KB4074629: Understanding SpeculationControl PowerShell script output

Methode 1: PowerShell-verificatie met behulp van de PowerShell Gallery (Windows Server 2016 of WMF 5.0/5.1)

De PowerShell-module installeren

PS> Install-Module SpeculationControl

Voer de Module SpeculationControl PowerShell uit om te controleren of beveiliging is ingeschakeld

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Methode 2: PowerShell-verificatie met behulp van een download van TechNet (eerdere versies van het besturingssysteem/eerdere WMF-versies)

De PowerShell-module installeren vanuit TechNet ScriptCenter

1. Ga naar https://aka.ms/SpeculationControlPS.

2. Download SpeculationControl.zip naar een lokale map.

3. De inhoud uitpakken naar een lokale map, bijvoorbeeld C:\ADV180002

Voer de PowerShell-module uit om te controleren of beveiliging is ingeschakeld

Start PowerShell, kopieer (met behulp van het bovenstaande voorbeeld) en voer de volgende opdrachten uit:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Output

Uitleg

Instellingen voor speculatiecontrole voor CVE-2017-5715 [vertakkingsdoelinjectie]

Deze sectie bevat de systeemstatus voor variant 2, CVE-2017-5715, vertakkingsdoelinjectie.

Hardwareondersteuning voor beperking van vertakkingsdoelinjectie is aanwezig

Wordt toegewezen aan BTIHardwarePresent. Deze regel geeft aan of er hardwarefuncties aanwezig zijn ter ondersteuning van de beperking van vertakkingsdoelinjectie. De OEM van het apparaat is verantwoordelijk voor het leveren van de bijgewerkte BIOS/firmware die de microcode bevat die door CPU-fabrikanten wordt geleverd. Als deze regel True is, zijn de vereiste hardwarefuncties aanwezig. Als de regel Onwaar is, zijn de vereiste hardwarefuncties niet aanwezig. Daarom kan de beperking van de vertakkingsdoelinjectie niet worden ingeschakeld.

Opmerking BTIHardwarePresent is Waar in gast-VM's als de OEM-update wordt toegepast op de host en de richtlijnenworden gevolgd.

Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is aanwezig

Wordt toegewezen aan BTIWindowsSupportPresent. Deze regel geeft aan of ondersteuning van het Windows-besturingssysteem aanwezig is voor de beperking van de vertakkingsdoelinjectie. Als het Waar is, ondersteunt het besturingssysteem het inschakelen van de beperking van de vertakkingsdoelinjectie (en heeft daarom de update van januari 2018 geïnstalleerd). Als deze Onwaar is, wordt de update van januari 2018 niet op het apparaat geïnstalleerd en kan de beperking van de vertakkingsdoelinjectie niet worden ingeschakeld.

Opmerking Als een gast-VM de hosthardware-update niet kan detecteren, is BTIWindowsSupportEnabled altijd False.

Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is ingeschakeld

Wordt toegewezen aan BTIWindowsSupportEnabled. Deze regel geeft aan of ondersteuning van het Windows-besturingssysteem is ingeschakeld voor de beperking van de vertakkingsdoelinjectie. Als het True is, worden hardware- en besturingssysteemondersteuning voor de beperking van de vertakkingsdoelinjectie ingeschakeld voor het apparaat, waardoor bescherming wordt geboden tegen CVE-2017-5715. Als het Onwaar is, is een van de volgende voorwaarden waar:

• Hardwareondersteuning is niet aanwezig.

• Ondersteuning voor het besturingssysteem is niet aanwezig.

• De beperking wordt uitgeschakeld door systeembeleid.

Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is uitgeschakeld door systeembeleid

Wordt toegewezen aan BTIDisabledBySystemPolicy. Deze regel geeft aan of de beperking van de injectie van het vertakkingsdoel is uitgeschakeld door systeembeleid (zoals een door een beheerder gedefinieerd beleid). Systeembeleid verwijst naar de registerbesturingselementen zoals beschreven in KB4072698. Als het Waar is, is het systeembeleid verantwoordelijk voor het uitschakelen van de beperking. Als het Onwaar is, wordt de beperking uitgeschakeld door een andere oorzaak.

Ondersteuning voor Windows-besturingssysteem voor beperking van vertakkingsdoelinjectie is uitgeschakeld omdat er geen hardwareondersteuning is

Wordt toegewezen aan BTIDisabledByNoHardwareSupport. Deze regel geeft aan of de beperking van de vertakkingsdoelinjectie is uitgeschakeld vanwege de afwezigheid van hardwareondersteuning. Als deze Waar is, is de afwezigheid van hardwareondersteuning verantwoordelijk voor het uitschakelen van de beperking. Als het Onwaar is, wordt de beperking uitgeschakeld door een andere oorzaak.

OpmerkingAls een gast-VM de hosthardware-update niet kan detecteren, is BTIDisabledByNoHardwareSupport altijd True.

Instellingen voor speculatiebeheer voor CVE-2017-5754 [rogue data cache load]

Deze sectie bevat een overzicht van de systeemstatus voor variant 3, CVE-2017-5754, rogue data cache load. De beperking hiervoor wordt de schaduw van het virtuele adres (VA) van de kernel of de beperking van de belasting van de rogue gegevenscache genoemd.

Hardware is kwetsbaar voor het laden van rogue gegevenscaches

Wordt toegewezen aan RdclHardwareProtected. Deze regel geeft aan of de hardware kwetsbaar is voor CVE-2017-5754. Als deze Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2017-5754. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is voor CVE-2017-5754.

Ondersteuning voor Windows-besturingssysteem voor het beperken van de belasting van rogue gegevenscaches is aanwezig

Wordt toegewezen aan KVAShadowWindowsSupportPresent. Deze regel geeft aan of windows-besturingssysteemondersteuning voor de kernel-VA-schaduwfunctie aanwezig is.

Ondersteuning voor Windows-besturingssysteem voor beperking van het laden van rogue gegevenscaches is ingeschakeld

Wordt toegewezen aan KVAShadowWindowsSupportEnabled. Deze regel geeft aan of de kernel-VA-schaduwfunctie is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2017-5754, is ondersteuning voor Het Windows-besturingssysteem aanwezig en is de functie ingeschakeld.

Voor hardware is kernel-VA-schaduw vereist

Wordt toegewezen aan KVAShadowRequired. Deze regel geeft aan of uw systeem kernel-VA-schaduw vereist om een beveiligingsprobleem te verhelpen.

Ondersteuning voor Windows-besturingssysteem voor kernel-VA-schaduw is aanwezig

Wordt toegewezen aan KVAShadowWindowsSupportPresent. Deze regel geeft aan of windows-besturingssysteemondersteuning voor de kernel-VA-schaduwfunctie aanwezig is. Als deze Waar is, wordt de update van januari 2018 op het apparaat geïnstalleerd en wordt kernel-VA-schaduw ondersteund. Als deze Onwaar is, is de update van januari 2018 niet geïnstalleerd en bestaat er geen ondersteuning voor kernel-VA-schaduw.

Ondersteuning voor Windows-besturingssysteem voor kernel-VA-schaduw is ingeschakeld

Wordt toegewezen aan KVAShadowWindowsSupportEnabled. Deze regel geeft aan of de kernel-VA-schaduwfunctie is ingeschakeld. Als het Waar is, is ondersteuning van het Windows-besturingssysteem aanwezig en is de functie ingeschakeld. De kernel-VA-schaduwfunctie is momenteel standaard ingeschakeld op clientversies van Windows en is standaard uitgeschakeld op versies van Windows Server. Als het Onwaar is, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de functie niet ingeschakeld.

Ondersteuning voor Windows-besturingssysteem voor PCID-prestatieoptimalisatie is ingeschakeld

OpmerkingPCID is niet vereist voor de beveiliging. Het geeft alleen aan of een prestatieverbetering is ingeschakeld. PCID wordt niet ondersteund met Windows Server 2008 R2

Wordt toegewezen aan KVAShadowPcidEnabled. Deze regel geeft aan of extra prestatieoptimalisatie is ingeschakeld voor kernel VA-schaduw. Als deze Waar is, is kernel-VA-schaduw ingeschakeld, is hardwareondersteuning voor PCID aanwezig en PCID-optimalisatie voor kernel-VA-schaduw is ingeschakeld. Als het Onwaar is, ondersteunt de hardware of het besturingssysteem mogelijk geen PCID. Het is geen beveiligingsprobleem dat de PCID-optimalisatie niet wordt ingeschakeld.

Ondersteuning voor Windows-besturingssysteem voor het uitschakelen van speculatieve store-bypass is aanwezig

Wordt toegewezen aan SSBDWindowsSupportPresent. Deze regel geeft aan of ondersteuning van het Windows-besturingssysteem voor Speculative Store Bypass Disable aanwezig is. Als deze Waar is, wordt de update van januari 2018 op het apparaat geïnstalleerd en wordt kernel-VA-schaduw ondersteund. Als deze Onwaar is, is de update van januari 2018 niet geïnstalleerd en bestaat er geen ondersteuning voor kernel-VA-schaduw.

Voor hardware is het uitschakelen van speculatieve store-bypass vereist

Wordt toegewezen aan SSBDHardwareVulnerablePresent. Deze regel geeft aan of de hardware kwetsbaar is voor CVE-2018-3639. Als deze Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2018-3639. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is voor CVE-2018-3639.

Hardwareondersteuning voor het uitschakelen van speculatieve store-bypass is aanwezig

Wordt toegewezen aan SSBDHardwarePresent. Deze regel geeft aan of er hardwarefuncties aanwezig zijn ter ondersteuning van Speculative Store Bypass Disable. De OEM van het apparaat is verantwoordelijk voor het verstrekken van de bijgewerkte BIOS/firmware die de microcode bevat die door Intel wordt geleverd. Als deze regel True is, zijn de vereiste hardwarefuncties aanwezig. Als de regel Onwaar is, zijn de vereiste hardwarefuncties niet aanwezig. Daarom kan Speculative Store Bypass Disable niet worden ingeschakeld.

Opmerking SSBDHardwarePresent is True in gast-VM's als de OEM-update wordt toegepast op de host.

Ondersteuning voor Windows-besturingssysteem voor het uitschakelen van speculatieve store-bypass is ingeschakeld

Wordt toegewezen aan SSBDWindowsSupportEnabledSystemWide. Deze regel geeft aan of Speculative Store Bypass Disable is ingeschakeld in het Windows-besturingssysteem. Als het Waar is, is hardwareondersteuning en ondersteuning van het besturingssysteem voor Speculatieve store bypass uitschakelen ingeschakeld voor het apparaat om te voorkomen dat een speculatieve store-bypass plaatsvindt, waardoor het beveiligingsrisico volledig wordt geëlimineerd. Als het Onwaar is, is een van de volgende voorwaarden waar:

• Hardwareondersteuning is niet aanwezig.

• Ondersteuning voor het besturingssysteem is niet aanwezig.

• Speculative Store Bypass Disable is niet ingeschakeld via registersleutels. Zie de volgende artikelen voor instructies over het inschakelen ervan:

  • KB4073119: Windows-clientrichtlijnen voor IT-professionals ter bescherming tegen microarchitecturale en speculatieve beveiligingsproblemen in het uitvoeringskanaal

  • KB4072698: Richtlijnen voor Windows Server en Azure Stack HCI om te beschermen tegen microarchitecturale en speculatieve beveiligingsproblemen in de uitvoering van kanalen aan de zijkant

Instellingen voor speculatiecontrole voor CVE-2018-3620 [L1-terminalfout]

Deze sectie bevat een overzicht van de systeemstatus voor L1TF (besturingssysteem) waarnaar wordt verwezen door CVE-2018-3620. Deze beperking zorgt ervoor dat veilige paginaframebits worden gebruikt voor niet-aanwezige of ongeldige paginatabelvermeldingen.

Opmerking Deze sectie bevat geen samenvatting van de beperkingsstatus voor L1TF (VMM) waarnaar wordt verwezen door CVE-2018-3646.

Hardware is kwetsbaar voor L1-terminalfout: Waar

Wordt toegewezen aan L1TFHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor L1 Terminal Fault (L1TF, CVE-2018-3620). Als het Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2018-3620. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is voor CVE-2018-3620.

Ondersteuning voor Windows-besturingssysteem voor L1-terminalfoutbeperking is aanwezig: Waar

Wordt toegewezen aan L1TFWindowsSupportPresent. Deze regel geeft aan of windows-besturingssysteemondersteuning voor de L1 Terminal Fault (L1TF)-besturingssysteembeperking aanwezig is. Als deze Waar is, wordt de update van augustus 2018 op het apparaat geïnstalleerd en is de beperking voor CVE-2018-3620 aanwezig. Als deze Onwaar is, is de update van augustus 2018 niet geïnstalleerd en is de beperking voor CVE-2018-3620 niet aanwezig.

Ondersteuning voor Windows-besturingssysteem voor L1-terminalfoutbeperking is ingeschakeld: Waar

Wordt toegewezen aan L1TFWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor L1 Terminal Fault (L1TF, CVE-2018-3620) is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware kwetsbaar is voor CVE-2018-3620, is ondersteuning voor het Windows-besturingssysteem voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld.

Instellingen voor speculatiecontrole voor MDS [Microarchitectural Data Sampling]

Deze sectie bevat de systeemstatus voor de MDS-set beveiligingsproblemen, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 en ADV220002.

Ondersteuning voor Windows-besturingssysteem voor MDS-beperking is aanwezig

Wordt toegewezen aan MDSWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor het MDS-besturingssysteem (Microarchitectural Data Sampling) aanwezig is. Als deze Waar is, wordt de update van mei 2019 op het apparaat geïnstalleerd en is de beperking voor MDS aanwezig. Als deze Onwaar is, is de update van mei 2019 niet geïnstalleerd en is de beperking voor MDS niet aanwezig.

Hardware is kwetsbaar voor MDS

Wordt toegewezen aan MDSHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor microarchitecturale gegevenssampling (MDS) met beveiligingsproblemen (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is.

Ondersteuning voor Windows-besturingssysteem voor MDS-beperking is ingeschakeld

Wordt toegewezen aan MDSWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor Microarchitectural Data Sampling (MDS) is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de MDS-beveiligingsproblemen, is de ondersteuning van het Windows-besturingssysteem voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld.

Ondersteuning voor Windows-besturingssysteem voor SBDR-beperking is aanwezig

Wordt toegewezen aan FBClearWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor de beperking van het SBDR-besturingssysteem aanwezig is. Als deze waar is, wordt de update van juni 2022 op het apparaat geïnstalleerd en is de beperking voor SBDR aanwezig. Als deze Onwaar is, is de update van juni 2022 niet geïnstalleerd en is de beperking voor SBDR niet aanwezig.

Hardware is kwetsbaar voor SBDR

Wordt toegewezen aan SBDRSSDPHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor SBDR[shared buffers data read] set beveiligingsproblemen (CVE-2022-21123). Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is.

Ondersteuning voor Windows-besturingssysteem voor SBDR-beperking is ingeschakeld

Wordt toegewezen aan FBClearWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor SBDR [gedeelde buffergegevens lezen] is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de SBDR-beveiligingsproblemen, is de windows-ondersteuning voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld.

Ondersteuning voor Windows-besturingssysteem voor FBSDP-beperking is aanwezig

Wordt toegewezen aan FBClearWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor de FBSDP-besturingssysteembeperking aanwezig is. Als het Waar is, wordt de update van juni 2022 op het apparaat geïnstalleerd en is de beperking voor FBSDP aanwezig. Als deze Onwaar is, is de update van juni 2022 niet geïnstalleerd en is de beperking voor FBSDP niet aanwezig.

Hardware is kwetsbaar voor FBSDP

Wordt toegewezen aan FBSDPHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor FBSDP [fill buffer verouderde gegevensdoorgifte] set beveiligingsproblemen (CVE-2022-21125, CVE-2022-21127 en CVE-2022-21166). Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is.

Ondersteuning voor Windows-besturingssysteem voor FBSDP-beperking is ingeschakeld

Wordt toegewezen aan FBClearWindowsSupportEnabled. Deze regel geeft aan of de Windows-besturingssysteembeperking voor FBSDP [fill buffer verouderde gegevens doorgeven] is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de FBSDP-beveiligingsproblemen, is de Windows-operationele ondersteuning voor de risicobeperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld.

Ondersteuning voor Windows-besturingssysteem voor PSDP-beperking is aanwezig

Wordt toegewezen aan FBClearWindowsSupportPresent. Deze regel geeft aan of de ondersteuning van het Windows-besturingssysteem voor de beperking van het PSDP-besturingssysteem aanwezig is. Als deze Waar is, wordt de update van juni 2022 op het apparaat geïnstalleerd en is de beperking voor PSDP aanwezig. Als deze Onwaar is, is de update van juni 2022 niet geïnstalleerd en is de beperking voor PSDP niet aanwezig.

Hardware is kwetsbaar voor PSDP

Wordt toegewezen aan PSDPHardwareVulnerable. Deze regel geeft aan of de hardware kwetsbaar is voor psdp [primaire verouderde gegevensdoorgifte] set beveiligingsproblemen. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door deze beveiligingsproblemen. Als het Onwaar is, is het bekend dat de hardware niet kwetsbaar is.

Ondersteuning voor Windows-besturingssysteem voor PSDP-beperking is ingeschakeld

Wordt toegewezen aan FBClearWindowsSupportEnabled. Deze regel geeft aan of de beperking van het Windows-besturingssysteem voor PSDP [primaire verouderde gegevensdoorgifte] is ingeschakeld. Als het Waar is, wordt aangenomen dat de hardware wordt beïnvloed door de PSDP-beveiligingsproblemen, is de windows-ondersteuning voor de beperking aanwezig en is de beperking ingeschakeld. Als het Onwaar is, is de hardware niet kwetsbaar, is de ondersteuning van het Windows-besturingssysteem niet aanwezig of is de beperking niet ingeschakeld.

Registersleutel

Toewijzing

FeatureSettingsOverride – Bit 0

Wordt toegewezen aan - Vertakkingsdoelinjectie - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Wordt toegewezen aan - Rogue data cache load - VAShadowWindowsSupportEnabled