Rezumat

Pentru a-i ajuta pe clienți să verifice starea de atenuare a canalelor secundare de execuție speculativă, Microsoft a publicat un script PowerShell pe care clienții îl pot rula pe sistemele lor. Acest subiect vă arată cum să difuzați scenariul și ce înseamnă rezultatul.

Recomandările ADV180002, ADV180012, ADV180018și ADV190013 acoperă nouă vulnerabilități:

  • CVE-2017-5715 (Injection target Branch)

  • CVE-2017-5753 (bypass de verificare a limitelor)

  • CVE-2017-5754 (încărcare cache de date Rogue)

  • CVE-2018-3639 (bypass magazin speculativ)

  • CVE-2018-3620 (eroare terminal L1-OS)

  • CVE-2018-11091 (Date microarhitecturale eșantionarea memoriei necache (MDSUM) )

  • CVE-2018-12126 (Eșantionarea datelor tampon pentru stocarea microarhitecturală (MSBDS))

  • CVE-2018-12127 (Eșantionarea datelor portuare de încărcare microarhitecturală (MLPDS))

  • CVE-2018-12130 (date tampon de umplere microarhitecturale (MFBDS))

Protecția pentru CVE-2017-5753 (verificare limite) nu necesită setări de registry suplimentare sau actualizări de firmware. Acest subiect oferă detalii despre scriptul PowerShell care ajută la determinarea stării de atenuare pentru CVEs listate care necesită setări de registry suplimentare și, în unele cazuri, actualizări de firmware.

Mai multe informații

Instalați și derulează scriptul executând următoarele comenzi.

Verificarea PowerShell utilizând Galeria PowerShell (Windows Server 2016 sau WMF 5.0/5.1)

Instalarea modulului PowerShell

PS> Install-Module SpeculationControl

Rularea modulului PowerShell pentru a verifica dacă sunt activate protecțiile

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Verificarea PowerShell utilizând o descărcare din TechNet (versiuni anterioare de sistem de operare/versiuni anterioare de WMF)

Instalarea modulului PowerShell din TechNet ScriptCenter

  1. Accesați https://aka.MS/SpeculationControlPS.

  2. Descărcați SpeculationControl. zip într-un folder local.

  3. Extragerea conținutului într-un folder local, de exemplu C:\ADV180002

Rularea modulului PowerShell pentru a verifica dacă sunt activate protecțiile

Porniți PowerShell, apoi (utilizând exemplul de mai sus) copiați și lansați următoarele comenzi:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Rezultatul acestui script PowerShell va semăna cu următorul. Protecțiile activate apar în ieșire ca "True".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Setări de control al speculațiilor pentru CVE-2018-3620 [eroare de terminal L1]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Setări de control al speculațiilor pentru MDS [eșantionare date microarhitecturale]

Suportul pentru sistemul de operare Windows pentru MDS atenuare este prezent: True Hardware-ul este vulnerabil la MDS: True Asistența pentru sistemul de operare Windows pentru MDS atenuare este activată: True BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Grila de ieșire finală mapează la ieșirea liniilor anterioare. Acest lucru apare deoarece PowerShell imprimă obiectul care este returnat de o funcție. Următorul tabel explică fiecare linie.

Ieșire

Explicație

Setări de control al speculațiilor pentru CVE-2017-5715 [filiala target Injection]

Această secțiune oferă starea sistemului pentru varianta 2, CVE-2017-5715 , injectarea țintă a sucursalei.

Asistența hardware pentru atenuarea injectării țintă a sucursalei este prezentă

Hărți pentru BTIHardwarePresent. Această linie vă spune dacă sunt prezente caracteristici hardware pentru a susține atenuarea de injecție țintă a sucursalei. Dispozitivul OEM este responsabil pentru furnizarea BIOS-ului actualizat/firmware-ului care conține microcod furnizate de producătorii de CPU. Dacă această linie esteadevărată, sunt prezente caracteristicile hardware necesare. Dacă linia estefalsă, caracteristicile hardware necesare nu sunt prezente și, prin urmare, nu se poate activa atenuarea pentru injectarea țintă a sucursalei.

Notă  BTIHardwarePresent va fiTrueîn invitatul VMS dacă actualizarea OEM a fost aplicată gazdei șiorientăriieste urmărită.

Asistența pentru sistemul de operare Windows pentru reducerea la injectare a unităților țintă este prezentă

Hărți pentru BTIWindowsSupportPresent. Această linie vă spune dacă suportul pentru sistemul de operare Windows este prezent pentru atenuarea de injecție țintă de ramură. Dacă esteadevărat, sistemul de operare acceptă activarea atenuării de injecție țintă de sucursală (și, prin urmare, a instalat actualizarea 2018 din ianuarie). Dacă estefalse, actualizarea din ianuarie 2018 nu a fost instalată în sistem, iar atenuarea pentru injectarea țintă a sucursalei nu poate fi activată.

Notă  Dacă un invitat VM nu poate detecta actualizarea hardware gazdă, BTIWindowsSupportEnabled va fi întotdeaunafals.

Este activată suportul pentru sistemul de operare Windows pentru atenuarea injectării țintă pentru sucursală

Hărți pentru BTIWindowsSupportEnabled. Această linie vă spune dacă este activată asistența pentru sistemul de operare Windows pentru atenuarea injecției țintă de ramură. Dacă esteadevărat, asistența pentru hardware și suportul pentru sistemul de operare pentru atenuarea injecției țintă este activată pentru dispozitiv, protejând astfel împotrivaCVE-2017-5715. Dacă estefalse, una dintre următoarele condiții este True:

  • Asistența hardware nu este prezentă.

  • Asistența pentru sistemul de operare nu este prezentă.

  • Atenuarea a fost dezactivată de Politica de sistem.

Asistența pentru sistemul de operare Windows pentru atenuarea injecției țintă de sucursală este dezactivată de Politica de sistem

Hărți pentru BTIDisabledBySystemPolicy. Această linie vă spune dacă atenuarea de injecție țintă de ramură a fost dezactivată de Politica de sistem (cum ar fi o politică definită de administrator). Politica de sistem face referire la controalele de registry ca documentate înKB 4072698. Dacă esteadevărat, Politica de sistem este responsabilă pentru dezactivarea atenuării. Dacă estefalse, atenuarea este dezactivată de o altă cauză.

Suportul pentru sistemul de operare Windows pentru atenuarea injectării țintă a sucursalei este dezactivat prin absența suportului hardware

Hărți pentru BTIDisabledByNoHardwareSupport. Această linie vă spune dacă atenuarea de injecție țintă a fost dezactivată din cauza absenței asistenței hardware. Dacă esteadevărat, absența asistenței hardware este responsabilă pentru dezactivarea atenuării. Dacă estefalse, atenuarea este dezactivată de o altă cauză.

Notă  Dacă un invitat VM nu poate detecta actualizarea hardware gazdă, BTIDisabledByNoHardwareSupport va fi întotdeaunaadevărată.

Setări de control al speculațiilor pentru CVE-2017-5754 [încărcare cache de date Rogue]

Această secțiune oferă starea de sistem rezumativ pentru varianta 3,CVE-2017-5754, încărcarea memoriei cache de date Rogue. Atenuarea pentru aceasta este cunoscută sub numele de umbră virtuală de kernel (VA) sau de atenuare a încărcării de date necinstiți.

Hardware necesită kernel VA shadowing

Hărți pentru KVAShadowRequired. Această linie vă spune dacă hardware-ul este vulnerabil laCVE-2017-5754. Dacă esteadevărat, se consideră că hardware-ul este vulnerabil la CVE-2017-5754. Dacă estefals, se știe că hardware-ul nu este vulnerabil la CVE-2017-5754.

Suportul pentru sistemul de operare Windows pentru kernel VA Shadow este prezent

Hărți pentru KVAShadowWindowsSupportPresent. Această linie vă arată dacă se prezintă suportul pentru sistemul de operare Windows pentru caracteristica kernel VA Shadow. Dacă esteadevărat, actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar nucleul va Shadow este acceptat. Dacă estefalse, actualizarea din ianuarie 2018 nu este instalată, iar suportul pentru nucleul va Shadow nu există.

Suportul pentru sistemul de operare Windows pentru kernel VA Shadow este activat

Hărți pentru KVAShadowWindowsSupportEnabled. Această linie vă spune dacă caracteristica kernel VA Shadow a fost activată. Dacă esteadevărat, se consideră că hardware-ul este vulnerabil laCVE-2017-5754, este prezentă asistența pentru sistemul de operare Windows și caracteristica a fost activată. Caracteristica kernel VA Shadow este activată în prezent în mod implicit în versiunile de Windows client și este dezactivată implicit în versiunile de Windows Server. Dacă estefalse, sistemul de operare Windows nu este prezent sau caracteristica nu a fost activată.

Suportul pentru sistemul de operare Windows pentru optimizarea performanței PCID este activat

Notă  PCID nu este necesar pentru securitate. Indică doar dacă este activată o îmbunătățire a performanței. PCID nu este acceptat cu Windows Server 2008 R2

Hărți pentru KVAShadowPcidEnabled. Această linie vă spune dacă s-a activat o optimizare suplimentară a performanței pentru kernel VA Shadow. Dacă esteadevărat, kernel va Shadow este activat, suport hardware pentru PCID este prezent, iar optimizarea PCID pentru kernel va Shadow a fost activată. Dacă estefalse, fie hardware-ul, fie sistemul de operare este posibil să nu accepte PCID. Nu este o slăbiciune de securitate pentru ca optimizarea PCID să nu fie activată.

Se prezintă suportul pentru sistemul de operare Windows pentru ocolire magazin speculativă

Hărți pentru SSBDWindowsSupportPresent. Această linie vă spune dacă se prezintă suportul pentru sistemul de operare Windows pentru ocolire magazin speculative. Dacă este adevărat , actualizarea din ianuarie 2018 este instalată pe dispozitiv, iar nucleul va Shadow este acceptat. Dacă este false , actualizarea din ianuarie 2018 nu este instalată, iar suportul pentru nucleul va Shadow nu există.

Componenta hardware necesită dezactivarea ocolirii magazinului speculativ

Hărți pentru SSBDHardwareVulnerablePresent. Această linie vă spune dacă hardware-ul este vulnerabil la CVE-2018-3639. Dacă este adevărat , se consideră că hardware-ul este vulnerabil la CVE-2018-3639. Dacă este fals , se știe că hardware-ul nu este vulnerabil la CVE-2018-3639.

Se prezintă suportul hardware pentru ocolire magazin speculative

Hărți pentru SSBDHardwarePresent. Această linie vă spune dacă sunt prezente caracteristici hardware pentru a accepta dezactivarea eludării magazinului speculativ. Dispozitivul OEM este responsabil pentru furnizarea BIOS-ului actualizat/firmware-ului care conține microcod furnizat de Intel. Dacă această linie este adevărată , sunt prezente caracteristicile hardware necesare. În cazul în care linia este false , caracteristicile hardware necesare nu sunt prezente și, prin urmare, dezactivarea ocolirii magazinului speculativ nu poate fi activată.

Notă SSBDHardwarePresent va fi adevărată în SMS-ul invitat dacă actualizarea OEM a fost aplicată gazdă.

 

Suportul pentru sistemul de operare Windows pentru a dezactiva ocolirea magazinului speculativ este activat

Hărți pentru SSBDWindowsSupportEnabledSystemWide. Această linie vă spune dacă opțiunea de dezactivare a depozitului speculativ a fost activată în sistemul de operare Windows. Dacă este adevărat , asistența hardware și suportul pentru sistemul de operare pentru a dezactiva instrumentul de evitare a stocurilor speculative este activată pentru dispozitivul care împiedică apariția unui depozit speculativ de la care se produce, eliminând astfel riscul de securitate complet. Dacă este false , una dintre următoarele condiții este adevărată:

  • Asistența hardware nu este prezentă.

  • Asistența pentru sistemul de operare nu este prezentă.

  • Dezactivarea speculațiilor de la magazinul speculativ nu a fost activată prin cheile de registry. Consultați următoarele articole pentru instrucțiuni despre cum să activați:

Ghid pentru clienți Windows pentru profesioniștii IT pentru a proteja împotriva vulnerabilităților cu canal secundar de execuție speculativă

Ghiduri Windows Server pentru a proteja împotriva vulnerabilităților cu canal secundar de execuție speculativă

 

Setări de control al speculațiilor pentru CVE-2018-3620 [eroare de terminal L1]

Această secțiune oferă starea sistemului rezumativ pentru L1TF (sistem de operare) la care se face referire CVE-2018-3620. Această atenuare asigură faptul că Biții de cadru de pagină siguri sunt utilizați pentru intrările de tabel de pagini care nu sunt prezente sau nevalide.

Notă Această secțiune nu furnizează un rezumat al stării de atenuare pentru L1TF (VMM) la care se face referire la CVE-2018-3646.

Componenta hardware este vulnerabilă la eroarea terminal L1: True

Hărți pentru L1TFHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la eroarea terminalului L1 (L1TF, CVE-2018-3620). Dacă este adevărat, se consideră că hardware-ul este vulnerabil la CVE-2018-3620. Dacă este fals, se știe că hardware-ul nu este vulnerabil la CVE-2018-3620.

Suportul pentru sistemul de operare Windows pentru atenuarea erorilor la terminalul L1 este prezent: True

Hărți pentru L1TFWindowsSupportPresent. Această linie vă spune dacă se prezintă asistență pentru sistemul de operare Windows pentru atenuarea sistemului de operare terminal L1 (L1TF). Dacă este adevărat, actualizarea din august 2018 este instalată pe dispozitiv, iar atenuarea pentru CVE-2018-3620 este prezentă. Dacă este false, actualizarea din august 2018 nu este instalată, iar atenuarea pentru CVE-2018-3620 nu este prezentă.

Suportul pentru sistemul de operare Windows pentru atenuarea erorilor la terminalul L1 este activat: True

Hărți pentru L1TFWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru eroarea terminal L1 (L1TF, CVE-2018-3620). Dacă este adevărat, se consideră că hardware-ul este vulnerabil la CVE-2018-3620, suportul sistemului de operare Windows pentru atenuare este prezent, iar atenuarea a fost activată. Dacă este false, fie hardware-ul nu este vulnerabil, suportul sistemului de operare Windows nu este prezent, fie atenuarea nu a fost activată.

Setări de control al speculațiilor pentru MDS [eșantionare date microarhitecturale]

Această secțiune oferă starea sistemului pentru setul de vulnerabilități MDS, CVE-2018-11091, cve -2018-12126, CVE-2018-12127și CVE-2018-12130

Asistența pentru sistemul de operare Windows pentru MDS atenuare este prezentă

Hărți pentru MDSWindowsSupportPresent. Această linie vă spune dacă se prezintă suportul pentru sistemul de operare Windows pentru atenuarea sistemului de operare de eșantionare a datelor microarhitecturale (MDS). Dacă este adevărat, actualizarea din mai 2019 este instalată pe dispozitiv, iar atenuarea pentru MDS este prezentă. Dacă este false, actualizarea din mai 2019 nu este instalată, iar atenuarea pentru MDS nu este prezentă.

Hardware-ul este vulnerabil la MDS

Hărți pentru MDSHardwareVulnerable. Această linie vă spune dacă hardware-ul este vulnerabil la setul de vulnerabilități de eșantionare a datelor microarhitecturale (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Dacă este adevărat, componenta hardware se consideră afectată de aceste vulnerabilități. Dacă este fals, componenta hardware este cunoscută pentru a nu fi vulnerabilă.

Asistența pentru sistemul de operare Windows pentru MDS atenuare este activată

Hărți pentru MDSWindowsSupportEnabled. Această linie vă spune dacă este activată atenuarea sistemului de operare Windows pentru eșantionarea datelor microarhitecturale (MDS). Dacă este adevărat, hardware-ul este considerat a fi afectat de vulnerabilitățile MDS, suportul de operare Windows pentru atenuare este prezent și atenuarea a fost activată. Dacă este false, fie hardware-ul nu este vulnerabil, suportul sistemului de operare Windows nu este prezent, fie atenuarea nu a fost activată.

Se așteaptă următoarea ieșire pentru un computer cu toate atenuări activate, împreună cu ceea ce este necesar pentru a satisface fiecare condiție.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

Următorul tabel mapează ieșirea la cheile de registry care sunt acoperite în Ghidul Windows Server pentru a proteja împotriva vulnerabilităților speculative ale canalelor de execuție.

Cheie de registry

Cartografiere

FeatureSettingsOverride-bit 0

Injecție țintă hărți-BTIWindowsSupportEnabled

FeatureSettingsOverride-bit 1

Încărcare cache de date de la hărți la-Rogue-VAShadowWindowsSupportEnabled

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Cât de mulțumit sunteți de calitatea traducerii?

Ce v-a afectat experiența?

Aveți feedback suplimentar? (Opțional)

Vă mulțumim pentru feedback!

×