KB4074629: informācija par SpeculationControl PowerShell skripta izvadi

1. metode. PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1)

PowerShell moduļa instalēšana

PS> Install-Module SpeculationControl

Palaidiet moduli SpeculationControl PowerShell, lai pārbaudītu, vai ir iespējota aizsardzība

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2. metode. PowerShell pārbaude, izmantojot tehnoloģiju TechNet lejupielādi (vecākas OS versijas/vecākas WMF versijas)

PowerShell moduļa instalēšana no TechNet ScriptCenter

1. Dodieties uz https://aka.ms/SpeculationControlPS.

2. Lejupielādējiet SpeculationControl.zip failus lokālajā mapē.

3. Satura izvilkšana lokālajā mapē, piemēram, C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība

Startējiet programmu PowerShell un pēc tam (izmantojot iepriekš minēto piemēru) kopējiet un izpildiet šādas komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Izvade

Skaidrojums

Specifikācijas vadības iestatījumi attiecībā uz CVE-2017-5715 [zaru mērķa ievadīšanas iestatījumi]

Šajā sadaļā ir sniegts sistēmas statuss 2. variantam CVE-2017-5715, zaru mērķa ievadīšanas iespēja.

Aparatūras atbalsts zaru mērķa ievadīšanas risku mazināšanai

Kartes uz BTIHardwarePresent. Šī līnija norāda, vai ir pieejami aparatūras līdzekļi, lai atbalstītu zaru mērķa ievadīšanas risku. Ierīce OEM atbild par atjauninātās BIOS/aparātprogrammatūras sniegšanu, kurā ir centrālā procesora ražotājiem nodrošinātais mikrokods. Ja šī rindiņa ir patiesa, ir pieejami nepieciešamie aparatūras līdzekļi. Ja rindiņa ir Aplams, nepieciešamie aparatūras līdzekļi nav pieejami. Tāpēc zaru mērķa ievadīšanas riskus nevar iespējot.

Piezīme BTIHardwarePresent viesmītos ir patiess, ja resursdatoram tiek lietots OEM atjauninājums, un tiek sniegti norādījumi.

Ir nodrošināts Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai

Kartes uz BTIWindowsSupportPresent. Šī rindiņa norāda, vai zaru mērķa ievadīšanas mazināšanai ir pieejams Windows operētājsistēmas atbalsts. Ja tā ir patiesa, operētājsistēma atbalsta zaru mērķa iedarbināšanas risku mazināšanas iespēju (un līdz ar to ir instalēts 2018. gada janvāra atjauninājums). Ja tā ir aplama, 2018. gada janvāra atjauninājums ierīcē netiek instalēts un zaru mērķa ievadīšanas riskus nevar iespējot.

Piezīme Ja viesa VM nevar noteikt resursdatora aparatūras atjauninājumu, BTIWindowsSupportEnabled vienmēr būs False.

Ir iespējots Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai

Kartes uz BTIWindowsSupportEnabled. Šī rindiņa norāda, vai ir iespējots Windows operētājsistēmas atbalsts zaru mērķa ievadīšanas mazināšanai. Ja tā ir patiesa, ierīcē tiek iespējots aparatūras atbalsts un OS atbalsts zaru mērķa ievadīšanas risku mazināšanai, tādējādi aizsargājot pret CVE-2017-5715. Ja tas ir aplams, viens no šiem nosacījumiem ir patiess:

• Aparatūras atbalsts nav pieejams.

• OS atbalsts nav pieejams.

• Risku mazināšana ir atspējota, izmantojot sistēmas politiku.

Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai ir atspējots, izmantojot sistēmas politiku

Kartes uz BTIDisabledBySystemPolicy. Šī rindiņa norāda, ja zaru mērķa ievadīšanas risku ir atspējojusi sistēmas politika (piemēram, administratora definētā politika). Sistēmas politika attiecas uz reģistra vadīklām, kā dokumentētas kb4072698. Ja tā ir patiesa, par risku mazināšanas atspējošanu atbild sistēmas politika. Ja tas ir Aplams, risku mazināšana ir atspējota ar citu iemeslu.

Windows OS atbalsts zaru mērķa ievadīšanas risku mazināšanai tiek atspējots, jo nav pieejams aparatūras atbalsts

Kartes uz BTIDisabledByNoHardwareSupport. Šī rindiņa norāda, vai saistībā ar aparatūras atbalsta prombūtni zaru mērķa ievadīšanas samazināšana ir atspējota. Ja tā ir True, par risku mazināšanas atspējošanu atbild aparatūras atbalsta trūkums. Ja tas ir Aplams, risku mazināšana ir atspējota ar citu iemeslu.

PiezīmeJa viesa VM nevar noteikt resursdatora aparatūras atjauninājumu, BTIDisabledByNoSaucwareSupport vienmēr būs True.

Specifikācijas vadības iestatījumi CVE-2017-5754 [neskaidras datu kešatmiņas ielāde]

Šajā sadaļā ir sniegts kopsavilkuma sistēmas statuss 3. variantam CVE-2017-5754, neskaidrai datu kešatmiņas ielādei. Šīs ēnas risku mazināšana tiek dēvēta par kernel Virtual Address (VA) ēnu vai neskaidru datu kešatmiņas slodzes risku.

Aparatūra ir neaizsargāta pret neskaidru datu kešatmiņas slodzi

Kartes uz RdclProtectwareProtected. Šī līnija norāda, vai aparatūra ir neaizsargāta pret CVE-2017-5754. Ja tā ir true, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2017-5754. Ja tā ir aplama, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2017-5754.

Windows OS atbalsts neskaidru datu kešatmiņas ielādes risku mazināšanai

Kartes uz KVASlupuWindowsSupportPresent. Šajā rindiņā ir norādīts, vai pastāv Windows operētājsistēmas atbalsts kernel VA ēnas līdzeklim.

Windows OS atbalsts neskaidru datu kešatmiņas ielādes risku mazināšanai ir iespējots

Kartes uz KVASlupuWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots kernel VA ēnas līdzeklis. Ja tā ir patiesa, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2017-5754, ir pieejams operētājsistēmas Windows atbalsts un šis līdzeklis ir iespējots.

Aparatūrai ir nepieciešams kernel VA shadowing

Kartes uz KVASikiRequired. Šajā rindiņā ir norādīts, vai jūsu sistēmai ir nepieciešama kernel VA shadowing, lai mazinātu ievainojamību.

Pašlaik darbojas Windows OS atbalsts attiecībā uz kernel VA shadow

Kartes uz KVASlupuWindowsSupportPresent. Šajā rindiņā ir norādīts, vai pastāv Windows operētājsistēmas atbalsts kernel VA ēnas līdzeklim. Ja tā ir true, ierīcē tiek instalēts 2018. gada janvāra atjauninājums un tiek atbalstīta kernel VA ēna. Ja tas ir aplams, 2018. gada janvāra atjauninājums nav instalēts un kernel VA ēnas atbalsts nepastāv.

Windows OS atbalsts kernel VA shadow ir iespējots

Kartes uz KVASlupuWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots kernel VA ēnas līdzeklis. Ja tā ir True, ir atbalstīta operētājsistēma Windows un šis līdzeklis ir iespējots. Kernel VA ēnas līdzeklis pašlaik ir iespējots pēc noklusējuma Windows klienta versijās un pēc noklusējuma Windows Server versijās ir atspējots. Ja vērtība ir Aplams, tad operētājsistēmas Windows atbalsts nav pieejams vai līdzeklis nav iespējots.

Ir iespējots Windows OS atbalsts PCID veiktspējas optimizācijai

PiezīmeDrošības apsvērumu dēļ PCID nav nepieciešams. Tas norāda tikai tad, ja ir iespējots veiktspējas uzlabojums. PCID netiek atbalstīts operētājsistēmā Windows Server 2008 R2

Kartes uz KVASiliowPcidEnabled. Šī līnija norāda, vai ir iespējota papildu veiktspējas optimizācija attiecībā uz kernel VA ēnu. Ja tā ir True, tad ir iespējota kernel VA ēna, tiek nodrošināts pcID aparatūras atbalsts un iespējota PCID optimizācija attiecībā uz kernel VA ēnu. Ja tā ir Aplams, aparatūra vai OS, iespējams, neatbalsta PCID. Tas nav drošības iestatījums, lai PCID optimizācija nebūtu iespējota.

Ir pieejams Windows OS atbalsts speculatīvā veikala apiešanas atspējošanai

Kartes uz SSBDWindowsSupportPresent. Šajā rindiņā ir norādīts, vai ir pieejams Windows operētājsistēmas atbalsts speculatīvās krātuves apiešanas atspējošanai. Ja tā ir true, ierīcē tiek instalēts 2018. gada janvāra atjauninājums un tiek atbalstīta kernel VA ēna. Ja tas ir aplams, 2018. gada janvāra atjauninājums nav instalēts un kernel VA ēnas atbalsts nepastāv.

Aparatūrai ir nepieciešams speculatīvas krātuves apiešanas atspējošana

Kartes uz SSBDHardwareVulnerablePresent. Šī līnija norāda, vai aparatūra ir neaizsargāta pret CVE-2018-3639. Ja tā ir patiesa, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2018-3639. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2018-3639.

Ir pieejams aparatūras atbalsts speculatīvas krātuves apiešanas atspējošanai

Kartes uz SSBDHardwarePresent. Šajā rindiņā ir norādīts, vai ir pieejami aparatūras līdzekļi, lai atbalstītu speculative Store Bypass Disable (Atspējošanu). Ierīces OEM atbild par atjauninātā BIOS/aparātprogrammatūras sniegšanu, kas satur Intel nodrošināto mikrokodu. Ja šī rindiņa ir patiesa, ir pieejami nepieciešamie aparatūras līdzekļi. Ja rindiņa ir Aplams, nepieciešamie aparatūras līdzekļi nav pieejami. Tāpēc nevar ieslēgt opciju Speculative Store Bypass Disable (Atspējošana).

Piezīme Ja resursdatoram tiek lietots OEM atjauninājums, SSBDHardwarePresent ir patiess viesu MM.

Ir ieslēgts Windows OS atbalsts speculatīvās krātuves apiešanas atspējošanai

Kartes uz SSBDWindowsSupportEnabledSystemWide. Šī rindiņa norāda, vai operētājsistēmā Windows ir ieslēgta speculatīvās krātuves apiešana Atspējot. Ja tā ir patiesa, ierīcei ir ieslēgts aparatūras atbalsts un OS atbalsts Speculative Store apiešanas atspējošanai, tādējādi nepieļautu speculatīva veikala apiešanu, tādējādi pilnībā likvidējot drošības risku. Ja tas ir aplams, viens no šiem nosacījumiem ir patiess:

• Aparatūras atbalsts nav pieejams.

• OS atbalsts nav pieejams.

• Speculative Store Bypass Disable nav iespējots, izmantojot reģistra atslēgas. Norādījumus par to iespējošanu skatiet šādos rakstos:

  • KB4073119: Windows klienta norādījumi IT klientiem, lai aizsargātu pret microarhinectural un speculative execution side-channel vulnerabilits

  • KB4072698: Windows Server un Azure Stack H UZST norādīšana, lai aizsargātu pret microarbokectural un specifikācijas izpildes puses kanāla ievainojamību

CVE-2018-3620 specifikācijas vadības iestatījumi [L1 termināļa kļūme]

Šajā sadaļā ir sniegts kopsavilkuma sistēmas statuss L1TF (operētājsistēmai), uz kuru attiecas CVE-2018-3620. Šī risku mazināšana nodrošina, ka tiek izmantoti droši lapas rāmja biti neesošiem vai nederīgiem tabulas ierakstiem lapā.

Piezīme Šajā sadaļā netiek nodrošināts kopsavilkums par risku mazināšanas statusu L1TF (VMM), uz ko norāda CVE-2018-3646.

Aparatūra ir neaizsargāta pret L1 termināļa kļūmi: Patiess

Kartes uz L1TFHardwareVulnerable. Šī līnija norāda, vai aparatūra ir neaizsargāta pret L1 termināļa kļūmi (L1TF, CVE-2018-3620). Ja tā ir patiesa, aparatūra tiek uzskatīts par neaizsargātu pret CVE-2018-3620. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta pret CVE-2018-3620.

Operētājsistēmas Windows OS atbalsts termināļa kļūdas mazināšanai ir: True

Kartes uz L1TFWindowsSupportPresent. Šī līnija norāda, vai Operētājsistēmas Windows operētājsistēma atbalsta L1 termināļa kļūmi (L1TF), ja izmantojat operētājsistēmas risku. Ja tā ir patiesa, ierīcē tiek instalēts 2018. gada augusta atjauninājums, un pastāv riskus, ka CVE-2018-3620 . Ja atjauninājums ir aplams, 2018. gada augusta atjauninājums nav instalēts un nav iespējams izmantot CVE-2018-3620 risku.

Windows OS atbalsts termināļa kļūmju mazināšanai ir iespējots: True

Kartes uz L1TFWindowsSupportEnabled. Šī līnija norāda, vai L1 termināļa kļūmes (L1TF, CVE-2018-3620) operētājsistēmas Windows operētājsistēmu atvieglojumu ir iespējota. Ja tā ir patiesa, aparatūra, iespējams, ir neaizsargāta pret CVE-2018-3620, ir atbalstīta operētājsistēma Windows, kurā tiek nodrošināts risku mazināšanas līdzeklis, un ir iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana.

Speculation control settings for MDS [Microaruralectural Data Sampling]

Šajā sadaļā ir norādīts sistēmas statuss mds ievainojamību kopai, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 un ADV220002.

Pieejams Windows OS atbalsts MDS risku mazināšanai

Kartes uz MDSWindowsSupportPresent. Šī līnija norāda, vai pastāv Windows operētājsistēmas atbalsts Microarhinectural datu iztveršanai (Microarhinectural Data Sampling — MDS) operētājsistēmas risku. Ja tā ir patiesa, ierīcē tiek instalēts 2019. gada maija atjauninājums, un pastāv MDS risku mazināšana. Ja tā ir aplama, 2019. gada maija atjauninājums nav instalēts un MDS risku mazināšana nav pieejama.

Aparatūra ir neaizsargāta pret MDS

Kartes uz MDSHardwareVulnerable. Šī līnija norāda, vai aparatūra ir neaizsargāta pret Microarhinectural datu iztveršanu (MICROS) ievainojamību kopu (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta.

Ir iespējots Windows OS atbalsts MDS risku mazināšanai

Kartes uz MDSWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots Windows operētājsistēmas apdraudējums Microarhinectural datu iztveršanai (Microarhinectural Data Sampling — MDS). Ja tā ir patiesa, iespējams, ka aparatūru ietekmē MDS ievainojamība, ir atbalstīta operētājsistēma Windows risku mazināšana un iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana.

Pieejama Windows OS atbalsts SBDR risku mazināšanai

Kartes uz FBClearWindowsSupportPresent. Šī rindiņa norāda, vai ir pieejams WINDOWS operētājsistēmas atbalsts SBDR operētājsistēmas risku mazināšanai. Ja tā ir patiesa, ierīcē tiek instalēts 2022. gada jūnija atjauninājums, un pastāv SBDR risku mazināšana. Ja tā ir aplams, 2022. gada jūnija atjauninājums nav instalēts un SBDR risku mazināšana nav pieejama.

Aparatūra ir neaizsargāta pret SBDR

Kartes uz SBDRSSDPHardwareVulnerable. Šī rindiņa norāda, vai aparatūra ir neaizsargāta pret SBDR [koplietojamo buferu dati nolasīti] ievainojamību kopa (CVE-2022-21123). Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta.

Iespējots Windows OS atbalsts SBDR risku mazināšanai

Kartes uz FBClearWindowsSupportEnabled. Šī rindiņa norāda, vai IR iespējots SBDR [koplietojamo buferu datu lasīšanas] windows operētājsistēmas riskus. Ja tā ir patiesa, iespējams, ka aparatūru ietekmē SBDR ievainojamība, ir aktivizēts Windows atbalsts risku mazināšanai un ir iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana.

Pieejams Windows OS atbalsts FBSDP risku mazināšanai

Kartes uz FBClearWindowsSupportPresent. Šī rindiņa norāda, vai pastāv Windows operētājsistēmas atbalsts FBSDP operētājsistēmas risku mazināšanai. Ja tā ir true, ierīcē tiek instalēts 2022. gada jūnija atjauninājums un pastāv FBSDP atvieglojumu. Ja 2022. gada jūnija atjauninājums ir aplams, tas netiek instalēts un FBSDP risku mazināšana nav pieejama.

Aparatūra ir neaizsargāta pret FBSDP

Kartes uz FBSDPHardwareVulnerable. Šī rindiņa norāda, vai aparatūra ir neaizsargāta pret FBSDP [aizpildījuma bufera novecojušu datu izplatīšana] ievainojamību kopa (CVE-2022-21125, CVE-2022-21127 un CVE-2022-21166). Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta.

Ir iespējots Windows OS atbalsts FBSDP risku mazināšanai

Kartes uz FBClearWindowsSupportEnabled. Šī rindiņa norāda, vai ir iespējots Windows operētājsistēmas FBSDP riska mazināšana [bufera bufera novecojušu datu izplatītājs]. Ja tā ir patiesa, iespējams, ka aparatūru ietekmē FBSDP ievainojamība, ir pieejams Windows atbalsts risku mazināšanai un iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana.

Pašlaik tiek nodrošināts Windows OS atbalsts PSDP risku mazināšanai

Kartes uz FBClearWindowsSupportPresent. Šī rindiņa norāda, vai ir nodrošināts PSDP operētājsistēmas atbalsta atbalsts Windows operētājsistēmā. Ja tā ir patiesa, ierīcē tiek instalēts 2022. gada jūnija atjauninājums un pastāv PSDP risku mazināšana. Ja tā ir aplams, 2022. gada jūnija atjauninājums nav instalēts un PSDP risku mazināšana nav pieejama.

Aparatūra ir neaizsargāta pret PSDP

Kartes uz PSDPHardwareVulnerable. Šī līnija norāda, vai aparatūra ir neaizsargāta pret PSDP [primārā novecojuša datu izplatīšana] ievainojamību kopu. Ja tā ir patiesa, tiek uzskatīts, ka aparatūru ietekmē šīs ievainojamības. Ja tā ir Aplams, ir zināms, ka aparatūra nav neaizsargāta.

Ir iespējots Windows OS atbalsts PSDP risku mazināšanai

Kartes uz FBClearWindowsSupportEnabled. Šī līnija norāda, vai ir iespējots Windows operētājsistēmas riskus PSDP [primārā novecojuša datu izplatīšana] iespējošana. Ja tā ir patiesa, iespējams, ka aparatūru ietekmē PSDP ievainojamība, tiek atbalstīti logi, kas nodrošina riskus, un ir iespējota risku mazināšana. Ja vērtība ir Aplams, vai nu aparatūra nav neaizsargāta, nav pieejams Windows operētājsistēmas atbalsts vai nav iespējota risku mazināšana.

Reģistra atslēga

Kartēšana

FeatureSettingsOverride — 0. bits

Kartes uz — zaru mērķa ievadīšanas — BTIWindowsSupportEnabled

FeatureSettingsOverride — 1. bits

Kartes uz — Nepiemērota datu kešatmiņas ielāde - VASlupowWindowsSupportEnabled