Sammendrag

Vi har publisert et PowerShell-skript (SpeculationControl) som kan kjøre på enhetene dine, for å bekrefte statusen for spekulative begrensninger for utførelse av sidekanaler. Denne artikkelen forklarer hvordan du kjører SpeculationControl-skriptet og hva utdataene betyr.

Veiledninger ADV180002, ADV180012, ADV180018 og ADV190013 dekker følgende ni sårbarheter:

  • CVE-2017-5715 (injeksjon av grenmål)

  • CVE-2017-5753 (grensekontroller forbikobling)

    Obs! Beskyttelse for CVE-2017-5753 (grensekontroll) krever ikke flere registerinnstillinger eller fastvareoppdateringer.  

  • CVE-2017-5754 (rogue data cache load)

  • CVE-2018-3639 (spekulativ butikk bypass)

  • CVE-2018-3620 (L1 terminalfeil – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))

Advisory ADV220002 dekker ytterligere Memory-Mapped I/U (MMIO) relaterte sårbarheter:

  • CVE-2022-21123 – delt bufferdatalesing (SBDR)

  • CVE-2022-21125 – sampling av delte bufferdata (SBDS)

  • CVE-2022-21127 – spesiell oppdatering for sampling av registerbufferdata (SRBDS-oppdatering)

  • CVE-2022-21166 – enhetsregister delvis skriving (DRPW)

Denne artikkelen inneholder detaljer om SpeculationControl PowerShell-skriptet som bidrar til å fastslå tilstanden til begrensningene for de oppførte CV-ene som krever flere registerinnstillinger, og i noen tilfeller fastvareoppdateringer.

Mer informasjon

SpeculationControl PowerShell-skript

Installer og kjør SpeculationControl-skriptet ved hjelp av én av følgende metoder.

Metode 1: PowerShell-bekreftelse ved hjelp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installer PowerShell-modulen

PS> Install-Module SpeculationControl

Kjør SpeculationControl PowerShell-modulen for å bekrefte at beskyttelse er aktivert

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metode 2: PowerShell-bekreftelse ved hjelp av en nedlasting fra TechNet (tidligere OS-versjoner/tidligere WMF-versjoner)

Installer PowerShell-modulen fra TechNet ScriptCenter

  1. Gå til https://aka.ms/SpeculationControlPS.

  2. Last ned SpeculationControl.zip til en lokal mappe.

  3. Pakk ut innholdet til en lokal mappe, for eksempel C:\ADV180002

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert

Start PowerShell, og kopier og kjør deretter følgende kommandoer (ved hjelp av eksemplet ovenfor):

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Utdata for PowerShell-skript

Utdataene for SpeculationControl PowerShell-skriptet vil ligne på følgende. Aktiverte beskyttelser vises i utdataene som «Sann».

PS C:\> Get-SpeculationControlSettings

Innstillinger for spekulasjonskontroll for CVE-2017-5715 [injeksjon av grenmål]

Maskinvarestøtte for begrensning av forgreningsmålinjeksjon er til stede: Usann
Windows OS-støtte for begrensning av injeksjon av grenmål er til stede: True
Windows OS-støtte for reduksjon av grenmålinjeksjon er aktivert: Usann
Windows OS-støtte for begrensning av grenmålinjeksjon er deaktivert av systempolicyen: True
Windows OS-støtte for begrensning av forgreningsmålinjeksjon er deaktivert ved fravær av maskinvarestøtte: Sann

Innstillinger for spekulasjonskontroll for CVE-2017-5754 [rogue data cache load]

Maskinvare krever kjerne VA skyggelegging: True
Windows OS støtte for kjerne VA skygge er til stede: False
Windows OS støtte for kjerne VA skygge er aktivert: False
Windows OS støtte for PCID optimalisering er aktivert: False

Innstillinger for spekulasjonskontroll for CVE-2018-3639 [spekulativ butikk bypass]

Maskinvare er sårbar for spekulativ butikkforgåelse: Sann
Maskinvarestøtte for spekulativ lagringsavkoblingsreduksjon er til stede: False
Windows OS-støtte for spekulativ butikkomkoblingsreduksjon er til stede: True
Windows OS-støtte for spekulativ lagringsavkobling er aktivert for hele systemet: False

Innstillinger for spekulasjonskontroll for CVE-2018-3620 [L1 terminalfeil]

Maskinvare er sårbar for L1-terminalfeil: True
Windows OS-støtte for L1-terminalfeilreduksjon finnes: True
Windows OS-støtte for L1-terminalfeilreduksjon er aktivert: True

Innstillinger for spekulasjonskontroll for MDS [microarchitectural data sampling]

Windows OS-støtte for MDS begrensning er til stede: Sann
Maskinvare er sårbar for MDS: Sann
Windows OS-støtte for MDS begrensning er aktivert: Sann

Innstillinger for spekulasjonskontroll for SBDR [delte bufferdata lest] 

Windows OS-støtte for SBDR-avbøting er til stede: Sann
Maskinvare er sårbar for SBDR: True
Windows OS-støtte for SBDR-begrensning er aktivert: Sann  

Innstillinger for spekulasjonskontroll for FBSDP [fill buffer stale data propagator]

Windows OS-støtte for FBSDP-begrensning er til stede: Sann
Maskinvare er sårbar for FBSDP: True
Windows OS-støtte for FBSDP-begrensning er aktivert: Sann  

Innstillinger for spekulasjonskontroll for PSDP [primær foreldet dataproagator]

Windows OS-støtte for PSDP-begrensning er til stede: Sann
Maskinvare er sårbar for PSDP: Sann
Windows OS-støtte for PSDP-begrensning er aktivert: Sann

BTIHardwarePresent: False
BTIWindowsSupportPresent: Sann
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: Sann
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
SSBDWindowsSupportPresent: Sann
SSBDHardwareVulnerablePresent: True
SSBDHardwarePresent: Sann
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: Sann
L1TFWindowsSupportPresent: Sann
L1TFWindowsSupportEnabled: Sann
L1TFInvalidPteBit: 45
L1DFlushSupported: False
MDSWindowsSupportPresent: Sann
MDSHardwareVulnerable: Sann
MDSWindowsSupportEnabled: Sann
FBClearWindowsSupportPresent: True
SBDRSSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: Sann
PSDPHardwareVulnerable: Sann
FBClearWindowsSupportEnabled: Sann 

Forklaring av PowerShell-skriptutdataene for SpeculationControl

Det endelige utdatarutenettet tilordnes utdataene fra de foregående linjene. Dette vises fordi PowerShell skriver ut objektet som returneres av en funksjon. Tabellen nedenfor forklarer hver linje i PowerShell-skriptutdataene.

Utgang

Forklaring

Innstillinger for spekulasjonskontroll for CVE-2017-5715 [injeksjon av grenmål]

Denne delen gir systemstatus for variant 2, CVE-2017-5715, injeksjon av grenmål.

Maskinvarestøtte for begrensning av forgreningsmålinjeksjon finnes

Kart til BTIHardwarePresent. Denne linjen forteller deg om maskinvarefunksjoner er til stede for å støtte begrensningen av injeksjonsgrenmålet. Enhets-OEM-en er ansvarlig for å levere den oppdaterte BIOS/fastvaren som inneholder mikrokoden som leveres av CPU-produsenter. Hvis denne linjen er sann, finnes de nødvendige maskinvarefunksjonene. Hvis linjen er Usann, finnes ikke de nødvendige maskinvarefunksjonene, og derfor kan ikke begrensningen av forgreningsmålinjeksjon aktiveres.

Obs! BTIHardwarePresent vil være sann i virtuelle gjestemapper hvis OEM-oppdateringen er brukt på verten og veiledningenfølges.

Windows OS-støtte for begrensning av grenmålinjeksjon er til stede

Kart til BTIWindowsSupportPresent. Denne linjen forteller deg om Windows støtte for operativsystemet er til stede for begrensning av forgreningsmålinjeksjonen. Hvis den er sann, støtter operativsystemet aktivering av injeksjonsreduksjonen for grenmålet (og har derfor installert oppdateringen for januar 2018). Hvis den er Usann, er ikke oppdateringen for januar 2018 installert på enheten, og begrensningen for injeksjon av grenmål kan ikke aktiveres.

Obs! Hvis en gjeste-VM ikke finner maskinvareoppdateringen for verten, vil BTIWindowsSupportEnabled alltid være Usann.

Windows OS-støtte for begrensning av forgreningsmålinjeksjon er aktivert

Kart til BTIWindowsSupportEnabled. Denne linjen forteller deg om Windows operativsystemstøtte er aktivert for begrensning av forgreningsmålinjeksjon. Hvis den er sann, aktiveres maskinvarestøtte og OS-støtte for begrensning av injeksjon for grenmål for enheten, og beskytter dermed mot CVE-2017-5715. Hvis den er Usann, er én av følgende betingelser sann:

  • Maskinvarestøtte finnes ikke.

  • OS-støtte finnes ikke.

  • Begrensningen er deaktivert av systempolicyen.

Windows OS-støtte for begrensning av grenmålinjeksjon er deaktivert av systempolicyen

Kart til BTIDisabledBySystemPolicy. Denne linjen forteller deg om begrensningen av forgreningsmålinjeksjonen er deaktivert av systempolicyen (for eksempel en administratordefinert policy). Systempolicy refererer til registerkontrollene som dokumentert i KB4072698. Hvis den er sann, er systempolicyen ansvarlig for å deaktivere begrensningen. Hvis den er Usann, deaktiveres begrensningen av en annen årsak.

Windows OS-støtte for begrensning av forgreningsmålinjeksjon er deaktivert ved fravær av maskinvarestøtte

Kart til BTIDisabledByNoHardwareSupport. Denne linjen forteller deg om begrensningen av forgreningsmålinjeksjonen er deaktivert på grunn av fraværet av maskinvarestøtte. Hvis den er sann, er fraværet av maskinvarestøtte ansvarlig for å deaktivere begrensningen. Hvis den er Usann, deaktiveres begrensningen av en annen årsak.

Obs! Hvis en gjeste-VM ikke finner maskinvareoppdateringen for verten, vil BTIDisabledByNoHardwareSupport alltid være Sann.

Innstillinger for spekulasjonskontroll for CVE-2017-5754 [rogue data cache load]

Denne delen gir sammendragssystemstatus for variant 3, CVE-2017-5754, røverstater databufferbelastning. Begrensningen for dette er kjent som kjernen Virtual Address (VA) skygge eller rogue data cache belastningsreduksjon.

Maskinvare krever kjerne VA skyggelegging

Kart til KVAShadowRequired. Denne linjen forteller deg om maskinvaren er sårbar for CVE-2017-5754. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2017-5754. Hvis den er Usann, er maskinvaren kjent for å ikke være sårbar for CVE-2017-5754.

Windows OS-støtte for kjerne-VA-skygge er til stede

Kart til KVAShadowWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for kjernen VA skygge funksjonen er til stede. Hvis den er sann, installeres oppdateringen for januar 2018 på enheten, og kjerne-VA-skygge støttes. Hvis den er Usann, er ikke oppdateringen for januar 2018 installert, og kjernestøtte for VA-skygge finnes ikke.

Windows OS-støtte for kjerne-VA-skygge er aktivert

Kart til KVAShadowWindowsSupportEnabled. Denne linjen forteller deg om kjerne-VA-skyggefunksjonen er aktivert. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2017-5754, Windows støtte for operativsystemet er til stede, og funksjonen er aktivert. Kernel VA-skyggefunksjonen er aktivert som standard på klientversjoner av Windows og er deaktivert som standard på versjoner av Windows Server. Hvis den er Usann, er enten Windows støtte for operativsystemet ikke finnes, eller funksjonen er ikke aktivert.

Windows OS-støtte for PCID-ytelsesoptimalisering er aktivert

Obs! PCID er ikke nødvendig for sikkerhet. Den angir bare om en ytelsesforbedring er aktivert. PCID støttes ikke med Windows Server 2008 R2

Kart til KVAShadowPcidEnabled. Denne linjen forteller deg om en ekstra ytelsesoptimalisering er aktivert for kjerne-VA-skygge. Hvis den er sann, er kjerne-VA-skygge aktivert, maskinvarestøtte for PCID er til stede, og PCID-optimalisering for kjerne-VA-skygge er aktivert. Hvis den er usann, kan det hende at maskinvaren eller operativsystemet ikke støtter PCID. Det er ikke en sikkerhetssvakhet at PCID-optimaliseringen ikke skal aktiveres.

Windows OS-støtte for spekulativ Store Bypass Disable er til stede

Kart til SSBDWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for spekulative Store Forbikoblingsdeaktivering finnes. Hvis den er sann, installeres oppdateringen for januar 2018 på enheten, og kjerne-VA-skygge støttes. Hvis den er Usann, er ikke oppdateringen for januar 2018 installert, og kjernestøtte for VA-skygge finnes ikke.

Maskinvare krever spekulativ Store Omgå deaktivering

Kart til SSBDHardwareVulnerablePresent. Denne linjen forteller deg om maskinvaren er sårbar for CVE-2018-3639. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2018-3639. Hvis den er Usann, er maskinvaren kjent for å ikke være sårbar for CVE-2018-3639.

Maskinvarestøtte for spekulative Store Bypass Disable er til stede

Kart til SSBDHardwarePresent. Denne linjen forteller deg om maskinvarefunksjoner er til stede for å støtte spekulative Store Omgå deaktivering. Enhetens OEM er ansvarlig for å levere den oppdaterte BIOS/fastvaren som inneholder mikrokoden som leveres av Intel. Hvis denne linjen er sann, finnes de nødvendige maskinvarefunksjonene. Hvis linjen er Usann, finnes ikke de nødvendige maskinvarefunksjonene, og derfor kan ikke spekulative Store Omgå deaktivering slås på.

Obs! SSBDHardwarePresent vil være sann i virtuelle gjestemapper hvis OEM-oppdateringen er brukt på verten.

Windows OS-støtte for spekulativ Store Bypass Disable er slått på

Kart til SSBDWindowsSupportEnabledSystemWide. Denne linjen forteller deg om spekulativ Store Forbikoblingsdeaktivering er slått på i Windows operativsystem. Hvis det er sant, er maskinvarestøtte og OS-støtte for spekulativ Store Bypass Disable på for enheten som hindrer en spekulativ Store Bypass oppstår, og dermed eliminerer sikkerhetsrisikoen helt. Hvis den er Usann, er én av følgende betingelser sann:

Innstillinger for spekulasjonskontroll for CVE-2018-3620 [L1 terminalfeil]

Denne delen gir sammendragssystemstatus for L1TF (operativsystem) som det refereres til av CVE-2018-3620. Denne begrensningen sikrer at sikre siderammebiter brukes for ikke å presentere eller ugyldige sidetabelloppføringer.

Obs! Denne delen gir ikke et sammendrag av begrensningsstatusen for L1TF (VMM) som CVE-2018-3646 henviser til.

Maskinvaren er sårbar for L1-terminalfeil: Sann

Kart til L1TFHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for L1 Terminal Fault (L1TF, CVE-2018-3620). Hvis den er sann, antas maskinvaren å være sårbar for CVE-2018-3620. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar for CVE-2018-3620.

Windows OS-støtte for L1-terminalfeilreduksjon er til stede: Sann

Kart til L1TFWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for L1 Terminal Fault (L1TF) operativsystemreduksjon er til stede. Hvis den er sann, installeres august 2018-oppdateringen på enheten, og begrensningen for CVE-2018-3620 er til stede. Hvis den er Usann, er ikke oppdateringen for august 2018 installert, og begrensningen for CVE-2018-3620 finnes ikke.

Windows OS-støtte for L1-terminalfeilreduksjon er aktivert: Sann

Kart til L1TFWindowsSupportEnabled. Denne linjen forteller deg om Windows operativsystemreduksjon for L1 Terminal Fault (L1TF, CVE-2018-3620) er aktivert. Hvis den er sann, antas maskinvaren å være sårbar for CVE-2018-3620, Windows operativsystemstøtte for reduksjonen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, Windows støtte for operativsystemet ikke finnes, eller så er ikke begrensningen aktivert.

Innstillinger for spekulasjonskontroll for MDS [Microarchitectural Data Sampling]

Denne delen gir systemstatus for MDS sett med sårbarheter, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og ADV220002.

Windows OS-støtte for MDS reduksjon er til stede

Kart til MDSWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for operativsystemets begrensning av mikroarkittaktive data (MDS) er til stede. Hvis den er sann, installeres oppdateringen for mai 2019 på enheten, og begrensningen for MDS er til stede. Hvis den er Usann, er ikke oppdateringen for mai 2019 installert, og begrensningen for MDS finnes ikke.

Maskinvare er sårbar for MDS

Kart mdshardwarevulnerable. Denne linjen forteller deg om maskinvaren er sårbar for microarchitectural Data Sampling (MDS) sett med sårbarheter (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for MDS begrensning er aktivert

Kart til MDSWindowsSupportEnabled. Denne linjen forteller deg om Windows operativsystemreduksjon for microarchitectural Data Sampling (MDS) er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av MDS sårbarheter, Windows operativsystemstøtte for reduksjonen er til stede, og reduksjonen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, Windows støtte for operativsystemet ikke finnes, eller så er ikke begrensningen aktivert.

Windows OS-støtte for SBDR-avbøting er til stede

Kart til FBClearWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for SBDR-operativsystemreduksjonen finnes. Hvis den er sann, installeres oppdateringen for juni 2022 på enheten, og begrensningen for SBDR er til stede. Hvis den er Usann, er ikke oppdateringen for juni 2022 installert, og begrensningen for SBDR finnes ikke.

Maskinvare er sårbar for SBDR

Kart til SBDRSSDPHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for SBDR [datalesing av delte buffere] sett med sårbarheter (CVE-2022-21123). Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for SBDR-avbøting er aktivert

Kart til FBClearWindowsSupportEnabled. Denne linjen forteller deg om Windows operativsystemreduksjon for SBDR [datalesing av delte buffere] er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av SBDR-sårbarhetene, windows-driftsstøtten for avbøtingen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, Windows støtte for operativsystemet ikke finnes, eller så er ikke begrensningen aktivert.

Windows OS-støtte for FBSDP-reduksjon er til stede

Kart til FBClearWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for FBSDP-operativsystemreduksjonen finnes. Hvis den er sann, installeres oppdateringen for juni 2022 på enheten, og begrensningen for FBSDP er til stede. Hvis den er Usann, er ikke oppdateringen for juni 2022 installert, og begrensningen for FBSDP finnes ikke.

Maskinvaren er sårbar for FBSDP

Kart til FBSDPHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for FBSDP [fill buffer stale data propagator] sett med sårbarheter (CVE-2022-21125, CVE-2022-21127 og CVE-2022-21166). Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for FBSDP-begrensning er aktivert

Kart til FBClearWindowsSupportEnabled. Denne linjen forteller deg om Windows operativsystemreduksjon for FBSDP [fill buffer stale data propagator] er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av FBSDP-sårbarhetene, Windows driftsstøtte for reduksjonen er til stede, og reduksjonen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, Windows støtte for operativsystemet ikke finnes, eller så er ikke begrensningen aktivert.

Windows OS-støtte for PSDP-avløsning er til stede

Kart til FBClearWindowsSupportPresent. Denne linjen forteller deg om Windows operativsystemstøtte for PSDP-operativsystemreduksjonen finnes. Hvis den er sann, installeres oppdateringen for juni 2022 på enheten, og begrensningen for PSDP er til stede. Hvis den er Usann, er ikke oppdateringen for juni 2022 installert, og begrensningen for PSDP finnes ikke.

Maskinvare er sårbar for PSDP

Kart til PSDPHardwareVulnerable. Denne linjen forteller deg om maskinvaren er sårbar for PSDP [primær foreldet datapropagator] sett med sårbarheter. Hvis den er sann, antas maskinvaren å bli påvirket av disse sikkerhetsproblemene. Hvis den er Usann, er maskinvaren kjent for ikke å være sårbar.

Windows OS-støtte for PSDP-begrensning er aktivert

Kart til FBClearWindowsSupportEnabled. Denne linjen forteller deg om Windows operativsystemreduksjon for PSDP [primær foreldet dataoverføring] er aktivert. Hvis den er sann, antas maskinvaren å bli påvirket av PSDP-sikkerhetsproblemene, windows-driftsstøtten for reduksjonen er til stede, og begrensningen er aktivert. Hvis den er Usann, er ikke maskinvaren sårbar, Windows støtte for operativsystemet ikke finnes, eller så er ikke begrensningen aktivert.

Utdata med alle begrensninger aktivert

Følgende utdata forventes for en enhet med alle begrensninger aktivert, sammen med det som er nødvendig for å oppfylle hver betingelse.


BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> installer oppdateringen
for januar 2018 BTIWindowsSupportEnabled: True -> på klienten, ingen handling kreves. Følg veiledningen på serveren.
BTIDisabledBySystemPolicy: False -> sikre at den ikke deaktiveres av policyen.
BTIDisabledByNoHardwareSupport: False -> sikre at OEM BIOS/fastvareoppdatering brukes.
KVAShadowRequired: True eller False -> ingen handling, dette er en funksjon av CPU datamaskinen bruker

If KVAShadowRequired is True
KVAShadowWindowsSupportPresent: True -> installer oppdateringen
for januar 2018 KVAShadowWindowsSupportEnabled: True -> på klient, ingen handling kreves. Følg veiledningen på serveren.
KVAShadowPcidEnabled: True eller False -> ingen handling, dette er en funksjon av CPU-en datamaskinen bruker


If SSBDHardwareVulnerablePresent is True #x1 ADV180012
SSBDHardwarePresent: True -> installer BIOS/fastvareoppdatering med støtte for SSBD fra enhetens OEM
-SSBDWindowsSupportEnabledSystemWide: True -> follow anbefalte handlinger for å slå på SSBD


If L1TFHardwareVulnerable is True #x1 ADV180018
L1TFWindowsSupportEnabled: True -> follow actions outlined in ADV180018 for Windows Server or Client as appropriate to enable the mitigation

Registret

Tabellen nedenfor tilordner utdataene til registernøklene som dekkes i KB4072698: Windows Server- og Azure Stack HCI-veiledning for å beskytte mot silisiumbaserte mikroarkitecturale og spekulative sikkerhetsproblemer i sidekanalen.

Registernøkkel

Kartlegging

FeatureSettingsOverride – bit 0

Kart til – injeksjon av grenmål – BTIWindowsSupportEnabled

FeatureSettingsOverride – bit 1

Kart til – innlasting av rogue-databuffer – VAShadowWindowsSupportEnabled

Referanser

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×