Izpratne par Get-SpeculationControlSettings PowerShell skripta izvadi

Kopsavilkums

Lai palīdzētu klientiem pārbaudīt Spekulatīvās izpildes puses kanāla ietekmes mazināšanas statusu, korporācija Microsoft ir publicējusi PowerShell skriptu, ko klienti var palaist savās sistēmās. Šajā tēmā izskaidrots, kā palaist skriptu un ko nozīmē izvade.

Konsultanti ADV180002, ADV180012, ADV180018un ADV190013 aptver deviņus ievainojamība:

  • CVE-2017-5715 (zara Target injekcija)

  • CVE-2017-5753 (robežas Check apvedceļš)

  • CVE-2017-5754 (negodīgi datu kešatmiņas ielāde)

  • CVE-2018-3639 (spekulatīvas krātuves apvedceļš)

  • CVE-2018-3620 (L1 termināļa bojājums — OS)

  • CVE-2018-11091 (Arhitektoniskā datu paraugu noņemšanas nekešatmiņas atmiņa (MDSUM))

  • CVE-2018-12126 (Arhitektūras krātuves bufera datu paraugu ņemšana (MSBDS))

  • CVE-2018-12127 (Arhitektoniskā ielādēšanas porta datu paraugu ņemšana (MLPDS))

  • CVE-2018-12130 (arhitektoniskā aizpildījuma bufera datu paraugu ņemšana (MFBDS))

CVE-2017-5753 (robežu pārbaude) aizsardzībai nav nepieciešami papildu reģistra iestatījumi vai programmaparatūras atjauninājumi. Šajā tēmā ir sniegta detalizēta informācija par PowerShell skriptu, kas palīdz noteikt to uzskaitīto CVEs stāvokļa samazināšanas stāvokli, kuriem nepieciešami papildu reģistra iestatījumi, un dažos gadījumos — programmaparatūras atjauninājumus.

Papildinformācija

Instalējiet un palaidiet skriptu, izpildot tālāk norādītās komandas.

PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1)

PowerShell moduļa instalēšana

PS> Install-Module SpeculationControl

PowerShell moduļa palaišana, lai pārbaudītu, vai ir iespējotas aizsardzības

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell pārbaude, izmantojot lejupielādēt no TechNet (vecākas OS versijas/vecākas WMF versijas)

PowerShell moduļa instalēšana no TechNet ScriptCenter

  1. Dodieties uz https://aka.MS/SpeculationControlPS.

  2. Lejupielādēt SpeculationControl. zip lokālajā mapē.

  3. Izvērsiet saturu lokālajā mapē, piemēram, C:\ADV180002

PowerShell moduļa palaišana, lai pārbaudītu, vai ir iespējotas aizsardzības

Startējiet PowerShell un pēc tam (izmantojot iepriekš minēto piemēru) kopējiet un palaidiet šādas komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Šī PowerShell skripta izvade tiks līdzināta tālāk norādītajam. Iespējotā aizsardzība tiek parādīta izvadē kā "patiess".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Spekulācijas vadīklas iestatījumi CVE-2018-3620 [L1 Terminal atteice]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Norādītie apsvērumi par to, kā MDS [nearhitektūras datu paraugu ņemšana]

Operētājsistēmā Windows OS tiek atbalstīts atbalsts MDS mazināšanai: patiess Aparatūra ir neaizsargāta pret MDS: True Windows OS atbalsts MDS ietekmes mazināšanai ir iespējots: True BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Gala izvades režģis kartē līdz iepriekšējo rindiņu izvadei. Tas tiek rādīts tāpēc, ka PowerShell izdrukā funkciju, ko atgriež funkcija. Tālāk esošajā tabulā ir izskaidrota katra rindiņa.

Izvades

Skaidrojums

Spekulācijas vadīklas iestatījumi CVE-2017-5715 [zars Target Injection]

Šī sadaļa nodrošina sistēmas statusu 2. variantam, CVE-2017-5715 , zara mērķu injekcijai.

Aparatūras atbalsts zara mērķu izsmidzināšanas mazināšanai ir klātesošs

Kartes uz BTIHardwarePresent. Šajā līnijā ir norādīts, vai ir pieejami aparatūras līdzekļi, lai atbalstītu filiāļu mērķu samazināšanu. Ierīces OEM ir atbildīga par atjaunināmās BIOS/aparātprogrammatūras nodrošināšanu, kas satur CPU ražotāju nodrošināto kodu. Ja šī rindiņa irpatiesa, ir pieejami nepieciešamie aparatūras līdzekļi. Ja rindiņa irFALSE, nepieciešamie aparatūras līdzekļi nav pieejami, un tāpēc nav iespējams iespējot filiāļu mērķu samazināšanu.

Piezīme BTIHardwarePresent būspatiessviesu VMs, ja OEM atjauninājums ir lietots resursdatoram un ir ievērotasvadlīnijas.

Windows OS atbalsts filiāles mērķu izsmidzināšanas mazināšanai

Kartes uz BTIWindowsSupportPresent. Šajā līnijā ir norādīts, vai ir pieejama Windows operētājsistēmas palīdzība attiecībā uz filiāles mērķu ietekmes mazināšanas pasākumiem. Ja tas irpatiess, operētājsistēma nodrošina iespēju iespējot zara mērķu injekcijas samazināšanu (un tāpēc ir instalēts 2018. gada janvāra atjauninājums). Ja tas iraplams, sistēmas 2018 atjauninājums nav instalēts sistēmā un filiāles mērķis nav iespējots.

Piezīme Ja viesa VM nevar noteikt resursdatora aparatūras atjauninājumu, BTIWindowsSupportEnabled vienmēr būsaplams.

Windows OS atbalsts filiāļu mērķu sasniegšanas mazināšanai ir iespējots

Kartes uz BTIWindowsSupportEnabled. Šajā līnijā ir norādīts, vai ir iespējots Windows operētājsistēmas atbalsts, kas paredzēts zara mērķu izsmidzināšanas mazināšanai. Ja tas irpatiess, ierīcei ir iespējots aparatūras atbalsts un OS atbalsts, kas paredzēts filiāļu mērķu atsmidzināšanas mazināšanai, tādējādi aizsargājot pretCVE-2017-5715. Ja tas iraplams, viens no šiem nosacījumiem ir patiess:

  • Nav aparatūras atbalsta.

  • OPERĒTĀJSISTĒMAS atbalsts nav atbalstīts.

  • Sistēmas politikas atspējošanas mazināšana ir atspējota.

Sistēmas politika ir atspējojusi Windows OS atbalstu filiāļu mērķu sasniegšanas mazināšanai

Kartes uz BTIDisabledBySystemPolicy. Šajā līnijā ir norādīts, vai sistēmas politika ir atspējojusi filiāles mērķi, piemēram, ar administratora definētu politiku. Sistēmas politika attiecas uz reģistra vadīklām, kas dokumentētasKB 4072698. Ja tas irpatiess, sistēmas politika ir atbildīga par samazināšanas atspējošanu. Ja tas iraplams, samazināšanas iemesls ir atspējots ar citu iemeslu.

Windows OS atbalsts filiāļu mērķu sasniegšanas mazināšanai ir atspējots, neizmantojot aparatūras atbalstu

Kartes uz BTIDisabledByNoHardwareSupport. Šajā rindiņā ir norādīts, vai filiāles mērķis ir atspējots, jo nav aparatūras atbalsta. Ja tas irpatiess, aparatūras atbalsta trūkums ir atbildīgs par samazināšanas atspējošanu. Ja tas iraplams, samazināšanas iemesls ir atspējots ar citu iemeslu.

Piezīme Ja viesa VM nevar noteikt resursdatora aparatūras atjauninājumu, BTIDisabledByNoHardwareSupport vienmēr būspatiess.

Spekulācijas vadīklas iestatījumi CVE-2017-5754 [Rogue Data cache Load]

Šajā sadaļā sniegts kopsavilkuma sistēmas statuss 3. variantam,CVE-2017-5754, negodīgiem datu kešatmiņas ielādei. To mazināšana ir zināma kā kodola virtuālā adrese (VA) ēna vai negodīgi datu kešatmiņas ielādes mazināšana.

Aparatūrai nepieciešama kodola VA ēnošana

Kartes uz KVAShadowRequired. Šajā līnijā ir norādīts, vai aparatūra ir neaizsargāta pretCVE-2017-5754. Ja tā irtaisnība, šī aparatūra ir uzskatāma par neaizsargātu pret CVE-2017-5754. Ja tas iraplams, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2017-5754.

Windows OS atbalsts kodolam VA ēna ir klāt

Kartes uz KVAShadowWindowsSupportPresent. Šajā rindiņā ir norādīts, vai ir pieejama Windows operētājsistēma, kas atbalsta kodola VA Shadow līdzekli. Ja tas irpatiess, 2018. gada janvāra atjauninājums ir instalēts ierīcē, bet kodols VA ēna tiek atbalstīta. Ja tas iraplams, programmas 2018 atjauninājums nav instalēts, un Kernel VA Shadow atbalsts nepastāv.

Windows OS atbalsts kodolam VA ēna ir iespējota

Kartes uz KVAShadowWindowsSupportEnabled. Šajā līnijā ir norādīts, vai ir iespējots kodols VA Shadow funkcija. Ja tā irtaisnība, šī aparatūra ir uzskatāma par neaizsargātu pretCVE-2017-5754, Windows operētājsistēmas atbalsts ir pašlaik, un līdzeklis ir iespējots. Kodols VA Shadow līdzeklis pašlaik ir iespējots pēc noklusējuma uz Windows klienta versijām un pēc noklusējuma ir atspējots Windows Server versijās. Ja tas iraplams, nav Windows operētājsistēmas atbalsta vai šis līdzeklis nav iespējots.

Windows OS atbalsts PCID veiktspējas optimizēšanai ir iespējots

Piezīme PCID nav nepieciešama drošības nodrošināšanai. Tas norāda tikai to, vai ir iespējots veiktspējas uzlabojums. PCID netiek atbalstīts operētājsistēmā Windows Server 2008 R2

Kartes uz KVAShadowPcidEnabled. Šajā rindiņā ir norādīts, vai kodolam VA ēna ir iespējota papildu veiktspējas optimizēšana. Ja tas irpatiess, kodola VA ēna ir iespējota, ir iespējots aparatūras atbalsts PCID un PCID optimizācija kodolam VA Shadow ir iespējota. Ja tā irnepatiesa, aparatūra vai OS, iespējams, neatbalsta PCID. Nav iespējots PCID optimizācijas drošības vājums.

Windows OS atbalsts Spekulatīvās krātuves apvedceļa atspējošanai ir pašlaik

Kartes uz SSBDWindowsSupportPresent. Šajā rindiņā ir norādīts, vai ir pieejama Windows operētājsistēma, kas atbalsta Spekulatīvās krātuves apvedceļa atspējošanu. Ja tas ir patiess , 2018. gada janvāra atjauninājums ir instalēts ierīcē, bet kodols VA ēna tiek atbalstīta. Ja tas ir aplams , programmas 2018 atjauninājums nav instalēts, un Kernel VA Shadow atbalsts nepastāv.

Aparatūrā ir nepieciešama spekulatīva krātuves apvedceļa atspējošana

Kartes uz SSBDHardwareVulnerablePresent. Šajā līnijā ir norādīts, vai aparatūra ir neaizsargāta pret CVE-2018-3639. Ja tā ir taisnība , šī aparatūra ir uzskatāma par neaizsargātu pret CVE-2018-3639. Ja tas ir aplams , ir zināms, ka aparatūra nav neaizsargāta pret CVE-2018-3639.

Aparatūras atbalsts Spekulatīvās krātuves apvedceļa atspējošanai

Kartes uz SSBDHardwarePresent. Šajā līnijā ir norādīts, vai ir pieejami aparatūras līdzekļi, kas atbalsta spekulatīvas krātuves apvedceļa atspējošanu. Ierīces OEM ir atbildīga par atjaunināmās BIOS/aparātprogrammatūras nodrošināšanu, kas satur Intel nodrošināto kodu. Ja šī rindiņa ir patiesa , ir pieejami nepieciešamie aparatūras līdzekļi. Ja rindiņa ir FALSE , nepieciešamie aparatūras līdzekļi nav pieejami, tādēļ spekulatīvas krātuves apvedceļa atspējošanu nevar ieslēgt.

Piezīme. SSBDHardwarePresent būs patiess viesa VMs, kad OEM atjauninājums ir lietots resursdatoram.

 

Windows OS atbalsts Spekulatīvās krātuves apvedceļa atspējošanai ir ieslēgts

Kartes uz SSBDWindowsSupportEnabledSystemWide. Šajā līnijā ir norādīts, vai spekulatīvas krātuves apvedceļa atspējošana ir ieslēgta Windows operētājsistēmā. Ja tā ir taisnība , aparatūras atbalsta un OS atbalsts spekulatīvas krātuves apvedceļa atspējošanai ir ieslēgts ierīcei, kas novērš spekulatīvas krātuves apdari, tādējādi novēršot drošības risku. Ja tas ir aplams , ir spēkā viens no šiem nosacījumiem:

  • Nav aparatūras atbalsta.

  • OPERĒTĀJSISTĒMAS atbalsts nav atbalstīts.

  • Spekulatīvās krātuves apvedceļa atspējošana nav ieslēgta, izmantojot reģistra atslēgas. Norādījumus par to, kā ieslēgt, skatiet šajos rakstos:

Windows klientu ieteikumi IT profesionāļiem, lai nodrošinātu aizsardzību pret spekulatīvu izpildi sānu kanālu ievainojamība

Windows Server ieteikumi aizsardzībai pret spekulatīvu izpildi kanāla ievainojamība

 

Spekulācijas vadīklas iestatījumi CVE-2018-3620 [L1 Terminal atteice]

Šī sadaļa nodrošina kopsavilkuma sistēmas statusu L1TF (operētājsistēmai), kas norādīta ar CVE-2018-3620. Šī mazināšana nodrošina drošu lappuses rāmja bitus, kas tiek izmantoti, lai netiktu rādītas vai nederīgi lappušu tabulas ieraksti.

Piezīme. Šī sadaļa nesniedz kopsavilkumu par L1TF (VMM) ietekmes mazināšanas statusu, kas minēts ar CVE-2018-3646.

Aparatūra ir neaizsargāta pret L1 termināļa kļūmi: True

Kartes uz L1TFHardwareVulnerable. Šajā līnijā ir norādīts, vai aparatūra ir neaizsargāta pret L1 termināļa kļūmi (L1TF, CVE-2018-3620). Ja tā ir taisnība, šī aparatūra ir uzskatāma par neaizsargātu pret CVE-2018-3620. Ja tas ir aplams, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2018-3620.

Windows OS atbalsts L1 termināļa kļūdu mazināšanai ir klāt: True

Kartes uz L1TFWindowsSupportPresent. Šajā līnijā ir norādīts, vai ir pieejama Windows operētājsistēma, kas atbalsta L1 termināļa kļūmju (L1TF) operētājsistēmu. Ja tas ir patiess, 2018 augusts atjauninājums ir instalēts ierīcē un CVE-2018-3620. Ja tas ir aplams, 2018 augusts atjauninājums nav instalēts, un CVE-2018-3620 mazināšana nav pieejama.

Windows OS atbalsts L1 termināļa kļūdu mazināšanai ir iespējots: True

Kartes uz L1TFWindowsSupportEnabled. Šajā līnijā ir norādīts, vai ir iespējots Windows operētājsistēmu ietekmes mazināšanas līdzeklis L1 Terminal kļūmju (L1TF, CVE-2018-3620). Ja tas ir patiess, iespējams, ka aparatūra ir neaizsargāta pret CVE-2018-3620, Windows operētājsistēmas atbalsts ir paredzēts mazināšanai, un ir iespējota mazināšana. Ja tas ir aplams, aparatūra nav neaizsargāta, sistēmas Windows atbalsts nav pieejama vai mazināšana nav iespējota.

Norādītie apsvērumi par to, kā MDS [nearhitektūras datu paraugu ņemšana]

Šī sadaļa nodrošina sistēmas statusu, kas attiecas uz ievainojamību, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127un CVE-2018-12130

Windows OS atbalsts MDS ietekmes mazināšanai

Kartes uz MDSWindowsSupportPresent. Šajā līnijā ir norādīts, vai ir pieejama Windows operētājsistēma, kas atbalsta arhitektonisko datu paraugu (MDS) operētājsistēmu. Ja tas ir patiess, iespējams, ka ierīcē ir instalēts 2019 atjauninājums un ir klāt MDS mazināšana. Ja tas ir aplams, iespējams, 2019 atjauninājums nav instalēts, un nav pieejama opcija mazināt MDS.

Aparatūra ir neaizsargāta pret MDS

Kartes uz MDSHardwareVulnerable. Šajā rindiņā ir norādīts, vai aparatūra ir neaizsargāta pret neaizsargātu datu paraugu (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ja tā ir taisnība, uzskata, ka šī ievainojamība ietekmē aparatūru. Ja tas ir aplams, ir zināms, ka aparatūra nav neaizsargāta.

Windows OS atbalsts MDS mazināšanas nolūkā ir iespējots

Kartes uz MDSWindowsSupportEnabled. Šajā līnijā ir norādīts, vai ir iespējots Windows operētājsistēmu neatbilstību, kas attiecas uz nearhitektūras datu paraugu (MDS). Ja tas ir patiess, domājams, ka aparatūru ietekmē MDS ievainojamība, ir atrodams Windows darbības atbalsts ietekmes mazināšanai, un ir iespējota mazināšana. Ja tas ir aplams, aparatūra nav neaizsargāta, sistēmas Windows atbalsts nav pieejama vai mazināšana nav iespējota.

Ir paredzēts, ka datoram ar visiem ietekmes mazināšanas pasākumiem ir jāveic tālāk norādītās iespējas, kā arī jāapmierina katrs nosacījums.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

Tālāk redzamajā tabulā ir kartes izvade uz reģistra atslēgām, kas ir iekļautas Windows servera norādījumos, lai nodrošinātu aizsardzību pret spekulatīvo izpildi kanāla ievainojamība.

Reģistra atslēga

Kartēšanas

FeatureSettingsOverride-bit 0

Kartējiet uz zara Target injekcijas-BTIWindowsSupportEnabled

FeatureSettingsOverride-bit 1

Negodīgi datu kešatmiņas ielādes VAShadowWindowsSupportEnabled

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×