Keisti datą |
Keitimo aprašas |
---|---|
2023 m. liepos 17 d. |
Pridėtas MMIO ir konkrečius aprašus išvesties reikšmių skyriuje "Išvestis, kurioje įgalintas visi mažinimai" |
Suvestinė
Kad būtų lengviau patikrinti su spėjamu vykdymu susijusių šalutinių kanalų mažinimų būseną, paskelbėme "PowerShell" scenarijų (SpeculationControl), kuris gali veikti jūsų įrenginiuose. Šiame straipsnyje aiškinama, kaip vykdyti "SpeculationControl" scenarijų ir ką reiškia išvestis.
Saugos patarimai ADV180002, ADV180012, ADV180018 ir ADV190013 apima šiuos devynis pažeidžiamumus:
-
CVE-2017-5715 (šakos tikslinis įdėjimas)
-
CVE-2017-5753 (ribos patikros apėjimo)
Pastaba Cve-2017-5753 (ribos patikra) apsaugai nereikia papildomų registro parametrų arba programinės-aparatinės įrangos naujinimų.
-
CVE-2017-5754 (nesąžiningų duomenų talpyklos įkėlimas)
-
CVE-2018-3639 (spėjamo parduotuvės apėjimo)
-
CVE-2018-3620 (L1 terminalo klaida – OS)
-
CVE-2018-11091 (mikroarchitektūros duomenų pavyzdžių neplanuojama atmintis (MDSUM))
-
CVE-2018-12126 (mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS))
-
CVE-2018-12127 (mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS))
-
CVE-2018-12130 (mikroarchitektūros užpildo buferio duomenų atranka (MFBDS))
Patarime ADV220002 aptariami papildomi Memory-Mapped įvesties/išvesties (MMIO) susiję pažeidžiamumai:
-
CVE-2022-21123 | Bendrai naudojami buferio duomenys nuskaityti (SBDR)
-
CVE-2022-21125 | Bendrai naudojamų buferio duomenų atranka (SBDS)
-
CVE-2022-21127 | Specialiojo registro buferio duomenų rinkimo naujinimas (SRBDS naujinimas)
-
CVE-2022-21166 | Įrenginio registruoti dalinį rašymą (DRPW)
Šiame straipsnyje pateikiama išsami informacija apie "SpeculationControl PowerShell" scenarijų, kuris padeda nustatyti nurodytų CVES, kuriems reikia papildomų registro parametrų, ir, kai kuriais atvejais, programinės-aparatinės įrangos naujinimų rizikos mažinimo būseną.
Daugiau informacijos
SpeculationControl – "PowerShell" scenarijus
Įdiekite ir paleiskite "SpeculationControl" scenarijų naudodami vieną iš toliau nurodytų būdų.
1 būdas: "PowerShell" patvirtinimas naudojant "PowerShell" galeriją ("Windows Server 2016" arba WMF 5.0/5.1) |
"PowerShell" modulio diegimas PS> Install-Module SpeculationControl Paleiskite "SpeculationControl" "PowerShell" modulį, kad patikrintumėte, ar įjungta apsauga PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
2 būdas: "PowerShell" patvirtinimas naudojant atsisiuntimą iš "TechNet" (ankstesnės OS versijos / ankstesnės WMF versijos) |
"PowerShell" modulio diegimas iš "TechNet ScriptCenter"
Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga Paleiskite "PowerShell", tada (naudodami aukščiau pateiktą pavyzdį) nukopijuokite ir vykdykite šias komandas: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
"PowerShell" scenarijaus išvestis
"PowerShell" scenarijaus "SpeculationControl" išvestis bus panaši į šią išvestį. Įgalintos apsaugos rodomos išvestyje kaip "Teisinga".
PS C:\> Get-SpeculationControlSettings
Spekuliavimo kontrolės parametrai CVE-2017-5715 [šaka target injection]
Yra šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas: klaidinga
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra: True
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra įgalintas: False
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas pagal sistemos strategiją: True
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas, nes nėra aparatūros palaikymo: Teisinga
Spėlionės valdymo parametrai CVE-2017-5754 [nesąžiningų duomenų talpyklos įkėlimas]
Aparatūrai gresia nesąžiningų duomenų talpyklos įkėlimas: teisinga
"Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui, yra: True
"Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui, įgalintas: "True"
Aparatūrai reikalingas branduolio VA šešėlis: teisinga
"Windows" operacinės sistemos palaikymas branduolio VA šešėliui yra: Klaidinga
"Windows" operacinės sistemos palaikymas branduolio VA šešėliui įgalintas: klaidinga
"Windows" OS palaikymas PCID optimizavimui įgalintas: klaidinga
Spekuliavimo kontrolės parametrai CVE-2018-3639 [spėjamas parduotuvės apėjimas]
Aparatūra yra pažeidžiama dėl su spėjamu parduotuvės apėjimo: "True"
Aparatūros palaikymas, skirtas spekuliaciniam saugyklos apėjimo mažinimui, yra: False
Yra "Windows" OS palaikymas, skirtas su spėjamu parduotuvės apėjimo mažinimu: True
"Windows" OS palaikymas, skirtas su spėjamu parduotuvės apėjimo mažinimu, įgalintas visoje sistemoje: False
Spėlionės valdymo parametrai CVE-2018-3620 [L1 terminalo gedimas]
Aparatūrai gali grėsti L1 terminalo triktis: teisinga
Yra "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true
Įjungtas "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true
Spekuliavimo kontrolės parametrai, skirti MDS [microarchitectural data sampling]
Yra "Windows" OS palaikymas, skirtas MDS mažinimui: teisinga
Aparatūrai gali grėsti DDS: teisinga
"Windows" OS palaikymas, skirtas MDS mažinimui, įgalintas: true
Spėlionės valdymo parametrai, skirti SBDR [bendrinamų buferių duomenų skaitymas]
"Windows" OS palaikymas, skirtas SBDR mažinimui, yra: True
Aparatūrai gali būti taikoma SBDR: teisinga
"Windows" OS palaikymas, skirtas SBDR mažinimui, įgalintas: true
Spėlionės valdymo parametrai, skirti FBSDP [užpildo buferio pasenusių duomenų platinimo priemonei]
Yra "Windows" OS palaikymas FBSDP mažinimui: True
Aparatūrai gali grėsti FBSDP: Teisinga
"Windows" OS palaikymas FBSDP mažinimui įgalintas: true
PSDP spekuliavimo valdymo parametrai [pirminis pasenusių duomenų platinimo įrankis]
Yra "Windows" OS palaikymas PSDP mažinimui: true
Aparatūrai gali grėsti PSDP: teisinga
"Windows" OS palaikymas, skirtas PSDP mažinimui, įgalintas: true
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: false
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: teisinga
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: true
RdclHardwareProtected: False
KVAShadowRequired: Teisinga
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: teisinga
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: teisinga
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: true
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: teisinga
HvL1tfProcessorNotAffected: true
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: teisinga
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
Spekuliacijos valdymo "PowerShell" scenarijaus išvesties paaiškinimas
Galutinis išvesties tinklelis susieja su ankstesnių eilučių išvestį. Taip atrodo, nes "PowerShell" spausdina objektą, kurį grąžina funkcija. Šioje lentelėje paaiškinta kiekviena "PowerShell" scenarijaus išvesties eilutė.
Išvesties |
Paaiškinimas |
Spekuliavimo kontrolės parametrai CVE-2017-5715 [šaka target injection] |
Šiame skyriuje pateikiama 2 varianto, CVE-2017-5715, šakos tikslinio injekcijos sistemos būsena. |
Yra šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas |
Žemėlapiai į BTIHardwarePresent. Šioje eilutėje nurodoma, ar yra aparatūros funkcijų, kurios palaiko šakos tikslinio įjungimo rizikos mažinimą. Įrenginio OĮG yra atsakingas už atnaujintos BIOS / programinės-aparatinės įrangos, kurioje yra CPU gamintojų pateiktas mikrokodas, teikimą. Jei ši eilutė yra True( teisinga), būtinos aparatūros funkcijos yra. Jei eilutė yra False (klaidinga), būtinų aparatūros funkcijų nėra. Todėl šakos tikslinio įdėjimas mažinimas negali būti įjungtas. Pastaba BTIHardwarePresent bus True svečio VM, jei OĮG naujinimas taikomas pagrindiniam kompiuteriui ir bus laikomasi nurodymų. |
Yra "Windows" OS palaikymas, skirtas šakos tikslinio įdėjimas mažinimui |
Žemėlapiai į BTIWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas šakos tikslinio įjungimo mažinimui. Jei tai teisinga, operacinė sistema palaiko šakos tikslinio įjungimo rizikos mažinimą (ir todėl įdiegė 2018 m. sausio mėn. naujinimą). Jei jis yra False, 2018 m. sausio naujinimas neįdiegtas įrenginyje ir šakos tikslinio įdėjimas mažinimas negali būti įjungtas. Pastaba Jei svečio VM negali aptikti pagrindinio kompiuterio aparatūros naujinimo, BTIWindowsSupportEnabled visada bus False. |
Įjungtas "Windows" OS palaikymas, skirtas šakos tikslinio įdėjimas mažinimui |
Žemėlapiai į BTIWindowsSupportEnabled. Šioje eilutėje nurodoma, ar "Windows" operacinės sistemos palaikymas įgalintas šakos tikslinio įjungimo mažinimui. Jei tai tiesa, įrenginiui įgalintas šakos tikslinio įjungimo rizikos mažinimo aparatūros palaikymas ir OS palaikymas, tokiu būdu apsaugant nuo CVE-2017-5715. Jei reikšmė yra False (klaidinga), viena iš šių sąlygų yra teisinga:
|
Sistemos strategija išjungė "Windows" OS palaikymą, skirtą šakos tikslinio įdėjimas mažinimui |
Susieja su BTIDisabledBySystemPolicy. Šioje eilutėje nurodoma, ar šakos tikslinio įdėjimas yra išjungtas pagal sistemos strategiją (pvz., administratoriaus nustatytą strategiją). Sistemos strategija registro valdiklius nurodo kaip dokumentuotus KB4072698. Jei tai teisinga, sistemos strategija yra atsakinga už rizikos mažinimo išjungimą. Jei tai yra False, rizikos mažinimas yra išjungtas dėl kitos priežasties. |
"Windows" OS palaikymas šakos tikslinio įdėjimas mažinimas yra išjungtas, nes nėra aparatūros palaikymo |
Susieja su BTIDisabledByNoHardwareSupport. Šioje eilutėje nurodoma, ar šakos tikslinio įdėjimas yra išjungtas dėl aparatūros palaikymo nebuvimo. Jei tai teisinga, aparatūros palaikymo nebuvimas yra atsakingas už rizikos mažinimo išjungimą. Jei tai yra False, rizikos mažinimas yra išjungtas dėl kitos priežasties. PastabaJei svečio VM negali aptikti pagrindinio kompiuterio aparatūros naujinimo, BTIDisabledByNoHardwareSupport visada bus True. |
Spėlionės valdymo parametrai CVE-2017-5754 [nesąžiningų duomenų talpyklos įkėlimas] |
Šiame skyriuje pateikiama 3 varianto, CVE-2017-5754, nesąžiningų duomenų talpyklos įkėlimo suvestinės sistemos būsena. Tai vadinama branduolio virtualaus adreso (VA) šešėliu arba nesąžiningų duomenų talpyklos apkrovos mažinimu. |
Aparatūrai gresia nesąžiningų duomenų talpyklos įkėlimas |
Žemėlapiai RdclHardwareProtected. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama CVE-2017-5754. Jei tai tiesa, manoma, kad aparatūra bus pažeidžiama CVE-2017-5754. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2017-5754. |
Yra "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui |
Žemėlapiai į KVAShadowWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra branduolio VA šešėlio funkcijos "Windows" operacinės sistemos palaikymas. |
Įjungtas "Windows" OS palaikymas, skirtas nesąžiningų duomenų talpyklos apkrovos mažinimui |
Žemėlapiai į KVAShadowWindowsSupportEnabled. Ši eilutė nurodo, ar įjungta branduolio VA šešėlio funkcija. Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2017-5754, yra "Windows" operacinės sistemos palaikymas ir ši funkcija įgalinta. |
Aparatūrai reikalingas branduolio VA šešėliavimas |
Žemėlapiai į KVAShadowRequired. Šioje eilutėje nurodoma, ar jūsų sistema reikalauja branduolio VA šešėliavimo siekiant sumažinti pažeidžiamumą. |
Yra branduolio VA šešėlio "Windows" OS palaikymas |
Žemėlapiai į KVAShadowWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra branduolio VA šešėlio funkcijos "Windows" operacinės sistemos palaikymas. Jei tai teisinga, įrenginyje įdiegiamas 2018 m. sausio mėn. naujinimas ir palaikomas branduolio VA šešėlis. Jei jis yra False, 2018 m. sausio mėn. naujinimas neįdiegtas ir nėra branduolio VA šešėlio palaikymo. |
Įgalintas "Windows" OS palaikymas branduolio VA šešėliui |
Žemėlapiai į KVAShadowWindowsSupportEnabled. Ši eilutė nurodo, ar įjungta branduolio VA šešėlio funkcija. Jei nustatyta True (teisinga), yra "Windows" operacinės sistemos palaikymas ir ši funkcija yra įgalinta. Branduolio VA šešėlio funkcija šiuo metu yra įjungta pagal numatytuosius parametrus kliento "Windows" versijose ir yra išjungta pagal numatytuosius parametrus "Windows Server" versijose. Jei nustatyta False (klaidinga), nėra "Windows" operacinės sistemos palaikymo arba funkcija neįgalinta. |
Įgalintas "Windows" OS palaikymas PCID efektyvumo optimizavimui PastabaPCID saugos sumetimais nebūtinas. Jis tik nurodo, ar įgalintas efektyvumo patobulinimas. PCID nepalaikomas su "Windows Server 2008 R2" |
Susieja su KVAShadowPcidEnabled. Šioje eilutėje nurodoma, ar įgalintas papildomas branduolio VA šešėlio efektyvumo optimizavimas. Jei tai teisinga, branduolio VA šešėlis yra įjungtas, yra PCID aparatūros palaikymas ir įjungtas BRANDUOLIO VA šešėlio PCID optimizavimas. Jei nustatyta False (klaidinga), aparatūra arba OS gali nepalaikyti PCID. PcID optimizavimas nėra įgalintas saugumo silpnybė. |
Yra "Windows" OS palaikymas, skirtas "Speculative Store Bypass Disable" |
Žemėlapiai į SSBDWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas "Speculative Store Bypass Disable". Jei tai teisinga, įrenginyje įdiegiamas 2018 m. sausio mėn. naujinimas ir palaikomas branduolio VA šešėlis. Jei jis yra False, 2018 m. sausio mėn. naujinimas neįdiegtas ir nėra branduolio VA šešėlio palaikymo. |
Aparatūra reikalauja spekuliacinio parduotuvės apėjimo išjungimo |
Žemėlapiai į SSBDHardwareVulnerablePresent. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama CVE-2018-3639. Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2018-3639. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2018-3639. |
Yra "Speculative Store Bypass Disable" aparatūros palaikymas |
Susieja su SSBDHardwarePresent. Šioje eilutėje nurodoma, ar yra aparatūros funkcijų, kurios palaiko "Speculative Store Bypass Disable". Įrenginio OĮG yra atsakingas už atnaujintos BIOS / programinės-aparatinės įrangos, kurioje yra "Intel" pateiktas mikrokodas, teikimą. Jei ši eilutė yra True( teisinga), būtinos aparatūros funkcijos yra. Jei eilutė yra False (klaidinga), būtinų aparatūros funkcijų nėra. Todėl negalima įjungti "Speculative Store Bypass Disable". Pastaba SSBDHardwarePresent bus True svečio VM, jei OĮG naujinimas taikomas pagrindiniam kompiuteriui. |
Įjungtas "Windows" OS palaikymas, skirtas "Speculative Store Bypass Disable" |
Susieja su SSBDWindowsSupportEnabledSystemWide. Šioje eilutėje nurodoma, ar "Windows" operacinėje sistemoje įjungtas "Speculative Store Bypass Disable". Jei tai tiesa, įrenginio aparatūros palaikymas ir OS palaikymas, skirtas "Speculative Store Bypass Disable", yra įjungtas, kad nebūtų apeinamas "Speculative Store Bypass", todėl visiškai pašalinama saugos rizika. Jei reikšmė yra False (klaidinga), viena iš šių sąlygų yra teisinga:
|
Spėlionės valdymo parametrai CVE-2018-3620 [L1 terminalo gedimas] |
Šiame skyriuje pateikiama cve-2018-3620 nurodytos L1TF (operacinės sistemos) suvestinės sistemos būsena. Šis mažinimas užtikrina, kad saugios puslapio rėmelio bitai yra naudojami nepateiktiems arba neleistiniems puslapių lentelės įrašams. Pastaba Šiame skyriuje nepateikiama rizikos mažinimo būsenos santrauka L1TF (VMM), nurodyta CVE-2018-3646. |
Aparatūrai gali grėsti L1 terminalo triktis: teisinga |
Žemėlapiai į L1TFHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama L1 terminalo gedimo (L1TF, CVE-2018-3620). Jei tai tiesa, manoma, kad aparatūra bus pažeidžiama CVE-2018-3620. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama CVE-2018-3620. |
Yra "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true |
Susieja su L1TFWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas L1 terminalo gedimo (L1TF) operacinės sistemos mažinimui. Jei tai teisinga, įrenginyje įdiegiamas 2018 m. rugpjūčio mėn. naujinimas ir yra CVE-2018-3620 mažinimas. Jei tai yra False, 2018 m. rugpjūčio naujinimas neįdiegtas ir cve-2018-3620 rizikos mažinimo nėra. |
Įjungtas "Windows" OS palaikymas L1 terminalo gedimų mažinimui: true |
Žemėlapiai Į L1TFWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos rizikos mažinimas dėl L1 terminalo klaidos (L1TF, CVE-2018-3620). Jei tai teisinga, manoma, kad aparatūra bus pažeidžiama CVE-2018-3620, yra rizikos mažinimo "Windows" operacinės sistemos palaikymas ir įgalintas rizikos mažinimas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Spekuliavimo valdymo parametrai, skirti MDS [Mikroarchitektūros duomenų atranka] |
Šiame skyriuje pateikiama MDS spragų rinkinio, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ir ADV220002 sistemos būsena. |
Yra "Windows" OS palaikymas, skirtas MDS mažinimui |
Žemėlapiai Į MDSWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos "Microarchitectural Data Sampling" (MDS) operacinės sistemos rizikos mažinimo palaikymas. Jei tai teisinga, įrenginyje įdiegiamas 2019 m. gegužės mėn. naujinimas ir yra MDS mažinimas. Jei tai yra False, 2019 m. gegužės mėn. naujinimas neįdiegtas ir nėra MDS mažinimo. |
Aparatūrai gali grėsti DDS |
Žemėlapiai į MDSHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūrai gali būti taikomas mikroarchitektūros duomenų rinkimo (MDS) pažeidžiamumų rinkinys (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas, skirtas MDS mažinimui |
Žemėlapiai Į MDSWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas mikroarchitektūros duomenų atrankai (MDS). Jei tai teisinga, manoma, kad aparatūrai turi įtakos DDS pažeidžiamumas, yra "Windows" operacinės sistemos palaikymas mažinimui ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Yra "Windows" OS palaikymas, skirtas SBDR mažinimui |
Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos palaikymas, skirtas SBDR operacinės sistemos mažinimui. Jei tai teisinga, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra SBDR mažinimas. Jei jis yra False, 2022 m. birželio naujinimas neįdiegtas ir SBDR rizikos mažinimo nėra. |
Aparatūra yra pažeidžiama SBDR |
Žemėlapiai į SBDRSSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama SBDR [bendrinamų buferių duomenų skaitymo] pažeidžiamumų rinkinio (CVE-2022-21123). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas, skirtas SBDR mažinimui |
Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas SBDR [bendrinamų buferių duomenų skaitymas]. Jei tai teisinga, manoma, kad aparatūrai turi įtakos SBDR pažeidžiamumas, yra rizikos mažinimo "Windows" operacinės pagalbos ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Yra "Windows" OS palaikymas FBSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra "Windows" operacinės sistemos FBSDP operacinės sistemos rizikos mažinimo palaikymas. Jei tai true, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra FBSDP mažinimas. Jei tai yra False, 2022 m. birželio naujinimas neįdiegtas ir FBSDP rizikos mažinimo nėra. |
Aparatūra yra pažeidžiama FBSDP |
Žemėlapiai į FBSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama FBSDP [užpildo buferio pasenusių duomenų platinimo priemonės] pažeidžiamumų rinkinio (CVE-2022-21125, CVE-2022-21127 ir CVE-2022-21166). Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas FBSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas FBSDP [užpildo buferio pasenusių duomenų platinimo priemonei]. Jei tai true, aparatūros yra manoma, kad turi įtakos FBSDP pažeidžiamumas, "Windows" operacinės pagalbos mažinimas yra ir rizikos mažinimas yra įjungtas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Yra "Windows" OS palaikymas PSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportPresent. Šioje eilutėje nurodoma, ar yra PSDP operacinės sistemos rizikos mažinimo "Windows" operacinės sistemos palaikymas. Jei tai true, įrenginyje įdiegiamas 2022 m. birželio mėn. naujinimas ir yra PSDP mažinimas. Jei jis yra False, 2022 m. birželio naujinimas neįdiegtas ir rizikos mažinimo PSDP nėra. |
Aparatūrai gali grėsti PSDP |
Žemėlapiai į PSDPHardwareVulnerable. Šioje eilutėje nurodoma, ar aparatūra yra pažeidžiama PSDP [pirminis pasenusių duomenų platinimo priemonės] pažeidžiamumų rinkinys. Jei tai tiesa, manoma, kad aparatūrai turi įtakos šie pažeidžiamumai. Jei nustatyta False (klaidinga), žinoma, kad aparatūra nėra pažeidžiama. |
Įgalintas "Windows" OS palaikymas PSDP mažinimui |
Žemėlapiai Į FBClearWindowsSupportEnabled. Šioje eilutėje nurodoma, ar įgalintas "Windows" operacinės sistemos mažinimas, skirtas PSDP [pirminis pasenusių duomenų platinimo įrankis]. Jei tai teisinga, manoma, kad aparatūrai turi įtakos PSDP pažeidžiamumas, yra rizikos mažinimo "Windows" operacinės pagalbos ir rizikos mažinimas yra įgalintas. Jei nustatyta False (klaidinga), aparatūra nėra pažeidžiama, "Windows" operacinės sistemos palaikymas nėra arba rizikos mažinimas neįgalintas. |
Išvestis, kurioje įgalinti visi mažinimai
Toliau pateikta išvestis numatoma įrenginyje, kuriame įgalinti visi mažinimai, kartu su tuo, kas būtina kiekvienai sąlygai patenkinti.
BTIHardwarePresent: teisinga – > pritaikytas
OĮG BIOS / programinės-aparatinės įrangos naujinimas
BTIWindowsSupportPresent: įdiegtas
2018 m. sausio > naujinimas
BTIWindowsSupportEnabled: True - > kliente, nereikia imtis jokių veiksmų. Serveryje vykdykite nurodymus.
BTIDisabledBySystemPolicy: False – > užtikrinti, kad strategija neišjungė.
BTIDisabledByNoHardwareSupport: False – > įsitikinkite, kad taikomas OĮG BIOS/programinės-aparatinės įrangos naujinimas.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True arba False – > jokio veiksmo, tai yra procesoriaus, kurį naudoja
kompiuteris, funkcija
Jei KVAShadowRequired yra Teisinga
KVAShadowWindowsSupportPresent: True – > įdiegti 2018 m. sausio mėn. naujinimą
KVAShadowWindowsSupportEnabled: True - > kliente, nereikia imtis jokių veiksmų. Serveryje vykdykite nurodymus.
KVAShadowPcidEnabled: True arba False – > jokio veiksmo, tai yra procesoriaus, kurį naudoja kompiuteris, funkcija
Jei SSBDHardwareVulnerablePresent yra teisinga
SSBDWindowsSupportPresent: True - > įdiegti "Windows" naujinimus, kaip dokumentuotus ADV180012
SSBDHardwarePresent: True -> įdiegti BIOS / programinės-aparatinės įrangos naujinimą su SSBD palaikymu iš įrenginio OĮG
SSBDWindowsSupportEnabledSystemWide: True -> atlikite rekomenduojamus veiksmus , kad įjungtumėte SSBD
Jei L1TFHardwareVulnerable yra teisinga
L1TFWindowsSupportPresent: True -> įdiegti "Windows" naujinimus, dokumentuotus ADV180018
L1TFWindowsSupportEnabled: True -> atlikite veiksmus, nurodytus ADV180018 , skirtame "Windows Server" arba klientui, kad įgalintumėte rizikos mažinimą
L1TFInvalidPteBit: 0
L1DFlushSupported: Teisinga
MDSWindowsSupportPresent: True -> įdiegti 2022 m. birželio mėn. naujinimą
MDSHardwareVulnerable: False – > aparatūra yra žinoma, kad nėra pažeidžiama
MDSWindowsSupportEnabled: įgalintas
"True-> mitigation for Microarchitectural Data Sampling" (MDS)
FBClearWindowsSupportPresent: True -> įdiegti 2022 m. birželio mėn. naujinimą
SBDRSSDPHardwareVulnerable: Manoma, > aparatūrai turi įtakos šie pažeidžiamumai
FBSDPHardwareVulnerable: Manoma, > aparatūrai turi įtakos šie pažeidžiamumai
PSDPHardwareVulnerable: manoma, > aparatūrai turi įtakos šie pažeidžiamumai
FBClearWindowsSupportEnabled: True -> – nurodo rizikos mažinimo įgalinimą, skirtą SBDR/FBSDP/PSDP. Įsitikinkite, kad atnaujinta OĮG BIOS / programinė-aparatinė įranga, FBClearWindowsSupportPresent yra True, rizikos mažinimai įgalinti, kaip nurodyta ADV220002 ir KVAShadowWindowsSupportEnabled yra True.
Registro
Šioje lentelėje pateikiama išvestis susiejama su registro raktais, kurie yra įtraukti į KB4072698: "Windows Server" ir "Azure Stack HCI" rekomendacijos, skirtos apsisaugoti nuo mikroarchitektūros ir spėjamo vykdymo šalutinių kanalų spragų.
Registro raktas |
Kartografavimo |
FeatureSettingsOverride – 0 bitas |
Žemėlapiai į – "Branch Target Injection" – "BTIWindowsSupportEnabled" |
FeatureSettingsOverride – 1 bitas |
Žemėlapiai į – "Rogue" duomenų talpyklos įkėlimas – VAShadowWindowsSupportEnabled |
Nuorodos
Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.