Общие сведения о выходных данных сценария PowerShell Get-SpeculationControlSettings

Применимо к: Windows 10

Аннотация


Чтобы помочь пользователям проверить состояние канала сдерживания стороны Упреждающее исполнение команд, корпорация Майкрософт опубликовала сценарий PowerShell, пользователи могут запускать в их системах. В этом разделе объясняется, как выполнить сценарий и вывод означает.

Рекомендации по ADV180002, ADV180012, ADV180018и ADV190013 , которые охватывают девять уязвимости:

  • CVE-2017-5715 (манипуляция целевым кэшем адресов ветвлений)
  • CVE-2017-5753 (обход проверки границ)
  • CVE-2017-5754 (оседание данных в кэше после отмены операции)
  • CVE-2018-3639 (интеллектуальное хранилище обхода)
  • CVE-2018-3620 (L1 терминалов проблемы – ОС)
  • CVE-2018-11091 (микроархитектуры данных выборки некэшируемый памяти (MDSUM))
  • Выборка данных буфера хранилища микроархитектуры CVE-2018-12126 () (MSBDS)
  • Выборка данных порта нагрузки микроархитектуры CVE-2018-12127 () (MLPDS)
  • CVE-2018-12130 ()микроархитектуры заполнения буфера данных выборки (MFBDS)

Защита для CVE-2017 г-5753 (проверки границ) не требует обновления микропрограммного обеспечения или Дополнительные параметры реестра. Этот раздел содержит информацию по сценария PowerShell, которая помогает определить состояние по снижению опасности для различных CVEs перечисленных выше которого требуются дополнительные параметры реестра и в некоторых случаях обновление встроенного по.

Дополнительная информация


Установите и запустите сценарий, выполнив следующие команды:

Проверка PowerShell с помощью PowerShell библиотеки (Windows Server 2016 или WMF 5.0 и 5.1)

Установка модуля PowerShell

PS> Install-Module SpeculationControl

Запуск модуля PowerShell для проверки защиты включены

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Проверка PowerShell с помощью загрузки из TechNet (более ранних версий более ранних версий или WMF версии ОС)

Установка модуля PowerShell из TechNet ScriptCenter

  1. Перейдите к https://aka.ms/SpeculationControlPS.
  2. Загрузите SpeculationControl.zip в локальную папку.
  3. Извлеките содержимое в локальную папку, например C:\ADV180002

Запустите модуль PowerShell для проверки включения защиты

Запустить PowerShell, а затем (в нашем примере), скопируйте и выполните следующие команды:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module.\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Выходные данные этого сценария PowerShell будет выглядеть следующим образом. Включена защита будут включены в результат как «True».

PS C:\> Get-SpeculationControlSettingsSpeculation control settings for CVE-2017-5715 [branch target injection]Hardware support for branch target injection mitigation is present: FalseWindows OS support for branch target injection mitigation is present: TrueWindows OS support for branch target injection mitigation is enabled: FalseWindows OS support for branch target injection mitigation is disabled by system policy: TrueWindows OS support for branch target injection mitigation is disabled by absence of hardware support: TrueSpeculation control settings for CVE-2017-5754 [rogue data cache load]Hardware requires kernel VA shadowing: TrueWindows OS support for kernel VA shadow is present: FalseWindows OS support for kernel VA shadow is enabled: FalseWindows OS support for PCID optimization is enabled: FalseSpeculation control settings for CVE-2018-3639 [speculative store bypass]Hardware is vulnerable to speculative store bypass: TrueHardware support for speculative store bypass mitigation is present: FalseWindows OS support for speculative store bypass mitigation is present: TrueWindows OS support for speculative store bypass mitigation is enabled system-wide: False

Параметры управления предположение для CVE-2018-3620 [терминалов неисправности L1]

Hardware is vulnerable to L1 terminal fault: TrueWindows OS support for L1 terminal fault mitigation is present: TrueWindows OS support for L1 terminal fault mitigation is enabled: True

Параметры управления предположение для MDS [микроархитектуры выборки данных]

Отсутствует поддержка ОС Windows для устранения MDS: TrueОборудование подвержена MDS: TrueВключена поддержка ОС Windows для устранения MDS: TrueBTIHardwarePresent: FalseBTIWindowsSupportPresent: TrueBTIWindowsSupportEnabled: FalseBTIDisabledBySystemPolicy: TrueBTIDisabledByNoHardwareSupport: TrueKVAShadowRequired: TrueKVAShadowWindowsSupportPresent: FalseKVAShadowWindowsSupportEnabled: FalseKVAShadowPcidEnabled: FalseSSBDWindowsSupportPresent: TrueSSBDHardwareVulnerablePresent: TrueSSBDHardwarePresent: TrueSSBDWindowsSupportEnabledSystemWide: FalseL1TFHardwareVulnerable: TrueL1TFWindowsSupportPresent: TrueL1TFWindowsSupportEnabled: TrueL1TFInvalidPteBit: 45L1DFlushSupported: FalseMDSWindowsSupportPresent: TrueMDSHardwareVulnerable: TrueMDSWindowsSupportEnabled: True

Окончательный вывод сетки сопоставляет выходные данные из предыдущей строки. Оно появляется, поскольку PowerShell выводит объект, возвращаемый функцией. В следующей таблице описаны каждой строки.

Выходные данные

Объяснение

Параметры управления предположение для CVE-2017 г-5715 [ветви внедрение]

Этот раздел содержит состояние системы для варианта 2, CVE 2017 г. 5715 , внедрение ветви.

Отсутствует поддержка оборудования для преодоления последствий введения целевой ветви

Соответствует BTIHardwarePresent. Эта строка указывает, если аппаратные средства для поддержки по снижению введения целевой ветви. OEM устройства отвечает за предоставление обновленного BIOS/встроенного по, содержащий микрокода, предоставляемые производителями ЦП. Если эта строка имеетзначение True, необходимое оборудование компоненты отсутствуют. Если строка имеетзначение False, функций оборудования не представлены, и таким образом невозможно включить преодоления последствий введения целевой ветви.

Примечание.Значение Trueв виртуальных машин, если после установки обновления OEM для размещения ируководствоследует будет BTIHardwarePresent.

Отсутствует поддержка ОС Windows для устранения введения целевой ветви

Соответствует BTIWindowsSupportPresent. Эта строка указывает, присутствует ли поддержка операционной системы Windows для устранения введения целевой ветви. Значение True, если операционная система поддерживает включение по снижению введения целевой ветви (и установил обновление января 2018). Если он имеетзначение False, на компьютере не установлено обновление января 2018 и устранения рисков внедрения целевой ветви не удастся.

Примечание. Если гостевая виртуальная машина не может обнаружить обновление оборудования узла, BTIWindowsSupportEnabled всегда будет иметьзначение False.

Включена поддержка ОС Windows для устранения введения целевой ветви

Соответствует BTIWindowsSupportEnabled. Эта строка указывает, включена ли поддержка операционной системы Windows для устранения введения целевой ветви. ЕслиTrue, аппаратная поддержка и поддержка ОС для преодоления последствий введения целевой ветви включен для устройств, поэтому защита отCVE 2017 г. 5715. Если он имеетзначение False, одно из следующих условий верно:

  • Отсутствует поддержка оборудования.
  • Отсутствует поддержка ОС.
  • Системная политика по снижению была отключена.

Поддержка ОС Windows для устранения введения целевой ветви запрещена системной политики

Соответствует BTIDisabledBySystemPolicy. Эта строка указывает, если была отключена по снижению введения целевой ветви системной политикой (например, определенные администратором политики). Системная политика ссылается на элементы реестра описаны в4072698 КБ. Если он имеетзначение True, системная политика отвечает за отключение по снижению. Если он имеетзначение False, по снижению отключена по другой причине.

По отсутствия поддержки оборудования отключена поддержка ОС Windows для устранения введения целевой ветви

Соответствует BTIDisabledByNoHardwareSupport. Эта строка указывает, если уменьшение введения целевой ветви было отключено из-за отсутствия поддержки оборудования. Если он имеетзначение True, отсутствие аппаратной поддержки отвечает за отключение по снижению. Если он имеетзначение False, по снижению отключена по другой причине.

Примечание. Если гостевая виртуальная машина не может обнаружить обновление оборудования узла, BTIDisabledByNoHardwareSupport всегда будетзначение True.

Параметры управления предположение для CVE-2017 г-5754 [случайной загрузки кэша данных]

Этот раздел содержит состояние системы сводки для варианта 3,CVE 2017 г. 5754случайной загрузки кэша данных. Способ устранения это называется тени ядра виртуальный адрес (VA) или по снижению нагрузки rogue кэш данных.

Оборудование требует ядра ва затенение

Соответствует KVAShadowRequired. Эта строка указывает, если оборудование является уязвимым дляCVE-2017 г.-5754. Если он имеетзначение True, оборудование считается уязвимым для CVE-2017 г.-5754. Если он имеетзначение False, не будут подвержены CVE 2017 г. 5754 известен оборудования.

Отсутствует поддержка ОС Windows ядра ва тени

Соответствует KVAShadowWindowsSupportPresent. Эта строка указывает, присутствует ли компонент ядра ва тени поддержка операционной системы Windows. Значение True, если устройство установлено обновление января 2018 и поддерживается ядра ва тени. Если он имеетзначение False, не установлено обновление января 2018 и поддержки ядра ва тени не существует.

Включена поддержка ОС Windows ядра ва тени

Соответствует KVAShadowWindowsSupportEnabled. Эта строка указывает, если была включена функция теневого ва ядра. Если он имеетзначение True, оборудование считается уязвимым дляCVE-2017 г-5754, присутствует поддержка операционной системы Windows и функция включена. Функция теневого ва ядра включена по умолчанию клиентские версии ОС Windows и отключена по умолчанию в версиях Windows Server. Если он имеетзначение False, отсутствует поддержка операционной системы Windows или функция не включена.

Включена поддержка операционной системы Windows для оптимизации производительности PCID

Примечание. PCID не является обязательным для обеспечения безопасности. Он только указывает, включена ли повышение производительности. В Windows Server 2008 R2 не поддерживается PCID

Соответствует KVAShadowPcidEnabled. Эта строка указывает, если включено для оптимизации производительности ядра ва тени. Если он имеетзначение True, включена ядра ва тени, присутствует поддержка оборудования для PCID и PCID оптимизации для ядра тени ва был включен. Если он имеетзначение False, оборудованием и операционной системы могут не поддерживать PCID. Это не слабых для оптимизации PCID не включены.

Отсутствует поддержка ОС Windows отключить Интеллектуальное хранилище обхода

Соответствует SSBDWindowsSupportPresent. Эта строка указывает, присутствует ли отключить Интеллектуальное хранилище обхода поддержки операционной системы Windows. Значение True , если устройство установлено обновление января 2018 и поддерживается ядра ва тени. Если он имеет значение False , не установлено обновление января 2018 и поддержки ядра ва тени не существует.

Оборудование требует отключить Интеллектуальное хранилище обхода

Соответствует SSBDHardwareVulnerablePresent. Эта строка указывает, если он уязвим для CVE-2018-3639 оборудования. Если он имеет значение True , оборудование считается уязвимым для CVE-2018-3639. Если он имеет значение False , не будут подвержены CVE-2018-3639 известен оборудования.

Аппаратная поддержка отключить Интеллектуальное хранилище обхода присутствует

Соответствует SSBDHardwarePresent. Эта строка указывает, если аппаратные средства для поддержки отключить Интеллектуальное хранилище обхода. OEM устройства отвечает за предоставление обновленного BIOS/встроенного по, содержащий микрокода, предоставленного корпорацией Intel. Если эта строка имеет значение True , необходимое оборудование компоненты отсутствуют. Если строка имеет значение False , необходимое оборудование компоненты отсутствуют, и таким образом отключить упреждающее обход хранилища не может быть включена.

Примечание. Если после установки обновления OEM на узел SSBDHardwarePresent будет значение True в виртуальных машин.

 

Включена поддержка ОС Windows отключить Интеллектуальное хранилище обхода

Соответствует SSBDWindowsSupportEnabledSystemWide. Эта строка указывает, если отключить Интеллектуальное хранилище обход был включен в операционной системе Windows. Если он имеет значение True , поддержка оборудования и ОС поддержка отключить Интеллектуальное хранилище обхода включен для устройства, препятствующие Интеллектуальное хранилище обхода шли, полностью устраняя угрозу безопасности. Если он имеет значение False , одно из следующих условий верно:

  • Отсутствует поддержка оборудования.
  • Отсутствует поддержка ОС.
  • Отключить Интеллектуальное хранилище обхода не был включен через реестр. Обратитесь к следующим статьям инструкции о том, как включить:

Руководства для клиентов Windows для ИТ-специалистов для защиты от уязвимостей стороны канала Упреждающее исполнение команд

Руководство по Windows Server для защиты от уязвимостей стороны канала Упреждающее исполнение команд

 

Параметры управления предположение для CVE-2018-3620 [терминалов неисправности L1]

Этот раздел предоставляет сводки состояния системы для L1TF (операционная система) ссылается CVE-2018-3620. Такой защиты гарантирует, что безопасный страницы рамки биты используются для записи таблицы страниц не существует или недопустим.

Обратите внимание, в этом разделе не содержат сводки состояния по уменьшению L1TF (VMM), на который ссылается CVE-2018-3646.

Оборудование является уязвимым для терминалов неисправности L1: True Соответствует L1TFHardwareVulnerable. Эта строка указывает, если оборудование является уязвимым для терминалов неисправности L1 (L1TF, CVE-2018-3620). Если True, оборудование считается уязвимым для CVE-2018-3620. Если он имеет значение False, не будут подвержены CVE-2018-3620 известен оборудования.
Отсутствует поддержка ОС Windows для устранения неисправности терминала L1: True Соответствует L1TFWindowsSupportPresent. Эта строка указывает, присутствует ли поддержка операционной системы Windows для устранения операционной системы отказоустойчивости L1 терминалов (L1TF). Если True, устройство установлено обновление августа 2018 и устранения рисков для CVE-2018-3620 присутствует. Если он имеет значение False, не установлено обновление августа 2018 и устранения рисков для CVE-2018-3620 не существует.
ОС Windows поддерживает для L1 по устранению неисправности терминалов включен: True Соответствует L1TFWindowsSupportEnabled. Эта строка указывает, включена ли операционная система Windows способ устранения неисправности L1 терминалов (L1TF, CVE-2018-3620). Если True, оборудование считается уязвимым для CVE-2018-3620, присутствует поддержка операционной системы Windows для устранения и по снижению был включен. Если он имеет значение False, оборудование не является уязвимой, поддержка операционной системы Windows не существует либо по снижению не включена.
Параметры управления предположение для MDS [микроархитектуры выборки данных] Данный раздел содержит состояние системы для набора MDS уязвимости CVE-2018-11091, CVE 2018 12126, CVE 2018 12127и CVE-2018-12130
Отсутствует поддержка ОС Windows для устранения MDS Соответствует MDSWindowsSupportPresent. Эта строка указывает, присутствует ли поддержка операционной системы Windows для устранения операционная система выборки данных микроархитектуры (MDS). Если True, устройство установлено обновление мая 2019 и способ устранения MDS присутствует. Если он имеет значение False, не установлено обновление мая 2019 и способ устранения MDS не существует.
Оборудование подвержена MDS Соответствует MDSHardwareVulnerable. Эта строка указывает, если оборудование является уязвимым для набора данных выборки микроархитектуры (MDS) уязвимостей (CVE-2018-11091, CVE 2018 12126CVE 2018 12127, CVE-2018-12139). Если True, оборудование полагается эти уязвимости. Если он имеет значение False, не подвержены известен оборудования.
 
Включена поддержка ОС Windows для устранения MDS Соответствует MDSWindowsSupportEnabled. Эта строка указывает, включена ли по снижению операционной системы Windows для выборки данных микроархитектуры (MDS). Если True, полагается уязвимости MDS оборудования, операционной windows поддержка по снижению присутствует и работает по снижению. Если он имеет значение False, оборудование не является уязвимой, поддержка операционной системы Windows не существует либо по снижению не включена.

Следующий результат ожидается для компьютера с все способы снижения опасности, включен, а также необходимые для каждого условия.

BTIHardwarePresent: True -> apply OEM BIOS/firmware updateBTIWindowsSupportPresent: True -> install January 2018 updateBTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance .BTIDisabledBySystemPolicy: False -> ensure not disabled by policy.BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied.KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer usesIf KVAShadowRequired is TrueKVAShadowWindowsSupportPresent: True -> install January 2018 updateKVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance .KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

В следующей таблице показаны выходные данные реестра, описанных в руководстве по Windows Server для защиты от уязвимостей стороны канала Упреждающее исполнение команд .

Раздел реестра

Сопоставление

FeatureSettingsOverride – бит 0

Сопоставляет - ветвь внедрение - BTIWindowsSupportEnabled

FeatureSettingsOverride – бит 1

Сопоставляет - мошеннических загрузки данных кэш - VAShadowWindowsSupportEnabled