika benar, kebijakan sistem bertanggung jawab untuk menonaktifkan mitigasi. Jika false, mitigasi dinonaktifkan oleh penyebab lain.

Dukungan OS Windows untuk mitigasi injeksi target cabang dinonaktifkan karena tidak adanya dukungan perangkat keras

Peta ke BTIDisabledByNoHardwareSupport. Baris ini memberitahu Anda apakah mitigasi injeksi target cabang dinonaktifkan karena tidak adanya dukungan perangkat keras. Jika benar, tidak adanya dukungan perangkat keras bertanggung jawab untuk menonaktifkan mitigasi. Jika false, mitigasi dinonaktifkan oleh penyebab lain.

CatatanJika VM tamu tidak dapat mendeteksi pembaruan perangkat keras host, BTIDisabledByNoHardwareSupport akan selalu True.

Pengaturan kontrol spekulasi untuk CVE-2017-5754 [pemuatan cache data nakal]

Bagian ini menyediakan status sistem ringkasan untuk varian 3, CVE-2017-5754, pemuatan cache data nakal. Mitigasi untuk ini dikenal sebagai bayangan Kernel Virtual Address (VA) atau mitigasi pemuatan cache data nakal.

Perangkat keras rentan terhadap pemuatan cache data yang nakal

Peta ke RdclHardwareProtected. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap CVE-2017-5754. Jika benar, perangkat keras diyakini rentan terhadap CVE-2017-5754. Jika false, perangkat keras diketahui tidak rentan terhadap CVE-2017-5754.

Dukungan OS Windows untuk mitigasi muat cache data nakal ada

Peta ke KVAShadowWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk fitur bayangan VA kernel hadir.

Dukungan OS Windows untuk mitigasi muat cache data nakal diaktifkan

Peta ke KVAShadowWindowsSupportEnabled. Baris ini memberi tahu Apakah fitur bayangan VA kernel diaktifkan. Jika benar, perangkat keras diyakini rentan terhadap CVE-2017-5754, dukungan sistem operasi Windows hadir, dan fitur ini diaktifkan.

Perangkat keras memerlukan bayangan kernel VA

Peta ke KVAShadowRequired. Baris ini memberi tahu apakah sistem Anda memerlukan bayangan kernel VA untuk mengurangi kerentanan.

Dukungan OS Windows untuk kernel VA shadow hadir

Peta ke KVAShadowWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk fitur bayangan VA kernel hadir. Jika benar, pembaruan Januari 2018 diinstal di perangkat, dan kernel VA shadow didukung. Jika false, pembaruan Januari 2018 tidak diinstal, dan dukungan bayangan kernel VA tidak ada.

Dukungan OS Windows untuk bayangan VA kernel diaktifkan

Peta ke KVAShadowWindowsSupportEnabled. Baris ini memberi tahu Apakah fitur bayangan VA kernel diaktifkan. Jika benar, dukungan sistem operasi Windows hadir, dan fitur ini diaktifkan. Fitur bayangan Kernel VA saat ini diaktifkan secara default pada windows versi klien dan dinonaktifkan secara default pada versi Windows Server. Jika false, dukungan sistem operasi Windows tidak ada, atau fitur tersebut tidak diaktifkan.

Dukungan OS Windows untuk optimisasi kinerja PCID diaktifkan

CatatanPCID tidak diperlukan untuk keamanan. Ini hanya menunjukkan jika penyempurnaan kinerja diaktifkan. PCID tidak didukung dengan Windows Server 2008 R2

Peta ke KVAShadowPcidEnabled. Baris ini memberi tahu apakah optimisasi kinerja tambahan diaktifkan untuk bayangan kernel VA. Jika benar, bayangan kernel VA diaktifkan, dukungan perangkat keras untuk PCID hadir, dan optimasi PCID untuk bayangan VA kernel diaktifkan. Jika False, perangkat keras atau OS mungkin tidak mendukung PCID. Ini bukan kelemahan keamanan untuk optimasi PCID tidak diaktifkan.

Dukungan WINDOWS OS untuk Speculative Store Bypass Disable hadir

Peta ke SSBDWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk Speculative Store Bypass Disable hadir. Jika benar, pembaruan Januari 2018 diinstal di perangkat, dan kernel VA shadow didukung. Jika false, pembaruan Januari 2018 tidak diinstal, dan dukungan bayangan kernel VA tidak ada.

Perangkat keras memerlukan Penonaktifan Bypass Store Spekulatif

Peta ke SSBDHardwareVulnerablePresent. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap CVE-2018-3639. Jika benar, perangkat keras diyakini rentan terhadap CVE-2018-3639. Jika false, perangkat keras dikenal tidak rentan terhadap CVE-2018-3639.

Dukungan perangkat keras untuk Speculative Store Bypass Disable hadir

Peta ke SSBDHardwarePresent. Baris ini memberi tahu Anda apakah fitur perangkat keras hadir untuk mendukung Penonaktifan Bypass Store Spekulatif. OEM perangkat bertanggung jawab untuk menyediakan BIOS / firmware yang diperbarui yang berisi kode mikro yang disediakan oleh Intel. Jika baris ini True, fitur perangkat keras yang diperlukan akan hadir. Jika baris false, fitur perangkat keras yang diperlukan tidak ada. Oleh karena itu, Speculative Store Bypass Disable tidak dapat diaktifkan.

Catatan SSBDHardwarePresent akan True dalam VM tamu jika pembaruan OEM diterapkan ke host.

Dukungan WINDOWS OS untuk Speculative Store Bypass Disable diaktifkan

Peta ke SSBDWindowsSupportEnabledSystemWide. Baris ini memberi tahu Anda apakah Speculative Store Bypass Disable diaktifkan dalam sistem operasi Windows. Jika benar, dukungan perangkat keras dan dukungan OS untuk Speculative Store Bypass Disable aktif untuk perangkat yang mencegah Bypass Store Spekulatif terjadi, sehingga menghilangkan risiko keamanan sepenuhnya. Jika False, salah satu kondisi berikut ini benar:

Pengaturan kontrol spekulasi untuk CVE-2018-3620 [Kesalahan terminal L1]

Bagian ini menyediakan status sistem ringkasan untuk L1TF (sistem operasi) yang dirujuk oleh CVE-2018-3620. Mitigasi ini memastikan bahwa bit bingkai halaman aman digunakan untuk entri tabel halaman yang tidak ada atau tidak valid.

Catatan Bagian ini tidak menyediakan ringkasan status mitigasi untuk L1TF (VMM) yang disebut oleh CVE-2018-3646.

Perangkat keras rentan terhadap kesalahan terminal L1: True

Peta ke L1TFHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap Kesalahan Terminal L1 (L1TF, CVE-2018-3620). Jika benar, perangkat keras diyakini rentan terhadap CVE-2018-3620. Jika false, perangkat keras dikenal tidak rentan terhadap CVE-2018-3620.

Dukungan OS Windows untuk mitigasi kesalahan terminal L1 hadir: True

Peta ke L1TFWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi L1 Terminal Fault (L1TF) ada. Jika benar, pembaruan Agustus 2018 diinstal di perangkat, dan mitigasi untuk CVE-2018-3620 hadir. Jika false, pembaruan Agustus 2018 tidak diinstal, dan mitigasi untuk CVE-2018-3620 tidak ada.

Dukungan WINDOWS OS untuk mitigasi kesalahan terminal L1 diaktifkan: True

Peta ke L1TFWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk L1 Terminal Fault (L1TF, CVE-2018-3620) diaktifkan. Jika benar, perangkat keras diyakini rentan terhadap CVE-2018-3620, dukungan sistem operasi Windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan.

Pengaturan kontrol spekulasi untuk MDS [Microarchitectural Data Sampling]

Bagian ini menyediakan status sistem untuk rangkaian MDS kerentanan, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, dan ADV220002.

Dukungan OS Windows untuk mitigasi MDS hadir

Peta ke MDSWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi Microarchitectural Data Sampling (MDS) hadir. Jika benar, pembaruan Mei 2019 diinstal di perangkat, dan mitigasi untuk MDS hadir. Jika False, pembaruan Mei 2019 tidak diinstal, dan mitigasi untuk MDS tidak ada.

Perangkat keras rentan terhadap MDS

Peta ke MDSHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap kumpulan kerentanan Microarchitectural Data Sampling (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan.

Dukungan OS Windows untuk mitigasi MDS diaktifkan

Peta ke MDSWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk Microarchitectural Data Sampling (MDS) diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan MDS, dukungan sistem operasi Windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan.

Dukungan OS Windows untuk mitigasi SBDR hadir

Peta ke FBClearWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi SBDR hadir. Jika benar, pembaruan Juni 2022 diinstal di perangkat, dan mitigasi untuk SBDR hadir. Jika false, pembaruan Juni 2022 tidak diinstal, dan mitigasi untuk SBDR tidak ada.

Perangkat keras rentan terhadap SBDR

Peta ke SBDRSSDPHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap SBDR [data buffer bersama dibaca] kumpulan kerentanan (CVE-2022-21123). Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan.

Dukungan OS Windows untuk mitigasi SBDR diaktifkan

Peta ke FBClearWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk SBDR [data buffer bersama dibaca] diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan SBDR, dukungan operasi windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan.

Dukungan OS Windows untuk mitigasi FBSDP hadir

Peta ke FBClearWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi FBSDP hadir. Jika benar, pembaruan Juni 2022 diinstal di perangkat, dan mitigasi untuk FBSDP hadir. Jika false, pembaruan Juni 2022 tidak diinstal, dan mitigasi untuk FBSDP tidak ada.

Perangkat keras rentan terhadap FBSDP

Peta ke FBSDPHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap FBSDP [fill buffer data propagator basi] sekumpulan kerentanan (CVE-2022-21125, CVE-2022-21127, dan CVE-2022-21166). Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan.

Dukungan OS Windows untuk mitigasi FBSDP diaktifkan

Peta ke FBClearWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk FBSDP [fill buffer data propagator] diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan FBSDP, dukungan operasi Windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan.

Dukungan OS Windows untuk mitigasi PSDP hadir

Peta ke FBClearWindowsSupportPresent. Baris ini memberi tahu Anda apakah dukungan sistem operasi Windows untuk mitigasi sistem operasi PSDP hadir. Jika benar, pembaruan Juni 2022 diinstal di perangkat, dan mitigasi untuk PSDP hadir. Jika false, pembaruan Juni 2022 tidak diinstal, dan mitigasi untuk PSDP tidak ada.

Perangkat keras rentan terhadap PSDP

Peta ke PSDPHardwareVulnerable. Baris ini memberi tahu Anda apakah perangkat keras rentan terhadap Rangkaian kerentanan PSDP [primer data basi] . Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan ini. Jika false, perangkat keras dikenal tidak rentan.

Dukungan OS Windows untuk mitigasi PSDP diaktifkan

Peta ke FBClearWindowsSupportEnabled. Baris ini memberi tahu Anda apakah mitigasi sistem operasi Windows untuk PSDP [penyebar data basi utama] diaktifkan. Jika benar, perangkat keras diyakini terpengaruh oleh kerentanan PSDP, dukungan operasi windows untuk mitigasi ada, dan mitigasi diaktifkan. Jika false, perangkat keras tidak rentan, dukungan sistem operasi Windows tidak ada, atau mitigasi tidak diaktifkan.

Output yang memiliki semua mitigasi diaktifkan

Output berikut ini diharapkan untuk perangkat yang memiliki semua mitigasi diaktifkan, bersama dengan apa yang diperlukan untuk memenuhi setiap kondisi.

BTIHardwarePresent: Pembaruan BIOS/firmware OEM True -> diterapkan
BTIWindowsSupportPresent: Pembaruan True -> Januari 2018 terinstal
BTIWindowsSupportEnabled: True -> pada klien, tidak diperlukan tindakan. Di server, ikuti panduan.
BTIDisabledBySystemPolicy: False -> memastikan tidak dinonaktifkan oleh kebijakan.
BTIDisabledByNoHardwareSupport: False -> memastikan pembaruan BIOS/firmware OEM diterapkan.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True atau False -> tidak ada tindakan, ini adalah fungsi dari CPU yang digunakan

komputer Jika KVAShadowRequired adalah True
KVAShadowWindowsSupportPresent: True -> instal pembaruan
Januari 2018 KVAShadowWindowsSupportEnabled: True -> pada klien, tidak diperlukan tindakan. Di server, ikuti panduan.
KVAShadowPcidEnabled: True atau False -> tidak ada tindakan, ini adalah fungsi dari CPU yang digunakan komputer

Jika SSBDHardwareVulnerablePresent adalah True
SSBDWindowsSupportPresent: True -> menginstal pembaruan Windows seperti yang didokumentasikan di ADV180012
SSBDHardwarePresent: True -> menginstal pembaruan BIOS/firmware dengan dukungan untuk SSBD dari OEM
perangkat Anda SSBDWindowsSupportEnabledSystemWide: True -> mengikuti tindakan yang direkomendasikan untuk mengaktifkan SSBD

Jika L1TFHardwareVulnerable adalah True
L1TFWindowsSupportPresent: True -> menginstal pembaruan Windows seperti yang didokumentasikan di ADV180018
L1TFWindowsSupportEnabled: True -> ikuti tindakan yang diuraikan dalam ADV180018 untuk Windows Server atau Klien sebagaimana diperlukan untuk mengaktifkan mitigasi
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> instal pembaruan
Juni 2022 MDSHardwareVulnerable: False -> hardware dikenal tidak rentan
MDSWindowsSupportEnabled: True -> mitigation for Microarchitectural Data Sampling (MDS) diaktifkan
FBClearWindowsSupportPresent: True -> instal pembaruan
Juni 2022 SBDRSSDPHardwareVulnerable: True -> hardware diyakini terpengaruh oleh kerentanan
ini FBSDPHardwareVulnerable: True -> hardware diyakini terpengaruh oleh kerentanan
ini PSDPHardwareVulnerable: True -> hardware diyakini terpengaruh oleh kerentanan
ini FBClearWindowsSupportEnabled: True -> Mewakili pengaktifan mitigasi untuk SBDR/FBSDP/PSDP. Pastikan OEM BIOS/firmware diperbarui, FBClearWindowsSupportPresent adalah True, mitigasi yang diaktifkan sebagaimana diuraikan dalam ADV220002 dan KVAShadowWindowsSupportEnabled adalah True.

Registri

Tabel berikut ini memetakan output ke kunci registri yang dicakup dalam KB4072698: Panduan HCI Windows Server dan Azure Stack untuk melindungi dari kerentanan saluran sisi mikroarsitektur dan spekulatif berbasis silikon.

Kunci registri

Pemetaan

FeatureSettingsOverride – Bit 0

Peta ke - Injeksi target cabang - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Peta ke - Pemuatan cache data nakal - VAShadowWindowsSupportEnabled

Referensi

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×