Súhrn

Na overenie stavu špekulatívnych zmiernení vedľajšieho kanála spustenia sme publikovali skript prostredia PowerShell (SpeculationControl), ktorý sa dá spustiť vo vašich zariadeniach. Tento článok vysvetľuje, ako spustiť skript SpeculationControl a čo výstup znamená.

Poradenstvo ADV180002, ADV180012, ADV180018 a ADV190013 pokrýva týchto deväť chýb:

  • CVE-2017-5715 (cieľová injekcia vetvy)

  • CVE-2017-5753 (obídenie kontroly hraníc)

    Poznámka: Ochrana cve-2017-5753 (kontrola hraníc) nevyžaduje ďalšie nastavenia databázy Registry ani aktualizácie firmvéru.  

  • CVE-2017-5754 (nečestné načítanie vyrovnávacej pamäte údajov)

  • CVE-2018-3639 (špekulatívne obídenie obchodu)

  • CVE-2018-3620 (koncová chyba L1 – OS)

  • CVE-2018-11091 (pamäť mdsum)

  • CVE-2018-12126 (vzorkovanie údajov medzipamäte v mikroarchitektúrnom ukladaní (MSBDS))

  • CVE-2018-12127 (Vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS))

  • CVE-2018-12130 (vzorkovanie údajov medzipamäte mikroarchitekturálnej výplne (MFBDS))

Poradná ADV220002 zahŕňa ďalšie Memory-Mapped súvisiace chyby súvisiace s I/O (MMIO):

  • CVE-2022-21123 – čítanie zdieľaných údajov medzipamäte (SBDR)

  • CVE-2022-21125 – vzorkovanie zdieľaných údajov medzipamäte (SBDS)

  • CVE-2022-21127 – aktualizácia odberu vzoriek medzipamäte špeciálneho registra (aktualizácia SRBD)

  • CVE-2022-21166 - Device Register Partial Write (DRPW)

Tento článok obsahuje podrobnosti o skripte SpeculationControl prostredia PowerShell, ktorý pomáha určiť stav zmiernení pre uvedené CVE, ktoré vyžadujú ďalšie nastavenia databázy Registry a v niektorých prípadoch aktualizácie firmvéru.

Ďalšie informácie

Skript SpeculationControl prostredia PowerShell

Nainštalujte a spustite skript SpeculationControl pomocou niektorej z nasledujúcich metód.

Metóda 1: Overenie prostredia PowerShell pomocou galérie prostredia PowerShell (Windows Server 2016 alebo WMF 5.0/5.1)

Inštalácia modulu prostredia PowerShell

PS> Install-Module SpeculationControl

Spustenie modulu SpeculationControl prostredia PowerShell na overenie, či sú povolené ochrany

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metóda 2: Overenie prostredia PowerShell pomocou sťahovania z lokality TechNet (staršie verzie operačného systému alebo staršie verzie WMF)

Inštalácia modulu Prostredia PowerShell z lokality TechNet ScriptCenter

  1. Prejdite na https://aka.ms/SpeculationControlPS.

  2. Stiahnite SpeculationControl.zip do lokálneho priečinka.

  3. Extrahovanie obsahu do lokálneho priečinka, napríklad C:\ADV180002

Spustenie modulu PowerShell na overenie, či sú povolené ochrany

Spustite prostredie PowerShell a potom (pomocou vyššie uvedeného príkladu) skopírujte a spustite nasledujúce príkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Výstup skriptu prostredia PowerShell

Výstup skriptu SpeculationControl prostredia PowerShell bude vyzerať takto. Povolené ochrany sa vo výstupe zobrazujú ako True.

PS C:\> Get-SpeculationControlSettings

Nastavenia kontroly špekulácií pre CVE-2017-5715 [cieľová injekcia vetvy]

K dispozícii je hardvérová podpora zmiernenia cieľovej injekcie vetvy: False
Windows Podpora systému OS pre zmiernenie cieľovej injekcie vetvy je prítomná: True
Windows Podpora operačného systému pre zmiernenie cieľovej injekcie vetvy je povolená: False
Windows Podpora operačného systému pre zmiernenie zacielenia cieľovej vetvy je vypnutá systémovou politikou: True
Windows Podpora operačného systému pre zmiernenie cieľovej injekcie vetvy je zakázaná absenciou hardvérovej podpory: True

Nastavenia kontroly špekulácií pre CVE-2017-5754 [nečestné načítanie vyrovnávacej pamäte údajov]

Hardvér vyžaduje tieňovanie VA jadra: True
Windows Podpora operačného systému pre tieň VA jadra: False
Windows Podpora operačného systému pre tieňovanie VA jadra: False
Windows Podpora operačného systému pre optimalizáciu PCID je povolená: False

Nastavenia kontroly špekulácií pre CVE-2018-3639 [špekulatívne obídenie obchodu]

Hardvér je vystavený špekulatívnemu obídenie obchodu: True
Hardvérová podpora pre špekulatívne obmedzenie obídenie ukladacieho priestoru je prítomné: False
Windows podpora operačného systému pre špekulatívne obmedzenie obídenie ukladacieho priestoru je prítomný: True
Windows podpora operačného systému pre špekulatívne obídenie ukladacieho priestoru obídenie je povolená v celom systéme: False

Nastavenia kontroly špekulácií pre CVE-2018-3620 [chyba terminálu L1]

Hardvér je zraniteľný voči poruche terminálu L1: True
Windows Podpora operačného systému pre zmiernenie chýb terminálu L1 je prítomná: True
Windows podpora operačného systému pre zmiernenie chýb terminálu L1 je povolená: True

Nastavenia kontroly špekulácií pre MDS [vzorkovanie údajov z mikroarchitektúr]

Windows pre obmedzenie rizík MDS existuje podpora operačného systému: True
Hardvér je zraniteľný voči MDS: True
Windows podpora operačného systému pre obmedzenie rizík MDS je povolená: True

Nastavenia kontroly špekulácií pre SBDR [zdieľané údaje medzipamäte sa čítajú] 

Windows podpora OS zmiernenia SBDR je prítomná: True
Hardvér je zraniteľný voči SBDR: True
Windows podpora operačného systému pre obmedzenie SBDR je povolená: True  

Nastavenia kontroly špekulácií pre FBSDP [rozšírenie údajov medzipamäte]

Windows podpora OS pre obmedzenie FBSDP je prítomná: True
Hardvér je zraniteľný voči FBSDP: True
Windows podpora OS pre obmedzenie FBSDP je povolená: True  

Nastavenia kontroly špekulácií pre PSDP [primárny zastarané rozšírenie údajov]

Windows podpora OS pre obmedzenie PSDP je prítomná: True
Hardvér je zraniteľný voči PSDP: True
Windows podpora operačného systému pre obmedzenie PSDP je povolená: True

BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerablePresent: True
SSBDHardwarePresent: True
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
FBClearWindowsSupportEnabled: True 

Vysvetlenie výstupu skriptu SpeculationControl prostredia PowerShell

Konečná výstupná mriežka sa primapuje k výstupu predchádzajúcich riadkov. Toto sa zobrazí, pretože PowerShell vytlačí objekt, ktorý funkcia vráti. Nasledujúca tabuľka vysvetľuje každý riadok vo výstupe skriptu prostredia PowerShell.

Výstup

Vysvetlenie

Nastavenia kontroly špekulácií pre CVE-2017-5715 [cieľová injekcia vetvy]

Táto časť obsahuje stav systému pre variant 2, CVE-2017-5715, cieľovú injekciu vetvy.

K dispozícii je hardvérová podpora zmiernenia cieľovej vloženia vetvy

Mapy btiHardwarePresent. V tomto riadku sa dozviete, či sú k dispozícii hardvérové funkcie na podporu zmiernenia rizík vloženia cieľa vetvy. Zariadenie OEM je zodpovedný za poskytovanie aktualizované BIOS / firmware, ktorý obsahuje mikrokód poskytované výrobcami procesora. Ak má tento riadok hodnotu True, k dispozícii sú požadované hardvérové funkcie. Ak je čiara False, požadované hardvérové funkcie nie sú prítomné, a preto nie je možné povoliť obmedzenie cieľovej vpichu vetvy.

Poznámka: BtIHardwarePresent bude mať hodnotu True v hosťovských virtuálnych počítačoch, ak sa aktualizácia OEM použila na hostiteľa a dodržiavajú sa pokyny.

Windows je prítomná podpora operačného systému pre zmiernenie cieľovej injekcie vetvy

Mapy btiWindowsSupportPresent. V tomto riadku sa dozviete, či Windows podpora operačného systému pre obmedzenie rizík vloženia cieľovej vetvy. Ak je hodnota True, operačný systém podporuje povolenie zmiernenia cieľovej injekcie vetvy (a preto nainštaloval aktualizáciu z januára 2018). Ak je hodnota False, aktualizácia z januára 2018 nebola v zariadení nainštalovaná a nie je možné povoliť obmedzenie cieľovej injekcie vetvy.

Poznámka: Ak hosťovský virtuálny počítač nedokáže zistiť aktualizáciu hardvéru hostiteľa, btiWindowsSupportEnabled bude mať vždy hodnotu False.

Windows je povolená podpora operačného systému pre zmiernenie cieľovej vloženia vetvy

Mapy btiWindowsSupportEnabled. V tomto riadku sa dozviete, či je Windows podpora operačného systému povolená pre obmedzenie rizík vloženia cieľovej vetvy. Ak je hodnota True, v zariadení je povolená hardvérová podpora a podpora operačného systému pre zmiernenie cieľovej vpichu vetvy, čím sa chráni pred CVE-2017-5715. Ak je hodnota False, platí jedna z nasledujúcich podmienok:

  • Hardvérová podpora nie je k dispozícii.

  • Podpora operačného systému nie je prítomná.

  • Obmedzenie rizík bolo zakázané systémovou politikou.

Windows podpora operačného systému pre zmiernenie cieľovej injekcie vetvy je zakázaná systémovou politikou

Mapy btiDisabledBySystemPolicy. V tomto riadku sa dozviete, či systémové politiky (napríklad politika definovaná správcom) zakázala obmedzenie rizík cieľovej vpichu vetvy. Systémová politika odkazuje na ovládacie prvky databázy Registry, ako je uvedené v KB4072698. Ak je hodnota True, systémová politika je zodpovedná za zakázanie zmiernenia. Ak je hodnota False, obmedzenie rizík je zakázané inou príčinou.

Windows podpora operačného systému pre obmedzenie rizík vloženia cieľovej vetvy je vypnutá z dôvodu absencie hardvérovej podpory

Mapy btiDisabledByNoHardwareSupport. V tomto riadku sa dozviete, či bolo zmiernenie cieľovej injekcie vetvy zakázané z dôvodu absencie hardvérovej podpory. Ak je hodnota True, za zakázanie obmedzenia je zodpovedná absencia hardvérovej podpory. Ak je hodnota False, obmedzenie rizík je zakázané inou príčinou.

PoznámkaAk hosťovský virtuálny počítač nedokáže zistiť aktualizáciu hardvéru hostiteľa, btiDisabledByNoHardwareSupport bude mať vždy hodnotu True.

Nastavenia kontroly špekulácií pre CVE-2017-5754 [nečestné načítanie vyrovnávacej pamäte údajov]

Táto časť obsahuje súhrnný stav systému pre variant 3, CVE-2017-5754, nečestné načítanie vyrovnávacej pamäte údajov. Zmiernenie tohto problému je známe ako tieň virtuálnej adresy jadra (VA) alebo obmedzenie zaťaženia vyrovnávacej pamäte údajov.

Hardvér vyžaduje tieňovanie VA jadra

Mapy do KVAShadowRequired. Táto linka vám oznámi, či je hardvér zraniteľný voči CVE-2017-5754. Ak je to pravda, hardvér je veril byť zraniteľný voči CVE-2017-5754. Ak je hodnota False, je známe, že hardvér nie je zraniteľný voči CVE-2017-5754.

Windows je prítomná podpora operačného systému pre tieň VA jadra

Mapy do KVAShadowWindowsSupportPresent. Tento riadok vás informuje, či Windows podpora operačného systému pre funkciu tieňa VA jadra. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z januára 2018 a podporuje sa tieň VA jadra. Ak je hodnota False, aktualizácia z januára 2018 nie je nainštalovaná a podpora tieňa VA jadra neexistuje.

Windows podpora operačného systému pre tieň VA jadra je povolená

Mapy na KVAShadowWindowsSupportEnabled. Tento riadok vás informuje o tom, či je funkcia tieňa VA jadra povolená. Ak je to pravda, hardvér je veril byť zraniteľný cve-2017-5754, Windows podpora operačného systému je prítomný, a funkcia bola povolená. Funkcia tieňovania VA jadra je momentálne predvolene povolená v klientskych verziách Windows a je predvolene vypnutá vo verziách Windows Servera. Ak je hodnota False, buď Windows podpora operačného systému nie je k dispozícii, alebo funkcia nebola povolená.

Windows zapnutá podpora operačného systému optimalizácie výkonu PCID

PoznámkaIdentifikátor PCID nie je potrebný na zabezpečenie. Označuje len to, či je povolené zlepšenie výkonu. PCID nie je podporované s Windows Server 2008 R2

Mapy na KVAShadowPcidEnabled. V tomto riadku sa dozviete, či bola povolená dodatočná optimalizácia výkonu pre tieň VA jadra. Ak je hodnota True, je zapnutý tieň VA jadra, je prítomná hardvérová podpora PRE PCID a zapnutá optimalizácia PCID pre tieň VA jadra. Ak je hodnota False, hardvér alebo operačný systém pravdepodobne nepodporuje identifikátor PCID. Optimalizácia PCID nie je pre optimalizáciu zabezpečenia povolená.

Windows podpora OS pre špekulatívne Store Bypass Disable je prítomný

Mapy do SSBDWindowsSupportPresent. Tento riadok vám oznámi, či Windows podpora pre špekulatívne Store Bypass Disable je prítomný. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z januára 2018 a podporuje sa tieň VA jadra. Ak je hodnota False, aktualizácia z januára 2018 nie je nainštalovaná a podpora tieňa VA jadra neexistuje.

Hardvér vyžaduje vypnutie špekulatívneho ukladacieho priestoru

Mapy na SSBDHardwareVulnerablePresent. Táto linka vám oznámi, či je hardvér zraniteľný voči CVE-2018-3639. Ak je to pravda, hardvér je veril byť zraniteľný voči CVE-2018-3639. Ak je hodnota False, je známe, že hardvér nie je zraniteľný voči CVE-2018-3639.

K dispozícii je hardvérová podpora pre vypnutie špekulatívneho ukladacieho priestoru

Mapy na SSBDHardwarePresent. V tomto riadku sa dozviete, či sú k dispozícii hardvérové funkcie na podporu špekulatívneho vypnutia obídenie obchodu. Zariadenie OEM je zodpovedný za poskytovanie aktualizované BIOS / firmware, ktorý obsahuje mikrokód poskytované Intel. Ak má tento riadok hodnotu True, k dispozícii sú požadované hardvérové funkcie. Ak je čiara False, požadované hardvérové funkcie nie sú prítomné, a preto nie je možné zapnúť špekulatívne vypnutie obídenie ukladacieho priestoru.

Poznámka: SSBDHardwarePresent bude mať hodnotu True v hosťovských virtuálnych počítačoch, ak sa aktualizácia OEM použila na hostiteľa.

Windows je zapnutá podpora operačného systému pre špekulatívne vypnutie obídenie ukladacieho priestoru

Mapy do SSBDWindowsSupportEnabledSystemWide. V tomto riadku sa dozviete, či bolo v operačnom systéme Windows zapnuté vypnutie špekulatívneho obídu úložiska. Ak je to pravda, hardvérová podpora a podpora operačného systému pre špekulatívne Store Bypass Disable je zapnutá pre zariadenie bráni špekulatívne Store Bypass z vyskytujúce, čím sa eliminuje bezpečnostné riziko úplne. Ak je hodnota False, platí jedna z nasledujúcich podmienok:

Nastavenia kontroly špekulácií pre CVE-2018-3620 [chyba terminálu L1]

Táto časť obsahuje súhrnný stav systému pre L1TF (operačný systém), na ktorý odkazuje CVE-2018-3620. Toto zmiernenie zabezpečí, že bezpečné bity rámu strany sa použijú na neexistujúce alebo neplatné položky stránkovej tabuľky.

Poznámka: Táto časť neposkytuje súhrn stavu zmiernenia pre L1TF (VMM), na ktorý odkazuje CVE-2018-3646.

Hardvér je zraniteľný voči poruche terminálu L1: True

Mapy na L1TFHardwareVulnerable. Táto linka vám oznámi, či je hardvér citlivý na L1 Terminal Fault (L1TF, CVE-2018-3620). Ak je to pravda, hardvér je veril byť zraniteľný voči CVE-2018-3620. Ak je hodnota False, je známe, že hardvér nie je zraniteľný voči CVE-2018-3620.

Windows podpora systému OS pre zmiernenie chýb terminálu L1 je prítomná: True

Mapy do L1TFWindowsSupportPresent. V tomto riadku sa dozviete, či Windows podpora operačného systému pre obmedzenie rizík operačného systému L1 Terminal Fault (L1TF). Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z augusta 2018 a obmedzenie pre CVE-2018-3620 je prítomné. Ak je hodnota False, aktualizácia z augusta 2018 nie je nainštalovaná a obmedzenie pre CVE-2018-3620 nie je prítomné.

Windows podpora systému OS pre zmiernenie chýb terminálu L1 je povolená: True

Mapy do L1TFWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie Windows rizík operačného systému pre L1 Terminal Fault (L1TF, CVE-2018-3620). Ak je hodnota True, predpokladá sa, že hardvér je zraniteľný voči CVE-2018-3620, Windows podpora zmiernenia rizík je prítomná a obmedzenie bolo povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, Windows podpora operačného systému nie je prítomná, alebo obmedzenie rizík nebolo povolené.

Nastavenia kontroly špekulácií pre MDS [Vzorkovanie údajov z mikroarchitektúr]

Táto časť obsahuje stav systému pre skupinu MDS chýb, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 a ADV220002.

Windows je prítomná podpora operačného systému pre obmedzenie rizík MDS

Mapy do MDSWindowsSupportPresent. V tomto riadku sa dozviete, či Windows podpora operačného systému pre obmedzenie rizík operačného systému Microarchitectural Data Sampling (MDS). Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z mája 2019 a obmedzenie pre MDS je prítomné. Ak je hodnota False, aktualizácia z mája 2019 nie je nainštalovaná a obmedzenie pre MDS nie je prítomné.

Hardvér je zraniteľný voči MDS

Mapy na MDSHardwareVulnerable. V tejto linke sa dozviete, či je hardvér zraniteľný voči množine zraniteľností MDS (CVE-2018-11091, CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Windows je povolená podpora operačného systému pre obmedzenie rizík MDS

Mapy do MDSWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík Windows operačného systému pre vzorkovanie údajov z mikroarchitektúr (MDS). Ak je hodnota True, predpokladá sa, že hardvér je ovplyvnený MDS zraniteľnosťami, je prítomná podpora Windows operačného systému pre obmedzenie rizík a obmedzenie rizík bolo povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, Windows podpora operačného systému nie je prítomná, alebo obmedzenie rizík nebolo povolené.

Windows je prítomná podpora operačného systému pre obmedzenie SBDR

Mapy do FBClearWindowsSupportPresent. V tomto riadku sa dozviete, či Windows podpora zmiernenia rizík operačného systému SBDR. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z júna 2022 a obmedzenie pre SBDR je prítomné. Ak je hodnota False, aktualizácia z júna 2022 nie je nainštalovaná a obmedzenie pre SBDR nie je prítomné.

Hardvér je zraniteľný voči SBDR

Mapy na SBDRSSDPHardwareVulnerable. V tomto riadku sa dozviete, či je hardvér zraniteľný voči súprave zraniteľností (CVE-2022-21123) [prečítané údaje zdieľaných medzipamätí] SBDR. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Windows podpora operačného systému pre obmedzenie rizík SBDR je povolená

Mapy do FBClearWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík Windows operačného systému pre SBDR [zdieľané údaje medzipamäte prečítané]. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený zraniteľnosťami SBDR, je prítomná operačná podpora systému Windows pre obmedzenie rizík a bolo povolené zmiernenie. Ak je hodnota False, buď hardvér nie je zraniteľný, Windows podpora operačného systému nie je prítomná, alebo obmedzenie rizík nebolo povolené.

Windows podpora OS pre obmedzenie FBSDP je prítomná

Mapy do FBClearWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora Windows operačného systému pre obmedzenie rizík operačného systému FBSDP. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z júna 2022 a obmedzenie pre FBSDP je prítomné. Ak je hodnota False, aktualizácia z júna 2022 nie je nainštalovaná a obmedzenie pre FBSDP nie je prítomné.

Hardvér je zraniteľný voči FBSDP

Mapy na FBSDPHardwareVulnerable. V tomto riadku zistíte, či je hardvér zraniteľný voči FBSDP [rozšíreniu údajov medzipamäte výplne] (CVE-2022-21125, CVE-2022-21127 a CVE-2022-21166). Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Windows podpora OS pre obmedzenie FBSDP je povolená

Mapy do FBClearWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík Windows operačného systému pre FBSDP [rozšírenie údajov medzipamäte výplne]. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený zraniteľnosťami FBSDP, Windows je prítomná prevádzková podpora zmiernenia a zmiernenie bolo povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, Windows podpora operačného systému nie je prítomná, alebo obmedzenie rizík nebolo povolené.

Windows je prítomná podpora operačného systému pre obmedzenie PSDP

Mapy do FBClearWindowsSupportPresent. V tomto riadku sa dozviete, či je prítomná podpora Windows operačného systému pre obmedzenie rizík operačného systému PSDP. Ak je hodnota True, v zariadení je nainštalovaná aktualizácia z júna 2022 a existuje obmedzenie rizík pre PSDP. Ak je hodnota False, aktualizácia z júna 2022 nie je nainštalovaná a obmedzenie rizík pre PSDP nie je prítomné.

Hardvér je zraniteľný voči PSDP

Mapy PSDPHardwareVulnerable. V tomto riadku sa dozviete, či je hardvér zraniteľný voči množine zraniteľností [primárneho zastaraného distribúcie údajov] PSDP. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený týmito zraniteľnosťami. Ak je hodnota False, je známe, že hardvér nie je zraniteľný.

Windows podpora operačného systému pre obmedzenie rizík PSDP je povolená

Mapy do FBClearWindowsSupportEnabled. V tomto riadku sa dozviete, či je povolené obmedzenie rizík Windows operačného systému pre PSDP [primárny zastarané rozšírenie údajov]. Ak je hodnota True, hardvér je pravdepodobne ovplyvnený zraniteľnosťami PSDP, je prítomná operačná podpora systému Windows pre obmedzenie rizík a obmedzenie rizík bolo povolené. Ak je hodnota False, buď hardvér nie je zraniteľný, Windows podpora operačného systému nie je prítomná, alebo obmedzenie rizík nebolo povolené.

Výstup so všetkými povolenými obmedzeniami rizík

Nasledujúci výstup sa očakáva pre zariadenie so všetkými povolenými obmedzeniami rizík spolu s tým, čo je potrebné na splnenie každej podmienky.


BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True –> nainštalovať aktualizáciu
z januára 2018 BTIWindowsSupportEnabled: True -> v klientovi, nevyžaduje sa žiadna akcia. Na serveri postupujte podľa pokynov.
BTIDisabledBySystemPolicy: False -> zabezpečiť, že nie je zakázané politikou.
BTIDisabledByNoHardwareSupport: False -> zabezpečiť použitie OEM BIOS/aktualizácia firmvéru.
KVAShadowRequired: True alebo False -> žiadna akcia, je to funkcia procesora, ktorý počítač používa

If KVAShadowRequired is True
KVAShadowWindowsSupportPresent: True -> nainštalovať aktualizáciu
z januára 2018 KVAShadowWindowsSupportEnabled: True -> v klientovi, nevyžaduje sa žiadna akcia. Na serveri postupujte podľa pokynov.
KVAShadowPcidEnabled: True alebo False -> žiadna akcia, toto je funkcia procesora, ktorý počítač používa


If SSBDHardwareVulnerablePresent is True #x1 ADV180012
SSBDHardwarePresent: True -> nainštalovať aktualizáciu bios/firmvéru s podporou pre SSBD zo zariadenia OEM
SSBDWindowsSupportEnabledSystemWide: True -> follow odporúčané akcie na zapnutie SSBD


If L1TFHardwareVulnerable is True ADV180018
L1TFWindowsSupportPresent: True -> install Windows updates as documented in #x2 ADV180018 for Windows Server or Client as appropriate to enable the mitigation

Databázy registry

Nasledujúca tabuľka mapuje výstup k kľúčom databázy Registry, ktoré sú zahrnuté v kb4072698: Windows Server a Azure Stack HCI pokyny na ochranu pred silicon-založené mikroarchitekturální a špekulatívne spustenie strane kanála zraniteľnosti.

Kľúč databázy Registry

Mapovanie

FeatureSettingsOverride – Bit 0

Mapy to - Branch target injection - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Mapy do – Rogue data cache load - VAShadowWindowsSupportEnabled

Odkazy

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti

PRESKÚMAŤ ŠKOLENIE >

Buďte medzi prvými, ktorí získajú nové funkcie

Pripojiť k Microsoft insiderov chcú >

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?

Ďakujeme za vaše pripomienky!

×