Applies ToWindows 11 Windows 10

Endre dato

Endringsbeskrivelse

17. juli 2023 kl.

Lagt til MMIO og spesifikke beskrivelser av utdataverdier i delen Utdata som har alle begrensninger aktivert

Oppsummering

Vi har publisert et PowerShell-skript (SpeculationControl) som kan kjøre på enhetene dine, for å hjelpe deg med å bekrefte statusen for spekulative begrensninger for utførelse av sidekanaler. Denne artikkelen forklarer hvordan du kjører SpeculationControl-skriptet og hva utdataene betyr.

Sikkerhetsveiledningene ADV180002, ADV180012, ADV180018 og ADV190013 dekker følgende ni sårbarheter:

  • CVE-2017-5715 (injeksjon av grenmål)

  • CVE-2017-5753 (grensekontroller forbikobling)

    Obs!   Beskyttelse for CVE-2017-5753 (grensekontroll) krever ikke flere registerinnstillinger eller fastvareoppdateringer.  

  • CVE-2017-5754 (rogue data cache load)

  • CVE-2018-3639 (spekulativ butikk bypass)

  • CVE-2018-3620 (L1 terminalfeil – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))

Advisory ADV220002 dekker ytterligere Memory-Mapped I/U (MMIO) relaterte sårbarheter:

  • CVE-2022-21123 | Delt bufferdata lest (SBDR)

  • CVE-2022-21125 | Sampling av delte bufferdata (SBDS)

  • CVE-2022-21127 | Samplingsoppdatering for spesielle registerbufferdata (SRBDS-oppdatering)

  • CVE-2022-21166 | Enhetsregister for delvis skriving (DRPW)

Denne artikkelen inneholder detaljer om SpeculationControl PowerShell-skriptet som bidrar til å fastslå tilstanden til begrensningene for de oppførte CV-ene som krever flere registerinnstillinger, og i noen tilfeller fastvareoppdateringer.

Mer informasjon

SpeculationControl PowerShell-skript

Installer og kjør SpeculationControl-skriptet ved hjelp av én av følgende metoder.

Metode 1: PowerShell-bekreftelse ved hjelp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installer PowerShell-modulen

PS> Install-Module SpeculationControl

Kjør SpeculationControl PowerShell-modulen for å bekrefte at beskyttelse er aktivert

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metode 2: PowerShell-bekreftelse ved hjelp av en nedlasting fra TechNet (tidligere OS-versjoner/tidligere WMF-versjoner)

Installer PowerShell-modulen fra TechNet ScriptCenter

  1. Gå til https://aka.ms/SpeculationControlPS.

  2. Last ned SpeculationControl.zip til en lokal mappe.

  3. Pakk ut innholdet til en lokal mappe, for eksempel C:\ADV180002

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert

Start PowerShell, og kopier og kjør deretter følgende kommandoer (ved hjelp av eksemplet ovenfor):

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Utdata for PowerShell-skript

Utdataene for SpeculationControl PowerShell-skriptet vil ligne på følgende utdata. Aktiverte beskyttelser vises i utdataene som «Sann».

PS C:\> Get-SpeculationControlSettings

Innstillinger for spekulasjonskontroll for CVE-2017-5715 [injeksjon av grenmål]

Maskinvarestøtte for begrensning av forgreningsmålinjeksjon finnes: Usann Windows OS-støtte for begrensning av grenmålinjeksjon er til stede: Sann Windows OS-støtte for begrensning av grenmålinjeksjon er aktivert: Usann Windows OS-støtte for begrensning av forgreningsmålinjeksjon er deaktivert av systempolicy: Sann Windows OS-støtte for begrensning av forgreningsmålinjeksjon er deaktivert ved fravær av maskinvarestøtte: Sann

Innstillinger for spekulasjonskontroll for CVE-2017-5754 [rogue data cache load]

Maskinvare er sårbar for belastning på useriøse datahurtigbuffer: Sann Windows OS-støtte for belastningsreduksjon for røverstater for databuffer er til stede: Sann Windows OS-støtte for belastningsreduksjon for røverstater-databuffer er aktivert: Sann Maskinvare krever kjerne VA skyggelegging: Sann Windows OS-støtte for kjerne-VA-skygge er til stede: Usann Windows OS-støtte for kjerne-VA-skygge er aktivert: Usann Windows OS-støtte for PCID-optimalisering er aktivert: Usann Innstillinger for spekulasjonskontroll for CVE-2018-3639 [spekulativ butikk bypass]

Maskinvare er sårbar for spekulativ butikkforgåelse: Sann Maskinvarestøtte for spekulativ lagringsavkobling er til stede: Usann Windows OS-støtte for spekulativ lagringsbegrensning er til stede: Sann Windows OS-støtte for spekulativ lagringsavkobling er aktivert for hele systemet: Usann

Innstillinger for spekulasjonskontroll for CVE-2018-3620 [L1 terminalfeil]

Maskinvaren er sårbar for L1-terminalfeil: Sann Windows OS-støtte for L1-terminalfeilreduksjon finnes: Sann Windows OS-støtte for L1-terminalfeilreduksjon er aktivert: Sann

Innstillinger for spekulasjonskontroll for MDS [microarchitectural data sampling]

Windows OS-støtte for MDS-begrensning finnes: Sann Maskinvaren er sårbar for MDS: Sann Windows OS-støtte for MDS-begrensning er aktivert: Sann

Innstillinger for spekulasjonskontroll for SBDR [delte bufferdata lest] 

Windows OS-støtte for SBDR-begrensning er til stede: Sann Maskinvare er sårbar for SBDR: Sann Windows OS-støtte for SBDR-begrensning er aktivert: Sann 

Innstillinger for spekulasjonskontroll for FBSDP [fill buffer stale data propagator] Windows OS-støtte for FBSDP-begrensning er til stede: Sann Maskinvaren er sårbar for FBSDP: Sann Windows OS-støtte for FBSDP-begrensning er aktivert: Sann 

Innstillinger for spekulasjonskontroll for PSDP [primær foreldet dataproagator]

Windows OS-støtte for PSDP-begrensning er til stede: Sann Maskinvare er sårbar for PSDP: Sann Windows OS-støtte for PSDP-begrensning er aktivert: Sann

BTIHardwarePresent: Sann BTIWindowsSupportPresent: Sann BTIWindowsSupportEnabled: Sann BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: Sann BTIKernelImportOptimizationEnabled: Sann RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: Sann KVAShadowWindowsSupportPresent: Sann KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: Sann SSBDWindowsSupportPresent: Sann SSBDHardwareVulnerable: Sann SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: Sann L1TFWindowsSupportPresent: Sann L1TFWindowsSupportEnabled: Sann L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatus Tilgjengelig: Sann HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: Sann MDSHardwareVulnerable: Sann MDSWindowsSupportEnabled: Sann FBClearWindowsSupportPresent: True SBDRSSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: Sann PSDPHardwareVulnerable: Sann

Forklaring av PowerShell-skriptutdataene for SpeculationControl

Det endelige utdatarutenettet tilordnes utdataene fra de foregående linjene. Dette vises fordi PowerShell skriver ut objektet som returneres av en funksjon. Tabellen nedenfor forklarer hver linje i PowerShell-skriptutdataene.

Utgang

Forklaring

Innstillinger for spekulasjonskontroll for CVE-2017-5715 [injeksjon av grenmål]

Denne delen gir systemstatus for variant 2, CVE-2017-5715, injeksjon av grenmål.

Maskinvarestøtte for begrensning av forgreningsmålinjeksjon finnes

Tilordnes til BTIHardwarePresent. Denne linjen forteller deg om maskinvarefunksjoner er til stede for å støtte begrensningen av injeksjon for grenmålet. Enhets-OEM-en er ansvarlig for å levere den oppdaterte BIOS/fastvaren som inneholder mikrokoden som leveres av CPU-produsenter. Hvis denne linjen er sann, finnes de nødvendige maskinvarefunksjonene. Hvis linjen er Usann, finnes ikke de nødvendige maskinvarefunksjonene. Derfor kan ikke injeksjonsreduksjonen for grenmålet aktiveres.

Obs!   BTIHardwarePresent vil være sann i virtuelle gjestemapper hvis OEM-oppdateringen brukes på verten og veiledningenfølges.

Windows OS-støtte for begrensning av forgreningsmålinjeksjon finnes

Tilordnes til BTIWindowsSupportPresent. Denne linjen forteller deg om støtte for Windows-operativsystemet er til stede for begrensning av forgreningsmålinjeksjon. Hvis den er sann, støtter operativsystemet aktivering av begrensning av injeksjon for grenmålet (og har derfor installert oppdateringen for januar 2018). Hvis den er Usann, installeres ikke oppdateringen for januar 2018 på enheten, og begrensningen av forgreningsmålinjeksjon kan ikke aktiveres.

Obs!   Hvis en gjeste-VM ikke finner maskinvareoppdateringen for verten, vil BTIWindowsSupportEnabled alltid være Usann.

Windows OS-støtte for begrensning av forgreningsmålinjeksjon er aktivert

Tilordnes til BTIWindowsSupportEnabled. Denne linjen forteller deg om støtte for Windows-operativsystemet er aktivert for begrensningen av forgreningsmålinjeksjonen. Hvis den er sann, aktiveres maskinvarestøtte og OS-støtte for begrensning av injeksjon for grenmål for enheten, og beskytter dermed mot CVE-2017-5715. Hvis den er Usann, er én av følgende betingelser sann:

  • Maskinvarestøtte finnes ikke.

  • OS-støtte finnes ikke.

  • Begrensningen er deaktivert av systempolicyen.

Windows OS-støtte for begrensning av forgreningsmålinjeksjon er deaktivert av systempolicy

Tilordnes til BTIDisabledBySystemPolicy. Denne linjen forteller deg om begrensningen av forgreningsmålinjeksjon er deaktivert av systempolicyen (for eksempel en administratordefinert policy). Systempolicy refererer til registerkontrollene som dokumentert i KB4072698. Hvis den er sann, er systempolicyen ansvarlig for å deaktivere begrensningen. Hvis den er Usann, deaktiveres begrensningen av en annen årsak.

Windows OS-støtte for begrensning av forgreningsmålinjeksjon er deaktivert ved fravær av maskinvarestøtte

Tilordnes til BTIDisabledByNoHardwareSupport. Denne linjen forteller deg om begrensningen for forgreningsmålinjeksjon er deaktivert på grunn av fravær av maskinvarestøtte. Hvis den er sann, er fraværet av maskinvarestøtte ansvarlig for å deaktivere begrensningen. Hvis den er Usann, deaktiveres begrensningen av en annen årsak.

MerkHvis en gjeste-VM ikke finner maskinvareoppdateringen for verten, vil BTIDisabledByNoHardwareSupport alltid være Sann.

Innstillinger for spekulasjonskontroll for CVE-2017-5754 [rogue data cache load]

Denne delen gir sammendragssystemstatus for variant 3, CVE-2017-5754, røverstater databufferbelastning. Begrensningen for dette er kjent som kjernen Virtual Address (VA) skygge eller rogue data cache belastningsreduksjon.

Maskinvare er sårbar for innlasting av databuffer for useriøse data

Tilordnes til RdclHardwareProtected. Denne linjen forteller deg om maskinvaren er sårbar for CVE-2017-5754. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2017-5754. Hvis den er usann, er maskinvaren kjent for ikke å være sårbar for CVE-2017-5754.

Windows OS-støtte for røverstater for belastningsreduksjon for databuffer finnes

Tilordnes kvashadowWindowsSupportPresent. Denne linjen forteller deg om windows operativsystemstøtte for kjernen VA skygge funksjonen er til stede.

Windows OS-støtte for belastningsreduksjon for useriøse databuffere er aktivert

Tilordnes kvashadowWindowsSupportEnabled. Denne linjen forteller deg om kjerne-VA-skyggefunksjonen er aktivert. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2017-5754, støtte for Windows-operativsystemet er til stede, og funksjonen er aktivert.

Maskinvare krever kjerne VA skyggelegging

Tilordnes kvashadowRequired. Denne linjen forteller deg om systemet krever kjerne-VA skyggelegging for å redusere et sikkerhetsproblem.

Windows OS-støtte for kjerne-VA-skygge er til stede

Tilordnes kvashadowWindowsSupportPresent. Denne linjen forteller deg om windows operativsystemstøtte for kjernen VA skygge funksjonen er til stede. Hvis den er sann, installeres oppdateringen for januar 2018 på enheten, og kjerne-VA-skygge støttes. Hvis den er Usann, er ikke oppdateringen for januar 2018 installert, og kjernestøtte for VA-skygge finnes ikke.

Windows OS-støtte for kjerne-VA-skygge er aktivert

Tilordnes kvashadowWindowsSupportEnabled. Denne linjen forteller deg om kjerne-VA-skyggefunksjonen er aktivert. Hvis den er sann, finnes støtte for Windows-operativsystemet, og funksjonen er aktivert. Kernel VA-skyggefunksjonen er aktivert som standard på klientversjoner av Windows og er deaktivert som standard på versjoner av Windows Server. Hvis den er Usann, finnes ikke støtte for Windows-operativsystemet, eller funksjonen er ikke aktivert.

Windows OS-støtte for PCID-ytelsesoptimalisering er aktivert

MerkPCID er ikke nødvendig for sikkerhet. Den angir bare om en ytelsesforbedring er aktivert. PCID støttes ikke med Windows Server 2008 R2

Tilordnes kvashadowPcidEnabled. Denne linjen forteller deg om en ekstra ytelsesoptimalisering er aktivert for kjerne-VA-skygge. Hvis den er sann, er kjerne-VA-skygge aktivert, maskinvarestøtte for PCID er til stede, og PCID-optimalisering for kjerne-VA-skygge er aktivert. Hvis den er usann, kan det hende at maskinvaren eller operativsystemet ikke støtter PCID. Det er ikke en sikkerhetssvakhet for PCID-optimaliseringen som ikke skal aktiveres.

Windows OS-støtte for speculative Store Bypass Disable er til stede

Tilordnes til SSBDWindowsSupportPresent. Denne linjen forteller deg om Støtte for Windows-operativsystemet for speculative Store Bypass Disable er til stede. Hvis den er sann, installeres oppdateringen for januar 2018 på enheten, og kjerne-VA-skygge støttes. Hvis den er Usann, er ikke oppdateringen for januar 2018 installert, og kjernestøtte for VA-skygge finnes ikke.

Maskinvare krever spekulativ store bypass deaktivering

Tilordnes til SSBDHardwareVulnerablePresent. Denne linjen forteller deg om maskinvaren er sårbar for CVE-2018-3639. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2018-3639. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar for CVE-2018-3639.

Maskinvarestøtte for deaktivering av spekulativ lagringskjøring er til stede

Tilordnes til SSBDHardwarePresent. Denne linjen forteller deg om maskinvarefunksjoner er til stede for å støtte spekulative Store Bypass Disable. Enhetens OEM er ansvarlig for å levere den oppdaterte BIOS/fastvaren som inneholder mikrokoden som leveres av Intel. Hvis denne linjen er sann, finnes de nødvendige maskinvarefunksjonene. Hvis linjen er Usann, finnes ikke de nødvendige maskinvarefunksjonene. Derfor kan ikke deaktivering av spekulativ lagringskjøring slås på.

Merk SSBDHardwarePresent vil være sann i virtuelle gjestemapper hvis OEM-oppdateringen brukes på verten.

Windows OS-støtte for Spekulativ Store Bypass-deaktivering er aktivert

Tilordnes til SSBDWindowsSupportEnabledSystemWide. Denne linjen forteller deg om deaktivering av spekulativ lagringsforbikobling er aktivert i Windows-operativsystemet. Hvis det er sant, er maskinvarestøtte og OS-støtte for spekulativ store bypass-deaktivering på for enheten som forhindrer at en spekulativ butikkforbikobling oppstår, og dermed eliminerer sikkerhetsrisikoen helt. Hvis den er Usann, er én av følgende betingelser sann:

Innstillinger for spekulasjonskontroll for CVE-2018-3620 [L1 terminalfeil]

Denne delen gir sammendragssystemstatus for L1TF (operativsystem) som det refereres til av CVE-2018-3620. Denne begrensningen sikrer at sikre siderammebiter brukes for ikke å presentere eller ugyldige sidetabelloppføringer.

Obs!   Denne delen gir ikke et sammendrag av begrensningsstatusen for L1TF (VMM) som CVE-2018-3646 henviser til.

Maskinvaren er sårbar for L1-terminalfeil: Sann

Tilordnes til L1TFHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for L1 Terminal Fault (L1TF, CVE-2018-3620). Hvis den er sann, antas maskinvaren å være sårbar for CVE-2018-3620. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar for CVE-2018-3620.

Windows OS-støtte for L1-terminalfeilreduksjon finnes: Sann

Tilordnes til L1TFWindowsSupportPresent. Denne linjen forteller deg om windows operativsystemstøtte for L1 Terminal Fault (L1TF) operativsystemreduksjon er til stede. Hvis den er sann, installeres august 2018-oppdateringen på enheten, og begrensningen for CVE-2018-3620 er til stede. Hvis den er Usann, er ikke oppdateringen for august 2018 installert, og begrensningen for CVE-2018-3620 finnes ikke.

Windows OS-støtte for L1-terminalfeilreduksjon er aktivert: Sann

Tilordnes til L1TFWindowsSupportEnabled. Denne linjen forteller deg om Begrensning av Windows-operativsystemet for L1 Terminal Fault (L1TF, CVE-2018-3620) er aktivert. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2018-3620, støtte for Windows-operativsystemet for reduksjonen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, støtte for Windows-operativsystemet finnes ikke eller begrensningen er ikke aktivert.

Innstillinger for spekulasjonskontroll for MDS [Microarchitectural Data Sampling]

Denne delen gir systemstatus for MDS-settet med sikkerhetsproblemer, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og ADV220002.

Windows OS-støtte for MDS-begrensning finnes

Tilordnes MDSWindowsSupportPresent. Denne linjen forteller deg om Windows-operativsystemets støtte for reduksjon av mikroarkittaktivert data sampling (MDS) er til stede. Hvis den er sann, installeres oppdateringen for mai 2019 på enheten, og begrensningen for MDS er til stede. Hvis den er Usann, er ikke oppdateringen for mai 2019 installert, og begrensningen for MDS finnes ikke.

Maskinvare er sårbar for MDS

Tilordnes MDSHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for sikkerhetsproblemer (CVE-2018-11091, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for MDS-begrensning er aktivert

Tilordner til MDSWindowsSupportEnabled. Denne linjen forteller deg om windows-operativsystemets begrensning for microarchitectural Data Sampling (MDS) er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av MDS-sikkerhetsproblemene, Windows-operativsystemets støtte for reduksjonen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, støtte for Windows-operativsystemet finnes ikke eller begrensningen er ikke aktivert.

Windows OS-støtte for SBDR-avbøting er til stede

Tilordnes FBClearWindowsSupportPresent. Denne linjen forteller deg om Windows-operativsystemstøtten for SBDR-operativsystemreduksjonen finnes. Hvis den er sann, installeres oppdateringen for juni 2022 på enheten, og begrensningen for SBDR er til stede. Hvis den er Usann, er ikke oppdateringen for juni 2022 installert, og begrensningen for SBDR finnes ikke.

Maskinvare er sårbar for SBDR

Tilordnes til SBDRSSDPHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for SBDR [datalesing av delte buffere] sett med sårbarheter (CVE-2022-21123). Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for SBDR-avbøting er aktivert

Tilordnes TIL FBClearWindowsSupportEnabled. Denne linjen forteller deg om Windows-operativsystemets begrensning for SBDR [datalesing av delte buffere] er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av SBDR-sårbarhetene, vinduenes driftsstøtte for avbøtingen er til stede, og avbøtingen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, støtte for Windows-operativsystemet finnes ikke eller begrensningen er ikke aktivert.

Windows OS-støtte for FBSDP-begrensning er til stede

Tilordnes FBClearWindowsSupportPresent. Denne linjen forteller deg om Windows-operativsystemstøtten for FBSDP-operativsystemreduksjonen finnes. Hvis den er sann, installeres oppdateringen for juni 2022 på enheten, og begrensningen for FBSDP er til stede. Hvis den er Usann, er ikke oppdateringen for juni 2022 installert, og begrensningen for FBSDP finnes ikke.

Maskinvaren er sårbar for FBSDP

Tilordnes FBSDPHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for FBSDP [fill buffer stale data propagator] sett med sårbarheter (CVE-2022-21125, CVE-2022-21127 og CVE-2022-21166). Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for FBSDP-begrensning er aktivert

Tilordnes TIL FBClearWindowsSupportEnabled. Denne linjen forteller deg om begrensningen for Windows-operativsystemet for FBSDP [fill buffer stale data propagator] er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av FBSDP-sårbarhetene, Windows-driftsstøtten for reduksjonen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, støtte for Windows-operativsystemet finnes ikke eller begrensningen er ikke aktivert.

Windows OS-støtte for PSDP-begrensning er til stede

Tilordnes FBClearWindowsSupportPresent. Denne linjen forteller deg om Windows-operativsystemstøtten for PSDP-operativsystemreduksjonen finnes. Hvis den er sann, installeres oppdateringen for juni 2022 på enheten, og begrensningen for PSDP er til stede. Hvis den er Usann, er ikke oppdateringen for juni 2022 installert, og begrensningen for PSDP finnes ikke.

Maskinvare er sårbar for PSDP

Tilordnes til PSDPHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for PSDP [primær foreldet datapropagator] sett med sårbarheter. Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for PSDP-begrensning er aktivert

Tilordnes TIL FBClearWindowsSupportEnabled. Denne linjen forteller deg om Begrensning av Windows-operativsystemet for PSDP [primær foreldet dataoverføring] er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av PSDP-sikkerhetsproblemene, windows-driftsstøtten for reduksjonen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, støtte for Windows-operativsystemet finnes ikke eller begrensningen er ikke aktivert.

Utdata som har alle begrensninger aktivert

Følgende utdata forventes for en enhet som har alle begrensninger aktivert, sammen med det som er nødvendig for å oppfylle hver betingelse.

BTIHardwarePresent: Sann -> OEM BIOS/fastvareoppdatering brukt BTIWindowsSupportPresent: True -> oppdateringen for januar 2018 installert BTIWindowsSupportEnabled: True -> på klienten, ingen handling kreves. Følg veiledningen på serveren.BTIDisabledBySystemPolicy: False -> sikre at den ikke deaktiveres av policyen.BTIDisabledByNoHardwareSupport: False -> sikre at oppdatering av OEM BIOS/fastvare brukes.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: Sann KVAShadowRequired: True eller False -> ingen handling, dette er en funksjon av CPU-en datamaskinen bruker Hvis KVAShadowRequired er sann KVAShadowWindowsSupportPresent: True -> installer oppdateringen for januar 2018 KVAShadowWindowsSupportEnabled: True -> på klient, ingen handling kreves. Følg veiledningen på serveren.KVAShadowPcidEnabled: True eller False -> ingen handling, dette er en funksjon av CPU-en datamaskinen bruker

Hvis SSBDHardwareVulnerablePresent er sann SSBDWindowsSupportPresent: True -> installere Windows-oppdateringer som dokumentert i ADV180012 SSBDHardwarePresent: True -> installere BIOS/fastvareoppdatering med støtte for SSBD fra enhetens OEM SSBDWindowsSupportEnabledSystemWide: True -> følger anbefalte handlinger for å aktivere SSBD

Hvis L1TFHardwareVulnerable er sann L1TFWindowsSupportPresent: True -> installere Windows-oppdateringer som dokumentert i ADV180018 L1TFWindowsSupportEnabled: True -> følger handlinger som er beskrevet i ADV180018 for Windows Server eller Client, etter behov for å aktivere begrensningen L1TFInvalidPteBit: 0 L1DFlushSupported: Sann MDSWindowsSupportPresent: True -> installer oppdateringen for juni 2022 MDSHardwareVulnerable: False -> maskinvare er kjent for ikke å være sårbar MDSWindowsSupportEnabled: True -> begrensning for microarchitectural Data Sampling (MDS) er aktivert FBClearWindowsSupportPresent: True -> installere oppdateringen for juni 2022 SBDRSSDPHardwareVulnerable: True -> maskinvare antas å bli påvirket av disse sårbarhetene FBSDPHardwareVulnerable: True -> maskinvare antas å bli påvirket av disse sårbarhetene PSDPHardwareVulnerable: True -> maskinvare antas å bli påvirket av disse sårbarhetene FBClearWindowsSupportEnabled: True -> Representerer begrensningsaktivering for SBDR/FBSDP/PSDP. Sørg for at OEM BIOS/fastvare oppdateres, FBClearWindowsSupportPresent er sann, begrensninger aktivert som beskrevet i ADV220002 og KVAShadowWindowsSupportEnabled er Sann.

Register

Tabellen nedenfor tilordner utdataene til registernøklene som dekkes i KB4072698: Veiledning for Windows Server og Azure Stack HCI for å beskytte mot silisiumbaserte mikroarkitecturale og spekulative sikkerhetsproblemer i sidekanalen.

Registernøkkel

Kartlegging

FeatureSettingsOverride – bit 0

Tilordnes til – injeksjon av grenmål – BTIWindowsSupportEnabled

FeatureSettingsOverride – bit 1

Kart til – innlasting av rogue-databuffer – VAShadowWindowsSupportEnabled

Referanser

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders