Sammendrag

Microsoft har publisert en PowerShell skript som kundene kan kjøre på sine systemer for å hjelpe kundene med å kontrollere at beskyttelse er aktivert. Dette emnet forklarer hvordan du kjører skriptet og utdataene betyr.

Rådgivende adv180002 dekker tre sikkerhetsproblemer:

  • CVE-2017-5715 (grenen mål injeksjon)

  • CVE-2017-5753 (grensene av Hopp over)

  • CVE-2017 5754 (load Søk data buffer)

Beskyttelse for CVE-2017-5753 (grensene av) tilbys når du installerer den januar update (ingen ekstra registerinnstillinger kreves).

Dette emnet gir informasjon om PowerShell-skriptet som hjelper deg med å fastslå tilstanden til de begrensende faktorene for CVE-2017-5715 og CVE-2017 5754 som krever ekstra registerinnstillinger (for begge) og oppdatering av fastvaren (for CVE-2017-5754).

Mer informasjon

Installere og kjøre skriptet ved å kjøre følgende kommandoer:

PowerShell-kontroll ved hjelp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installere PowerShell-modulen

PS> Install-Module SpeculationControl

Kjør PowerShell-modulen til å validere beskyttelsene er aktivert

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

PowerShell-kontroll ved hjelp av en nedlasting fra TechNet (tidligere OS tidligere versjoner/WMF-versjoner)

Installere PowerShell-modul fra TechNet ScriptCenter

  1. Gå til https://aka.ms/SpeculationControlPS.

  2. Last ned SpeculationControl.zip til en lokal mappe.

  3. Pakke ut innholdet til en lokal mappe, for eksempel C:\ADV180002

Kjøre PowerShell-modul til å validere at fjernes beskyttelsene er aktivert

Start PowerShell, og deretter (bruker eksemplet ovenfor), Kopier og kjører du følgende kommandoer:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Utdataene fra denne PowerShell-skriptet vil ligne på følgende. Aktiverte beskyttelse vises i utdataene som "True".

PS C:\> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
Windows OS support for PCID optimization is enabled: False
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False

Det endelige resultatet rutenettet kart til utdata på linjene foran. Dette vises fordi PowerShell skriver ut objektet som returneres av en funksjon. Følgende tabell beskriver hver linje.

Utdata

FORKLARING

Speculation-kontrollinnstillingene for CVE-2017-5715 [gren mål injeksjon]

Denne delen inneholder systemstatus variant 2, CVE-2017-5715 , forgrening mål injeksjon.

Maskinvarestøtte for gren mål injeksjon reduksjonen er til stede

Kart til BTIHardwarePresent. Denne linjen forteller deg hvis det finnes Maskinvarefunksjoner å støtte gren mål injeksjon innstrammingen. Enheten OEMEN er ansvarlig for å tilby den oppdaterte BIOS-/ fastvareoppgraderinger som inneholder mikrokode levert av CPU-produsenter. Hvis denne linjen er Sann, finnes nødvendig maskinvare-funksjoner. Hvis linjen er Usann, finnes ikke nødvendig maskinvare-funksjoner, og derfor gren mål injeksjon løsningen kan ikke aktiveres.

Obs!  BTIHardwarePresent vil bli oppfylt i gjest VMs Hvis OEM-oppdateringen er installert på verten og veiledning er fulgt.

Windows OS-støtte for gren mål injeksjon reduksjonen er til stede

Kart til BTIWindowsSupportPresent. Denne linjen forteller deg om det finnes støtte for Windows-operativsystemet for gren mål injeksjon skadereduksjon. Hvis det er sant, operativsystemet støtter aktivering gren mål injeksjon skadereduksjon (og derfor har installert oppdateringen januar 2018). Hvis betingelsen er Usann, januar 2018 oppdateringen ikke er installert på systemet, og gren mål injeksjon løsningen kan ikke aktiveres.

Obs!  Hvis en gjest VM ikke finner verten maskinvare oppdateringen, være BTIWindowsSupportEnabled alltid Usann.

Windows OS-støtte for gren mål injeksjon reduksjonen er aktivert

Kart til BTIWindowsSupportEnabled. Denne linjen forteller deg om Windows-støtte er aktivert for gren mål injeksjon innstrammingen. Hvis det er sant, støtte for maskinvare og OS-støtte for gren mål injeksjon reduksjonen er aktivert for enheten, og dermed beskytter mot CVE-2017-5715. Hvis betingelsen er Usann, er en av følgende betingelser sanne:

  • Maskinvarestøtte finnes ikke.

  • OS-støtte er ikke tilgjengelig.

  • Løsningene har blitt deaktivert av en systempolicy.

Windows OS-støtte for gren mål injeksjon reduksjonen er deaktivert av en systempolicy

Kart til BTIDisabledBySystemPolicy. Denne linjen forteller deg hvis gren mål injeksjon reduksjonen har blitt deaktivert av en systempolicy (for eksempel en policy som er definert av administrator). Systempolicy refererer til kontroller registret slik det er dokumentert i KB 4072698. Hvis det er sant, er systempolicyen ansvarlig for å deaktivere løsningene. Hvis betingelsen er Usann, er løsningene deaktivert av en annen årsak.

Windows OS-støtte for gren mål injeksjon reduksjonen er deaktivert av fraværet av støtte for maskinvare

Kart til BTIDisabledByNoHardwareSupport. Denne linjen forteller deg hvis gren mål injeksjon reduksjonen er deaktivert på grunn av støtte for maskinvare. Hvis det er sant, er fraværet av støtte for maskinvare ansvarlig for å deaktivere løsningene. Hvis betingelsen er Usann, er løsningene deaktivert av en annen årsak.

Obs!  Hvis en gjest VM ikke finner verten maskinvare-oppdateringen, vil alltid BTIDisabledByNoHardwareSupport være Sann.

Speculation-kontrollinnstillingene for CVE-2017 5754 [Last Søk data buffer]

Denne delen inneholder sammendrag systemstatus variant 3, CVE-2017 5754Søk data buffer belastning. Reduksjonen for dette kalles kjernen virtuell adresse (VA) skygge eller søk data buffer Last innstrammingen.

Maskinvare krever kjernen VA skygge

Kart til KVAShadowRequired. Denne linjen forteller deg om maskinvaren er sårbar for CVE-2017 5754. Hvis det er sant, vil maskinvaren antas å være utsatt for CVE-2017 5754. Hvis betingelsen er Usann, er maskinvaren kjent for å være sårbar for CVE-2017 5754.

Windows OS-støtte for skyggen kjernen VA er til stede

Kart til KVAShadowWindowsSupportPresent. Denne linjen forteller deg hvis Windows-støtte for funksjonen for kjernen VA skygge er til stede. Hvis det er sant, januar 2018-oppdateringen er installert på enheten, og kjernen VA skygge støttes. Hvis betingelsen er Usann, januar 2018 oppdateringen ikke er installert, og kjernen VA skygge støtte finnes ikke.

Windows OS-støtte for kjernen VA skygge er aktivert

Kart til KVAShadowWindowsSupportEnabled. Denne linjen forteller deg om kjernen VA skygge-funksjonen er aktivert. Hvis det er sant, maskinvaren antas å være utsatt for CVE-2017 5754, støtte for Windows-operativsystemet er til stede, og funksjonen er aktivert. Kjernen VA skygge-funksjonen er aktivert som standard på klientversjoner av Windows og er deaktivert som standard på versjoner av Windows Server. Hvis betingelsen er Usann, finnes ikke Windows-støtte, eller funksjonen er ikke aktivert.

Windows OS-støtte for optimalisering av ytelsen for PCID er aktivert

Obs! PCID kreves ikke for sikkerhet. Den angir bare hvis en forbedring i systemytelsen er aktivert. PCID støttes ikke med Windows Server 2008 R2

Kart til KVAShadowPcidEnabled. Denne linjen forteller deg hvis en ekstra ytelsesoptimalisering er aktivert for kjernen VA skygge. Hvis det er sant, kjernen VA skygge er aktivert, maskinvarestøtte for PCID er til stede og optimalisering av PCID for kjernen VA skygge er aktivert. Hvis betingelsen er Usann, kanskje enten maskinvare eller OS støtter ikke PCID. Det er ikke en svakhet for sikkerhet for optimalisering av PCID ikke er aktivert.

Følgende utdata er forventet for en maskin med alle begrensninger er aktivert, og hva som trengs for å tilfredsstille hver betingelse.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update
BTIWindowsSupportPresent: True -> install January 2018 update
BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance.
BTIDisabledBySystemPolicy: False -> ensure not disabled by policy.
BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied.
KVAShadowRequired: True or False -> no action, this is a function of the CPU the machine uses


If KVAShadowRequired is TRUE
KVAShadowWindowsSupportPresent: True -> install January 2018 update
KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance.
KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the machine uses

Tabellen nedenfor tilordner utdataene til registernøklene som er dekket i Windows Server-veiledning til å beskytte mot sikkerhetsproblemene for spekulativ kjøring av side-kanalen.

Registernøkkel

Tilordning

FeatureSettingsOverride – Bit 0

Kart til - forgrening mål injeksjon - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Kart til - søk data buffer load - VAShadowWindowsSupportEnabled

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med kvaliteten på oversettelsen?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×