Аннотация
Чтобы помочь пользователям проверить состояние канала сдерживания стороны Упреждающее исполнение команд, корпорация Майкрософт опубликовала сценарий PowerShell, пользователи могут запускать в их системах. В этом разделе объясняется, как выполнить сценарий и вывод означает.
Рекомендации по ADV180002, ADV180012, ADV180018и ADV190013 , которые охватывают девять уязвимости:
- CVE-2017-5715 (манипуляция целевым кэшем адресов ветвлений)
- CVE-2017-5753 (обход проверки границ)
- CVE-2017-5754 (оседание данных в кэше после отмены операции)
- CVE-2018-3639 (интеллектуальное хранилище обхода)
- CVE-2018-3620 (L1 терминалов проблемы – ОС)
- CVE-2018-11091 (микроархитектуры данных выборки некэшируемый памяти (MDSUM))
- Выборка данных буфера хранилища микроархитектуры CVE-2018-12126 () (MSBDS)
- Выборка данных порта нагрузки микроархитектуры CVE-2018-12127 () (MLPDS)
- CVE-2018-12130 ()микроархитектуры заполнения буфера данных выборки (MFBDS)
Защита для CVE-2017 г-5753 (проверки границ) не требует обновления микропрограммного обеспечения или Дополнительные параметры реестра. Этот раздел содержит информацию по сценария PowerShell, которая помогает определить состояние по снижению опасности для различных CVEs перечисленных выше которого требуются дополнительные параметры реестра и в некоторых случаях обновление встроенного по.
Дополнительная информация
Установите и запустите сценарий, выполнив следующие команды:
| Проверка PowerShell с помощью PowerShell библиотеки (Windows Server 2016 или WMF 5.0 и 5.1) |
| Установка модуля PowerShell
Запуск модуля PowerShell для проверки защиты включены
|
| Проверка PowerShell с помощью загрузки из TechNet (более ранних версий более ранних версий или WMF версии ОС) |
| Установка модуля PowerShell из TechNet ScriptCenter
Запустите модуль PowerShell для проверки включения защиты Запустить PowerShell, а затем (в нашем примере), скопируйте и выполните следующие команды:
|
Выходные данные этого сценария PowerShell будет выглядеть следующим образом. Включена защита будут включены в результат как «True».
PS C:\> Get-SpeculationControlSettingsSpeculation control settings for CVE-2017-5715 [branch target injection]Hardware support for branch target injection mitigation is present: FalseWindows OS support for branch target injection mitigation is present: TrueWindows OS support for branch target injection mitigation is enabled: FalseWindows OS support for branch target injection mitigation is disabled by system policy: TrueWindows OS support for branch target injection mitigation is disabled by absence of hardware support: TrueSpeculation control settings for CVE-2017-5754 [rogue data cache load]Hardware requires kernel VA shadowing: TrueWindows OS support for kernel VA shadow is present: FalseWindows OS support for kernel VA shadow is enabled: FalseWindows OS support for PCID optimization is enabled: FalseSpeculation control settings for CVE-2018-3639 [speculative store bypass]Hardware is vulnerable to speculative store bypass: TrueHardware support for speculative store bypass mitigation is present: FalseWindows OS support for speculative store bypass mitigation is present: TrueWindows OS support for speculative store bypass mitigation is enabled system-wide: False
Параметры управления предположение для CVE-2018-3620 [терминалов неисправности L1]
Hardware is vulnerable to L1 terminal fault: TrueWindows OS support for L1 terminal fault mitigation is present: TrueWindows OS support for L1 terminal fault mitigation is enabled: True
Параметры управления предположение для MDS [микроархитектуры выборки данных]
Отсутствует поддержка ОС Windows для устранения MDS: TrueОборудование подвержена MDS: TrueВключена поддержка ОС Windows для устранения MDS: TrueBTIHardwarePresent: FalseBTIWindowsSupportPresent: TrueBTIWindowsSupportEnabled: FalseBTIDisabledBySystemPolicy: TrueBTIDisabledByNoHardwareSupport: TrueKVAShadowRequired: TrueKVAShadowWindowsSupportPresent: FalseKVAShadowWindowsSupportEnabled: FalseKVAShadowPcidEnabled: FalseSSBDWindowsSupportPresent: TrueSSBDHardwareVulnerablePresent: TrueSSBDHardwarePresent: TrueSSBDWindowsSupportEnabledSystemWide: FalseL1TFHardwareVulnerable: TrueL1TFWindowsSupportPresent: TrueL1TFWindowsSupportEnabled: TrueL1TFInvalidPteBit: 45L1DFlushSupported: FalseMDSWindowsSupportPresent: TrueMDSHardwareVulnerable: TrueMDSWindowsSupportEnabled: True
Окончательный вывод сетки сопоставляет выходные данные из предыдущей строки. Оно появляется, поскольку PowerShell выводит объект, возвращаемый функцией. В следующей таблице описаны каждой строки.
| Выходные данные | Объяснение |
| Параметры управления предположение для CVE-2017 г-5715 [ветви внедрение] | Этот раздел содержит состояние системы для варианта 2, CVE 2017 г. 5715 , внедрение ветви. |
| Отсутствует поддержка оборудования для преодоления последствий введения целевой ветви | Соответствует BTIHardwarePresent. Эта строка указывает, если аппаратные средства для поддержки по снижению введения целевой ветви. OEM устройства отвечает за предоставление обновленного BIOS/встроенного по, содержащий микрокода, предоставляемые производителями ЦП. Если эта строка имеетзначение True, необходимое оборудование компоненты отсутствуют. Если строка имеетзначение False, функций оборудования не представлены, и таким образом невозможно включить преодоления последствий введения целевой ветви. Примечание.Значение Trueв виртуальных машин, если после установки обновления OEM для размещения ируководствоследует будет BTIHardwarePresent. |
| Отсутствует поддержка ОС Windows для устранения введения целевой ветви | Соответствует BTIWindowsSupportPresent. Эта строка указывает, присутствует ли поддержка операционной системы Windows для устранения введения целевой ветви. Значение True, если операционная система поддерживает включение по снижению введения целевой ветви (и установил обновление января 2018). Если он имеетзначение False, на компьютере не установлено обновление января 2018 и устранения рисков внедрения целевой ветви не удастся. Примечание. Если гостевая виртуальная машина не может обнаружить обновление оборудования узла, BTIWindowsSupportEnabled всегда будет иметьзначение False. |
| Включена поддержка ОС Windows для устранения введения целевой ветви | Соответствует BTIWindowsSupportEnabled. Эта строка указывает, включена ли поддержка операционной системы Windows для устранения введения целевой ветви. ЕслиTrue, аппаратная поддержка и поддержка ОС для преодоления последствий введения целевой ветви включен для устройств, поэтому защита отCVE 2017 г. 5715. Если он имеетзначение False, одно из следующих условий верно:
|
| Поддержка ОС Windows для устранения введения целевой ветви запрещена системной политики | Соответствует BTIDisabledBySystemPolicy. Эта строка указывает, если была отключена по снижению введения целевой ветви системной политикой (например, определенные администратором политики). Системная политика ссылается на элементы реестра описаны в4072698 КБ. Если он имеетзначение True, системная политика отвечает за отключение по снижению. Если он имеетзначение False, по снижению отключена по другой причине. |
| По отсутствия поддержки оборудования отключена поддержка ОС Windows для устранения введения целевой ветви | Соответствует BTIDisabledByNoHardwareSupport. Эта строка указывает, если уменьшение введения целевой ветви было отключено из-за отсутствия поддержки оборудования. Если он имеетзначение True, отсутствие аппаратной поддержки отвечает за отключение по снижению. Если он имеетзначение False, по снижению отключена по другой причине. Примечание. Если гостевая виртуальная машина не может обнаружить обновление оборудования узла, BTIDisabledByNoHardwareSupport всегда будетзначение True. |
| Параметры управления предположение для CVE-2017 г-5754 [случайной загрузки кэша данных] | Этот раздел содержит состояние системы сводки для варианта 3,CVE 2017 г. 5754случайной загрузки кэша данных. Способ устранения это называется тени ядра виртуальный адрес (VA) или по снижению нагрузки rogue кэш данных. |
| Оборудование требует ядра ва затенение | Соответствует KVAShadowRequired. Эта строка указывает, если оборудование является уязвимым дляCVE-2017 г.-5754. Если он имеетзначение True, оборудование считается уязвимым для CVE-2017 г.-5754. Если он имеетзначение False, не будут подвержены CVE 2017 г. 5754 известен оборудования. |
| Отсутствует поддержка ОС Windows ядра ва тени | Соответствует KVAShadowWindowsSupportPresent. Эта строка указывает, присутствует ли компонент ядра ва тени поддержка операционной системы Windows. Значение True, если устройство установлено обновление января 2018 и поддерживается ядра ва тени. Если он имеетзначение False, не установлено обновление января 2018 и поддержки ядра ва тени не существует. |
| Включена поддержка ОС Windows ядра ва тени | Соответствует KVAShadowWindowsSupportEnabled. Эта строка указывает, если была включена функция теневого ва ядра. Если он имеетзначение True, оборудование считается уязвимым дляCVE-2017 г-5754, присутствует поддержка операционной системы Windows и функция включена. Функция теневого ва ядра включена по умолчанию клиентские версии ОС Windows и отключена по умолчанию в версиях Windows Server. Если он имеетзначение False, отсутствует поддержка операционной системы Windows или функция не включена. |
| Включена поддержка операционной системы Windows для оптимизации производительности PCID Примечание. PCID не является обязательным для обеспечения безопасности. Он только указывает, включена ли повышение производительности. В Windows Server 2008 R2 не поддерживается PCID | Соответствует KVAShadowPcidEnabled. Эта строка указывает, если включено для оптимизации производительности ядра ва тени. Если он имеетзначение True, включена ядра ва тени, присутствует поддержка оборудования для PCID и PCID оптимизации для ядра тени ва был включен. Если он имеетзначение False, оборудованием и операционной системы могут не поддерживать PCID. Это не слабых для оптимизации PCID не включены. |
| Отсутствует поддержка ОС Windows отключить Интеллектуальное хранилище обхода | Соответствует SSBDWindowsSupportPresent. Эта строка указывает, присутствует ли отключить Интеллектуальное хранилище обхода поддержки операционной системы Windows. Значение True , если устройство установлено обновление января 2018 и поддерживается ядра ва тени. Если он имеет значение False , не установлено обновление января 2018 и поддержки ядра ва тени не существует. |
| Оборудование требует отключить Интеллектуальное хранилище обхода | Соответствует SSBDHardwareVulnerablePresent. Эта строка указывает, если он уязвим для CVE-2018-3639 оборудования. Если он имеет значение True , оборудование считается уязвимым для CVE-2018-3639. Если он имеет значение False , не будут подвержены CVE-2018-3639 известен оборудования. |
| Аппаратная поддержка отключить Интеллектуальное хранилище обхода присутствует | Соответствует SSBDHardwarePresent. Эта строка указывает, если аппаратные средства для поддержки отключить Интеллектуальное хранилище обхода. OEM устройства отвечает за предоставление обновленного BIOS/встроенного по, содержащий микрокода, предоставленного корпорацией Intel. Если эта строка имеет значение True , необходимое оборудование компоненты отсутствуют. Если строка имеет значение False , необходимое оборудование компоненты отсутствуют, и таким образом отключить упреждающее обход хранилища не может быть включена. Примечание. Если после установки обновления OEM на узел SSBDHardwarePresent будет значение True в виртуальных машин.
|
| Включена поддержка ОС Windows отключить Интеллектуальное хранилище обхода | Соответствует SSBDWindowsSupportEnabledSystemWide. Эта строка указывает, если отключить Интеллектуальное хранилище обход был включен в операционной системе Windows. Если он имеет значение True , поддержка оборудования и ОС поддержка отключить Интеллектуальное хранилище обхода включен для устройства, препятствующие Интеллектуальное хранилище обхода шли, полностью устраняя угрозу безопасности. Если он имеет значение False , одно из следующих условий верно:
Руководство по Windows Server для защиты от уязвимостей стороны канала Упреждающее исполнение команд
|
| Параметры управления предположение для CVE-2018-3620 [терминалов неисправности L1] | Этот раздел предоставляет сводки состояния системы для L1TF (операционная система) ссылается CVE-2018-3620. Такой защиты гарантирует, что безопасный страницы рамки биты используются для записи таблицы страниц не существует или недопустим. Обратите внимание, в этом разделе не содержат сводки состояния по уменьшению L1TF (VMM), на который ссылается CVE-2018-3646. |
| Оборудование является уязвимым для терминалов неисправности L1: True | Соответствует L1TFHardwareVulnerable. Эта строка указывает, если оборудование является уязвимым для терминалов неисправности L1 (L1TF, CVE-2018-3620). Если True, оборудование считается уязвимым для CVE-2018-3620. Если он имеет значение False, не будут подвержены CVE-2018-3620 известен оборудования. |
| Отсутствует поддержка ОС Windows для устранения неисправности терминала L1: True | Соответствует L1TFWindowsSupportPresent. Эта строка указывает, присутствует ли поддержка операционной системы Windows для устранения операционной системы отказоустойчивости L1 терминалов (L1TF). Если True, устройство установлено обновление августа 2018 и устранения рисков для CVE-2018-3620 присутствует. Если он имеет значение False, не установлено обновление августа 2018 и устранения рисков для CVE-2018-3620 не существует. |
| ОС Windows поддерживает для L1 по устранению неисправности терминалов включен: True | Соответствует L1TFWindowsSupportEnabled. Эта строка указывает, включена ли операционная система Windows способ устранения неисправности L1 терминалов (L1TF, CVE-2018-3620). Если True, оборудование считается уязвимым для CVE-2018-3620, присутствует поддержка операционной системы Windows для устранения и по снижению был включен. Если он имеет значение False, оборудование не является уязвимой, поддержка операционной системы Windows не существует либо по снижению не включена. |
| Параметры управления предположение для MDS [микроархитектуры выборки данных] | Данный раздел содержит состояние системы для набора MDS уязвимости CVE-2018-11091, CVE 2018 12126, CVE 2018 12127и CVE-2018-12130 |
| Отсутствует поддержка ОС Windows для устранения MDS | Соответствует MDSWindowsSupportPresent. Эта строка указывает, присутствует ли поддержка операционной системы Windows для устранения операционная система выборки данных микроархитектуры (MDS). Если True, устройство установлено обновление мая 2019 и способ устранения MDS присутствует. Если он имеет значение False, не установлено обновление мая 2019 и способ устранения MDS не существует. |
| Оборудование подвержена MDS | Соответствует MDSHardwareVulnerable. Эта строка указывает, если оборудование является уязвимым для набора данных выборки микроархитектуры (MDS) уязвимостей (CVE-2018-11091, CVE 2018 12126CVE 2018 12127, CVE-2018-12139). Если True, оборудование полагается эти уязвимости. Если он имеет значение False, не подвержены известен оборудования. |
| Включена поддержка ОС Windows для устранения MDS | Соответствует MDSWindowsSupportEnabled. Эта строка указывает, включена ли по снижению операционной системы Windows для выборки данных микроархитектуры (MDS). Если True, полагается уязвимости MDS оборудования, операционной windows поддержка по снижению присутствует и работает по снижению. Если он имеет значение False, оборудование не является уязвимой, поддержка операционной системы Windows не существует либо по снижению не включена. |
Следующий результат ожидается для компьютера с все способы снижения опасности, включен, а также необходимые для каждого условия.
BTIHardwarePresent: True -> apply OEM BIOS/firmware updateBTIWindowsSupportPresent: True -> install January 2018 updateBTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance .BTIDisabledBySystemPolicy: False -> ensure not disabled by policy.BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied.KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer usesIf KVAShadowRequired is TrueKVAShadowWindowsSupportPresent: True -> install January 2018 updateKVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance .KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses
If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD
If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation
В следующей таблице показаны выходные данные реестра, описанных в руководстве по Windows Server для защиты от уязвимостей стороны канала Упреждающее исполнение команд .
| Раздел реестра | Сопоставление |
| FeatureSettingsOverride – бит 0 | Сопоставляет - ветвь внедрение - BTIWindowsSupportEnabled |
| FeatureSettingsOverride – бит 1 | Сопоставляет - мошеннических загрузки данных кэш - VAShadowWindowsSupportEnabled |