Razumevanje izlaza skripte "Get-SpeculationControlSettings PowerShell"

Rezime

Da bi pomogao korisnicima da provere status ublažavanja kanala sa strane spekulativnih izvršavanja, Microsoft je objavio PowerShell skriptu koju korisnici mogu da pokreni na svojim sistemima. Ova tema sadrži objašnjenja o tome kako da pokrenete skriptu i šta izlaz znači.

Saveti ADV180002, ADV180012, ADV180018i ADV190013 pokrivaju devet ranjivosti:

  • CVE-2017-5715 (ciljna injekcija grane)

  • CVE-2017-5753 (granice provere bajpas)

  • CVE-2017-5754 (odmetnuto opterećenje keša podataka)

  • CVE-2018-3639 (spekulativna bajpas prodavnica)

  • CVE-2018-3620 (L1 terminal fault – OS)

  • CVE-2018-11091 (Mikroarhitekturalni podaci uzorkovanje neokešive memorije (MDSUM))

  • CVE-2018-12126 (Uzorkovanje podataka mikroarhitekturalnog skladišta (MSBDS))

  • CVE-2018-12127 (Uzorkovanje podataka o mikroarhitekturalnom portu za učitavanje (MLPDS))

  • CVE-2018-12130 (Mikroarchitectural Fill Bafer uzorkovanje podataka (MFBDS))

Zaštita za CVE-2017-5753 (provera granica) ne zahteva dodatne postavke registratora ili ispravke firmvera. Ova tema pruža detalje o PowerShell skripti koja pomaže u određivanju stanja ublažavanja navedenih CV-ova koji zahtevaju dodatne postavke registratora i, u nekim slučajevima, ispravke firmvera.

Više informacija

Instalirajte i pokrenite skriptu pokretanjem sledećih komandi.

PowerShell verifikacija pomoću PowerShell galerije (Windows Server 2016 ili WMF 5.0/5.1)

Instaliranje PowerShell modula

PS> Install-Module SpeculationControl

Pokrenite PowerShell modul da biste proverili da li su zaštite omogućene

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell verifikaciju pomoću preuzimanja sa funkcije TechNet (prethodne OS verzije/prethodne WMF verzije)

Instaliranje PowerShell modula iz TechNet ScriptCenter

  1. Idi u https://aka.ms/SpeculationControlPS.

  2. Preuzmite SpeculationControl.zip u lokalnu fasciklu.

  3. Izdvojite sadržaj u lokalnu fasciklu, na primer C:\ADV180002

Pokrenite PowerShell modul da biste proverili da li su zaštite omogućene

Pokrenite PowerShell, a zatim (koristeći gorenavedeni primer) kopirajte i pokrenite sledeće komande:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Izlaz ove PowerShell skripte će biti sličan sledećem. Omogućene zaštite se u izlazu pojavljuju kao "Tačno".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Postavke kontrole špekulacija za CVE-2018-3620 [kvar terminala L1]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Postavke kontrole špekulacija za MDS [uzorkovanje mikroarhitekturalnih podataka]

Podrška za Windows OS za ublažavanje MDS-a je prisutna: Hardver je podložan MDS-u: Omogućena je Windows OS podrška za ublažavanje MDS-a: BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Konačna izlazna koordinatna mreža mapira izlaz prethodnih redova. Ovo se pojavljuje zato što PowerShell štampa objekat koji je funkcija vratila. Sledeća tabela sadrži objašnjenja o svakom redu.

Izlaz

Objaљnjenje

Postavke kontrole špekulacija za CVE-2017-5715 [injekcija ciljanog ogranka]

Ovaj odeljak obezbeđuje status sistema za varijantu 2, CVE-2017-5715 , ciljnu injekciju grane.

Hardverska podrška za ublažavanje ciljne injekcije grane je prisutna

Mape za BTISpresent. Ovaj red vam govori da li su hardverske funkcije prisutne da bi podržale ublažavanje ciljne injekcije grane. Uređaj OEM je odgovoran za obezbeđivanje ažuriranog BIOS/firmvera koji sadrži mikrokod koji su obezbedili proizvođači CPU-a. Ako je ovaj red"Tačno",prisutne su potrebne hardverske funkcije. Ako je linija"Netačno",potrebne hardverske funkcije nisu prisutne, a samim tim nije moguće omogućiti ublažavanje ciljne injekcije grane.

BeleškeBTIHardwarePresent će bitiTrue ugostujućim VM-ovima ako je OEM ispravka primenjena na domaćinai sledise uputstvo.

Podrška za Windows OS za ublažavanje ciljne injekcije filijale je prisutna

Mape za BTIWindowsS podršku. Ovaj red vam govori da li je podrška operativnog sistema Windows prisutna za ublažavanje ciljne injekcije grane. Ako jeistina, operativni sistem podržava omogućavanje ublažavanja ciljne injekcije grane (i samim tim je instalirao ispravku iz januara 2018). Ako jelažna- ispravka iz januara 2018. nije instalirana na sistemu, a nije moguće omogućiti ublažavanje injekcija grane.

BeleškeAko VM gost ne može da otkrije ažuriranje hardvera domaćina, BTIWindowsSupabled će uvek bitifalse.

Omogućena je Windows OS podrška za ublažavanje ciljne injekcije grane

Mape za BTIWindowsSupabled. Ovaj red vas govori da li je podrška operativnog sistema Windows omogućena za ublažavanje ciljne injekcije grane. Ako je istina ,hardverskapodrška i OS podrška za ublažavanje ciljne injekcije grane su omogućene za uređaj, čime se štitiod CVE-2017-5715. Ako je"Netačno" , jedan od sledećih uslova je tačan:

  • Hardverska podrška nije prisutna.

  • Podrška OS-a nije prisutna.

  • Sistemske smernice su onemogućene olakšice.

Windows OS podrška za ublažavanje injekcija grana onemogućena je sistemska smernica

Mape na BTIDisabledBySystemPolicy. Ovaj red vas govori da li su sistemske smernice onemogućene ublažavanjem ciljne injekcije grane (kao što su smernice koje je definisao administrator). Sistemske smernice se odnose na kontrole registratora kao dokumentovane uKB 4072698. Ako je istina,sistemska politika je odgovorna za onemogućavanje ublažavanja. Ako jenetačno, ublažavanje je onemogućeno drugim uzrokom.

Windows OS podrška za ublažavanje ciljne injekcije grane je onemogućena odsustvom hardverske podrške

Mape za BTIDisabledByNoHardwareSupport. Ovaj red vas govori da li je ublažavanje ciljne injekcije grane onemogućeno zbog nedostatka hardverske podrške. Ako je istina,odsustvo hardverske podrške je odgovorno za onemogućavanje ublažavanja. Ako jenetačno, ublažavanje je onemogućeno drugim uzrokom.

BeleškeAko VM gost ne može da otkrije ažuriranje hardvera domaćina, BTIDisabledByNoHardwareSupport će uvek bitiTrue.

Postavke kontrole špekulacija za CVE-2017-5754 [odmetnuto keš opterećenje podataka]

Ovaj odeljak obezbeđuje status sistema rezimea za varijantu 3,CVE-2017-5754, odmetnuto opterećenje keša podataka. Ublažavanje za ovo je poznato kao senka virtuelne adrese (VA) jezgra ili ublažavanje opterećenja keša podataka odmetnutih podataka.

Hardver zahteva jezgre VA senke

Mape za KVAShadow Zahtevano. Ova rečenica vam govori da li je hardver ranjiv naCVE-2017-5754. Ako je istina-veruje se da je hardver ranjiv na CVE-2017-5754. Ako je"False"- poznato je da hardver nije podložan CVE-2017-5754.

Prisutna je Podrška za Windows OS za jezgre VA senke

Mape za KVAShadowWindowsSupportPresent. Ovaj red vas govori da li je prisutna podrška operativnog sistema Windows za funkciju u senci jezgra. Ako je utrue (True)ispravka iz januara 2018. je instalirana na uređaju, a podržana je i va senka jezgra. Ako je"False"- ispravka iz januara 2018.

Omogućena je Windows OS podrška za JEzgre VA senke

Mape za KVAShadowWindowsSupenabled. Ovaj red vas govori da li je omogućena funkcija va senke jezgra. Ako je"True"- veruje se da je hardver ranjiv naCVE-2017-5754, podrška windows operativnog sistema je prisutna i funkcija je omogućena. Funkcija u senci jezgra VA je trenutno podrazumevano omogućena u klijentskim verzijama operativnog sistema Windows i podrazumevano je onemogućena u verzijama operativnog sistema Windows Server. Ako jenetačna, podrška operativnog sistema Windows nije prisutna ili funkcija nije omogućena.

Omogućena je Windows OS podrška za optimizaciju PCID performansi

BeleškePCID nije potreban za bezbednost. To označava samo ako je omogućeno poboljšanje performansi. PCID nije podržan sa operativnim sistemom Windows Server 2008 R2

Mape za KVAShadowPcidEnabled. Ovaj red vas govori da li je omogućena dodatna optimizacija performansi za va senku jezgra. Ako jeu true,jezgre VA senka je omogućena, hardverska podrška za PCID je prisutna i omogućena je PCID optimizacija za jezgre VA senke. Ako jenetačno, hardver ili OS možda neće podržavati PCID. Nije bezbednosna slabost da PCID optimizacija nije omogućena.

Podrška za Windows OS za onemogućavanje špekulativne prodavnice

Mape za SSBDWindowsS podršku. Ovaj red vas govori da li je prisutna podrška operativnog sistema Windows za premošćavanje spekulativnog skladišta. Ako je istina - ispravka iz januara 2018. je instalirana na uređaju, a podržana je i JEzgra VA senka. Ako je "False" - ispravka iz januara 2018.

Hardver zahteva špekulativni bajpas prodavnice onemogući

Mape za SSBDDDDDDDSpreprepreprenost. Ova rečenica vam govori da li je hardver ranjiv na CVE-2018-3639. Ako je istina - veruje se da je hardver ranjiv na CVE-2018-3639. Ako je false - poznato je da hardver nije ranjiv na CVE-2018-3639.

Hardverska podrška za spekulativni bajpas prodavnice je prisutna

Mape za SSBDDHardwarePresent. Ovaj red vam govori da li su hardverske funkcije prisutne da bi podržale onemogućavanje špekulativnog bajpasa prodavnice. Uređaj OEM je odgovoran za obezbeđivanje ažuriranog BIOS/firmvera koji sadrži mikrokod koji obezbeđuje Intel. Ako je ovaj red "Tačno", prisutne su potrebne hardverske funkcije. Ako je red "Nejasan" - potrebne hardverske funkcije nisu prisutne, a samim tim nije moguće isključiti špekulativnu bajpas iz skladišta.

Napomena SSBDHardwarePresent će biti true u VM-u ako je OEM ispravka primenjena na domaćina.

 

Uključena je Windows OS podrška za premotavanje spekulativnog bajpasa iz prodavnice

Mape za SSBDWindowsSupedsystemWide. Ovaj red vam govori da li je onemogućavanje špekulativnog skladišta uključeno u operativnom sistemu Windows. Ako je istina , hardverska podrška i OS podrška za Spekulativni bajpas prodavnice je na uređaju koji sprečava da se desi spekulativni bajpas prodavnice, čime se u potpunosti eliminiše bezbednosni rizik. Ako je "Netačno" - važi jedan od sledećih uslova:

  • Hardverska podrška nije prisutna.

  • Podrška OS-a nije prisutna.

  • Spekulativni bajpas prodavnice Onemogućen nije uključen preko ključeva registratora. Pogledajte sledeće članke za uputstva o tome kako da uključite:

Windows smernice klijenata za IT pro radi zaštite od ranjivosti bočnog kanala spekulativnih izvršavanja

Smernice Windows Servera za zaštitu od ranjivosti bočnog kanala spekulativnog izvršavanja

 

Postavke kontrole špekulacija za CVE-2018-3620 [kvar terminala L1]

Ovaj odeljak obezbeđuje status sistema rezimea za L1TF (operativni sistem) na koji se odnosi CVE-2018-3620. Ova olakšavajuća okolnost obezbeđuje da se bezbedni bici okvira stranice koriste za ne sadašnje ili nevažeće stavke tabele stranice.

Napomena Ovaj odeljak ne obezbeđuje rezime ublažavanja statusa za L1TF (VMM) na koji se odnosi CVE-2018-3646.

Hardver je podložan kvaru L1 terminala: tačno

Mape za L1TFHardwareVulnerable. Ovaj red vas govori da li je hardver ranjiv na L1 terminal Fault (L1TF, CVE-2018-3620). Ako je istina, veruje se da je hardver ranjiv na CVE-2018-3620. Ako je false, poznato je da hardver nije ranjiv na CVE-2018-3620.

Podrška za Windows OS za ublažavanje kvarova terminala l1 je prisutna: tačno

Mape za L1TFWindowsSupportPresent. Ovaj red vas govori da li je prisutna podrška operativnog sistema Windows za ublažavanje kvara na terminalu L1 Terminal (L1TF). Ako je istina, ispravka iz avgusta 2018. je instalirana na uređaju, a olakšice za CVE-2018-3620 su prisutne. Ako je false, ispravka iz avgusta 2018. nije instalirana, a olakšice za CVE-2018-3620 nisu prisutne.

Omogućena je Windows OS podrška za ublažavanje kvarova terminala l1:

Mape za L1TFWindowsSupenabled. Ovaj red vas govori da li je omogućena olakšavanje operativnog sistema Windows za kvar na terminalu L1 (L1TF, CVE-2018-3620). Ako je "True", veruje se da je hardver ranjiv na CVE-2018-3620, podrška operativnog sistema Windows za ublažavanje je prisutna i omogućeno je ublažavanje. Ako je "Netačno", hardver nije ranjiv, podrška operativnog sistema Windows nije prisutna ili ublažavanje nije omogućeno.

Postavke kontrole špekulacija za MDS [Mikroarhitecturalno uzorkovanje podataka]

Ovaj odeljak obezbeđuje status sistema za MDS skup ranjivosti, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127i CVE-2018-12130

Podrška za Windows OS za ublažavanje MDS-a je prisutna

Mape za MDSWindowsSupportPresent. Ovaj red vas govori da li je prisutna podrška operativnog sistema Windows za mikroarhitekturalno uzorkovanje podataka (MDS). Ako je "True", ispravka iz maja 2019. je instalirana na uređaju, a na uređaju je prisutna olakšica za MDS. Ako je lažna, ispravka iz maja 2019. nije instalirana, a olakšice za MDS nisu prisutne.

Hardver je podložan MDS-u

Mape za MDSHardwareVulnerable. Ova linija vam govori da li je hardver podložan mikroarhitekturalnom uzorku podataka (MDS) skup ranjivosti (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Ako je "Istina", veruje se da na hardver utiču ove ranjivosti. Ako je "Netačno", poznato je da hardver nije ranjiv.

Omogućena je Windows OS podrška za ublažavanje MDS-a

Mape za MDSWindowsSupabled. Ovaj red vas govori da li je omogućeno olakšavanje windows operativnog sistema za mikroarhitekturalno uzorkovanje podataka (MDS). Ako je "Tačno", veruje se da na hardver utiču MDS ranjivosti, windows operativna podrška za ublažavanje je prisutna i omogućena je olakšica. Ako je "Netačno", hardver nije ranjiv, podrška operativnog sistema Windows nije prisutna ili ublažavanje nije omogućeno.

Očekuje se sledeći izlaz za računar sa omogućenim svim olakšicama, zajedno sa onim što je neophodno da bi se zadovoljio svaki uslov.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

Sledeća tabela mapira izlaz u ključeve registratora koji su pokriveni smernicama windows servera da bi se zaštitile od ranjivosti bočnog kanala za izvršavanje.

Ključ registratora

Mapiranje

FunkcijaSettingsOverride – Bit 0

Mape do - Ciljna injekcija grane - BTIWindowsSupportEnabled

FunkcijaSettingsOverride – 1.

Mape za - Rogue data keš opterećenje - VAShadowWindowsSupportEnabled

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×