Så här fungerar-SpeculationControlSettings PowerShell-skript

Sammanfattning

För att hjälpa kunderna att kontrol lera status för körnings kanaler i spekulativt tillstånd har Microsoft publicerat ett PowerShell-skript som kunderna kan köra på sina datorer. I det här avsnittet förklaras hur du kör skriptet och vad utdata innebär.

Rådgivare ADV180002, ADV180012, ADV180018och ADV190013 täcker nio säkerhets problem:

  • CVE – 2017-5715 (injektions mål)

  • CVE-2017-5753 (gräns för kontroll av gränser)

  • CVE-2017-5754 (unlasted data cache Load)

  • CVE – 2018-3639 (förbikoppling för spekulativt Arkiv)

  • CVE – 2018-3620 (L1 Terminal Fault – OS)

  • CVE-2018-11091 (Mikroarkitektur data samplar om cachelagrat minne (MDSUM))

  • CVE-2018-12126 (Data sampling för buffert för mikroarkitektur (MSBDS))

  • CVE-2018-12127 (Port data sampling för högarkitekturens laddning (MLPDS))

  • CVE-2018-12130 (mikroarkitektur för data sampling (MFBDS))

Skydd för CVE-2017-5753 (gränser-kontroll) kräver inte ytterligare register inställningar eller uppdateringar för inbyggd program vara. Det här avsnittet innehåller information om PowerShell-skriptet som hjälper dig att avgöra tillståndet för de CVEs som kräver ytterligare register inställningar och, i vissa fall, uppdateringar av inbyggd program vara.

Mer information

Installera och kör skriptet genom att köra följande kommandon.

PowerShell-verifiering med PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installera PowerShell-modulen

PS> Install-Module SpeculationControl

Kör PowerShell-modulen för att kontrol lera att skydd är aktiverat

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-verifiering genom att använda en nedladdning från TechNet (tidigare OS-versioner/tidigare versioner)

Installera PowerShell-modulen från TechNet ScriptCenter

  1. Gå till https://aka.MS/SpeculationControlPS.

  2. Ladda ned SpeculationControl. zip till en lokal mapp.

  3. Extrahera innehållet till en lokal mapp, till exempel C:\ADV180002

Kör PowerShell-modulen för att kontrol lera att skydd är aktiverat

Starta PowerShell och klicka på Kopiera och kör följande kommandon (Använd exemplet ovan):

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Utdata för det här PowerShell-skriptet ser ut ungefär så här. Aktiverade skydd visas i resultatet som "true".

PS C:\> Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: False Windows OS support for kernel VA shadow is enabled: False Windows OS support for PCID optimization is enabled: False Speculation control settings for CVE-2018-3639 [speculative store bypass] Hardware is vulnerable to speculative store bypass: True Hardware support for speculative store bypass mitigation is present: False Windows OS support for speculative store bypass mitigation is present: True Windows OS support for speculative store bypass mitigation is enabled system-wide: False

Inställningar för spekulations kontroll för CVE-2018-3620 [L1-terminalkort]

Hardware is vulnerable to L1 terminal fault: True Windows OS support for L1 terminal fault mitigation is present: True Windows OS support for L1 terminal fault mitigation is enabled: True

Inställningar för spekulations kontroll för MDS [mikroarkitektur data sampling]

Stöd för Windows OS-support för MDS-minskning är nu: sant Maskin vara är utsatt för MDS: true Stöd för Windows OS-support för MDS-minskning är aktiverat: sant BTIHardwarePresent: False BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: False BTIDisabledBySystemPolicy: True BTIDisabledByNoHardwareSupport: True KVAShadowRequired: True KVAShadowWindowsSupportPresent: False KVAShadowWindowsSupportEnabled: False KVAShadowPcidEnabled: False SSBDWindowsSupportPresent: True SSBDHardwareVulnerablePresent: True SSBDHardwarePresent: True SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True

Det slutliga utmatnings rutnätet kopplas till resultatet från föregående rader. Det här visas eftersom PowerShell skriver ut objektet som returneras av en funktion. I följande tabell beskrivs varje rad.

Skriva

Redogör

Inställningar för spekulations kontroll för CVE-2017-5715 [gren måls insprutning]

I det här avsnittet får du en system status för variant 2, CVE-2017-5715 , gren måls insprutning.

Hård varu stöd för mål inmatning för förgreningar är tillgängligt

Mappar till BTIHardwarePresent. Den här raden visar om det finns maskin varu funktioner som kan användas för att hantera mål grupps minskningen. Enhetens OEM är ansvarigt för att tillhandahålla den uppdaterade BIOS/inbyggd program vara som innehåller den kod som tillhandahålls av processor tillverkare. Om den här raden ärsannfinns de maskin varu funktioner som behövs. Om linjen ärfalskär de nödvändiga maskin varu funktionerna inte tillgängliga och därför kan inte inmatnings minskningen i grenen vara aktive rad.

Obs BTIHardwarePresent kommer att varaTruei gäst datorer om OEM-uppdateringen har tillämpats på värden ochvägledningenföljs.

Stöd för Windows OS-support för lokal måls inmatning finns

Mappar till BTIWindowsSupportPresent. På den här raden får du veta om stöd för Windows-operativsystemet för lokal måls inmatning är tillgängligt. Om det ärSantkan operativ systemet aktivera inmatnings minskning för mål gruppen (och därför installeras uppdateringen för januari 2018). Om den ärfalskhar uppdateringen för januari 2018 inte installerats på systemet och det går inte att aktivera konsekvens minskning av gren måls inmatning.

Obs Om en gäst dator inte kan upptäcka värd maskin varu uppdateringen är BTIWindowsSupportEnabled alltidfalskt.

Windows OS-stöd för lokal måls inmatning är aktiverat

Mappar till BTIWindowsSupportEnabled. Den här raden visar om operativ system stöd för Windows är aktiverat för att minska inmatningen för mål gruppen. Om det ärSantär support för maskin vara och operativ system för mål för lokal måls inmatning aktiverat för enheten, och därför skyddas motCVE-2017-5715. Om den ärfalskär något av följande villkor uppfyllt:

  • Maskin varu support finns inte.

  • OS-support saknas.

  • Minskningen har inaktiverats av system policy.

Windows OS-stöd för lokal måls inmatning är avaktiverat av system princip

Mappar till BTIDisabledBySystemPolicy. På den här raden får du information om hur du har inaktiverat en begränsning för att injektion av gren måls mål (till exempel en administratörs princip). System princip syftar på register kontrollerna som dokumenterade iKB 4072698. Om det ärSantär system policyn ansvarig för att inaktivera minskningen. Om den ärfalskär den avaktiverad av en annan orsak.

Windows OS-stöd för lokal måls inmatning är inaktiverat genom frånvaro av maskin varu support

Mappar till BTIDisabledByNoHardwareSupport. Den här raden visar om du har inaktiverat minskning av inmatnings funktionen för mål för förgreningar på grund av utebliven support. Om det ärSantär frånvaron av maskin varu support ansvarig för att inaktivera minskningen. Om den ärfalskär den avaktiverad av en annan orsak.

Obs Om en gäst dator inte kan upptäcka värd maskin varu uppdateringen kommer BTIDisabledByNoHardwareSupport alltid att varaSant.

Inställningar för spekulations kontroll för CVE-2017-5754 [unlasted data cache load]

I det här avsnittet får du en sammanfattning av system status för variant 3,CVE-2017-5754, falsk data cache. Minskningen av detta kallas för den virtuella kernel-skuggan (VA) eller den icke-avlastade data cachen.

För maskin vara krävs kernel VA-skuggning

Mappar till KVAShadowRequired. Den här raden visar om maskin varan är mottaglig förCVE-2017-5754. Om det ärSantantas det vara utsatt för CVE-2017-5754. Om den ärfalskär hård varan känd för att inte vara utsatt för CVE-2017-5754.

Stöd för Windows OS för kernel VA-skugga finns

Mappar till KVAShadowWindowsSupportPresent. På den här raden får du veta om stöd för Windows-operativsystemet för funktionen kernel VA-skuggning är tillgänglig. Om det ärSantinstalleras uppdateringen för januari 2018 på enheten och det går att använda kernel va-skuggning. Om den ärfalskär den här uppdateringen för januari 2018 inte installerad och det finns ingen skugg support för kernel va.

Stöd för Windows OS för kernel VA-skuggning är aktive rad

Mappar till KVAShadowWindowsSupportEnabled. Den här raden visar om du har aktiverat funktionen för kernel VA-skuggning. Om det ärSantär hård varan som är utsatt förCVE-2017-5754, support för Windows-operativsystemet finns och funktionen har Aktiver ATS. Funktionen för kernel VA-skuggning är för närvarande aktive rad som standard på klient versioner av Windows och är inaktive rad som standard i versioner av Windows Server. Om den ärfalskär det inget stöd för operativ systemet Windows eller så har funktionen inte Aktiver ATS.

Windows OS-stöd för PCID prestanda optimering är aktiverat

Obs PCID krävs inte för säkerhet. Det visar bara om prestanda förbättring är aktiverat. PCID stöds inte med Windows Server 2008 R2

Mappar till KVAShadowPcidEnabled. Den här raden visar om en ytterligare prestanda optimering har Aktiver ATS för kernel VA-skugga. Om det ärSantär kernel va-skugga aktive rad, maskin varu support för PCID finns och PCID-optimering för kernel va-skugga har Aktiver ATS. Om den ärfalskkanske maskin varan eller operativ systemet inte stöder PCID. Det är inte en säkerhets svaghet för att PCID-optimeringen ska aktive ras.

Windows OS-stöd för kringgå inläsning för spekulativt Arkiv

Mappar till SSBDWindowsSupportPresent. I den här raden får du veta om stöd för bypass-inaktive ring av Windows-operativsystem Om det är Sant installeras uppdateringen för januari 2018 på enheten och det går att använda kernel va-skuggning. Om den är falsk är den här uppdateringen för januari 2018 inte installerad och det finns ingen skugg support för kernel va.

Hård vara kräver en förbikoppling av spekulativt lager

Mappar till SSBDHardwareVulnerablePresent. Den här raden visar om maskin varan är mottaglig för CVE-2018-3639. Om det är Sant antas det vara utsatt för CVE-2018-3639. Om den är falsk är hård varan känd för att inte vara utsatt för CVE-2018-3639.

Maskin varu stöd för förbikoppling av spekulativt lager finns

Mappar till SSBDHardwarePresent. I den här raden får du veta om det finns maskin varu funktioner för att stöda förbikoppling för spekulativt lager. Enhetens OEM är ansvarigt för att tillhandahålla den uppdaterade BIOS/inbyggd program vara som innehåller mikrokoden från Intel. Om den här raden är sann finns de maskin varu funktioner som behövs. Om linjen är falsk finns inte de nödvändiga maskin varu funktionerna, och därför går det inte att inaktivera åsidosättande av spekulativt arkiv.

Obs! SSBDHardwarePresent kommer att vara True i gäst datorer om OEM-uppdateringen har kopplats till värden.

 

Windows OS-stöd för bypass-inaktive ring av spekulativt Arkiv

Mappar till SSBDWindowsSupportEnabledSystemWide. På den här raden visas om bypass-inaktive Ring inte har Aktiver ATS i operativ systemet Windows. Om det är Sant kan hård varu support och OS-support för bypass-inaktive ring av för en enhet som förhindrar ett spekulativt hopp kringgås, eliminera säkerhets risken fullständigt. Om den är falsk är något av följande villkor uppfyllt:

  • Maskin varu support finns inte.

  • OS-support saknas.

  • Åsidosätt för spekulativt lager har inte Aktiver ATS via register nycklar. Information om hur du aktiverar finns i följande artiklar:

Vägledning för Windows-klienten för IT-tekniker skyddar mot problem med spekulativ exekvering

Windows Server-vägledning för att skydda mot problem med spekulativ körning på sidan

 

Inställningar för spekulations kontroll för CVE-2018-3620 [L1-terminalkort]

Det här avsnittet innehåller en översikt över system status för L1TF (operativ system) som hänvisas till av CVE-2018-3620. Denna åtgärd säkerställer att sid Rute bitarna inte visas eller ogiltiga sid tabell poster.

Obs! I det här avsnittet får du inte en sammanfattning av minsknings status för L1TF (VMM) som hänvisas till av CVE-2018-3646.

Maskin vara angripen till L1-terminalen: sant

Mappar till L1TFHardwareVulnerable. Den här raden visar om maskin varan är mottaglig för ett sidfel (L1TF, CVE-2018-3620). Om det är sant antas det vara utsatt för CVE-2018-3620. Om den är falsk är hård varan känd för att inte vara utsatt för CVE-2018-3620.

Stöd för Windows OS-support för L1-terminalen finns: sant

Mappar till L1TFWindowsSupportPresent. I den här raden får du veta om det finns stöd för operativ systemets (L1 Terminal Fault) för Windows-operativsystemet. Om det är sant är uppdateringen för augusti 2018 installerad på enheten och det finns en begränsning för CVE-2018-3620. Om den är falsk är den här uppdateringen för augusti 2018 inte installerad och avhållaren för CVE-2018-3620 finns inte.

Stöd för Windows OS-support för L1-terminalservern är aktive rad: true

Mappar till L1TFWindowsSupportEnabled. I den här raden får du veta om problemet med Windows operativ system för L1-terminalen (L1TF, CVE-2018-3620) är aktiverat. Om det är sant antas det vara sårbart för CVE-2018-3620, support för Windows-operativsystemet för att undvika att det är tillgängligt och att det är aktiverat. Om den är falsk är maskin varan inte utsatt för Windows-operativsystemet, eller så är avhållaren inte aktive rad.

Inställningar för spekulations kontroll för MDS [mikroarkitektur data sampling]

Det här avsnittet innehåller system status för MDS-uppsättningens säkerhets problem, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127och CVE-2018-12130

Stöd för Windows OS-support för MDS-minskning finns

Mappar till MDSWindowsSupportPresent. I den här raden får du veta om det finns funktioner för att undvika operativ system för data sampling (MDS) i Windows. Om det är sant installeras maj 2019-uppdateringen på enheten och det finns en begränsning för MDS. Om den är falsk är den maj 2019-uppdateringen inte installerad och det finns inget stöd för MDS.

Maskin varan är sårbar för MDS

Mappar till MDSHardwareVulnerable. Den här raden visar om maskin varan är utsatt för säkerhets sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Om det är sant är hård varan som berörs av dessa säkerhets problem. Om den är falsk är hård varan känd för att inte vara utsatt för problem.

Support för Windows OS för MDS-minskning är aktive rad

Mappar till MDSWindowsSupportEnabled. På den här raden får du information om att Windows operativ system minskar funktionen för att sampling av arkitektur data ska vara aktive rad. Om det är sant, är hård varan som påverkas av MDS-problemet, Windows-operativsystemet för minskningen finns och att den är aktive rad. Om den är falsk är maskin varan inte utsatt för Windows-operativsystemet, eller så är avhållaren inte aktive rad.

Följande utdata förväntas för en dator där alla begränsningar är aktiverade, tillsammans med vad som är nödvändigt för att uppfylla varje villkor.

BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> install January 2018 update BTIWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. BTIDisabledBySystemPolicy: False -> ensure not disabled by policy. BTIDisabledByNoHardwareSupport: False -> ensure OEM BIOS/firmware update is applied. KVAShadowRequired: True or False -> no action, this is a function of the CPU the computer uses If KVAShadowRequired is True KVAShadowWindowsSupportPresent: True -> install January 2018 update KVAShadowWindowsSupportEnabled: True -> on client, no action required. On server, follow guidance. KVAShadowPcidEnabled: True or False -> no action , this is a function of the CPU the computer uses

If SSBDHardwareVulnerablePresent is True SSBDWindowsSupportPresent: True -> install Windows updates as documented in adv180012 SSBDHardwarePresent: True -> install BIOS/firmware update with support for SSBD from your device OEM SSBDWindowsSupportEnabledSystemWide: True -> follow recommended actions to turn on SSBD

If L1TFHardwareVulnerable is True L1TFWindowsSupportPresent: True -> install Windows updates as documented in adv180018 L1TFWindowsSupportEnabled: True -> follow actions outlined in adv180018 for Windows Server or Client as appropriate to enable the mitigation

I följande tabell mappas utdata till de register nycklar som ingår i Windows Server-vägledningar för att skydda mot problem med säkerhets luckor i spekulativ exekvering.

Register nyckel

Portmappning

FeatureSettingsOverride – bit 0

Mappa mål insprutning – BTIWindowsSupportEnabled

FeatureSettingsOverride – bit 1

Mappa till-icke-inlästa datacache-VAShadowWindowsSupportEnabled

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×