Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riepilogo

Per verificare lo stato delle misure di prevenzione dell'esecuzione speculativa del canale laterale, abbiamo pubblicato uno script di PowerShell (SpeculationControl) che può essere eseguito sui tuoi dispositivi. Questo articolo spiega come eseguire lo script SpeculationControl e cosa significa l'output.

Avvisi ADV180002, ADV180012, ADV180018 e ADV190013 coprono le nove vulnerabilità seguenti:

  • CVE-2017-5715 (branch target injection)

  • CVE-2017-5753 (bounds check bypass)

    Note La protezione per CVE-2017-5753 (controllo limiti) non richiede ulteriori impostazioni del Registro di sistema o aggiornamenti del firmware.  

  • CVE-2017-5754 (rogue data cache load)

  • CVE-2018-3639 (bypass speculativo negozio)

  • CVE-2018-3620 (errore terminale L1 - sistema operativo)

  • CVE-2018-11091 (MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (MLPDS(Microarchitectural Load Port Data Sampling)

  • CVE-2018-12130 (MFBDS (Microarchitectural Fill Buffer Data Sampling)

L'avviso ADV220002 riguarda altre vulnerabilità correlate a Memory-Mapped I/O (MMIO):

  • CVE-2022-21123 - Lettura dei dati del buffer condiviso (SBDR)

  • CVE-2022-21125 - Campionamento dei dati del buffer condiviso (SBDS)

  • CVE-2022-21127 - Aggiornamento speciale per il campionamento dei dati del buffer di registro (aggiornamento SRBDS)

  • CVE-2022-21166 - Registrazione dispositivo scrittura parziale (DRPW)

Questo articolo fornisce dettagli sullo script SpeculationControl PowerShell che aiuta a determinare lo stato delle misure di prevenzione per i FILE CVE elencati che richiedono ulteriori impostazioni del Registro di sistema e, in alcuni casi, aggiornamenti del firmware.

Ulteriori informazioni

Script SpeculationControl PowerShell

Installare ed eseguire lo script SpeculationControl utilizzando uno dei metodi seguenti.

Metodo 1: verifica di PowerShell tramite l'PowerShell Gallery (Windows Server 2016 o WMF 5.0/5.1)

Installare il modulo di PowerShell

PS> Install-Module SpeculationControl

Eseguire il modulo SpeculationControl PowerShell per verificare che le protezioni siano abilitate

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metodo 2: verifica di PowerShell tramite un download da TechNet (versioni del sistema operativo precedenti/versioni WMF precedenti)

Installare il modulo di PowerShell da TechNet ScriptCenter

  1. Vai a https://aka.ms/SpeculationControlPS.

  2. Scaricare SpeculationControl.zip in una cartella locale.

  3. Estrarre il contenuto in una cartella locale, ad esempio C:\ADV180002

Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate

Avviare PowerShell e quindi , usando l'esempio precedente, copiare ed eseguire i comandi seguenti:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Output script di PowerShell

L'output dello script SpeculationControl PowerShell sarà simile al seguente. Le protezioni abilitate vengono visualizzate nell'output come "True".

PS C:\> Get-SpeculationControlSettings

Impostazioni di controllo della speculazione per CVE-2017-5715 [branch target injection]

È presente il supporto hardware per la mitigazione dell'iniezione tramite ramo: False
Windows è presente il supporto del sistema operativo per la prevenzione dell'iniezione tramite ramo: True
Windows il supporto del sistema operativo per la prevenzione dell'iniezione tramite ramo è abilitato: False
Windows il supporto del sistema operativo per la prevenzione dell'iniezione di destinazione del ramo è disabilitato dai criteri di sistema: True
Windows Il supporto del sistema operativo per la prevenzione dell'iniezione di target di succursale è disabilitato in assenza di supporto hardware: True

Impostazioni di controllo speculazione per CVE-2017-5754 [caricamento della cache dei dati rogue]

L'hardware richiede l'shadowing va kernel: True
Windows è presente il supporto del sistema operativo per l'ombreggiatura VA kernel: False
Windows è abilitato il supporto del sistema operativo per l'ombreggiatura VA kernel: False
Windows è abilitato il supporto del sistema operativo per l'ottimizzazione PCID: False

Impostazioni di controllo della speculazione per CVE-2018-3639 [bypass negozio speculativo]

L'hardware è vulnerabile al bypass speculativo dello store: True
È presente il supporto hardware per la prevenzione speculativa del bypass dello store: False
Windows il supporto del sistema operativo per la prevenzione speculativa del bypass dello store è presente: True
Windows il supporto del sistema operativo per la prevenzione speculativa del bypass dello store è abilitato a livello di sistema: False

Impostazioni di controllo speculazione per CVE-2018-3620 [errore terminale L1]

L'hardware è vulnerabile all'errore del terminale L1: True
Windows è presente il supporto del sistema operativo per la prevenzione degli errori del terminale L1: True
Windows è abilitato il supporto del sistema operativo per la prevenzione degli errori del terminale L1: True

Impostazioni di controllo della speculazione per MDS [campionamento di dati microarchiteturali]

Windows supporto del sistema operativo per MDS prevenzione è presente: True
L'hardware è vulnerabile ai MDS: è abilitato il supporto del sistema operativo True
Windows per MDS prevenzione: True

Impostazioni di controllo speculazione per SBDR [lettura dati buffer condivisi] 

Windows supporto del sistema operativo per la mitigazione SBDR è presente: True
Hardware vulnerabile a SBDR: True
Windows il supporto del sistema operativo per la prevenzione SBDR è abilitato: True  

Impostazioni di controllo speculazione per FBSDP [propagatore di dati obsoleti del buffer di riempimento]

Windows supporto del sistema operativo per la prevenzione FBSDP è presente: True
Hardware vulnerabile a FBSDP: True
Windows il supporto del sistema operativo per la prevenzione FBSDP è abilitato: True  

Impostazioni di controllo delle speculazioni per PSDP [propagator principale dei dati obsoleti]

Windows supporto del sistema operativo per la prevenzione PSDP è presente: True
Hardware vulnerabile a PSDP: True
Windows è abilitato il supporto del sistema operativo per la prevenzione PSDP: True

BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerablePresent: True
SSBDHardwarePresent: True
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
FBClearWindowsSupportEnabled: True 

Spiegazione dell'output dello script SpeculationControl PowerShell

La griglia di output finale esegue il mapping all'output delle righe precedenti. Questo viene visualizzato perché PowerShell stampa l'oggetto restituito da una funzione. La tabella seguente illustra ogni riga nell'output dello script di PowerShell.

Output

Spiegazione

Impostazioni di controllo della speculazione per CVE-2017-5715 [branch target injection]

Questa sezione fornisce lo stato del sistema per la variante 2, CVE-2017-5715, branch target injection.

È presente il supporto hardware per la prevenzione dell'iniezione di target di succursale

Mappe a BTIHardwarePresent. Questa linea indica se sono presenti funzionalità hardware per supportare la prevenzione dell'iniezione di destinazione del ramo. L'OEM del dispositivo è responsabile di fornire il BIOS/firmware aggiornato che contiene il microcodice fornito dai produttori di CPU. Se questa linea è True, sono presenti le funzionalità hardware richieste. Se la linea è Falsa, le funzionalità hardware richieste non sono presenti e pertanto la prevenzione dell'iniezione di destinazione del ramo non può essere abilitata.

Note BTIHardwarePresent sarà True nelle macchine virtuali guest se l'aggiornamento OEM è stato applicato all'host e vengono seguite le indicazioni.

Windows è presente il supporto del sistema operativo per la mitigazione dell'iniezione di target di succursale

Mappe a BTIWindowsSupportPresent. Questa riga indica se Windows supporto del sistema operativo è presente per la prevenzione dell'iniezione di target di ramo. Se è True, il sistema operativo supporta l'abilitazione della prevenzione dell'iniezione di destinazione del ramo (e quindi ha installato l'aggiornamento di gennaio 2018). Se è False, l'aggiornamento di gennaio 2018 non è stato installato nel dispositivo e la prevenzione dell'iniezione di destinazione del ramo non può essere abilitata.

Note Se una macchina virtuale guest non rileva l'aggiornamento hardware host, BTIWindowsSupportEnabled sarà sempre False.

Windows è abilitato il supporto del sistema operativo per l'iniezione di target di succursale

Mappe a BTIWindowsSupportEnabled. Questa riga indica se Windows supporto del sistema operativo è abilitato per la prevenzione dell'iniezione di destinazione del ramo. Se è True, il supporto hardware e il supporto del sistema operativo per la prevenzione dell'iniezione di destinazione del ramo sono abilitati per il dispositivo, proteggendo così da CVE-2017-5715. Se è False, si verifica una delle condizioni seguenti:

  • Il supporto hardware non è presente.

  • Il supporto del sistema operativo non è presente.

  • La prevenzione è stata disabilitata dai criteri di sistema.

Windows il supporto del sistema operativo per la mitigazione dell'iniezione di destinazione dei rami è disabilitato dai criteri di sistema

Mappe a BTIDisabledBySystemPolicy. Questa riga indica se la prevenzione dell'iniezione di branch target è stata disabilitata dai criteri di sistema (ad esempio un criterio definito dall'amministratore). Criteri di sistema fa riferimento ai controlli del Registro di sistema documentati in KB4072698. Se è Vero, i criteri di sistema sono responsabili della disabilitazione della prevenzione. Se è False, la prevenzione viene disabilitata da una causa diversa.

Windows il supporto del sistema operativo per la mitigazione dell'iniezione di target di succursale è disabilitato in assenza di supporto hardware

Mappe a BTIDisabledByNoHardwareSupport. Questa linea indica se la prevenzione dell'iniezione di bersaglio del ramo è stata disabilitata a causa dell'assenza di supporto hardware. Se è Vero, l'assenza di supporto hardware è responsabile della disabilitazione della prevenzione. Se è False, la prevenzione viene disabilitata da una causa diversa.

NotaSe una macchina virtuale guest non riesce a rilevare l'aggiornamento hardware host, BTIDisabledByNoHardwareSupport sarà sempre True.

Impostazioni di controllo speculazione per CVE-2017-5754 [caricamento della cache dei dati rogue]

Questa sezione fornisce informazioni di riepilogo sullo stato del sistema per la variante 3, CVE-2017-5754, caricamento non autorizzati della cache dei dati. La prevenzione per questo problema è nota come shadow dell'indirizzo virtuale kernel (VA) o attenuazione del carico della cache dei dati rogue.

L'hardware richiede l'ombreggiatura va kernel

Mappe a KVAShadowRequired. Questa linea indica se l'hardware è vulnerabile a CVE-2017-5754. Se è Vero, si ritiene che l'hardware sia vulnerabile al CVE-2017-5754. Se è False, è noto che l'hardware non è vulnerabile a CVE-2017-5754.

è presente il supporto del sistema operativo Windows per l'ombreggiatura VA kernel

Mappe a KVAShadowWindowsSupportPresent. Questa riga indica se è presente Windows supporto del sistema operativo per la funzionalità di ombreggiatura va kernel. Se è True, l'aggiornamento di gennaio 2018 è installato nel dispositivo ed è supportata l'ombreggiatura va kernel. Se è False, l'aggiornamento di gennaio 2018 non è installato e il supporto shadow di Kernel VA non esiste.

Windows supporto del sistema operativo per l'ombreggiatura va kernel è abilitato

Mappe a KVAShadowWindowsSupportEnabled. Questa riga indica se la funzionalità di ombreggiatura va kernel è stata abilitata. Se è True, si ritiene che l'hardware sia vulnerabile a CVE-2017-5754, Windows supporto del sistema operativo è presente e la funzionalità è stata abilitata. La funzionalità shadow di Kernel VA è attualmente abilitata per impostazione predefinita nelle versioni client di Windows ed è disabilitata per impostazione predefinita nelle versioni di Windows Server. Se è False, Windows supporto del sistema operativo non è presente o la funzionalità non è stata abilitata.

Windows è abilitato il supporto del sistema operativo per l'ottimizzazione delle prestazioni di PCID

NotaPCID non è necessario per la sicurezza. Indica solo se è abilitato un miglioramento delle prestazioni. PCID non è supportato con Windows Server 2008 R2

Mappe a KVAShadowPcidEnabled. Questa linea indica se è stata abilitata un'ottimizzazione delle prestazioni aggiuntiva per l'ombreggiatura VA kernel. Se è True, è abilitata l'ombreggiatura VA kernel, è presente il supporto hardware per PCID ed è stata abilitata l'ottimizzazione PCID per l'ombreggiatura VA kernel. Se è False, l'hardware o il sistema operativo potrebbe non supportare PCID. Non è un punto debole della sicurezza che l'ottimizzazione PCID non sia abilitata.

Windows supporto del sistema operativo per Speculative Store Bypass Disable è presente

Mappe a SSBDWindowsSupportPresent. Questa riga indica se è presente Windows supporto del sistema operativo per Speculative Store Bypass Disable. Se è True, l'aggiornamento di gennaio 2018 è installato nel dispositivo ed è supportata l'ombreggiatura va kernel. Se è False, l'aggiornamento di gennaio 2018 non è installato e il supporto shadow di Kernel VA non esiste.

L'hardware richiede Speculative Store Bypass Disable

Mappe a SSBDHardwareVulnerablePresent. Questa linea indica se l'hardware è vulnerabile a CVE-2018-3639. Se è Vero, si ritiene che l'hardware sia vulnerabile a CVE-2018-3639. Se è False, è noto che l'hardware non è vulnerabile a CVE-2018-3639.

È presente il supporto hardware per Speculative Store Bypass Disable

Mappe a SSBDHardwarePresent. Questa linea indica se sono presenti funzionalità hardware per supportare Speculative Store Bypass Disable. L'OEM del dispositivo è responsabile di fornire il BIOS/firmware aggiornato che contiene il microcodice fornito da Intel. Se questa linea è True, sono presenti le funzionalità hardware richieste. Se la linea è Falsa, le funzionalità hardware richieste non sono presenti e pertanto Speculative Store Bypass Disable non può essere attivata.

Nota SSBDHardwarePresent sarà True nelle macchine virtuali guest se l'aggiornamento OEM è stato applicato all'host.

Windows il supporto del sistema operativo per Speculative Store Bypass Disable è attivato

Mappe a SSBDWindowsSupportEnabledSystemWide. Questa riga indica se Speculative Store Bypass Disable è stato attivato nel sistema operativo Windows. Se è True, il supporto hardware e del sistema operativo per Speculative Store Bypass Disable è attivato per il dispositivo che impedisce l'esecuzione di un bypass speculativo dello Store, eliminando così completamente il rischio di sicurezza. Se è False, si verifica una delle condizioni seguenti:

Impostazioni di controllo speculazione per CVE-2018-3620 [errore terminale L1]

Questa sezione fornisce un riepilogo dello stato del sistema per L1TF (sistema operativo) a cui fa riferimento CVE-2018-3620. Questa prevenzione garantisce che i bit dei frame di pagina sicuri vengano usati per le voci della tabella pagina non presenti o non valide.

Note Questa sezione non fornisce un riepilogo dello stato di prevenzione per L1TF (VMM) a cui fa riferimento CVE-2018-3646.

L'hardware è vulnerabile all'errore del terminale L1: True

Mappe a L1TFHardwareVulnerable. Questa linea indica se l'hardware è vulnerabile all'errore terminale L1 (L1TF, CVE-2018-3620). Se è Vero, si ritiene che l'hardware sia vulnerabile al CVE-2018-3620. Se è False, l'hardware non è vulnerabile a CVE-2018-3620.

Windows supporto del sistema operativo per la prevenzione degli errori dei terminali L1 è presente: True

Mappe a L1TFWindowsSupportPresent. Questa linea indica se è presente Windows supporto del sistema operativo per il sistema operativo L1 Terminal Fault (L1TF). Se è True, l'aggiornamento di agosto 2018 è installato nel dispositivo ed è presente la prevenzione per CVE-2018-3620 . Se è False, l'aggiornamento di agosto 2018 non è installato e la prevenzione per CVE-2018-3620 non è presente.

Windows è abilitato il supporto del sistema operativo per la prevenzione degli errori dei terminali L1: True

Mappe a L1TFWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per L1 Terminal Fault (L1TF, CVE-2018-3620) è abilitata. Se è Vero, si ritiene che l'hardware sia vulnerabile a CVE-2018-3620, Windows è presente il supporto del sistema operativo per la prevenzione e la prevenzione è stata abilitata. Se è False, l'hardware non è vulnerabile, Windows supporto del sistema operativo non è presente o la prevenzione non è stata abilitata.

Impostazioni di controllo delle speculazioni per MDS [Campionamento di dati microarchiteturali]

Questa sezione fornisce lo stato del sistema per il set di vulnerabilità MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e ADV220002.

Windows supporto del sistema operativo per MDS prevenzione è presente

Mappe a MDSWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del campionamento dei dati microarchiteturali (MDS). Se è True, l'aggiornamento di maggio 2019 è installato nel dispositivo ed è presente la prevenzione per MDS. Se è False, l'aggiornamento di maggio 2019 non è installato e la prevenzione per MDS non è presente.

L'hardware è vulnerabile ai MDS

Mappe a MDSHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile al campionamento dei dati microarchiteturali (MDS) set di vulnerabilità (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Windows è abilitato il supporto del sistema operativo per MDS prevenzione

Mappe a MDSWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per il campionamento dei dati microarchiteturali (MDS) è abilitata. Se è Vero, si ritiene che l'hardware sia interessato dalle vulnerabilità del MDS, che sia presente il supporto del sistema operativo Windows per la prevenzione e che la prevenzione sia stata abilitata. Se è False, l'hardware non è vulnerabile, Windows supporto del sistema operativo non è presente o la prevenzione non è stata abilitata.

Windows è presente il supporto del sistema operativo per la mitigazione SBDR

Mappe a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo SBDR. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per SBDR. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per SBDR non è presente.

L'hardware è vulnerabile a SBDR

Mappe a SBDRSSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile a SBDR [lettura dei dati dei buffer condivisi] set di vulnerabilità (CVE-2022-21123). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Windows è abilitato il supporto del sistema operativo per la mitigazione SBDR

Mappe a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per SBDR [lettura dati buffer condivisi] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità SBDR, che sia presente il supporto operativo Windows per la prevenzione e che la prevenzione sia stata abilitata. Se è False, l'hardware non è vulnerabile, Windows supporto del sistema operativo non è presente o la prevenzione non è stata abilitata.

Windows è presente il supporto del sistema operativo per la prevenzione FBSDP

Mappe a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo FBSDP. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per FBSDP. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per FBSDP non è presente.

L'hardware è vulnerabile a FBSDP

Mappe a FBSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile a FBSDP [propagatore di dati obsoleti del buffer di riempimento] set di vulnerabilità (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Windows è abilitato il supporto del sistema operativo per la prevenzione FBSDP

Mappe a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per FBSDP [fill buffer stale data propagator] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità FBSDP, che sia presente il supporto operativo Windows per la prevenzione e che la prevenzione sia stata abilitata. Se è False, l'hardware non è vulnerabile, Windows supporto del sistema operativo non è presente o la prevenzione non è stata abilitata.

Windows è presente il supporto del sistema operativo per la mitigazione PSDP

Mappe a FBClearWindowsSupportPresent. Questa riga indica se è presente il supporto del sistema operativo Windows per la prevenzione del sistema operativo PSDP. Se è True, l'aggiornamento di giugno 2022 è installato nel dispositivo ed è presente la prevenzione per PSDP. Se è False, l'aggiornamento di giugno 2022 non è installato e la prevenzione per PSDP non è presente.

L'hardware è vulnerabile a PSDP

Mappe a PSDPHardwareVulnerable. Questa riga indica se l'hardware è vulnerabile al set di vulnerabilità PSDP [primary stale data propagator].This line tells you if the hardware is vulnerable to PSDP [primary stale data propagator] set of vulnerabilities. Se è Vero, si ritiene che l'hardware sia interessato da queste vulnerabilità. Se è False, l'hardware è noto per non essere vulnerabile.

Windows il supporto del sistema operativo per la prevenzione PSDP è abilitato

Mappe a FBClearWindowsSupportEnabled. Questa riga indica se la prevenzione del sistema operativo Windows per PSDP [primary stale data propagator] è abilitata. Se è True, si ritiene che l'hardware sia interessato dalle vulnerabilità psdp, il supporto operativo Windows per la prevenzione è presente e la mitigazione è stata abilitata. Se è False, l'hardware non è vulnerabile, Windows supporto del sistema operativo non è presente o la prevenzione non è stata abilitata.

Output con tutte le misure di prevenzione abilitate

L'output seguente è previsto per un dispositivo con tutte le misure di prevenzione abilitate, insieme a ciò che è necessario per soddisfare ogni condizione.


BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> l'aggiornamento
di gennaio 2018 BTIWindowsSupportEnabled: True -> nel client, nessuna azione richiesta. Sul server, segui le indicazioni.
BTIDisabledBySystemPolicy: False -> verificare che non sia disabilitato dai criteri.
BTIDisabledByNoHardwareSupport: False -> verificare che sia applicato l'aggiornamento del firmware o del BIOS OEM.
KVAShadowRequired: True o False -> nessuna azione, questa è una funzione della CPU utilizzata

dal computerIf KVAShadowRequired is True
KVAShadowWindowsSupportPresent: True -> installare l'aggiornamento
di gennaio 2018 KVAShadowWindowsSupportEnabled: True -> nel client, nessuna azione necessaria. Sul server, segui le indicazioni.
KVAShadowPcidEnabled: True o False -> nessuna azione, questa è una funzione della CPU utilizzata dal computer


If SSBDHardwareVulnerablePresent is True #x1 ADV180012
SSBDHardwarePresent: True -> installare l'aggiornamento del BIOS/firmware con il supporto per SSBD dall'OEM
del dispositivoSSBDWindowsSupportEnabledSystemWide: True -> follow azioni consigliate per attivare SSBD


If L1TFHardwareVulnerable is True #x3 ADV180018
L1TFWindowsSupportPresent: True -> install Windows updates as documented in ADV180018L1TFWindowsSupportEnabled: True -> follow actions outlined in

Registro

La tabella seguente esegue il mapping dell'output alle chiavi del Registro di sistema descritte in KB4072698: linee guida di Windows Server e Azure Stack HCI per la protezione dalle vulnerabilità dei canali laterali di esecuzione microarchitettura e speculativa basate sui processori.

Chiave del Registro di sistema

Mapping

FeatureSettingsOverride - Bit 0

Mappe a - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride - Bit 1

Mappe a - Caricamento della cache dei dati non autorizzati - VAShadowWindowsSupportEnabled

Riferimenti

Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

PARTECIPA AL PROGRAMMA MICROSOFT 365 INSIDERS >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×