Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Spremeni datum

Opis spremembe

17. julij 2023

Dodali MMIO in posebne opise izhodnih vrednosti v razdelku »Izhod, ki ima vse omogočene ublažitve posledic«

Povzetek

Da bi lahko preverili stanje ublažitev stranskega kanala zaradi špekulativnega izvajanja, smo objavili skript ogrodja PowerShell (SpeculationControl), ki se lahko izvaja v vaših napravah. V tem članku je razloženo, kako zaženete skript SpeculationControl in kaj pomeni izhod.

Varnostni nasveti ADV180002, ADV180012, ADV180018 in ADV190013 zajemajo teh devet ranljivosti:

  • CVE-2017-5715 (ciljno injiciranje veje)

  • CVE-2017-5753 (obhod preverjanja z mejami)

    Opomba Zaščita za CVE-2017-5753 (preverjanje mej) ne zahteva dodatnih nastavitev registra ali posodobitev vdelane programske opreme.  

  • CVE-2017-5754 (nalaganje v predpomnilniku lopovovih podatkov)

  • CVE-2018-3639 (obhod špekulativnega shranjevanja)

  • CVE-2018-3620 (napaka terminala L1 – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (microarchitectural fill buffer data sampling (MFBDS))

Advisory ADV220002 zajema dodatne ranljivostiMemory-Mapped povezane z V/O (MMIO):

  • CVE-2022-21123 | Branje medpomnilnika v skupni rabi (SBDR)

  • CVE-2022-21125 | Vzorčenje podatkov v deljenem medpomnilniku (SBDS)

  • CVE-2022-21127 | Posebna posodobitev vzorčenja podatkov v register medpomnilnika (posodobitev SRBDS)

  • CVE-2022-21166 | Registracija naprave z delnim pisanjem (DRPW)

V tem članku so navedene podrobnosti o skriptu SpeculationControl PowerShell, ki pomaga določiti stanje ublažitev posledic za navedene cvEs, ki zahtevajo dodatne nastavitve registra in v nekaterih primerih posodobitve vdelane programske opreme.

Več informacij

Skript »SpeculationControl PowerShell«

Namestite in zaženite skript SpeculationControl z enim od naslednjih načinov.

1. način: Preverjanje v ogrodju PowerShell z galerijo PowerShell (Windows Server 2016 ali WMF 5.0/5.1)

Namestitev modula PowerShell

PS> Install-Module SpeculationControl

Zaženite modul SpeculationControl PowerShell, da preverite, ali so omogočene zaščite

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

2. način: preverjanje v ogrodju PowerShell s prenosom s spletnega mesta TechNet (starejše različice operacijskega sistema/starejše različice ogrodja WMF)

Namestitev modula PowerShell iz spletnega mesta TechNet ScriptCenter

  1. Odprite https://aka.ms/SpeculationControlPS.

  2. Prenesite SpeculationControl.zip v lokalno mapo.

  3. Ekstrahiranje vsebine v lokalno mapo, na primer C:\ADV180002

Zaženite modul PowerShell in preverite, ali so omogočene zaščite

Zaženite PowerShell in nato (v zgornjem primeru) kopirajte in zaženite te ukaze:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Izhod skripta ogrodja PowerShell

Rezultat skripta SpeculationControl PowerShell bo podoben rezultatu. Omogočene zaščite so v rezultatu prikazane kot »True«.

PS C:\> Get-SpeculationControlSettings

Nastavitve nadzora špekulacij za CVE-2017-5715 [branch target injection]

Podpora za strojno opremo za ublažitev ciljanega injiciranja veje je prisotna: False
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je prisotna: True
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je omogočena: False
Pravilnik sistema onemogoči podporo operacijskega sistema Windows za ublažitev posledic vboda v vejo: Resnično
Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je onemogočena, če podpora za strojno opremo ni na voljo: Resnično

Nastavitve kontrolnika špekulacij za CVE-2017-5754 [rogue data cache load]

Strojna oprema je ranljiva za nalaganje predpomnilnika za zbiranje podatkov: True
Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je prisotna: True
Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je omogočena: True

Strojna oprema zahteva senco jedra VA: True
Podpora operacijskega sistema Windows za senčenje jedra VA je prisotna: False
Podpora operacijskega sistema Windows za senčenje jedra VA je omogočena: False
Podpora operacijskega sistema Windows za optimizacijo PCID je omogočena: False

Nastavitve kontrolnika špekulacij za CVE-2018-3639 [obhod špekulativnega shranjevanja]

Strojna oprema je ranljiva za obhod špekulativnega shranjevanja: True
Podpora za strojno opremo za ublažitev obhoda špekulativnega shranjevanja je prisotna: False
Podpora operacijskega sistema Windows za ublažitev obhoda špekulativnega shranjevanja je prisotna: True
Podpora operacijskega sistema Windows za ublažitev obhoda špekulativnega shranjevanja je omogočena za celoten sistem: False

Nastavitve nadzora špekulacij za CVE-2018-3620 [napaka terminala L1]

Strojna oprema je ranljiva za napako terminala L1: True
Podpora operacijskega sistema Windows za ublažitev napake terminala L1 je prisotna: True
Podpora za operacijski sistem Windows za ublažitev napake terminala L1 je omogočena: True

Nastavitve nadzora špekulacij za MDS [vzorčenje mikroarhiktalnih podatkov]

Podpora operacijskega sistema Windows za ublažitev MDS je prisotna: True
Strojna oprema je ranljiva za MDS: True
Podpora za operacijski sistem Windows za ublažitev MDS je omogočena: True

Nastavitve kontrolnika špekulacij za SBDR [prebrani medpomnilniki v skupni rabi] 

Podpora za operacijski sistem Windows za ublažitev SBDR je prisotna: True
Strojna oprema je ranljiva za SBDR: True
Podpora za operacijski sistem Windows za ublažitev SBDR je omogočena: True 

Nastavitve kontrolnika špekulacij za FBSDP [fill buffer stale data propagator]

Podpora operacijskega sistema Windows za ublažitev posledic FBSDP je prisotna: True
Strojna oprema je ranljiva za FBSDP: True
Podpora operacijskega sistema Windows za ublažitev FBSDP je omogočena: True 

Nastavitve kontrolnika špekulacij za PSDP [primarni razmnoževalnik zastarelih podatkov]

Podpora operacijskega sistema Windows za ublažitev psdp je prisotna: True
Strojna oprema je ranljiva za PSDP: True
Podpora operacijskega sistema Windows za ublažitev psdp je omogočena: True

BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True

Razlaga rezultata skripta SpeculationControl PowerShell

Končna izhodna mreža se preslika v rezultat prejšnjih vrstic. To se prikaže, ker PowerShell natisne predmet, ki ga vrne funkcija. V spodnji tabeli so razložene posamezne vrstice v izhodu skripta ogrodja PowerShell.

Izhod

Razlaga

Nastavitve nadzora špekulacij za CVE-2017-5715 [branch target injection]

V tem razdelku je podano stanje sistema za različico 2 CVE-2017-5715, ciljno injiciranje veje.

Podpora za strojno opremo za ublažitev posledic za ciljno injiciranje veje je prisotna

Maps v BTIHardwarePresent. Ta vrstica vam pove, ali so na voljo funkcije strojne opreme za podporo ublažitve posledic v obliki ciljno vboda veje. OEM naprave je odgovoren za zagotavljanje posodobljene BIOS/ vdelane programske opreme, ki vsebuje mikrokod, ki jih proizvajalci CPU. Če je ta vrstica »True«, so na voljo zahtevane funkcije strojne opreme. Če je vrstica »False«, zahtevane funkcije strojne opreme niso prisotne. Zato ublažitev ciljno vbrizgavanje veje ni mogoče omogočiti.

Opomba BTIHardwarePresent bo True v gostiteljih navideznih računalnikih, če se posodobitev OEM-ja uporabi za gostitelja in sledinavodilom.

Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je prisotna

Zemljevidi v storitev BTIWindowsSupportPresent. Ta vrstica vam pove, ali je podpora za operacijski sistem Windows na voljo za ublažitev ublažitve posledic vboda v ciljno vejo. Če je to res, operacijski sistem podpira omogočanje ublažitve posledic v branch target injection (in je zato namestil posodobitev iz januarja 2018). Če je neresnično, posodobitev iz januarja 2018 ni nameščena v napravi in ublažitev posledic veje ciljnega injiciranja ni mogoče omogočiti.

Opomba Če gostiteljski navidezni računalnik ne more zaznati posodobitve strojne opreme gostitelja, bo BTIWindowsSupportEnabled vedno False.

Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je omogočena

Zemljevidi v storitev BTIWindowsSupportEnabled. V tej vrstici je opisano, ali je podpora za operacijski sistem Windows omogočena za ublažitev ublažitve ciljanega injiciranja na vejo. Če je to res, je za napravo omogočena podpora za strojno opremo in podpora operacijskega sistema za ublažitev posledic v obliki podveje ciljnega injiciranja, zato je zaščita pred CVE-2017-5715 omogočena. Če je vrednost False, velja eden od teh pogojev:

  • Podpora za strojno opremo ni na voljo.

  • Podpora za operacijski sistem ni na voljo.

  • Sistemski pravilnik onemogoči ublažitev posledic.

Pravilnik o sistemu Windows onemogoči podporo operacijskega sistema Windows za ublažitev ublažitve cilja v podveji

Zemljevidi v BTIDisabledBySystemPolicy. V tej vrstici je opisano, ali pravilnik sistema (na primer pravilnik, ki ga je določil skrbnik) onemogoči ublažitev posledic v obliki v branch target injection (ublažitev cilja v veji). Sistemski pravilnik se nanaša na kontrolnike registra, kot so dokumentirani v posodobitvi KB4072698. Če je odgovor resničen, je sistemski pravilnik odgovoren za onemogočanje ublažitve posledic. Če je neresnično, je ublažitev posledic onemogočena z drugim vzrokom.

Podpora operacijskega sistema Windows za ublažitev ciljanega injiciranja veje je onemogočena, če podpora za strojno opremo ni na voljo

Zemljevidi v BTIDisabledByNoHardwareSupport. Ta vrstica vam pove, ali je podružnica ciljno injiciranje ublažitev onemogočen zaradi odsotnosti podpore za strojno opremo. Če je to res, je za onemogočanje ublažitve težav odgovorna odsotnost podpore za strojno opremo. Če je neresnično, je ublažitev posledic onemogočena z drugim vzrokom.

OpombaČe gostiteljski navidezni računalnik ne more zaznati posodobitve strojne opreme gostitelja, bo BTIDisabledByNoHardwareSupport vedno resničen.

Nastavitve kontrolnika špekulacij za CVE-2017-5754 [rogue data cache load]

V tem razdelku je prikazano stanje sistema povzetka za različico 3, CVE-2017-5754, nalaganje v predpomnilnik rogue podatkov. Ublažitev te težave je znana kot senca navideznega naslova jedra (VA) ali ublažitev obremenitve predpomnilnika predpomnjenih podatkov.

Hardware is vulnerable to rogue data cache load

Maps v RdclHardwareProtected. Ta vrstica vam pove, ali je strojna oprema ranljiva za CVE-2017-5754. Če je res, je strojna oprema ranljiva za CVE-2017-5754. Če je false, je znano, da strojna oprema ni ranljiva za CVE-2017-5754.

Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je prisotna

Zemljevidi v KVAShadowWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za funkcijo sence jedra VA.

Podpora operacijskega sistema Windows za ublažitev obremenitve predpomnilnika za lopove podatkov je omogočena

Zemljevidi v KVAShadowWindowsSupportEnabled. V tej vrstici je označeno, ali je funkcija senčenja jedra VA omogočena. Če je to res, je strojna oprema ranljiva za CVE-2017-5754, podpora za operacijski sistem Windows je prisotna in funkcija je omogočena.

Strojna oprema zahteva senco jedra VA

Zemljevidi v KVAShadowRequired. V tej vrstici je opisano, ali vaš sistem zahteva senčenje jedra VA, da zmanjšate ranljivost.

Podpora operacijskega sistema Windows za senčenje jedra VA je prisotna

Zemljevidi v KVAShadowWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za funkcijo sence jedra VA. Če je to res, je v napravi nameščena posodobitev iz januarja 2018, podprta pa je senca jedra VA. Če je false, posodobitev iz januarja 2018 ni nameščena, podpora senčenja jedra VA pa ne obstaja.

Podpora operacijskega sistema Windows za senčenje jedra VA je omogočena

Zemljevidi v KVAShadowWindowsSupportEnabled. V tej vrstici je označeno, ali je funkcija senčenja jedra VA omogočena. Če je to res, je podpora za operacijski sistem Windows prisotna in funkcija je omogočena. Funkcija senčenja jedra VA je trenutno privzeto omogočena v odjemalskih različicah sistema Windows in je privzeto onemogočena v različicah strežnika Windows Server. Če je neresnično, podpora za operacijski sistem Windows ni na voljo ali pa funkcija ni omogočena.

Podpora operacijskega sistema Windows za optimizacijo učinkovitosti delovanja ID-ja računalnika je omogočena

OpombaPCID ni potreben za varnost. Označuje le, ali je omogočena izboljšava učinkovitosti delovanja. PCID ni podprt v sistemu Windows Server 2008 R2

Zemljevidi v KVAShadowPcidEnabled. Ta vrstica vam pove, ali je za senco jedra VA omogočena dodatna optimizacija učinkovitosti delovanja. Če je vrednost »True«, je omogočena senca jedra VA, podpora za strojno opremo PCID je prisotna, optimizacija PCID za senco jedra VA pa je omogočena. Če je neresnično, strojna oprema ali operacijski sistem morda ne podpirata ID-ja računalnika. To ni varnostna slabost, da optimizacija PCID-ja ni omogočena.

Podpora operacijskega sistema Windows za onemogočanje špekulativnega shranjevanja je prisotna

Zemljevidi v SSBDWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za obhod špekulativnega shranjevanja. Če je to res, je v napravi nameščena posodobitev iz januarja 2018, podprta pa je senca jedra VA. Če je false, posodobitev iz januarja 2018 ni nameščena, podpora senčenja jedra VA pa ne obstaja.

Strojna oprema zahteva onemogoči špekulativnega shranjevanja

Zemljevidi v SSBDHardwareVulnerablePresent. Ta vrstica vam pove, ali je strojna oprema ranljiva za CVE-2018-3639. Če je res, je strojna oprema ranljiva za CVE-2018-3639. Če je false, je znano, da strojna oprema ni ranljiva za CVE-2018-3639.

Podpora za strojno opremo za onemogočanje špekulativnega shranjevanja je prisotna

Zemljevidi v SSBDHardwarePresent. V tej vrstici je opisano, ali so na voljo funkcije strojne opreme za podporo obhoda špekulativnega shranjevanja. OEM naprave je odgovoren za zagotavljanje posodobljene BIOS/ vdelane programske opreme, ki vsebuje mikrokod, ki jih Intel. Če je ta vrstica »True«, so na voljo zahtevane funkcije strojne opreme. Če je vrstica » False«, zahtevane funkcije strojne opreme niso prisotne. Zato onemogočinega obhoda špekulativnega shranjevanja ni mogoče vklopiti.

Opomba SSBDHardwarePresent bo true v gostiteljih navideznih računalnikih, če je posodobitev OEM uporabljena za gostitelja.

Podpora operacijskega sistema Windows za obhod špekulativnega shranjevanja je vklopljena

Zemljevidi v SSBDWindowsSupportEnabledSystemWide. V tej vrstici je označeno, ali je v operacijskem sistemu Windows vklopljena možnost Onemogoči špekulativnega shranjevanja. Če je to res, je podpora za strojno opremo in podporo operacijskega sistema za obhod špekulativnega shranjevanja vklopljena za napravo, ki preprečuje obhod špekulativnega shranjevanja, s čimer se popolnoma odpravi varnostno tveganje. Če je vrednost False, velja eden od teh pogojev:

Nastavitve nadzora špekulacij za CVE-2018-3620 [napaka terminala L1]

V tem razdelku je navedeno stanje sistema povzetka za L1TF (operacijski sistem), na katerega se nanaša CVE-2018-3620. S tem ublažitvijo zagotovite, da se varni bitni okviri strani uporabljajo za neveljavne vnose v tabelo strani ali za neveljavne vnose v tabelo strani.

Opomba V tem razdelku ni povzetka stanja ublažitve posledic za L1TF (VMM), na katerega se nanaša CVE-2018-3646.

Strojna oprema je ranljiva za napako terminala L1: True

Zemljevidi v L1TFHardwareVulnerable. Ta vrstica vam pove, ali je strojna oprema ranljiva za napako terminala L1 (L1TF, CVE-2018-3620). Če je res, je strojna oprema ranljiva za CVE-2018-3620. Če je false, je znano, da strojna oprema ni ranljiva za CVE-2018-3620.

Podpora operacijskega sistema Windows za ublažitev napake terminala L1 je prisotna: True

Zemljevidi v L1TFWindowsSupportPresent. Ta vrstica vam pove, ali je na voljo podpora za operacijski sistem Windows za ublažitev posledic napake terminala L1 (L1TF). Če je to res, je v napravi nameščena posodobitev iz avgusta 2018, na voljo pa je tudi ublažitev posledic CVE-2018-3620 . Če je neresnično, posodobitev iz avgusta 2018 ni nameščena, ublažitev posledic CVE-2018-3620 pa ni na voljo.

Podpora za operacijski sistem Windows za ublažitev napake terminala L1 je omogočena: True

Zemljevidi v L1TFWindowsSupportEnabled. Ta vrstica vam pove, ali je ublažitev težav z operacijskim sistemom Windows za napako terminala L1 (L1TF, CVE-2018-3620) omogočena. Če je to res, je strojna oprema ranljiva za CVE-2018-3620, podpora za operacijski sistem Windows za ublažitev posledic je prisotna in ublažitev je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena.

Nastavitve nadzora špekulacij za MDS [Microarchitectural Data Sampling]

V tem razdelku je podano stanje sistema za nabor ranljivosti MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 in ADV220002.

Podpora za operacijski sistem Windows za ublažitev MDS je prisotna

Zemljevidi v MDSWindowsSupportPresent. Ta vrstica vam pove, ali je na voljo podpora za operacijski sistem Windows za ublažitev ublažitve posledic za vzorčenje mikroarhiktalnih podatkov (MDS). Če je to res, je v napravi nameščena posodobitev iz maja 2019 in na voljo je ublažitev MDS- a. Če je neresnično, posodobitev iz maja 2019 ni nameščena in ublažitev MDS-jev ni prisotna.

Strojna oprema je ranljiva za MDS

Zemljevidi v MDSHardwareVulnerable. Ta vrstica vam pove, ali je strojna oprema ranljiva za nabor ranljivosti zaradi mikroarhiktalnega vzorčenja podatkov (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva.

Podpora za operacijski sistem Windows za ublažitev MDS je omogočena

Zemljevidi v MDSWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic za zmanjšanje delovanja operacijskega sistema Windows za vzorčenje mikroarhiktalnih podatkov (MDS). Če je to res, za strojno opremo velja, da na strojno opremo vplivajo ranljivosti sistema MDS, prisotna je podpora operacijskega sistema Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena.

Podpora operacijskega sistema Windows za ublažitev SBDR je prisotna

Zemljevidi v FBClearWindowsSupportPresent. Ta vrstica vam pove, ali je na voljo podpora za operacijski sistem Windows za ublažitev posledic za operacijski sistem SBDR. Če je to res, je v napravi nameščena posodobitev iz junija 2022 in prisotna je ublažitev SBDR. Če je false, posodobitev iz junija 2022 ni nameščena in ublažitev SBDR ni prisotna.

Strojna oprema je ranljiva za SBDR

Zemljevidi v SBDRSSDPHardwareVulnerable. Ta vrstica vam pove, ali je strojna oprema ranljiva za SBDR [shared buffers data read] nabor ranljivosti (CVE-2022-21123). Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva.

Podpora za operacijski sistem Windows za ublažitev SBDR je omogočena

Zemljevidi v FBClearWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic za operacijski sistem Windows za SBDR [prebrani medpomnilniki v skupni rabi]. Če je to res, ranljivosti SBDR vplivajo na strojno opremo, je na voljo podpora za operacijski sistem Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena.

Podpora operacijskega sistema Windows za ublažitev posledic FBSDP je prisotna

Zemljevidi v FBClearWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora za operacijski sistem Windows za ublažitev posledic FBSDP. Če je to res, je v napravi nameščena posodobitev iz junija 2022 in na voljo je ublažitev posledic FBSDP. Če je false, posodobitev iz junija 2022 ni nameščena in ublažitev FBSDP-a ni prisotna.

Strojna oprema je ranljiva za FBSDP

Zemljevidi v FBSDPHardwareVulnerable. V tej vrstici je označeno, ali je strojna oprema ranljiva za nabor ranljivosti FBSDP [fill buffer stale data propagator] (CVE-2022-21125, CVE-2022-21127 in CVE-2022-21166). Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva.

Podpora operacijskega sistema Windows za ublažitev FBSDP je omogočena

Zemljevidi v FBClearWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic za operacijski sistem Windows za FBSDP [fill buffer stale data propagator]. Če je to res, ranljivosti FBSDP vplivajo na strojno opremo, je na voljo podpora za upravljanje sistema Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena.

Podpora operacijskega sistema Windows za ublažitev psdp je prisotna

Zemljevidi v FBClearWindowsSupportPresent. V tej vrstici je opisano, ali je na voljo podpora operacijskega sistema Windows za ublažitev posledic za operacijski sistem PSDP. Če je to res, je v napravi nameščena posodobitev iz junija 2022 in prisotna je ublažitev PSDP. Če je false, posodobitev iz junija 2022 ni nameščena, ublažitev PSDP pa ni prisotna.

Strojna oprema je ranljiva za PSDP

Zemljevidi v PSDPHardwareVulnerable. V tej vrstici je označeno, ali je strojna oprema ranljiva za nabor ranljivosti PSDP [primarni zastareli razmnoževalnik podatkov]. Če je res, te ranljivosti vplivajo na strojno opremo. Če je nastavljena na »False«, je znano, da strojna oprema ni ranljiva.

Podpora operacijskega sistema Windows za ublažitev psdp je omogočena

Zemljevidi v FBClearWindowsSupportEnabled. Ta vrstica vam pove, ali je omogočena ublažitev posledic operacijskega sistema Windows za PSDP [primarni razširitvenik zastarelih podatkov]. Če je true, ranljivosti PSDP vplivajo na strojno opremo, je na voljo podpora za operacijski sistem Windows za ublažitev posledic in ublažitev posledic je omogočena. Če je nastavljena na »False«, strojna oprema ni ranljiva, podpora za operacijski sistem Windows ni na voljo ali pa ublažitev ni omogočena.

Rezultati, za katere so omogočene vse ublažitve posledic

Za napravo, za katero so omogočene vse ublažitve posledic, se pričakuje naslednji izhod, skupaj s tem, kar je potrebno za izpolnitev vsakega pogoja.

BTIHardwarePresent: True -> OEM BIOS/firmware update applied
BTIWindowsSupportPresent: True -> nameščena posodobitev iz januarja 2018
BTIWindowsSupportEnabled: True -> v odjemalcu, ni treba izvesti nobenega dejanja. V strežniku sledite navodilom.
BTIDisabledBySystemPolicy: False -> da ne bo onemogočen s pravilnikom.
BTIDisabledByNoHardwareSupport: False -> ali se uporablja posodobitev BIOS/vdelane programske opreme proizvajalca strojne opreme.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True ali False -> dejanje, to je funkcija CPE, ki ga uporablja računalnik

Če je KVAShadowRequired resničen
KVAShadowWindowsSupportPresent: True -> namestite posodobitev iz januarja 2018
KVAShadowWindowsSupportEnabled: True -> v odjemalcu, ni treba izvesti nobenega dejanja. V strežniku sledite navodilom.
KVAShadowPcidEnabled: True ali False ->, to je funkcija CPE, ki ga uporablja računalnik

Če je vrednost SSBDHardwareVulnerablePresent resnična
SSBDWindowsSupportPresent: True -> posodobitve sistema Windows, kot so dokumentirane v ADV180012
SSBDHardwarePresent: True -> BIOS/firmware update with support for SSBD from your device OEM
SSBDWindowsSupportEnabledSystemWide: True - > sledite priporočenim dejanjem za vklop SSBD

Če je vrednost L1TFHardwareVulnerable resnična
L1TFWindowsSupportPresent: True -> windows updates as documented in ADV180018
L1TFWindowsSupportEnabled: True -> sledite dejanjem, ki so opisana v ADV180018 za Windows Server ali odjemalcu, kot je ustrezno za omogočanje ublažitve posledic
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> namestite posodobitev iz junija 2022
MDSHardwareVulnerable: False -> hardware is known to not be vulnerable
MDSWindowsSupportEnabled: True -> za microarchitectural Data Sampling (MDS) je omogočen
FBClearWindowsSupportPresent: True -> namestite posodobitev iz junija 2022
SBDRSSDPHardwareVulnerable: Za strojno opremo True -> verjame, da te ranljivosti
vplivajo FBSDPHardwareVulnerable: resnično -> strojne opreme je verjel, da je prizadeta zaradi teh ranljivosti
PSDPHardwareVulnerable: Resnično -> je verjel, da te ranljivosti vplivajo na strojno opremo
FBClearWindowsSupportEnabled: True -> predstavlja omogočanje ublažitve posledic za SBDR/FBSDP/PSDP. Ensure OEM BIOS/firmware is updated, FBClearWindowsSupportPresent is True, mitigations enabled as outlined in ADV220002 and KVAShadowWindowsSupportEnabled is True.

Registracija

V spodnji tabeli so preslikani rezultati v registrske ključe, ki so zajeti v posodobitvi KB4072698: Navodila za Windows Server in Azure Stack HCI za zaščito pred ranljivostmi stranskega kanala, ki temeljijo na mikroarhitektu in špekulativnem izvajanju, na osnovi silicijevega procesorja in špekulativnega izvajanja.

Registrski ključ

Preslikavo

FeatureSettingsOverride – Bit 0

Zemljevidi v – ciljna injekcija veje – BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Zemljevidi v – nalaganje predpomnilnika podatkov rogue – VAShadowWindowsSupportEnabled

Sklici

Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×