Opis danych wyjściowych skryptu Get-SpeculationControlSettings programu PowerShell

Podsumowanie

Firma Microsoft opublikowała skrypt programu PowerShell, który klienci mogą uruchamiać w swoich systemach, aby ułatwić klientom zweryfikowanie stanu czynników zaradczych dotyczących kanału po stronie spekulacyjnych. W tym temacie wyjaśniono, jak uruchomić skrypt i co oznacza wydruk.

Klasyfikatory ADV180002, ADV180012, ADV180018i ADV190013 obejmują dziewięć luk:

  • CVE-2017-5715 (branch target injection)

  • CVE-2017-5753 (bounds check bypass)

  • CVE-2017-5754 (rogue data cache load)

  • CVE-2018-3639 (obejście spekulacyjny ze sklepu)

  • CVE-2018-3620 (błąd terminalu L1 — system operacyjny)

  • CVE-2018-11091 (Mikroarchitektury próbkowanie pamięci niebuforowanej (MDSUM))

  • CVE-2018-12126 (Próbkowanie danych buforu mikroarchitektury (MSBDS))

  • CVE-2018-12127 (Próbkowanie danych o porcie obciążenia mikroarchitektury (MLPDS))

  • CVE-2018-12130 (wypełnienie zpróbką danych buforu mikroarchitektury (MFBDS))

Ochrona dla CVE-2017-5753 (kontrola wiązana) nie wymaga dodatkowych ustawień rejestru ani aktualizacji oprogramowania układowego. W tym temacie podano szczegółowe informacje na temat skryptu programu PowerShell, który ułatwia określenie stanu czynników ograniczających zagrożenie dla wyświetlanych CVEs, które wymagają dodatkowych ustawień rejestru, a w przypadku aktualizacji oprogramowania układowego.

Więcej informacji

Zainstaluj i uruchom skrypt, uruchamiając następujące polecenia.

Weryfikacja programu PowerShell przy użyciu galerii programu PowerShell (Windows Server 2016 lub WMF 5.0/5.1)

Instalowanie modułu programu PowerShell

PS> Install-Module SpeculationControl

Uruchamianie modułu programu PowerShell w celu sprawdzenia, czy włączono ochronę

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Weryfikacja programu PowerShell przy użyciu funkcji pobierania z witryny TechNet (wcześniejsze wersje systemu operacyjnego/wcześniejsze wersje plików WMF)

Instalowanie modułu programu PowerShell z witryny TechNet ScriptCenter

  1. Przejdź do https://aka.MS/SpeculationControlPS.

  2. Pobierz SpeculationControl. zip do folderu lokalnego.

  3. Wyodrębnienie zawartości do folderu lokalnego, na przykład C:\ADV180002

Uruchamianie modułu programu PowerShell w celu sprawdzenia, czy włączono ochronę

Uruchom program PowerShell, a następnie skopiuj i uruchom następujące polecenia (korzystając z powyższego przykładu):

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Wyniki tego skryptu programu PowerShell będą podobne do poniższych. Włączona ochrona jest wyświetlana na wydruku jako "prawda".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Ustawienia kontroli spekulacji dla CVE-2018-3620 [błąd terminalu L1]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Ustawienia kontroli spekulacji dotyczące usług MDS (Próbkowanie danych w mikroarchitekturze)

Obsługa usług MDS w systemie operacyjnym Windows jest obecna: prawda Sprzęt jest narażony na usługi MDS: prawda Obsługa usług MDS dla systemu operacyjnego Windows jest włączona: prawda BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Końcowa siatka danych wyjściowych jest mapowana na dane wyjściowe poprzednich wierszy. Ten błąd jest wyświetlany, ponieważ program PowerShell drukuje obiekt zwracany przez działanie funkcji. W poniższej tabeli objaśniono poszczególne wiersze.

Prowadzone

Wyjaśnienie

Ustawienia kontroli spekulacji dla CVE-2017-5715 [iniekcja celu odgałęzienia]

Ta sekcja zawiera informacje o stanie systemu dla wariantu 2, CVE-2017-5715 , iniekcja celu odgałęzienia.

Obsługa sprzętu do ograniczania możliwości iniekcji miejsca docelowego gałęzi

Mapowanie na BTIHardwarePresent. W tym wierszu jest wyświetlana informacja o tym, czy w celu obsługi łagodzenia iniekcji docelowych odgałęzienia jest dostępna funkcja sprzętu. Urządzenie OEM jest odpowiedzialne za dostarczenie zaktualizowanego systemu BIOS/oprogramowania wewnętrznego, który zawiera Microcode udostępnione przez producentów procesora. Jeśli ten wiersz mawartość PRAWDA, dostępne są wymagane funkcje sprzętowe. Jeśli linia jestfałszywa, wymagane funkcje sprzętowe są nieobecne, a w związku z tym nie można włączyć ograniczania iniekcji miejsca docelowego gałęzi.

Uwaga BTIHardwarePresent będzieprawdziwena maszynach wirtualnych gościa, jeśli aktualizacja OEM została zastosowana do hosta, a następnie są stosowanewskazówki.

Obsługa możliwości ograniczania iniekcji miejsca docelowego oddziału w systemie operacyjnym Windows

Mapowanie na BTIWindowsSupportPresent. Ten wiersz zawiera informację o tym, czy obsługa funkcji ograniczania docelowych wtrysku oddziału jest dostępna dla systemu operacyjnego Windows. Jeśli toprawda, system operacyjny obsługuje ustawienie łagodzenia docelowości odgałęzienia (a w związku z tym, że zainstalowano aktualizację 2018 stycznia). Jeśli jestfałszywa, aktualizacja stycznia 2018 nie została zainstalowana w systemie, a nie można włączyć ograniczania iniekcji miejsca docelowego gałęzi.

Uwaga Jeśli maszyna wirtualna gościa nie może wykryć aktualizacji sprzętu hosta, BTIWindowsSupportEnabled zawsze będziefałszywy.

Obsługa funkcji ograniczania iniekcji miejsca docelowego gałęzi w systemie operacyjnym Windows

Mapowanie na BTIWindowsSupportEnabled. Ten wiersz informuje o tym, czy obsługa funkcji ograniczania iniekcji miejsca docelowego odgałęzienia jest włączona dla systemu operacyjnego Windows. Jeśli toprawda, Obsługa sprzętu i pomocy technicznej dla systemu operacyjnego na potrzeby łagodzenia iniekcją miejsca docelowego odgałęzienia jest włączona dla urządzenia, co umożliwia ochronę przedCVE-2017-5715. Jeśli jestfałszywa, jest spełniony dowolny z następujących warunków:

  • Nie jest dostępna pomoc techniczna dla sprzętu.

  • Nie jest dostępna obsługa systemu operacyjnego.

  • Ograniczanie zagrożenia zostało wyłączone przez zasady systemowe.

Obsługa funkcji ograniczania iniekcji miejsca docelowego oddziału dla systemu operacyjnego Windows jest wyłączona przez zasady systemowe

Mapowanie na BTIDisabledBySystemPolicy. Ten wiersz informuje o tym, że ograniczanie ryzyka iniekcji tarczy odgałęzienia zostało wyłączone przez zasady systemowe (na przykład zasady zdefiniowane przez administratora). Zasady systemowe odnoszą się do kontrolek rejestru, które opisano wKB 4072698. Jeśliprawda, zasady systemowe są odpowiedzialne za wyłączenie ograniczenia. Jeśli to nie jestprawdziwe, ograniczanie zagrożenia jest wyłączone z innego powodu.

Obsługa funkcji ograniczania iniekcji miejsca docelowego oddziału przez system operacyjny Windows jest wyłączona przez nieobecność obsługi sprzętu

Mapowanie na BTIDisabledByNoHardwareSupport. Ten wiersz informuje o tym, że ograniczanie ryzyka iniekcji tarczy odgałęzienia zostało wyłączone ze względu na brak obsługi sprzętu. Jeśliprawda, wyłączenie obsługi sprzętu jest odpowiedzialne za wyłączenie ograniczenia. Jeśli to nie jestprawdziwe, ograniczanie zagrożenia jest wyłączone z innego powodu.

Uwaga Jeśli maszyna wirtualna gościa nie może wykryć aktualizacji sprzętu hosta, BTIDisabledByNoHardwareSupport zawsze będzieprawdziwe.

Ustawienia kontroli spekulacji dla CVE-2017-5754 [ładowanie pamięci podręcznej danych

W tej sekcji podano podsumowanie stanu systemu dla wariantu 3,CVE-2017-5754, nieautoryzowane ładowanie pamięci podręcznej danych. Ograniczenie to jest określane jako cień adresu wirtualnego jądra (VA) lub ograniczanie obciążenia pamięci podręcznej danych z nieautoryzowanym danymi.

Sprzęt wymaga przesłania w jądrze VA

Mapowanie na KVAShadowRequired. Ten wiersz informuje o tym, czy sprzęt jest narażony na działanieCVE-2017-5754. Jeśli toprawda, sprzęt jest uznany za narażony na działanie CVE-2017-5754. Jeśli jestfałszywa, oznacza to, że sprzęt nie jest narażony na działanie CVE-2017-5754.

Obsługa cienia jądra (Kernel VA) dla systemu operacyjnego Windows jest obecna

Mapowanie na KVAShadowWindowsSupportPresent. Ten wiersz informuje o tym, czy jest dostępna obsługa funkcji cieniowania jądra (Kernel) dla systemu operacyjnego Windows. Jeśli toprawda, na urządzeniu jest zainstalowana aktualizacja z stycznia 2018, a cień kernel VA jest obsługiwany. Jeśli jestfałszywa, Aktualizacja dla stycznia 2018 nie jest zainstalowana, a obsługa cieniowania jądra VA nie istnieje.

Obsługa cienia jądra o wersji VA jest włączona w systemie operacyjnym Windows

Mapowanie na KVAShadowWindowsSupportEnabled. Ten wiersz informuje o włączeniu funkcji cieniowania jądra (Kernel). Jeśli toprawda, oznacza to, że sprzęt jest narażony na działanieCVE-2017-5754, jest dostępna obsługa systemu operacyjnego Windows, a funkcja została włączona. Funkcja cieniowania jądra (VA) jest obecnie domyślnie włączona w wersjach klienckich systemu Windows i jest domyślnie wyłączona w wersjach systemu Windows Server. Jeśli nie jestspełniony, obsługa systemu operacyjnego Windows jest nieobecna lub funkcja nie została włączona.

Obsługa systemu Windows OS na potrzeby optymalizacji wydajności PCID jest włączona

Uwaga PCID nie jest wymagany ze względu na bezpieczeństwo. Wskazuje tylko, czy poprawa wydajności jest włączona. PCID nie jest obsługiwany w systemie Windows Server 2008 R2

Mapowanie na KVAShadowPcidEnabled. Ten wiersz informuje o tym, czy włączono dodatkową optymalizację wydajności dla cienia jądra VA. Jeśli jestprawda, jest włączona funkcja cienia VA jądra, jest dostępna obsługa sprzętu dla PCID, a optymalizacja PCID dla funkcji cienia jądra o wartości VA jest włączona. Jeśli toprawda, być może sprzęt lub system operacyjny nie obsługuje PCID. Nie jest to słabego poziomu zabezpieczeń, ponieważ nie można włączyć optymalizacji PCID.

Obsługa funkcji pomijania obejścia w sklepie spekulacyjnym dla systemu operacyjnego Windows jest obecna

Mapowanie na SSBDWindowsSupportPresent. Ten wiersz informuje o tym, czy jest dostępna obsługa funkcji pomijania wykluczania dla systemu operacyjnego Windows w sklepie spekulacyjnym. Jeśli to prawda , na urządzeniu jest zainstalowana aktualizacja z stycznia 2018, a cień kernel VA jest obsługiwany. Jeśli jest fałszywa , Aktualizacja dla stycznia 2018 nie jest zainstalowana, a obsługa cieniowania jądra VA nie istnieje.

Sprzęt wymaga wyłączanego obejścia w sklepie spekulacyjnym

Mapowanie na SSBDHardwareVulnerablePresent. Ten wiersz informuje o tym, czy sprzęt jest narażony na działanie CVE-2018-3639. Jeśli to prawda , sprzęt jest uznany za narażony na działanie CVE-2018-3639. Jeśli jest fałszywa , oznacza to, że sprzęt nie jest narażony na działanie CVE-2018-3639.

Pomoc techniczna dotycząca sprzętu w celu wyłączania funkcji pomijania obejścia sklepu jest obecna

Mapowanie na SSBDHardwarePresent. W tym wierszu jest wyświetlana informacja o tym, czy są dostępne funkcje sprzętowe umożliwiające obsługę funkcji pomijania w sklepie spekulacyjnym. Urządzenie OEM jest odpowiedzialne za dostarczenie zaktualizowanego systemu BIOS/oprogramowania firmware zawierającego Microcode udostępnione przez firmę Intel. Jeśli ten wiersz ma wartość PRAWDA , dostępne są wymagane funkcje sprzętowe. Jeśli linia jest fałszywa , wymagane funkcje sprzętowe są nieobecne, a w związku z tym nie można włączyć funkcji wyłączania obejścia dla magazynu spekulacyjnego.

Uwaga SSBDHardwarePresent będzie prawdziwe na maszynach wirtualnych gościa, jeśli aktualizacja OEM została zastosowana do hosta.

 

Obsługa funkcji pomijania wyłączania w Sklepie Microsoft System operacyjny Windows jest włączona

Mapowanie na SSBDWindowsSupportEnabledSystemWide. Ten wiersz informuje, czy w systemie operacyjnym Windows włączono funkcję pomijania obejścia spekulacyjnego magazynu. Jeśli to prawda , Obsługa sprzętu i pomoc techniczna dla systemu operacyjnego dla funkcji pomijania obejścia w sklepie Store jest włączona dla urządzenia uniemożliwiającego obejście spekulacyjnego magazynu, co eliminuje ryzyko związane z zabezpieczeniami całkowicie. Jeśli jest fałszywa , jest spełniony dowolny z następujących warunków:

  • Nie jest dostępna pomoc techniczna dla sprzętu.

  • Nie jest dostępna obsługa systemu operacyjnego.

  • Funkcja pomijania omijania magazynu spekulacyjnego nie została włączona za pośrednictwem kluczy rejestru. Aby uzyskać instrukcje dotyczące włączania, zobacz następujące artykuły:

Wskazówki dotyczące klienta systemu Windows dla specjalistów IT w zakresie ochrony przed lukami spekulacyjnymi na kanałach bocznych

Porady dotyczące systemu Windows Server w celu ochrony przed lukami spekulacyjnymi w zakresie wykonywania

 

Ustawienia kontroli spekulacji dla CVE-2018-3620 [błąd terminalu L1]

Ta sekcja zawiera podsumowanie stanu systemu operacyjnego dla L1TF (system operacyjny), do którego odwołuje się CVE-2018-3620. To ograniczenie zapewnia, że w przypadku nieobecności lub nieprawidłowych wpisów tabeli stron są używane bezpieczne bity ramek stron.

Uwaga W tej sekcji nie podano podsumowania stanu łagodzenia L1TF (VMM), do którego odwołuje się CVE-2018-3646.

Sprzęt jest narażony na błąd terminalu L1: prawda

Mapowanie na L1TFHardwareVulnerable. Ten wiersz informuje o tym, czy sprzęt jest narażony na błąd terminalu L1 (L1TF, CVE-2018-3620). Jeśli to prawda, sprzęt jest uznany za narażony na działanie CVE-2018-3620. Jeśli jest fałszywa, oznacza to, że sprzęt nie jest narażony na działanie CVE-2018-3620.

Obsługa błędów terminalu w systemie operacyjnym Windows jest obecna: prawda

Mapowanie na L1TFWindowsSupportPresent. Ten wiersz informuje o tym, czy w systemie operacyjnym Windows jest dostępna funkcja łagodzenia błędów terminalu L1 (L1TF). Jeśli to prawda, na urządzeniu jest zainstalowana aktualizacja z sierpnia 2018 i jest dostępna łagodzenie obecności CVE-2018-3620. Jeśli to nie jest prawdziwe, Aktualizacja z sierpnia 2018 nie jest zainstalowana i nie jest obecne ograniczenie dla CVE-2018-3620.

Obsługa błędów terminalu w systemie operacyjnym Windows jest włączona: prawda

Mapowanie na L1TFWindowsSupportEnabled. Ten wiersz informuje o tym, czy system operacyjny Windows ograniczający błąd terminalu L1 (L1TF, CVE-2018-3620) jest włączony. Jeśli to prawda, oznacza to, że sprzęt jest narażony na działanie luki CVE-2018-3620, czy jest dostępna obsługa systemu operacyjnego Windows w celu ograniczenia zagrożenia i że włączono ograniczenie. Jeśli nie jest to prawda, oznacza to, że sprzęt nie jest zagrożony, nie jest dostępna obsługa systemu operacyjnego Windows lub nie włączono ograniczenia.

Ustawienia kontroli spekulacji dotyczące usług MDS (Próbkowanie danych w mikroarchitekturze)

W tej sekcji podano informacje o stanie systemu dotyczącego zestawu luk w zabezpieczeniach usługi MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127i CVE-2018-12130

Obsługa usług MDS w systemie operacyjnym Windows jest obecna

Mapowanie na MDSWindowsSupportPresent. Ten wiersz informuje o tym, czy system operacyjny Windows obsługuje łagodzenie systemu operacyjnego z próbką mikroarchitektury (MDS). Jeśli to prawda, aktualizacja maj 2019 jest zainstalowana na urządzeniu i jest dostępna łagodzenie usług MDS. Jeśli jest fałszywa, aktualizacja maj 2019 nie jest zainstalowana i nie jest obecne ograniczenie dotyczące usług MDS.

Sprzęt jest narażony na usługi MDS

Mapowanie na MDSHardwareVulnerable. Ten wiersz informuje o tym, czy sprzęt jest narażony na zestaw luk w zabezpieczeniach (MDS) w ramach mikroarchitektury (wCVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Jeśli to prawda, na sprzęcie uważa się, że te usterki są narażone na sprzęt. Jeśli jest fałszywie, oznacza to, że sprzęt nie jest zagrożony.

Obsługa usług MDS w systemie operacyjnym Windows jest włączona

Mapowanie na MDSWindowsSupportEnabled. Ten wiersz informuje o włączeniu funkcji pobierania próbek danych mikroarchitektury (MDS) w systemie operacyjnym Windows. Jeśli to prawda, w przypadku sprzętu jest uważany problem dotyczący luk w zabezpieczeniach usług MDS, a pomoc techniczna dla systemu Windows dotycząca ograniczenia jest obecna i jest włączone ograniczanie. Jeśli nie jest to prawda, oznacza to, że sprzęt nie jest zagrożony, nie jest dostępna obsługa systemu operacyjnego Windows lub nie włączono ograniczenia.

Poniższe wyniki są oczekiwane dla komputera, dla którego włączono wszystkie ograniczenia, oraz co jest konieczne do spełnienia warunków.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

W poniższej tabeli przedstawiono wyniki dotyczące kluczy rejestru, które są objęte wskazówkami dotyczącymi systemu Windows Server w celu ochrony przed lukami spekulacyjnymi w zakresie wykonywania.

Klucz rejestru

Map

FeatureSettingsOverride — bit 0

Mapowanie do iniekcji tarczy do odgałęzienia — BTIWindowsSupportEnabled

FeatureSettingsOverride – bit 1

Ładowanie do-nieautoryzowana pamięć podręczna danych — VAShadowWindowsSupportEnabled

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×