Modificare dată |
Descrierea modificării |
---|---|
17 iulie 2023 |
S-au adăugat MMIO și descrieri specifice ale valorilor de ieșire în secțiunea "Ieșire care are activate toate atenuările" |
Rezumat
Pentru a vă ajuta să verificați starea atenuării canalului lateral cu execuție speculativă, am publicat un script PowerShell (SpeculationControl) care poate rula pe dispozitivele dvs. Acest articol vă arată cum să rulați scriptul SpeculationControl și ce înseamnă rezultatul.
Recomandările de securitate ADV180002, ADV180012, ADV180018 și ADV190013 acoperă următoarele nouă vulnerabilități:
-
CVE-2017-5715 (injectare țintă ramură)
-
CVE-2017-5753 (ocolire verificare limite)
Notă Protecția pentru CVE-2017-5753 (verificarea limitelor) nu necesită setări de registry sau actualizări de firmware suplimentare.
-
CVE-2017-5754 (încărcare cache de date false)
-
CVE-2018-3639 (ocolire store speculativă)
-
CVE-2018-3620 (defecțiune terminal L1 – sistem de operare)
-
CVE-2018-11091 (Eșantionare date microarchitecturală Memorie nechecheabilă (MDSUM))
-
CVE-2018-12126 (Eșantionare date tampon depozit microarchitectural (MSBDS))
-
CVE-2018-12127 (Eșantionarea datelor portului de încărcare microarchitectural (MLPDS))
-
CVE-2018-12130 (Eșantionare date tampon de umplere microarchitecturală (MFBDS))
Sfatul ADV220002 descrie vulnerabilitățile suplimentare legate de I/O (MMIO) Memory-Mapped:
-
CVE-2022-21123 | Date tampon partajate citite (SBDR)
-
CVE-2022-21125 | Eșantionare date tampon partajate (SBDS)
-
CVE-2022-21127 | Actualizare specială de eșantionare a datelor tampon (actualizare SRBDS)
-
CVE-2022-21166 | Înregistrare dispozitiv scriere parțială (DRPW)
Acest articol oferă detalii despre scriptul SpeculationControl PowerShell care ajută la determinarea stării atenuării pentru CV-urile listate care necesită setări de registry suplimentare și, în unele cazuri, actualizări de firmware.
Mai multe informații
Script SpeculationControl PowerShell
Instalați și rulați scriptul SpeculationControl utilizând una dintre următoarele metode.
Metoda 1: Verificarea PowerShell utilizând Galeria PowerShell (Windows Server 2016 sau WMF 5.0/5.1) |
Instalarea modulului PowerShell PS> Install-Module SpeculationControl Rulați modulul SpeculationControl PowerShell pentru a verifica dacă sunt activate protecțiile PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Metoda 2: Verificarea PowerShell utilizând o descărcare de la TechNet (versiunile anterioare ale sistemului de operare/versiunile WMF mai vechi) |
Instalarea modulului PowerShell din TechNet ScriptCenter
Rulați modulul PowerShell pentru a verifica dacă sunt activate protecțiile Porniți PowerShell, apoi (utilizând exemplul de mai sus) copiați și rulați următoarele comenzi: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Ieșire script PowerShell
Rezultatul scriptului SpeculationControl PowerShell va semăna cu următoarea ieșire. Protecțiile activate apar în ieșire ca "Adevărat".
PS C:\> Get-SpeculationControlSettings
Setări de control al speculațiilor pentru CVE-2017-5715 [injectare țintă ramură]
Suportul hardware pentru atenuarea injectare țintă ramificație este prezent: False
Este prezent suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură: Adevărat
Este activat suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură: False
Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin politica de sistem: True
Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin absența suportului pentru hardware: True
Setări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date rogue]
Hardware-ul este vulnerabil la încărcarea memoriei cache de date necinstite: Adevărat
Suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date false este prezent: True
Suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date false este activat: True
Hardware-ul necesită umbrire VA kernel: True
Este prezent suportul sistemului de operare Windows pentru umbra VA kernel: False
Suportul sistemului de operare Windows pentru umbra VA a kernelului este activat: False
Suportul sistemului de operare Windows pentru optimizarea PCID este activat: False
Setări de control al speculațiilor pentru CVE-2018-3639 [ocolire store speculativă]
Hardware-ul este vulnerabil la ocolirea store speculativă: True
Este prezentă asistența hardware pentru atenuarea ocolirii store speculative: False
Este prezent suportul sistemului de operare Windows pentru atenuarea ocolirii store speculative: Adevărat
Suportul sistemului de operare Windows pentru atenuarea ocolirii store speculative este activat la nivel de sistem: False
Setări de control al speculațiilor pentru CVE-2018-3620 [eroare terminal L1]
Hardware-ul este vulnerabil la eroarea terminal L1: True
Este prezent suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True
Este activat suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True
Setările de control al speculațiilor pentru MDS [eșantionarea datelor microarchitectural]
Este prezent suportul sistemului de operare Windows pentru atenuarea MDS: True
Hardware-ul este vulnerabil la MDS: True
Suportul sistemului de operare Windows pentru atenuarea MDS este activat: True
Setări de control al speculațiilor pentru SBDR [date tampoane partajate citite]
Este prezent suportul sistemului de operare Windows pentru atenuarea SBDR: True
Hardware-ul este vulnerabil la SBDR: True
Este activat suportul sistemului de operare Windows pentru atenuarea SBDR: True
Setări de control al speculațiilor pentru FBSDP [propagare date de umplere tampon învechit]
Este prezent suportul sistemului de operare Windows pentru atenuarea FBSDP: True
Hardware-ul este vulnerabil la FBSDP: True
Suportul pentru sistemul de operare Windows pentru atenuarea FBSDP este activat: True
Setările de control al speculațiilor pentru PSDP [propagator principal de date învechite]
Este prezent suportul sistemului de operare Windows pentru atenuarea PSDP: True
Hardware-ul este vulnerabil în fața PSDP: True
Suportul pentru sistemul de operare Windows pentru atenuarea PSDP este activat: True
BTIHardwarePresent: Adevărat
BTIWindowsSupportPresent: Adevărat
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: Fals
BTIKernelRetpolineEnabled: Adevărat
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: Fals
KVAShadowRequired: Adevărat
KVAShadowWindowsSupportPresent: Adevărat
KVAShadowWindowsSupportEnabled: Adevărat
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: Adevărat
SSBDHardwareVulnerable: Adevărat
SSBDHardwarePresent: Fals
SSBDWindowsSupportEnabledSystemWide: Fals
L1TFHardwareVulnerable: Adevărat
L1TFWindowsSupportPresent: Adevărat
L1TFWindowsSupportEnabled: Adevărat
L1TFInvalidPteBit: 45
L1DFlushSupported: Fals
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: Adevărat
MDSHardwareVulnerable: Adevărat
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: Adevărat
SBDRSSDPHardwareVulnerable: Adevărat
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
Explicarea ieșirii scriptului PowerShell SpeculationControl
Grila finală de ieșire se mapează la ieșirea liniilor precedente. Acest lucru apare deoarece PowerShell imprimă obiectul returnat de o funcție. Următorul tabel explică fiecare linie din ieșirea scriptului PowerShell.
Ieşire |
Explicaţie |
Setări de control al speculațiilor pentru CVE-2017-5715 [injectare țintă ramură] |
Această secțiune oferă starea sistemului pentru varianta 2, CVE-2017-5715, injectare țintă ramură. |
Este prezent suportul hardware pentru atenuarea injectare țintă pentru ramură |
Hărți la BTIHardwarePresent. Această linie vă spune dacă sunt prezente caracteristici hardware pentru a accepta atenuarea injectare țintă pentru ramură. Producătorul OEM al dispozitivului este responsabil pentru furnizarea BIOS-ului/firmware-ului actualizat care conține microcodul furnizat de producătorii de procesoare. Dacă această linie este True, sunt prezente caracteristicile hardware necesare. Dacă linia este False (Fals), caracteristicile hardware necesare nu sunt prezente. Prin urmare, atenuarea injectare țintă ramură nu poate fi activată. Notă BTIHardwarePresent va fi True în mașinile virtuale invitat dacă actualizarea OEM se aplică gazdei și sunt urmate instrucțiunile. |
Este prezent suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură |
Hărți la BTIWindowsSupportPresent. Această linie vă spune dacă este prezent suportul pentru sistemul de operare Windows pentru atenuarea injectare țintă pentru ramură. Dacă este Adevărat, sistemul de operare acceptă activarea atenuării injectare țintă pentru ramură (și, prin urmare, a instalat actualizarea din ianuarie 2018). Dacă este False (Fals), actualizarea din ianuarie 2018 nu este instalată pe dispozitiv și atenuarea injectare țintă pentru ramură nu poate fi activată. Notă Dacă o mașină virtuală invitat nu poate detecta actualizarea hardware a gazdei, BTIWindowsSupportEnabled va fi întotdeauna False. |
Este activat suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură |
Hărți la BTIWindowsSupportEnabled. Această linie vă spune dacă este activată asistența pentru sistemul de operare Windows pentru atenuarea injectare țintă pentru ramură. Dacă este Adevărat, suportul pentru hardware și suportul pentru sistemul de operare pentru atenuarea injectare țintă pentru ramură sunt activate pentru dispozitiv, protejând astfel împotriva CVE-2017-5715. Dacă este False (Fals), una dintre următoarele condiții este adevărată:
|
Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin politica de sistem |
Hărți la BTIDisabledBySystemPolicy. Această linie vă spune dacă atenuarea injectare țintă pentru ramură este dezactivată prin politica de sistem (cum ar fi o politică definită de administrator). Politica de sistem se referă la controalele de registry, după cum este documentat în KB4072698. Dacă este Adevărat, politica de sistem este responsabilă de dezactivarea atenuării. Dacă este False (Fals), atenuarea este dezactivată din altă cauză. |
Suportul sistemului de operare Windows pentru atenuarea injectare țintă pentru ramură este dezactivat prin absența suportului pentru hardware |
Hărți la BTIDisabledByNoHardwareSupport. Această linie vă spune dacă atenuarea injectare țintă pentru ramură este dezactivată din cauza absenței suportului pentru hardware. Dacă este Adevărat, absența asistenței pentru hardware este responsabilă pentru dezactivarea atenuării. Dacă este False (Fals), atenuarea este dezactivată din altă cauză. NotăDacă o mașină virtuală invitat nu poate detecta actualizarea de hardware gazdă, BTIDisabledByNoHardwareSupport va fi întotdeauna True. |
Setări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date rogue] |
Această secțiune oferă starea sistemului de rezumare pentru varianta 3, CVE-2017-5754, încărcare cache de date rogue. Atenuarea pentru aceasta se numește umbră a adresei virtuale (VA) kernel sau atenuarea încărcării cache-ului de date false. |
Hardware-ul este vulnerabil la încărcarea memoriei cache de date false |
Hărți la RdclHardwareProtected. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2017-5754. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2017-5754. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2017-5754. |
Este prezent suportul sistemului de operare Windows pentru atenuarea încărcării cache-ului de date necinstite |
Hărți la KVAShadowWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru caracteristica umbră VA kernel. |
Este activată asistența sistemului de operare Windows pentru atenuarea încărcării cache-ului de date necinstite |
Hărți la KVAShadowWindowsSupportEnabled. Această linie vă spune dacă este activată caracteristica umbră VA kernel. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2017-5754, este prezent suportul pentru sistemul de operare Windows și caracteristica este activată. |
Hardware-ul necesită umbrire VA kernel |
Hărți la KVAShadowRequired. Această linie vă spune dacă sistemul necesită umbrire VA kernel pentru a atenua o vulnerabilitate. |
Este prezent suportul sistemului de operare Windows pentru umbra VA a kernelului |
Hărți la KVAShadowWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru caracteristica umbră VA kernel. Dacă este Adevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar umbra VA a kernelului este acceptată. Dacă este False, actualizarea din ianuarie 2018 nu este instalată, iar suportul kernel umbră VA nu există. |
Suportul sistemului de operare Windows pentru umbra VA a kernelului este activat |
Hărți la KVAShadowWindowsSupportEnabled. Această linie vă spune dacă este activată caracteristica umbră VA kernel. Dacă este Adevărat, este prezentă asistența pentru sistemul de operare Windows și caracteristica este activată. Caracteristica Kernel VA shadow este activată în prezent în mod implicit în versiunile client de Windows și este dezactivată în mod implicit în versiunile de Windows Server. Dacă este false, suportul pentru sistemul de operare Windows nu este prezent sau caracteristica nu este activată. |
Este activat suportul sistemului de operare Windows pentru optimizarea performanței PCID NotăPCID nu este necesar pentru securitate. Indică doar dacă este activată o îmbunătățire a performanței. PCID nu este acceptat cu Windows Server 2008 R2 |
Hărți la KVAShadowPcidEnabled. Această linie vă spune dacă este activată o optimizare suplimentară a performanței pentru umbra VA kernel. Dacă este Adevărat, este activată umbra VA a kernelului, este prezent suportul hardware pentru PCID și este activată optimizarea PCID pentru umbra VA a kernelului. Dacă este False, este posibil ca hardware-ul sau sistemul de operare să nu accepte PCID. Nu este o slăbiciune de securitate pentru optimizarea PCID să nu fie activat. |
Este prezent suportul sistemului de operare Windows pentru dezactivarea ocolirii Store speculative |
Hărți la SSBDWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru dezactivarea ocolirii Store speculative. Dacă este Adevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar umbra VA a kernelului este acceptată. Dacă este False, actualizarea din ianuarie 2018 nu este instalată, iar suportul kernel umbră VA nu există. |
Hardware-ul necesită dezactivare ocolire Store speculativă |
Hărți la SSBDHardwareVulnerablePresent. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2018-3639. Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3639. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2018-3639. |
Este prezent suportul hardware pentru dezactivarea ocolirii Store speculative |
Hărți la SSBDHardwarePresent. Această linie vă spune dacă caracteristicile hardware sunt prezente pentru a accepta dezactivarea ocolirii Store speculative. Producătorul OEM al dispozitivului este responsabil pentru furnizarea BIOS-ului/firmware-ului actualizat care conține microcodul furnizat de Intel. Dacă această linie este True, sunt prezente caracteristicile hardware necesare. Dacă linia este False (Fals), caracteristicile hardware necesare nu sunt prezente. Prin urmare, dezactivarea ocolirii Store speculative nu poate fi activată. Notă SSBDHardwarePresent va fi True în mașinile virtuale invitate dacă actualizarea OEM se aplică la gazdă. |
Suportul sistemului de operare Windows pentru dezactivarea ocolirii Store speculative este activat |
Hărți la SSBDWindowsSupportEnabledSystemWide. Această linie vă spune dacă dezactivarea ocolirii Store speculative este activată în sistemul de operare Windows. Dacă este Adevărat, suportul pentru hardware și suportul sistemului de operare pentru dezactivarea ocolirii Store speculative este activat pentru dispozitivul care previne apariția unei ocoliri store speculative, eliminând astfel complet riscul de securitate. Dacă este False (Fals), una dintre următoarele condiții este adevărată:
|
Setări de control al speculațiilor pentru CVE-2018-3620 [eroare terminal L1] |
Această secțiune oferă starea sistemului rezumat pentru L1TF (sistem de operare) la care face referire CVE-2018-3620. Această atenuare asigură faptul că sunt utilizați biți de cadru pagină siguri pentru intrările de tabel de pagină care nu sunt prezente sau nevalide. Notă Această secțiune nu oferă un rezumat al stării de atenuare pentru L1TF (VMM) la care face referire CVE-2018-3646. |
Hardware-ul este vulnerabil la eroarea terminal L1: True |
Hărți la L1TFHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la L1 Terminal Fault (L1TF, CVE-2018-3620). Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3620. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil la CVE-2018-3620. |
Este prezent suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True |
Hărți la L1TFWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru atenuarea sistemului de operare L1 Terminal Fault (L1TF). Dacă este Adevărat, actualizarea din august 2018 este instalată pe dispozitiv și este prezentă atenuarea pentru CVE-2018-3620 . Dacă este False (Fals), actualizarea din august 2018 nu este instalată și atenuarea pentru CVE-2018-3620 nu este prezentă. |
Este activat suportul sistemului de operare Windows pentru atenuarea erorilor terminale L1: True |
Hărți la L1TFWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru L1 Terminal Fault (L1TF, CVE-2018-3620). Dacă este Adevărat, hardware-ul este considerat vulnerabil la CVE-2018-3620, este prezent suportul sistemului de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Setări de control al speculațiilor pentru MDS [Eșantionare date microarchitecturală] |
Această secțiune oferă starea sistemului pentru setul de vulnerabilități MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 și ADV220002. |
Este prezent suportul sistemului de operare Windows pentru atenuarea MDS |
Mapează la MDSWindowsSupportPresent. Această linie vă spune dacă este prezentă asistența sistemului de operare Windows pentru atenuarea sistemului de operare Microarchitectural Data Sampling (MDS). Dacă este Adevărat, actualizarea din mai 2019 este instalată pe dispozitiv și este prezentă atenuarea pentru MDS. Dacă este false, actualizarea din mai 2019 nu este instalată și atenuarea pentru MDS nu este prezentă. |
Hardware-ul este vulnerabil în fața MDS |
Hărți la MDSHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități de eșantionare a datelor microarchitectural (MDS), (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea MDS |
Hărți la MDSWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru eșantionarea datelor microarchitectural (MDS). Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile MDS, este prezent suportul sistemului de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Este prezent suportul sistemului de operare Windows pentru atenuarea SBDR |
Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare SBDR. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru SBDR. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru SBDR nu este prezentă. |
Hardware-ul este vulnerabil la SBDR |
Hărți la SBDRSSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități SBDR [date tampon partajate citite] (CVE-2022-21123). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea SBDR |
Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru SBDR [date tampoane partajate citite]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile SBDR, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Este prezent suportul sistemului de operare Windows pentru atenuarea FBSDP |
Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare FBSDP. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru FBSDP. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru FBSDP nu este prezentă. |
Hardware-ul este vulnerabil la FBSDP |
Hărți la FBSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități (CVE-2022-21125, CVE-2022-2022-21127 și CVE-2022-21166). Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea FBSDP |
Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru FBSDP [fill buffer stale data propagator]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile FBSDP, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Este prezent suportul sistemului de operare Windows pentru atenuarea PSDP |
Hărți la FBClearWindowsSupportPresent. Această linie vă spune dacă este prezent suportul sistemului de operare Windows pentru atenuarea sistemului de operare PSDP. Dacă este Adevărat, actualizarea din iunie 2022 este instalată pe dispozitiv și este prezentă atenuarea pentru PSDP. Dacă este false, actualizarea din iunie 2022 nu este instalată și atenuarea pentru PSDP nu este prezentă. |
Hardware-ul este vulnerabil în fața PSDP |
Hărți la PSDPHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități PSDP [propagator principal de date învechite]. Dacă este Adevărat, hardware-ul este considerat afectat de aceste vulnerabilități. Dacă este false, hardware-ul este cunoscut a nu fi vulnerabil. |
Este activat suportul sistemului de operare Windows pentru atenuarea PSDP |
Hărți la FBClearWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru PSDP [propagator de date vechi principal]. Dacă este Adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile PSDP, este prezent suportul de operare Windows pentru atenuare și atenuarea este activată. Dacă este False (Fals), fie hardware-ul nu este vulnerabil, suportul pentru sistemul de operare Windows nu este prezent sau atenuarea nu este activată. |
Ieșire care are activate toate atenuările
Se așteaptă următoarea ieșire pentru un dispozitiv care are activate toate atenuările, împreună cu ceea ce este necesar pentru a satisface fiecare condiție.
BTIHardwarePresent: True -> actualizare BIOS/firmware OEM aplicată
BTIWindowsSupportPresent: Adevărat -> actualizarea din ianuarie 2018 instalată
BTIWindowsSupportEnabled: Adevărat - > la client, nu este necesară nicio acțiune. Pe server, urmați instrucțiunile.
BTIDisabledBySystemPolicy: False -> asigurați-vă că politica nu este dezactivată.
BTIDisabledByNoHardwareSupport: False -> asigurați-vă că se aplică actualizarea BIOS/firmware OEM.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True sau False -> nicio acțiune, aceasta este o funcție a procesorului pe care îl utilizează
computerul
Dacă KVAShadowRequired este Adevărat
KVAShadowWindowsSupportPresent: Adevărat - > instalați actualizarea
din ianuarie 2018
KVAShadowWindowsSupportEnabled: True -> pe client, nu este necesară nicio acțiune. Pe server, urmați instrucțiunile.
KVAShadowPcidEnabled: True sau False - > nicio acțiune, aceasta este o funcție a procesorului utilizat de computer
Dacă SSBDHardwareVulnerablePresent este Adevărat
SSBDWindowsSupportPresent: Adevărat - > instalați actualizările Windows, după cum este documentat în ADV180012
SSBDHardwarePresent: Adevărat - > instalați actualizarea BIOS/firmware cu suport pentru SSBD de pe dispozitivul dvs. OEM
SSBDWindowsSupportEnabledSystemWide: True -> urmați acțiunile recomandate pentru a activa SSBD
Dacă L1TFHardwareVulnerable este True
L1TFWindowsSupportPresent: Adevărat - > instalați actualizările Windows, după cum este documentat în ADV180018
L1TFWindowsSupportEnabled: True -> urmați acțiunile prezentate în ADV180018 pentru Windows Server sau Client, după cum este necesar, pentru a activa atenuarea
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: Adevărat -> instalați actualizarea
din iunie 2022
MDSHardwareVulnerable: Se știe că hardware-ul False -> nu este vulnerabil
MDSWindowsSupportEnabled: atenuarea Adevărat -> pentru eșantionarea datelor microarchitectural (MDS) este activată
FBClearWindowsSupportPresent: Adevărat - > instalați actualizarea
din iunie 2022
SBDRSSDPHardwareVulnerable: True -> hardware este considerat a fi afectat de aceste vulnerabilități
FBSDPHardwareVulnerable: Se consideră că hardware-ul > adevărat este afectat de aceste vulnerabilități
PSDPHardwareVulnerable: se consideră că hardware-ul > adevărat este afectat de aceste vulnerabilități
FBClearWindowsSupportEnabled: True -> Reprezintă activarea atenuării pentru SBDR/FBSDP/PSDP. Asigurați-vă că BIOS/firmware OEM este actualizat, FBClearWindowsSupportPresent este True, atenuările activate după cum este descris în ADV220002 și KVAShadowWindowsSupportEnabled este Adevărat.
Registry
Următorul tabel mapează ieșirea la cheile de registry care sunt acoperite în KB4072698: Îndrumări windows Server și Azure Stack HCI pentru a vă proteja împotriva vulnerabilităților de canal lateral bazate pe microarchitectural și speculativ cu execuție speculativă.
Cheie de registry |
Cartografiere |
FeatureSettingsOverride - Bit 0 |
Hărți la - Injectare țintă ramură - BTIWindowsSupportEnabled |
FeatureSettingsOverride - Bit 1 |
Hărți la - Încărcare cache de date rogue - VAShadowWindowsSupportEnabled |
Referințe
Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.