Razumevanje se SpeculationControlSettings PowerShell skriptu izlaz


Rezime


Da bi pomogao korisnicima da proverite status spekulativni pogubljenje stranu kanala olakšice, Microsoft je objavio PowerShell skripti koje kupce možete da pokrenete na njihov sistem. Ova tema objašnjava kako pokrenuti skriptu i šta znači izlaz.

Savjete, adv180002, adv180012i adv180018 pokrivaju pet ranjivosti:

  • CVE-2017-5715 (ogranak meta injekcija)
  • CVE-2017-5753 (granica proverite bajpas)
  • CVE-2017-5754 (učitavanje Roug podataka keša)
  • CVE-2018-3639 (bajpas spekulativni skladišta)
  • CVE-2018-3620 (L1 terminala kvara – OS)

Zaštita za CVE-2017-5753 (granica proverite) ne zahteva dodatne registra postavke ili ispravke firmvera.Ova tema pruža detalje na PowerShell skriptu koja pomaže pri utvrđivanju stanja olakšice za CVE-2017-5715, CVE-2017-5754, CVE-2018-3639, a CVE-2018-3620 koji zahtevaju dodatni registar postavke i, u nekim slučajevima, ispravke firmvera.

Više informacija


Instaliranje i pokretanje skripti pokretanjem sljedeće naredbe:

PowerShell potvrđivanje koristeći PowerShell galeriji (Windows Server 2016 ili WMF 5.0/5.1.)

Instaliranje PowerShell modul

PS> Install-Module SpeculationControl

Pokreni modul PowerShell za validaciju za zaštitu su omogućeni

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell potvrđivanje koristeći preuzimanje sa TechNet (OS verzija ranijih WMF verzijama)

Instaliranje PowerShell modul sa TechNet ScriptCenter

  1. Idi u https://aka.ms/SpeculationControlPS.
  2. Preuzmite SpeculationControl.zip u lokalnu fasciklu.
  3. Izdvojte sadržaj u lokalnu fasciklu, na primer C:\ADV180002

Pokreni modul PowerShell za validaciju da li su omogućeni za zaštitu

Pokretanje PowerShell, a onda (pomoću navedenom primeru), kopirajte i pokrenite sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module.\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Izlazna vrednost ovog PowerShell skripta će izgledati na sledeći način. Omogućeni zaštite se pojavljuju u izlazu kao „Istina”.

PS C:\> Get-SpeculationControlSettingsSpeculation control settings for CVE-2017-5715 [branch target injection]Hardware support for branch target injection mitigation is present: FalseWindows OS support for branch target injection mitigation is present: TrueWindows OS support for branch target injection mitigation is enabled: FalseWindows OS support for branch target injection mitigation is disabled by system policy: TrueWindows OS support for branch target injection mitigation is disabled by absence of hardware support: TrueSpeculation control settings for CVE-2017-5754 [rogue data cache load]Hardware requires kernel VA shadowing: TrueWindows OS support for kernel VA shadow is present: FalseWindows OS support for kernel VA shadow is enabled: FalseWindows OS support for PCID optimization is enabled: FalseSpeculation control settings for CVE-2018-3639 [speculative store bypass]Hardware is vulnerable to speculative store bypass: TrueHardware support for speculative store bypass mitigation is present: FalseWindows OS support for speculative store bypass mitigation is present: TrueWindows OS support for speculative store bypass mitigation is enabled system-wide: False

Postavke za kontrolu spekulacije za CVE-2018-3620 [L1 terminala krivica]

Hardware is vulnerable to L1 terminal fault: TrueWindows OS support for L1 terminal fault mitigation is present: TrueWindows OS support for L1 terminal fault mitigation is enabled: TrueBTIHardwarePresent: FalseBTIWindowsSupportPresent: TrueBTIWindowsSupportEnabled: FalseBTIDisabledBySystemPolicy: TrueBTIDisabledByNoHardwareSupport: TrueKVAShadowRequired: TrueKVAShadowWindowsSupportPresent: FalseKVAShadowWindowsSupportEnabled: FalseKVAShadowPcidEnabled: FalseSSBDWindowsSupportPresent: TrueSSBDHardwareVulnerablePresent: TrueSSBDHardwarePresent: TrueSSBDWindowsSupportEnabledSystemWide: FalseL1TFHardwareVulnerable: TrueL1TFWindowsSupportPresent: TrueL1TFWindowsSupportEnabled: TrueL1TFInvalidPteBit: 45L1DFlushSupported: False

 

Koordinatnu mrežu krajnji izlazni mapira u izlaz od prethodnih redova. Ovo se pojavljuje jer PowerShell štampa objekat koji se dobija pomoću funkcije. Sledeća tabela objašnjava svaki red.

Izlaz

Objašnjenje

Postavke za kontrolu spekulacije za CVE-2017-5715 [granu meta injekciju]

Ovaj odeljak pruža sistem statusa za varijantu 2, CVE-2017-5715 , ogranak meta injekciju.

Podrška za hardver za ublažavanje injekciju meta granu je prisutan

Mapa do BTIHardwarePresent. Ovaj red vam govori da ako je hardver funkcije su prisutne da podrže još više pospješuje injekciju meta granu. Uređaj OEM je odgovoran za pružanje ažurirani BIOS/firmver koji sadrži microcode koji ste dobili od proizvođača CPU. Ako ovaj red jeistina, potrebni hardver funkcije su prisutni. Ako jeFalse, funkcija potrebni hardver nije prisutna, i zbog toga još više pospješuje injekciju meta grana ne može se omogućiti.

NapomenaBTIHardwarePresent će bitiistinau gost VMs ako OEM ispravku zatvorila domaćin iVodičje pratio.

Podrška za Windows OS za ublažavanje injekciju meta granu je prisutan

Mapa do BTIWindowsSupportPresent. Ova linija govori da ti ako podršku za operativni sistem Windows poklon za još više pospješuje injekciju meta granu. Ako je toistina, operativni sistem podržava omogućavanje još više pospješuje injekciju meta granu (i zbog toga je instalirao ispravku 2018 godine januar). Ako jeFalse, januara 2018 ispravka nije instaliran na sistemu, a još više pospješuje injekciju meta grana ne može se omogućiti.

NapomenaAko gost VM-a ne može da otkrije ažuriranje hardvera domaćina, BTIWindowsSupportEnabled će uvek bitiFalse.

Operativni sistem Windows podrška za ublažavanje injekciju meta granu je omogućena

Mapa do BTIWindowsSupportEnabled. Ovaj red vam govori da ako Windows operativni sistem podrška omogućena za još više pospješuje injekciju meta granu. Ako jeistina, održavanje hardvera i OS podrška za još više pospješuje injekciju meta grana je omogućena za uređaj, taj način štiti odCVE-2017-5715. Ako jeFalse, jedan od sljedećih uvjeta je pravi:

  • Održavanje hardvera nije prisutan.
  • OS podrška nije prisutan.
  • Politika sistema je onemogućio na ublažavanje.

Sistemske smernice su onemogućile Windows operativni sistem podrška za ublažavanje injekciju meta granu

Mapa do BTIDisabledBySystemPolicy. Ovaj red vam govori da ako još više pospješuje injekciju meta grana je onemogućio smernice sistema (kao što su smernice za administratora definisana). Sistemska pravila upućuje na registar kontrole kao dokumentovan uKB 4072698. Ako je toistina, sistem politika je odgovorna za onemogućavanje na ublažavanje. Ako jeFalse, za ublažavanje su onemogućile u različite svrhe.

Operativni sistem Windows podrška za ublažavanje injekciju meta granu su onemogućile odsustvo podrške za hardver

Mapa do BTIDisabledByNoHardwareSupport. Ovaj red vam govori da ako još više pospješuje injekciju meta granu onemogućena je zbog odsustva podrške za hardver. Ako je toistina, nedostatak podrške za hardver je odgovoran za onemogućavanje na ublažavanje. Ako jeFalse, za ublažavanje su onemogućile u različite svrhe.

NapomenaAko gost VM-a ne može da otkrije ažuriranje hardvera domaćina, BTIDisabledByNoHardwareSupport uvek cu bitiiskrena.

Postavke za kontrolu spekulacije za CVE-2017-5754 [učitavanje Roug podataka keša]

Ovaj odeljak pruža rezime sistema statusa za varijantu 3,CVE-2017-5754, učitavanje keša podataka Roug. Ublažavanje za ovo je poznato kao jezgra virtualna Adresa (VA) senku ili ublažavanje predviđenih opterećenja Roug podataka keša.

Hardver zahteva jezgra VA u stopu

Mapa do KVAShadowRequired. Ovaj red vam govori da ako je hardver je podložanCVE-2017-5754. Ako je toistina, hardver se veruje da je podložan CVE-2017-5754. Ako jeFalse, hardver je poznat nije podložan CVE-2017-5754.

Podrška za Windows OS za jezgreni VA senka je prisutan

Mapa do KVAShadowWindowsSupportPresent. Ovaj red vam govori da ako Windows operativni sistem podrška za funkciju jezgra VA senka je prisutna. Ako je toistina, januara 2018 ispravka je instalirana na uređaju, a jezgra VA senka je podržana. Ako jeFalse, januara 2018 ispravka nije instaliran, a jezgra VA senka podrška ne postoji.

Operativni sistem Windows podrška za jezgreni VA senka je omogućena

Mapa do KVAShadowWindowsSupportEnabled. Ovaj red vam govori da ako je omogućena funkcija senka VA jezgra. Ako je toistina, hardver veruje se da je podložanCVE-2017-5754, podršku za operativni sistem Windows je prisutna i omogućena funkcija. Funkciju jezgra VA senka je trenutno omogućena po podrazumevanoj vrednosti na klijent verzijama operativnog sistema Windows i onemogućena po podrazumevanoj vrednosti na verzijama operativnog sistema Windows Server. Ako jeFalse, podršku za operativni sistem Windows nije prisutan ili funkcija nije omogućen.

Operativni sistem Windows podrška za optimizaciju performansi PCID je omogućena

NapomenaPCID nije potrebna za bezbednost. To samo ukazuje da ako je omogućena za poboljšanje performansi. PCID ne podržava Windows Server 2008 R2

Mapa do KVAShadowPcidEnabled. Ovaj red vam govori da ako za dodatne performanse optimizacije je omogućeno za jezgreni VA senka. Ako je toistina, jezgra VA senka je omogućena podrška za hardver za PCID je prisutan i PCID Optimizacija za jezgreni VA senka je omogućeno. Ako jeFalse, ili hardver ili OS možda ne podržava PCID. To nije slabost bezbednosti za optimizaciju na PCID ne bude omogućen.

Operativni sistem Windows podrška za špekulativne radnji bajpas onemogućite je prisutan

Mapa do SSBDWindowsSupportPresent. Ovaj red vam govori da ako Windows operativni sistem podrška za špekulativne radnji bajpas onemogućite je prisutna. Ako je to istina , januara 2018 ispravka je instalirana na uređaju, a jezgra VA senka je podržana. Ako je False , januara 2018 ispravka nije instaliran, a jezgra VA senka podrška ne postoji.

Hardver zahteva spekulativni radnji bajpas Onemogući

Mapa do SSBDHardwareVulnerablePresent. Ovaj red vam govori da ako je hardver je podložan CVE-2018-3639 . Ako je to istina , hardver se veruje da je podložan CVE-2018-3639. Ako je False , hardver je poznat nije podložan CVE-2018-3639.

Hardver podrška za špekulativne radnji bajpas onemogućite je prisutan

Mapa do SSBDHardwarePresent. Ovaj red vam govori da ako hardver funkcije su prisutne da podrže spekulativni radnji bajpas onemogućite. Uređaj OEM je odgovoran za pružanje ažurirani BIOS/firmver koji sadrži microcode koji ste dobili od Intel. Ako ovaj red je istina , potrebni hardver funkcije su prisutni. Ako je False , potrebni hardver funkcije nisu prisutni i stoga spekulativni radnji bajpas onemogućite ne može biti uključen.

Napomena Ako OEM ispravku zatvorila domacin, SSBDHardwarePresent će biti istina u gost VMs.

 

Operativni sistem Windows podrška za špekulativne radnji bajpas onemogućite uključen

Mapa do SSBDWindowsSupportEnabledSystemWide. Ovaj red vam govori da ako spekulativni radnji bajpas onemogućite je uključeno u operativni sistem Windows. Ako je to istina , održavanje hardvera i OS podrška spekulativni radnji bajpas onemogućite je na uređaj sprečava spekulativni radnje zaobići spriječili, samim tim potpuno ukidanje sigurnosni rizik. Ako je False , ispunjen je jedan od sljedećih uvjeta:

  • Održavanje hardvera nije prisutan.
  • OS podrška nije prisutan.
  • Spekulativni radnji bajpas onemogućite nije bio odbijen via ključeve registratora. Potražite u sljedećim člancima za uputstva o tome kako da uključite:

Windows klijent Vodič za IT stručnjake da zaštiti od špekulativnih pogubljenje stranu kanala ranjivosti

Vodič za Windows Server da zaštiti od špekulativnih pogubljenje stranu kanala ranjivosti

 

Postavke za kontrolu spekulacije za CVE-2018-3620 [L1 terminala krivica]

Ovaj odeljak pruža rezime sistema status za L1TF (koje su) upućuje CVE-2018-3620. Ovo još više pospješuje osigurava da bezbedno stranicu okvira bitova se koriste za stavki sadržaja stranice nije prisutan ili nevažeći.

Imajte na umu da ovaj odeljak ne pruža rezime još više pospješuje status za L1TF (VMM) se upućuje prema CVE-2018-3646.

Hardver je podložan L1 terminala krivica: istina Mapa do L1TFHardwareVulnerable. Ovaj red vam govori da ako je hardver je podložan L1 Terminal krivica (L1TF, CVE-2018-3620). Ako je to istina, hardver se veruje da je podložan CVE-2018-3620. Ako je False, hardver je poznat nije podložan CVE-2018-3620.
Operativni sistem Windows podrška za ublažavanje L1 terminala krivica je prisutan: istina Mapa do L1TFWindowsSupportPresent. Ovaj red vam govori da ako Windows operativni sistem podrška za L1 Terminal krivica (L1TF) za operativni olakšanje je prisutna. Ako je to istina, avgusta 2018 ispravka je instaliran na uređaju i ublažavanje za CVE-2018-3620 je prisutan. Ako je False, avgusta 2018 ispravka nije instaliran i ublažavanje za CVE-2018-3620 nije prisutan.
Operativni sistem Windows podržava za L1 još više pospješuje terminala krivica je omogućeno: istina Mapa do L1TFWindowsSupportEnabled. Ovaj red vam govori da ako je omogućen još više pospješuje operativnog sistema Windows za L1 Terminal krivica (L1TF, CVE-2018-3620). Ako je to istina, hardver veruje se da je podložan CVE-2018-3620, Windows operativni sistem podrška za ublažavanje je prisutna i na ublažavanje je omogućeno. Ako je False, hardver nije ranjiv, podršku za operativni sistem Windows nije prisutan ili je još više pospješuje nije omogućen.

Sledeći izlaz očekuje se za kompjuter sa svim olakšice omogućeno, kao i ono što je potrebno da se zadovolji svaki uslov.

BTIHardwarePresent: True -> apply OEM BIOS/firmware updateBTIWindowsSupportPresent: True -> install January 2018 updateBTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance .BTIDisabledBySystemPolicy: False -> ensure not disabled by policy.BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied.KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer usesIf KVAShadowRequired is TrueKVAShadowWindowsSupportPresent: True -> install January 2018 updateKVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance .KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

Sledeća tabela mapira izlazna ključeve registratora koje su prekrivene Vodič za Windows Server da zaštiti od špekulativnih pogubljenje stranu kanala ranjivosti .

Ključ registratora

Mapiranje

FeatureSettingsOverride – malo 0

Mapa do - granaju meta injekcija - BTIWindowsSupportEnabled

FeatureSettingsOverride – malo 1

Mapa do - Rogue učitavanje keša podataka - VAShadowWindowsSupportEnabled