|
날짜 변경 |
변경 설명 |
|---|---|
|
2023년 7월 17일 |
‘모든 완화를 사용하도록 설정된 출력’ 섹션에 MMIO 및 출력 값에 대한 특정 설명이 추가되었습니다. |
요약
예측 실행 부채널 완화의 상태를 확인할 수 있도록 디바이스에서 실행할 수 있는 PowerShell 스크립트(SpeculationControl)를 게시했습니다. 이 문서에서는 SpeculationControl 스크립트를 실행하는 방법과 출력의 의미를 설명합니다.
보안 권고 ADV180002, ADV180012, ADV180018 및 ADV190013은 다음과 같은 9가지 취약성을 다룹니다.
-
CVE-2017-5715(분기 대상 주입)
-
CVE-2017-5753(경계 검사 바이패스)
참고 CVE-2017-5753(경계 검사)에 대한 보호에는 추가 레지스트리 설정 또는 펌웨어 업데이트가 필요하지 않습니다.
-
CVE-2017-5754(불량 데이터 캐시 로드)
-
CVE-2018-3639(예측 저장소 바이패스)
-
CVE-2018-3620(L1 터미널 오류 – OS)
-
CVE-2018-11091(MDSUM(마이크로아키텍처 데이터 샘플링 캐시할 수 없는 메모리))
-
CVE-2018-12126(MSBDS(마이크로아키텍처 저장소 버퍼 데이터 샘플링))
-
CVE-2018-12127(MLPDS(마이크로 아키텍처 로드 포트 데이터 샘플링))
-
CVE-2018-12130(MFBDS(마이크로 아키텍처 채우기 버퍼 데이터 샘플링))
권고 ADV220002에서는 MMIO(추가 메모리 매핑된 I/O) 관련 취약성을 다룹니다.
-
CVE-2022-21123 | SBDR(공유 버퍼 데이터 읽기)
-
CVE-2022-21125 | SBDS(공유 버퍼 데이터 샘플링)
-
CVE-2022-21127 | 특수 레지스터 버퍼 데이터 샘플링 업데이트(SRBDS 업데이트)
-
CVE-2022-21166 | DRPW(디바이스 레지스터 부분 쓰기)
이 문서에서는 추가 레지스트리 설정 및 경우에 따라 펌웨어 업데이트가 필요한 나열된 CVE에 대한 완화 상태를 결정하는 데 도움이 되는 SpeculationControl PowerShell 스크립트에 대한 세부 정보를 제공합니다.
자세한 내용
SpeculationControl PowerShell 스크립트
다음 방법 중 하나를 사용하여 SpeculationControl 스크립트를 설치하고 실행합니다.
|
방법 1: PowerShell 갤러리를 사용하여 PowerShell 확인(Windows Server 2016 또는 WMF 5.0/5.1) |
|
PowerShell 모듈 설치 PS> Install-Module SpeculationControl SpeculationControl PowerShell 모듈을 실행하여 보호 기능이 사용하도록 설정되었는지 확인 PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
방법 2: TechNet(이전 OS 버전/이전 WMF 버전)에서 다운로드를 사용하여 PowerShell 확인 |
|
TechNet ScriptCenter에서 PowerShell 모듈 설치
PowerShell 모듈을 실행하여 보호 기능이 사용하도록 설정되었는지 확인 PowerShell을 시작한 후 위의 예제를 사용하여 다음 명령 복사 및 실행: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell 스크립트 출력
SpeculationControl PowerShell 스크립트의 출력은 다음 출력과 유사합니다. 활성화된 보호는 출력에 "True"로 표시됩니다.
PS C:\> Get-SpeculationControlSettings
CVE-2017-5715에 대한 예측 제어 설정[분기 대상 주입]
분기 대상 주입 완화에 대한 하드웨어 지원이 있음: False
분기 대상 주입 완화에 대한 Windows OS 지원 있음: True
분기 대상 주입 완화에 대한 Windows OS 지원 사용: False
분기 대상 주입 완화에 대한 Windows OS 지원이 시스템 정책에 의해 비활성화됨: True
분기 대상 주입 완화에 대한 Windows OS 지원은 하드웨어 지원이 없어 비활성화됨: True
CVE-2017-5754에 대한 예측 제어 설정[불량 데이터 캐시 로드]
하드웨어가 불량 데이터 캐시 로드에 취약함: True
불량 데이터 캐시 부하 완화에 대한 Windows OS 지원 있음: True
불량 데이터 캐시 부하 완화에 대한 Windows OS 지원 사용: True
하드웨어에 커널 VA 섀도잉 필요: True
커널 VA 섀도에 대한 Windows OS 지원 있음: False
커널 VA 섀도에 대한 Windows OS 지원 사용: False
PCID 최적화를 위한 Windows OS 지원 사용: False
CVE-2018-3639에 대한 예측 제어 설정[예측 저장소 바이패스]
하드웨어는 예측 저장소 바이패스에 취약함: True
예측 저장소 바이패스 완화에 대한 하드웨어 지원 있음: False
예측 저장소 바이패스 완화에 대한 Windows OS 지원 있음: True
예측 저장소 바이패스 완화에 대한 Windows OS 지원을 시스템 전체에서 사용: False
CVE-2018-3620에 대한 예측 제어 설정 [L1 터미널 오류]
하드웨어가 L1 터미널 오류에 취약함: True
L1 터미널 오류 완화에 대한 Windows OS 지원 있음: True
L1 터미널 오류 완화를 위한 Windows OS 지원 사용: True
MDS[마이크로 아키텍처 데이터 샘플링]에 대한 예측 제어 설정
MDS 완화에 대한 Windows OS 지원 있음: True
하드웨어가 MDS에 취약함: True
MDS 완화에 대한 Windows OS 지원 사용: True
SBDR[공유 버퍼 데이터 읽기]에 대한 예측 제어 설정
SBDR 완화에 대한 Windows OS 지원 있음: True
하드웨어가 SBDR에 취약함: True
SBDR 완화를 위한 Windows OS 지원 사용: True
FBSDP[채우기 버퍼 부실 데이터 전파자]에 대한 예측 제어 설정
FBSDP 완화에 대한 Windows OS 지원 있음: True
하드웨어가 FBSDP에 취약함: True
FBSDP 완화를 위한 Windows OS 지원 사용: True
PSDP에 대한 예측 제어 설정[기본 부실 데이터 전파자]
PSDP 완화에 대한 Windows OS 지원 있음: True
하드웨어가 PSDP에 취약함: True
PSDP 완화를 위한 Windows OS 지원 사용: True
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
SpeculationControl PowerShell 스크립트 출력에 대한 설명
최종 출력 그리드는 이전 줄의 출력에 매핑됩니다. 이는 PowerShell이 함수에서 반환하는 개체를 인쇄하기 때문에 나타납니다. 다음 표에서는 PowerShell 스크립트 출력의 각 줄에 대해 설명합니다.
|
출력 |
설명 |
|
CVE-2017-5715에 대한 예측 제어 설정[분기 대상 주입] |
이 섹션에서는 변형 2, CVE-2017-5715, 분기 대상 주입에 대한 시스템 상태를 제공합니다. |
|
분기 대상 주입 완화에 대한 하드웨어 지원이 있음 |
BTIHardwarePresent에 매핑됩니다. 이 줄은 분기 대상 주입 완화를 지원하기 위해 하드웨어 기능이 있는지 여부를 알려줍니다. 디바이스 OEM은 CPU 제조업체에서 제공하는 마이크로코드를 포함하는 업데이트된 BIOS/펌웨어를 제공합니다. 이 줄이 True이면 필요한 하드웨어 기능이 있습니다. 줄이 False이면 필요한 하드웨어 기능이 없습니다. 따라서 분기 대상 주입 완화를 사용할 수 없습니다. 참고 OEM 업데이트가 호스트에 적용되고 지침을 따르는 경우 BTIHardwarePresent는 게스트 VM에서 True가 됩니다. |
|
분기 대상 주입 완화에 대한 Windows OS 지원이 있음 |
BTIWindowsSupportPresent에 매핑됩니다. 이 줄은 분기 대상 주입 완화를 위해 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 운영 체제에서 분기 대상 주입 완화를 사용하도록 지원하므로 2018년 1월 업데이트를 설치했습니다. False이면 2018년 1월 업데이트가 디바이스에 설치되지 않았으며 분기 대상 주입 완화를 사용하도록 설정할 수 없습니다. 참고 게스트 VM이 호스트 하드웨어 업데이트를 감지할 수 없는 경우 BTIWindowsSupportEnabled는 항상 False입니다. |
|
분기 대상 주입 완화를 위한 Windows OS 지원 사용 |
BTIWindowsSupportEnabled에 매핑됩니다. 이 줄은 분기 대상 주입 완화에 대해 Windows 운영 체제 지원을 사용할 수 있는지 여부를 알려줍니다. True이면 디바이스에 대해 분기 대상 주입 완화에 대한 하드웨어 지원 및 OS 지원이 활성화되어 CVE-2017-5715로부터 보호됩니다. False이면 다음 조건 중 하나가 true입니다.
|
|
시스템 정책에 따라 분기 대상 주입 완화에 대한 Windows OS 지원을 사용하지 않도록 설정 |
BTIDisabledBySystemPolicy에 매핑됩니다. 이 줄은 시스템 정책(예: 관리자 정의 정책)에 의해 분기 대상 주입 완화가 사용하지 않도록 설정되었는지 알려줍니다. 시스템 정책은 KB4072698에 설명된 레지스트리 컨트롤을 나타냅니다. True이면 시스템 정책이 완화를 사용하지 않도록 설정해야 합니다. False이면 다른 원인으로 인해 완화가 비활성화됩니다. |
|
분기 대상 주입 완화에 대한 Windows OS 지원은 하드웨어 지원이 없어 비활성화됩니다. |
BTIDisabledByNoHardwareSupport에 매핑됩니다. 이 줄은 하드웨어 지원이 없어 분기 대상 주입 완화가 사용하지 않도록 설정되었는지 여부를 알려줍니다. True이면 하드웨어 지원이 없으면 완화를 사용하지 않도록 설정해야 합니다. False이면 다른 원인으로 인해 완화가 비활성화됩니다. 참고 게스트 VM이 호스트 하드웨어 업데이트를 감지할 수 없는 경우 BTIDisabledByNoHardwareSupport는 항상 True가 됩니다. |
|
CVE-2017-5754에 대한 예측 제어 설정[불량 데이터 캐시 로드] |
이 섹션에서는 변형 3, CVE-2017-5754, 불량 데이터 캐시 로드에 대한 요약 시스템 상태를 제공합니다. 이에 대한 완화는 커널 VA(가상 주소) 섀도 또는 불량 데이터 캐시 부하 완화라고 합니다. |
|
하드웨어가 불량 데이터 캐시 로드에 취약함 |
RdclHardwareProtected에 매핑됩니다. 이 줄은 하드웨어가 CVE-2017-5754에 취약한지 여부를 알려줍니다. True이면 하드웨어가 CVE-2017-5754에 취약한 것으로 추정됩니다. False이면 하드웨어가 CVE-2017-5754에 취약하지 않은 것으로 알려져 있습니다. |
|
불량 데이터 캐시 부하 완화에 대한 Windows OS 지원 있음 |
KVAShadowWindowsSupportPresent에 매핑됩니다. 이 줄은 커널 VA 섀도 기능에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. |
|
불량 데이터 캐시 부하 완화를 위한 Windows OS 지원 사용 |
KVAShadowWindowsSupportEnabled에 매핑됩니다. 이 줄은 커널 VA 섀도 기능을 사용할 수 있는지 여부를 알려줍니다. True이면 하드웨어가 CVE-2017-5754에 취약한 것으로 간주되고 Windows 운영 체제 지원이 있으며 기능이 활성화됩니다. |
|
하드웨어에는 커널 VA 섀도잉이 필요합니다. |
KVAShadowRequired에 매핑됩니다. 이 줄은 취약성을 완화하기 위해 시스템에 커널 VA 섀도잉이 필요한지 여부를 알려줍니다. |
|
커널 VA 섀도에 대한 Windows OS 지원 있음 |
KVAShadowWindowsSupportPresent에 매핑됩니다. 이 줄은 커널 VA 섀도 기능에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2018년 1월 업데이트가 디바이스에 설치되고 커널 VA 섀도가 지원됩니다. False이면 2018년 1월 업데이트가 설치되어 있지 않고 커널 VA 섀도 지원이 없습니다. |
|
커널 VA 섀도에 대한 Windows OS 지원 사용 |
KVAShadowWindowsSupportEnabled에 매핑됩니다. 이 줄은 커널 VA 섀도 기능을 사용할 수 있는지 여부를 알려줍니다. True이면 Windows 운영 체제 지원이 있고 기능이 활성화됩니다. 커널 VA 섀도 기능은 현재 클라이언트 버전의 Windows에서 기본적으로 사용하도록 설정되어 있으며 Windows Server 버전에서는 기본적으로 사용하지 않도록 설정됩니다. False이면 Windows 운영 체제 지원이 없거나 기능을 사용할 수 없습니다. |
|
PCID 성능 최적화를 위한 Windows OS 지원 사용 참고 PCID는 보안에 필요하지 않습니다. 성능 향상이 사용하도록 설정되어 있는지만 나타냅니다. PCID는 Windows Server 2008 R2에서 지원되지 않습니다. |
KVAShadowPcidEnabled에 매핑됩니다. 이 줄은 커널 VA 섀도에 대해 추가 성능 최적화를 사용할 수 있는지 여부를 알려줍니다. True이면 커널 VA 섀도를 사용하도록 설정하고, PCID에 대한 하드웨어 지원이 있으며, 커널 VA 섀도에 대한 PCID 최적화를 사용하도록 설정됩니다. False이면 하드웨어 또는 OS에서 PCID를 지원하지 않을 수 있습니다. PCID 최적화를 사용하도록 설정하지 않는 것은 보안 약점이 아닙니다. |
|
예측 저장소 바이패스 사용 안 함에 대한 Windows OS 지원 있음 |
SSBDWindowsSupportPresent에 매핑됩니다. 이 줄은 예측 저장소 바이패스 사용 안 함에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2018년 1월 업데이트가 디바이스에 설치되고 커널 VA 섀도가 지원됩니다. False이면 2018년 1월 업데이트가 설치되지 않고 커널 VA 섀도 지원이 없습니다. |
|
하드웨어에는 예측 저장소 바이패스 사용 안 함이 필요합니다. |
SSBDHardwareVulnerablePresent에 매핑됩니다. 이 줄은 하드웨어가 CVE-2018-3639에 취약한지 여부를 알려줍니다. True이면 하드웨어가 CVE-2018-3639에 취약한 것으로 간주됩니다. False이면 하드웨어가 CVE-2018-3639에 취약하지 않은 것으로 알려져 있습니다. |
|
예측 저장소 바이패스 사용 안 함에 대한 하드웨어 지원이 있음 |
SSBDHardwarePresent에 매핑됩니다. 이 줄은 예측 저장소 바이패스 사용 안 함을 지원하기 위해 하드웨어 기능이 있는지 여부를 알려줍니다. 디바이스 OEM은 Intel에서 제공하는 마이크로코드가 포함된 업데이트된 BIOS/펌웨어를 제공해야 합니다. 이 줄이 True이면 필요한 하드웨어 기능이 있습니다. 줄이 False이면 필요한 하드웨어 기능이 없습니다. 따라서 예측 저장소 바이패스 사용 안 함을 설정할 수 없습니다. 참고 OEM 업데이트가 호스트에 적용되는 경우 게스트 VM에서 SSBDHardwarePresent는 True가 됩니다. |
|
예측 저장소 바이패스 사용 안 함을 위한 Windows OS 지원이 켜져 있음 |
SSBDWindowsSupportEnabledSystemWide에 매핑됩니다. 이 줄은 Windows 운영 체제에서 예측 저장소 바이패스 사용 안 함을 설정했는지 여부를 알려줍니다. True이면 예측 저장소 바이패스 사용 안 함에 대한 하드웨어 지원 및 OS 지원이 디바이스에 대해 설정되므로 예측 저장소 바이패스 발생을 방지하므로 보안 위험이 완전히 제거됩니다. False이면 다음 조건 중 하나가 true입니다.
|
|
CVE-2018-3620에 대한 예측 제어 설정 [L1 터미널 오류] |
이 섹션에서는 CVE-2018-3620에서 참조하는 L1TF(운영 체제)에 대한 요약 시스템 상태를 제공합니다. 이 완화를 통해 안전한 페이지 프레임 비트가 존재하지 않거나 잘못된 페이지 테이블 항목에 사용됩니다. 참고 이 섹션에서는 CVE-2018-3646에서 참조하는 L1TF(VMM)에 대한 완화 상태에 대한 요약을 제공하지 않습니다. |
|
하드웨어가 L1 터미널 오류에 취약함: True |
L1TFHardwareVulnerable에 매핑됩니다. 이 줄은 하드웨어가 L1 터미널 오류(L1TF, CVE-2018-3620)에 취약한지 여부를 알려줍니다. True이면 하드웨어가 CVE-2018-3620에 취약한 것으로 간주됩니다. False이면 하드웨어가 CVE-2018-3620에 취약하지 않은 것으로 알려져 있습니다. |
|
L1 터미널 오류 완화에 대한 Windows OS 지원이 있음: True |
L1TFWindowsSupportPresent에 매핑됩니다. 이 줄은 L1TF(L1 터미널 오류) 운영 체제 완화에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2018년 8월 업데이트가 디바이스에 설치되고 CVE-2018-3620에 대한 완화가 있습니다. False이면 2018년 8월 업데이트가 설치되지 않으며 CVE-2018-3620에 대한 완화가 없습니다. |
|
L1 터미널 오류 완화를 위한 Windows OS 지원 사용: True |
L1TFWindowsSupportEnabled에 매핑됩니다. 이 줄은 L1 터미널 오류(L1TF, CVE-2018-3620)에 대한 Windows 운영 체제 완화를 사용할 수 있는지 여부를 알려줍니다. True이면 하드웨어가 CVE-2018-3620에 취약한 것으로 간주되고, 완화를 위한 Windows 운영 체제 지원이 있으며, 완화가 활성화됩니다. False이면 하드웨어가 취약하지 않거나, Windows 운영 체제 지원이 없거나, 완화를 사용할 수 없습니다. |
|
MDS[마이크로 아키텍처 데이터 샘플링]에 대한 예측 제어 설정 |
이 섹션에서는 MDS 취약성 집합 CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 및 ADV220002에 대한 시스템 상태를 제공합니다. |
|
MDS 완화에 대한 Windows OS 지원이 있음 |
MDSWindowsSupportPresent에 매핑됩니다. 이 줄은 MDS(마이크로 아키텍처 데이터 샘플링) 운영 체제 완화에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2019년 5월 업데이트가 디바이스에 설치되고 MDS에 대한 완화가 제공됩니다. False이면 2019년 5월 업데이트가 설치되지 않고 MDS에 대한 완화가 없습니다. |
|
하드웨어는 MDS에 취약합니다. |
MDSHardwareVulnerable에 매핑됩니다. 이 줄에서는 하드웨어가 MDS(마이크로 아키텍처 데이터 샘플링) 취약성 집합(CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139)에 취약한지 여부를 알려줍니다. True이면 하드웨어가 이러한 취약성의 영향을 받는 것으로 간주됩니다. False이면 하드웨어가 취약하지 않은 것으로 알려져 있습니다. |
|
MDS 완화를 위한 Windows OS 지원 사용 |
MDSWindowsSupportEnabled에 매핑됩니다. 이 줄은 MDS(마이크로아키텍처 데이터 샘플링)에 대한 Windows 운영 체제 완화를 사용할 수 있는지 여부를 알려줍니다. True이면 하드웨어가 MDS 취약성의 영향을 받는 것으로 간주되고, 완화를 위한 Windows 운영 체제 지원이 있으며, 완화를 사용하도록 설정됩니다. False이면 하드웨어가 취약하지 않거나, Windows 운영 체제 지원이 없거나, 완화를 사용할 수 없습니다. |
|
SBDR 완화에 대한 Windows OS 지원 있음 |
FBClearWindowsSupportPresent에 매핑됩니다. 이 줄은 SBDR 운영 체제 완화에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2022년 6월 업데이트가 디바이스에 설치되고 SBDR에 대한 완화가 있습니다. False이면 2022년 6월 업데이트가 설치되지 않고 SBDR에 대한 완화가 없습니다. |
|
하드웨어는 SBDR에 취약합니다. |
SBDRSSDPHardwareVulnerable에 매핑됩니다. 이 줄은 하드웨어가 SBDR[공유 버퍼 데이터 읽기] 취약성 집합(CVE-2022-21123)에 취약한지 여부를 알려줍니다. True이면 하드웨어가 이러한 취약성의 영향을 받는 것으로 간주됩니다. False이면 하드웨어가 취약하지 않은 것으로 알려져 있습니다. |
|
SBDR 완화를 위한 Windows OS 지원 사용 |
FBClearWindowsSupportEnabled에 매핑됩니다. 이 줄에서는 SBDR[공유 버퍼 데이터 읽기]에 대한 Windows 운영 체제 완화를 사용할 수 있는지 여부를 알려줍니다. True이면 하드웨어가 SBDR 취약성의 영향을 받는 것으로 간주되고, 완화를 위한 Windows 운영 지원이 있으며, 완화는 사용하도록 설정됩니다. False이면 하드웨어가 취약하지 않거나, Windows 운영 체제 지원이 없거나, 완화를 사용할 수 없습니다. |
|
FBSDP 완화에 대한 Windows OS 지원 있음 |
FBClearWindowsSupportPresent에 매핑됩니다. 이 줄은 FBSDP 운영 체제 완화에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2022년 6월 업데이트가 디바이스에 설치되고 FBSDP에 대한 완화가 제공됩니다. False이면 2022년 6월 업데이트가 설치되지 않고 FBSDP에 대한 완화가 없습니다. |
|
하드웨어는 FBSDP에 취약합니다. |
FBSDPHardwareVulnerable에 매핑됩니다. 이 줄은 하드웨어가 FBSDP[채우기 버퍼 부실 데이터 전파자] 취약성 집합(CVE-2022-21125, CVE-2022-21127 및 CVE-2022-21166)에 취약한지 여부를 알려줍니다. True이면 하드웨어가 이러한 취약성의 영향을 받는 것으로 간주됩니다. False이면 하드웨어가 취약하지 않은 것으로 알려져 있습니다. |
|
FBSDP 완화를 위한 Windows OS 지원 사용 |
FBClearWindowsSupportEnabled에 매핑됩니다. 이 줄은 FBSDP[채우기 버퍼 부실 데이터 전파기]에 대한 Windows 운영 체제 완화를 사용할 수 있는지 여부를 알려줍니다. True이면 하드웨어가 FBSDP 취약성의 영향을 받는 것으로 간주되고, 완화를 위한 Windows 운영 지원이 있으며, 완화가 활성화됩니다. False이면 하드웨어가 취약하지 않거나, Windows 운영 체제 지원이 없거나, 완화를 사용할 수 없습니다. |
|
PSDP 완화에 대한 Windows OS 지원 있음 |
FBClearWindowsSupportPresent에 매핑됩니다. 이 줄에서는 PSDP 운영 체제 완화에 대한 Windows 운영 체제 지원이 있는지 여부를 알려줍니다. True이면 2022년 6월 업데이트가 디바이스에 설치되고 PSDP에 대한 완화가 제공됩니다. False이면 2022년 6월 업데이트가 설치되지 않고 PSDP에 대한 완화가 없습니다. |
|
하드웨어가 PSDP에 취약합니다. |
PSDPHardwareVulnerable에 매핑됩니다. 이 줄은 하드웨어가 PSDP[기본 부실 데이터 전파자] 취약성 집합에 취약한지 여부를 알려줍니다. True이면 하드웨어가 이러한 취약성의 영향을 받는 것으로 간주됩니다. False이면 하드웨어가 취약하지 않은 것으로 알려져 있습니다. |
|
PSDP 완화를 위한 Windows OS 지원 사용 |
FBClearWindowsSupportEnabled에 매핑됩니다. 이 줄에서는 PSDP[기본 부실 데이터 전파자]에 대한 Windows 운영 체제 완화를 사용할 수 있는지 여부를 알려줍니다. True이면 하드웨어가 PSDP 취약성의 영향을 받는 것으로 간주되고, 완화에 대한 Windows 운영 지원이 있으며, 완화가 활성화됩니다. False이면 하드웨어가 취약하지 않거나, Windows 운영 체제 지원이 없거나, 완화를 사용할 수 없습니다. |
모든 완화를 사용하도록 설정된 출력
각 조건을 충족하는 데 필요한 것과 함께 모든 완화를 사용하도록 설정된 디바이스에 대해 다음 출력이 필요합니다.
BTIHardwarePresent: True -> OEM BIOS/펌웨어 업데이트 적용됨
BTIWindowsSupportPresent: True -> 2018년 1월 업데이트 설치됨
BTIWindowsSupportEnabled: True -> 클라이언트에서, 작업이 필요하지 않습니다. 서버에서 지침을 따릅니다.
BTIDisabledBySystemPolicy: False -> 정책에 의해 사용하지 않도록 설정되지 않았는지 확인합니다.
BTIDisabledByNoHardwareSupport: False -> OEM BIOS/펌웨어 업데이트가 적용되었는지 확인합니다.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True 또는 False -> 작업 없음, 컴퓨터에서 사용하는 CPU의 함수입니다.
KVAShadowRequired가 True일 경우
KVAShadowWindowsSupportPresent: True -> 2018년 1월 업데이트 설치
KVAShadowWindowsSupportEnabled: True -> 클라이언트에서, 작업이 필요하지 않습니다. 서버에서 지침을 따릅니다.
KVAShadowPcidEnabled: True 또는 False -> 작업 없음, 컴퓨터에서 사용하는 CPU의 함수입니다.
SSBDHardwareVulnerablePresent가 True인 경우
SSBDWindowsSupportPresent: True -> ADV180012
에 설명된 대로 Windows 업데이트 설치
SSBDHardwarePresent: True -> 장치 OEM에서 SSBD를 지원하는 BIOS/펌웨어 업데이트 설치
SSBDWindowsSupportEnabledSystemWide: True -> 권장 조치에 따라 SSBD를 켭니다.
L1TFHardwareVulnerable이 True인 경우
L1TFWindowsSupportPresent: True -> ADV180018
에 설명된 대로 Windows 업데이트 설치
L1TFWindowsSupportEnabled: True -> Windows Server 또는 Client용 ADV180018에 설명된 작업을 적절하게 수행하여 완화를 활성화합니다.
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> 2022년 6월 업데이트 설치
MDSHardwareVulnerable: False -> 하드웨어가 취약하지 않은 것으로 알려져 있습니다.
MDSWindowsSupportEnabled: True -> 마이크로아키텍처 데이터 샘플링(MDS)에 대한 완화가 활성화됨
FBClearWindowsSupportPresent: True -> 2022년 6월 업데이트 설치
SBDRSSDPHardwareVulnerable: True -> 하드웨어가 이 취약점의 영향을 받을 수 있습니다.
FBSDPHardwareVulnerable: True -> 하드웨어가 이 취약점의 영향을 받을 수 있습니다.
PSDPHardwareVulnerable: True -> 하드웨어가 이 취약점의 영향을 받을 수 있습니다.
FBClearWindowsSupportEnabled: True -> SBDR/FBSDP/PSDP에 대한 완화 활성화를 나타냅니다. OEM BIOS/펌웨어가 업데이트되었는지, FBClearWindowsSupportPresent가 True인지, ADV220002에 설명된 대로 완화를 사용하도록 설정했는지, KVAShadowWindowsSupportEnabled가 True인지 확인하세요.
레지스트리
다음 표에서는 KB4072698: 실리콘 기반 마이크로아키텍처 및 예측 실행 부채널 취약성으로부터 보호하기 위한 Windows Server 및 Azure Stack HCI 지침에서 다루는 레지스트리 키에 대한 출력을 매핑합니다.
|
레지스트리 키 |
매핑 |
|
FeatureSettingsOverride – 비트 0 |
매핑 대상 - 분기 대상 주입 - BTIWindowsSupportEnabled |
|
FeatureSettingsOverride – 비트 1 |
매핑 대상 - Rogue 데이터 캐시 로드 - VAShadowWindowsSupportEnabled |
참조 문서
Microsoft는 타사 연락처 정보를 제공하여 기술 지원을 받도록 도와줍니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이 타사 정보의 정확성을 보장하지 않습니다.
