KB4074629: SpekülasyonDenetimi PowerShell betik çıktısını anlama

Değişiklik günlüğü

Tarihi değiştir	Değişiklik açıklaması
Temmuz 17, 2023	MMIO ve "Tüm risk azaltıcı etkenleri etkinleştirilmiş çıktı" bölümüne çıktı değerlerinin belirli açıklamaları eklendi

Özet

Kurgusal yürütme yan kanal azaltmalarının durumunu doğrulamanıza yardımcı olmak için, cihazlarınızda çalışabilecek bir PowerShell betiği (SpeculationControl) yayımladık. Bu makalede, SpeculationControl betiğinin nasıl çalıştırılacağı ve çıktının ne anlama geldiği açıklanmaktadır.

ADV180002, ADV180012, ADV180018 ve ADV190013 güvenlik önerileri aşağıdaki dokuz güvenlik açığını kapsar:

CVE-2017-5715 (dal hedefi ekleme)
CVE-2017-5753 (sınır denetimi atlaması)

Not

Notlar CVE-2017-5753 koruması (sınır denetimi), ek kayıt defteri ayarları veya üretici yazılımı güncellemeleri gerektirmez.
CVE-2017-5754 (yetkisiz sunucu verileri önbellek yüklemesi)
CVE-2018-3639 (spekülatif mağaza atlama)
CVE-2018-3620 (L1 terminal hatası – İS)
CVE-2018-11091 (Mikro Mimari Veri Örneklemesi Önbelleğe Alınamayan Bellek (MDSUM))
CVE-2018-12126 (Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS))
CVE-2018-12127 (Mikro Mimari Yük Bağlantı Noktası Veri Örneklemesi (MLPDS))
CVE-2018-12130 (Mikro Mimari Dolgu Arabelleği Veri Örneklemesi (MFBDS))

Danışma ADV220002 Memory-Mapped G/Ç (MMIO) ile ilgili ek güvenlik açıklarını kapsar:

CVE-2022-21123 | Paylaşılan Arabellek Veri Okuması (SBDR)
CVE-2022-21125 | Paylaşılan Arabellek Veri Örneklemesi (SBDS)
CVE-2022-21127 | Özel Kayıt Arabelleği Veri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)
CVE-2022-21166 | Cihaz Kaydı Kısmi Yazma (DRPW)

Bu makalede, ek kayıt defteri ayarları ve bazı durumlarda üretici yazılımı güncelleştirmeleri gerektiren listelenen CVE'ler için azaltmaların durumunu belirlemeye yardımcı olan SpeculationControl PowerShell betiği hakkında ayrıntılar sağlanır.

Daha fazla bilgi

SpeculationControl PowerShell betiği

Aşağıdaki yöntemlerden birini kullanarak SpeculationControl betiğini yükleyin ve çalıştırın.

Yöntem 1: PowerShell Galerisi kullanarak PowerShell doğrulaması (Windows Server 2016 veya WMF 5.0/5.1)
PowerShell modülünü yükleme `PS> Install-Module SpeculationControl` Korumaların etkinleştirildiğini doğrulamak için SpeculationControl PowerShell modülünü çalıştırın `PS> # Save the current execution policy so it can be reset` `PS> $SaveExecutionPolicy = Get-ExecutionPolicy` `PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser` `PS> Import-Module SpeculationControl` `PS> Get-SpeculationControlSettings` `PS> # Reset the execution policy to the original state` `PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser`

Yöntem 1: PowerShell Galerisi kullanarak PowerShell doğrulaması (Windows Server 2016 veya WMF 5.0/5.1)

PowerShell modülünü yükleme
PS> Install-Module SpeculationControl
Korumaların etkinleştirildiğini doğrulamak için SpeculationControl PowerShell modülünü çalıştırın
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Yöntem 2: TechNet'ten bir indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri/önceki WMF sürümleri)
TechNet Komut Dosyası'ndan PowerShell modülünü yükleme https://aka.ms/SpeculationControlPS'a gidin. SpeculationControl.zip yerel bir klasöre indirin. İçeriği yerel bir klasöre ayıklayın, örneğin, C:\ADV180002 Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırma PowerShell'i başlatın ve sonra (yukarıdaki örneği kullanarak) aşağıdaki komutları kopyalayın ve çalıştırın: `PS> # Save the current execution policy so it can be reset` `PS> $SaveExecutionPolicy = Get-ExecutionPolicy` `PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser` `PS> CD C:\ADV180002\SpeculationControl` `PS> Import-Module .\SpeculationControl.psd1` `PS> Get-SpeculationControlSettings` `PS> # Reset the execution policy to the original state` `PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser`

Yöntem 2: TechNet'ten bir indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri/önceki WMF sürümleri)

TechNet Komut Dosyası'ndan PowerShell modülünü yükleme

https://aka.ms/SpeculationControlPS'a gidin.
SpeculationControl.zip yerel bir klasöre indirin.
İçeriği yerel bir klasöre ayıklayın, örneğin, C:\ADV180002

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırma

PowerShell'i başlatın ve sonra (yukarıdaki örneği kullanarak) aşağıdaki komutları kopyalayın ve çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell betik çıktısı

SpeculationControl PowerShell betiğinin çıkışı aşağıdaki çıktıya benzer. Etkinleştirilen korumalar çıktıda "True" olarak görünür.

PS C:\> Get-SpeculationControlSettings

CVE-2017-5715 [dal hedefi ekleme] için spekülasyon denetimi ayarları

Dal hedefi ekleme azaltması için donanım desteği mevcuttur: False
Dal hedefi ekleme azaltma için Windows işletim sistemi desteği mevcuttur: True
Dal hedefi ekleme riski azaltma için Windows işletim sistemi desteği etkinleştirildi: False
Dal hedefi ekleme risk azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı: True
Dal hedefi ekleme azaltması için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı: True

CVE-2017-5754 [yetkisiz sunucu verileri önbellek yüklemesi] için spekülasyon denetimi ayarları

Donanım, yetkisiz veri önbellek yüküne karşı savunmasızdır: True
Yetkisiz sunucu veri önbelleği yükünü azaltmaya yönelik Windows işletim sistemi desteği mevcuttur: True
Yetkisiz sunucu veri önbelleği yükünü azaltmaya yönelik Windows işletim sistemi desteği etkinleştirildi: True

Donanım için çekirdek VA gölgelemesi gerekir: True
Çekirdek VA gölgesi için Windows işletim sistemi desteği mevcut: False
Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi: False
PCID optimizasyonu için Windows işletim sistemi desteği etkinleştirildi: False

CVE-2018-3639 için spekülasyon denetimi ayarları [spekülatif mağaza atlama]

Donanım spekülatif mağaza atlamasına karşı savunmasızdır: True
Kurgusal mağaza atlama azaltma için donanım desteği mevcuttur: False
Kurgusal mağaza atlama azaltma için Windows işletim sistemi desteği mevcut: True
Kurgusal mağaza atlama riskini azaltmaya yönelik Windows işletim sistemi desteği sistem genelinde etkinleştirildi: False

CVE-2018-3620 için spekülasyon kontrol ayarları [L1 terminal hatası]

Donanım L1 terminal hatasına karşı savunmasız: True
L1 terminali hata azaltma için Windows işletim sistemi desteği mevcuttur: True
L1 terminali hata azaltma için Windows işletim sistemi desteği etkinleştirildi: True

MDS için spekülasyon kontrol ayarları [mikromimari veri örneklemesi]

MDS risk azaltma için Windows işletim sistemi desteği mevcuttur: True
Donanım MDS'ye karşı savunmasızdır: Doğru
MDS risk azaltma için Windows işletim sistemi desteği etkinleştirildi: True

SBDR için spekülasyon denetimi ayarları [paylaşılan arabellekler veri okuma]

SBDR risk azaltma için Windows işletim sistemi desteği mevcuttur: True
Donanım SBDR'ye karşı savunmasızdır: True
SBDR risk azaltma için Windows işletim sistemi desteği etkinleştirildi: True

FBSDP için spekülasyon denetimi ayarları [arabellek eski veri yayıcısını doldur]

FBSDP risk azaltma için Windows işletim sistemi desteği mevcuttur: True
Donanım FBSDP'ye karşı savunmasızdır: Doğru
FBSDP risk azaltma için Windows işletim sistemi desteği etkinleştirildi: True

PSDP için spekülasyon denetimi ayarları [birincil eski veri yayıcısı]

PSDP azaltma için Windows işletim sistemi desteği mevcuttur: True
Donanım PSDP'ye karşı savunmasızdır: True
PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi: True

BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotEffect: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True

SpeculationControl PowerShell betik çıktısının açıklaması

Son çıkış ızgarası, önceki satırların çıkışına eşlenir. Bunun nedeni, PowerShell'in bir işlev tarafından döndürülen nesneyi yazdırmasıdır. Aşağıdaki tabloda PowerShell betik çıkışındaki her satır açıklanmaktadır.

Çıktı	Açıklama
CVE-2017-5715 [dal hedefi ekleme] için spekülasyon denetimi ayarları	Bu bölüm, değişken 2, CVE-2017-5715, dal hedefi ekleme için sistem durumu sağlar.
Dal hedefi ekleme azaltma için donanım desteği mevcuttur	BTIHardwarePresent ile eşler. Bu satır, dal hedefi ekleme azaltmayı destekleyecek donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM'i, CPU üreticileri tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamaktan sorumludur. Bu satır True ise, gerekli donanım özellikleri mevcuttur. Satır False ise, gerekli donanım özellikleri mevcut değildir. Bu nedenle, dal hedefi ekleme azaltma etkinleştirilemez. Notlar OEM güncelleştirmesi konağa uygulanırsa ve yönergeler izlenirse BTIHardwarePresent, konuk VM'lerde True olacaktır.
Dal hedefi ekleme azaltma için Windows işletim sistemi desteği mevcuttur	BTIWindowsSupportPresent ile eşleşir. Bu satır, dal hedefi ekleme azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını gösterir. True ise, işletim sistemi dal hedefi ekleme azaltmayı etkinleştirmeyi destekler (ve bu nedenle Ocak 2018 güncelleştirmesini yüklemiştir). False ise, Ocak 2018 güncelleştirmesi cihaza yüklenmez ve dal hedefi ekleme azaltma etkinleştirilemez. Notlar Konuk VM ana bilgisayar donanım güncelleştirmesini algılayamazsa, BTIWindowsSupportEnabled her zaman False olur.
Dal hedefi ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi	BTIWindowsSupportEnabled ile eşleşir. Bu satır, dal hedefi ekleme azaltma için Windows işletim sistemi desteğinin etkinleştirilip etkinleştirilmediğini gösterir. True ise, cihaz için dal hedefi ekleme azaltma için donanım desteği ve işletim sistemi desteği etkinleştirilir, böylece CVE-2017-5715'e karşı koruma sağlanır. False ise, aşağıdaki koşullardan biri doğrudur: Donanım desteği yok. İşletim sistemi desteği yok. Azaltma, sistem ilkesi tarafından devre dışı bırakılmıştır.
Dal hedefi ekleme risk azaltması için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı	BTIDisabledBySystemPolicy ile eşler. Bu satır, dal hedefi ekleme azaltmanın sistem ilkesi (yönetici tanımlı ilke gibi) tarafından devre dışı bırakılıp bırakılmadığını bildirir. Sistem ilkesi, KB4072698'da belgelenen kayıt defteri denetimlerine karşılık gelir. True ise, azaltmayı devre dışı bırakmak sistem ilkesinin sorumluluğundadır. False ise, risk azaltma farklı bir nedenle devre dışı bırakılır.
Dal hedefi ekleme azaltması için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı	BTIDisabledByNoHardwareSupport ile eşleşir. Bu satır, donanım desteğinin olmaması nedeniyle dal hedefi ekleme azaltmanın devre dışı bırakılıp bırakılmadığını gösterir. True ise, donanım desteğinin olmaması, azaltmayı devre dışı bırakmaktan sorumludur. False ise, risk azaltma farklı bir nedenle devre dışı bırakılır. Notlar Konuk VM, ana bilgisayar donanım güncelleştirmesini algılayamazsa, BTIDisabledByNoHardwareSupport her zaman True olur.
CVE-2017-5754 [yetkisiz sunucu verileri önbellek yüklemesi] için spekülasyon denetimi ayarları	Bu bölümde, değişken 3, CVE-2017-5754, yetkisiz sunucu verileri önbellek yüklemesi için özet sistem durumu sağlanır. Bunun azaltması, çekirdek Sanal Adres (VA) gölgesi veya yetkisiz sunucu verileri önbellek yükü azaltma olarak bilinir.
Donanım, yetkisiz veri önbellek yüküne karşı savunmasızdır	RdclHardwareProtected ile eşler. Bu satır size donanımın CVE-2017-5754'e karşı savunmasız olup olmadığını söyler. True ise, donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülüyor. False ise, donanımın CVE-2017-5754'e karşı savunmasız olmadığı bilinmektedir.
Yetkisiz veri önbelleği yük azaltma için Windows işletim sistemi desteği mevcuttur	KVAShadowWindowsSupportPresent ile eşleşir. Bu satır size çekirdek VA gölge özelliği için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir.
Yetkisiz sunucu veri önbelleği yük azaltma için Windows işletim sistemi desteği etkinleştirildi	KVAShadowWindowsSupportEnabled ile eşlenir. Bu satır size çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın CVE-2017-5754'e karşı savunmasız olduğu, Windows işletim sistemi desteğinin mevcut olduğu ve özelliğin etkinleştirildiği düşünülmektedir.
Donanım, çekirdek VA gölgelemesi gerektirir	KVAShadowRequired ile eşleşir. Bu satır, sisteminizin bir güvenlik açığını azaltmak için çekirdek VA gölgelemesi gerektirip gerektirmediğini söyler.
Çekirdek VA gölgesi için Windows işletim sistemi desteği mevcut	KVAShadowWindowsSupportPresent ile eşleşir. Bu satır size çekirdek VA gölge özelliği için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğruysa, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise, Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur.
Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi	KVAShadowWindowsSupportEnabled ile eşlenir. Bu satır size çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediğini bildirir. True ise, Windows işletim sistemi desteği vardır ve özellik etkinleştirilmiştir. Çekirdek VA gölge özelliği şu anda Windows'un istemci sürümlerinde varsayılan olarak etkindir ve Windows ServerWindows Server sürümlerinde varsayılan olarak devre dışıdır. False ise, Windows işletim sistemi desteği yoktur veya özellik etkinleştirilmemiştir.
PCID performans optimizasyonu için Windows işletim sistemi desteği etkinleştirildi Notlar Güvenlik için PCID gerekli değildir. Yalnızca bir performans geliştirmesinin etkinleştirilip etkinleştirilmediğini gösterir. PCID is not supported with Windows ServerWindows Server 2008 R2	KVAShadowPcidEnabled ile eşler. Bu satır, çekirdek VA gölgesi için ek bir performans iyileştirmesinin etkinleştirilip etkinleştirilmediğini bildirir. True ise, çekirdek VA gölgesi etkinleştirilir, PCID için donanım desteği vardır ve çekirdek VA gölgesi için PCID iyileştirmesi etkinleştirilir. False ise, donanım veya işletim sistemi PCID'yi desteklemiyor olabilir. PCID optimizasyonunun etkinleştirilmemesi bir güvenlik zafiyeti değildir.
Kurgusal Mağaza Atlamayı Devre Dışı Bırakma için Windows işletim sistemi desteği mevcut	SSBDWindowsSupportPresent ile eşleşir. Bu satır size, Tahmini Store Atlamayı Devre Dışı Bırakma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğruysa, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise, Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur.
Donanım için Tahmini Store Atlamayı Devre Dışı Bırakma gerekiyor	SSBDHardwareVulnerablePresent ile eşler. Bu satır size donanımın CVE-2018-3639'a karşı savunmasız olup olmadığını söyler. True ise, donanımın CVE-2018-3639'a karşı savunmasız olduğu düşünülüyor. False ise, donanımın CVE-2018-3639'a karşı savunmasız olmadığı bilinmektedir.
Tahmini Store Atlamayı Devre Dışı Bırakma için donanım desteği mevcuttur	SSBDHardwarePresent ile eşleşir. Bu satır, Spekülatif Mağaza Atlama Devre Dışı Bırakma'yı destekleyecek donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM'i, Intel tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamaktan sorumludur. Bu satır True ise, gerekli donanım özellikleri mevcuttur. Satır False ise, gerekli donanım özellikleri mevcut değildir. Bu nedenle, Spekülatif Mağaza Atlamayı Devre Dışı Bırakma açılamaz. Notlar SSBDHardwarePresent, ana bilgisayara OEM güncelleştirmesi uygulanırsa konuk VM'lerde True olur.
Spekülatif Mağaza Atlamayı Devre Dışı Bırakma için Windows işletim sistemi desteği açık	SSBDWindowsSupportEnabledSystemWide ile eşleşir. Bu satır size, Windows işletim sisteminde Tahmini Store Atlamayı Devre Dışı Bırakma özelliğinin açık olup olmadığını bildirir. True ise, cihaz için Tahmini Store Atlama Devre Dışı Bırakma için donanım desteği ve işletim sistemi desteği açıktır, bu da Spekülatif Store Atlama oluşmasını önler, böylece güvenlik riski tamamen ortadan kaldırılır. False ise, aşağıdaki koşullardan biri doğrudur: Donanım desteği yok. İşletim sistemi desteği yok. Kurgusal Mağaza Atlama Devre Dışı Bırakma özelliği kayıt defteri anahtarları aracılığıyla etkinleştirilmez. Bunları etkinleştirme hakkındaki yönergeler için aşağıdaki makalelere bakın: KB4073119: Silikon tabanlı mikro mimari ve kurgusal yürütme tarafı kanal güvenlik açıklarına karşı koruma için BT Uzmanları için Windows istemci kılavuzu KB4072698: Silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma için Windows Server ve Azure Stack HCI kılavuzu
CVE-2018-3620 için spekülasyon kontrol ayarları [L1 terminal hatası]	Bu bölüm, CVE-2018-3620 tarafından atıfta bulunulan L1TF (işletim sistemi) için özet sistem durumu sağlar. Bu azaltma, güvenli sayfa çerçevesi bitlerinin mevcut olmayan veya geçersiz sayfa tablosu girişleri için kullanılmasını güvence altına alır. Notlar Bu bölüm, CVE-2018-3646 tarafından atıfta bulunulan L1TF (VMM) için risk azaltma durumunun bir özetini sağlamaz.
Donanım L1 terminal hatasına karşı savunmasız: True	L1TFHardwareVulnerable ile eşleşir. Bu satır, donanımın L1 Terminal Hatasına (L1TF, CVE-2018-3620) karşı savunmasız olup olmadığını size söyler. True ise, donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülüyor. False ise, donanımın CVE-2018-3620'ye karşı savunmasız olmadığı bilinmektedir.
L1 terminali hata azaltma için Windows işletim sistemi desteği mevcuttur: True	L1TFWindowsSupportPresent ile eşleşir. Bu satır, L1 Terminal Hatası (L1TF) işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını gösterir. Doğruysa, cihaza Ağustos 2018 güncelleştirmesi yüklenir ve CVE-2018-3620 için risk azaltma mevcuttur. False ise, Ağustos 2018 güncelleştirmesi yüklenmez ve CVE-2018-3620 için risk azaltma mevcut değildir.
L1 terminali hata azaltma için Windows işletim sistemi desteği etkinleştirildi: True	L1TFWindowsSupportEnabled ile eşleşir. Bu satır, L1 Terminal Hatası (L1TF, CVE-2018-3620) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın CVE-2018-3620'ye karşı savunmasız olduğuna inanılıyor, risk azaltma için Windows işletim sistemi desteği var ve risk azaltma etkinleştirilmiş demektir. False ise, donanım savunmasız değildir, Windows işletim sistemi desteği yoktur veya risk azaltma etkinleştirilmemiştir.
MDS için spekülasyon kontrol ayarları [Mikromimari Veri Örneklemesi]	Bu bölüm, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ve ADV220002 MDS güvenlik açıkları kümesi için sistem durumu sağlar.
MDS risk azaltma için Windows İS desteği mevcuttur	MDSWindowsSupportPresent ile eşleşir. Bu satır, Mikro Mimari Veri Örnekleme (MDS) işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını gösterir. Doğruysa, Mayıs 2019 güncelleştirmesi cihaza yüklenir ve MDS için risk azaltma mevcuttur. False ise, Mayıs 2019 güncelleştirmesi yüklenmez ve MDS için risk azaltma mevcut değildir.
Donanım MDS'ye karşı savunmasızdır	MDSHardwareVulnerable ile eşler. Bu satır size donanımın Mikro Mimari Verilerini Örnekleme (MDS) güvenlik açıklarına karşı savunmasız olup olmadığını bildirir (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılıyor demektir. False ise, donanımın güvenlik açığı olmadığı bilinmektedir.
MDS risk azaltma için Windows işletim sistemi desteği etkinleştirildi	MDSWindowsSupportEnabled ile eşler. Bu satır, Mikro Mimari Veri Örnekleme (MDS) için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın MDS güvenlik açıklarından etkilendiğine inanılıyor, risk azaltma için Windows işletim sistemi desteği var ve risk azaltma etkinleştirilmiş demektir. False ise, donanım savunmasız değildir, Windows işletim sistemi desteği yoktur veya risk azaltma etkinleştirilmemiştir.
SBDR risk azaltma için Windows işletim sistemi desteği mevcuttur	FBClearWindowsSupportPresent ile eşleşir. Bu satır SBDR işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını belirtir. Doğruysa, cihaza Haziran 2022 güncelleştirmesi yüklenir ve SBDR için risk azaltma mevcuttur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve SBDR için risk azaltma mevcut değildir.
Donanım SBDR'ye karşı savunmasızdır	SBDRSSDPHardwareVulnerable ile eşler. Bu satır, donanımın SBDR [paylaşılan arabellekler veri okuma] güvenlik açıklarına (CVE-2022-21123) karşı savunmasız olup olmadığını söyler. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılıyor demektir. False ise, donanımın güvenlik açığı olmadığı bilinmektedir.
SBDR risk azaltma için Windows işletim sistemi desteği etkinleştirildi	FBClearWindowsSupportEnabled ile eşleşir. Bu satır, SBDR [paylaşılan arabellek verilerini okuma] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın SBDR güvenlik açıklarından etkilendiğine inanılır, risk azaltma için Windows işletim desteği mevcuttur ve risk azaltma etkinleştirilir. False ise, donanım savunmasız değildir, Windows işletim sistemi desteği yoktur veya risk azaltma etkinleştirilmemiştir.
FBSDP risk azaltması için Windows işletim sistemi desteği mevcuttur	FBClearWindowsSupportPresent ile eşleşir. Bu satır size FBSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını söyler. Doğruysa, cihaza Haziran 2022 güncelleştirmesi yüklenir ve FBSDP için risk azaltma mevcuttur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve FBSDP için risk azaltma mevcut değildir.
Donanım FBSDP'ye karşı savunmasızdır	Maps to FBSDPHardwareVulnerable. Bu satır, donanımın FBSDP [fill buffer stale data propagator] güvenlik açıklarına (CVE-2022-21125, CVE-2022-21127 ve CVE-2022-21166) karşı savunmasız olup olmadığını söyler. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılıyor demektir. False ise, donanımın güvenlik açığı olmadığı bilinmektedir.
FBSDP risk azaltma için Windows işletim sistemi desteği etkinleştirildi	FBClearWindowsSupportEnabled ile eşleşir. Bu satır size FBSDP [arabellek eski veri yayıcısını doldur] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini gösterir. True ise, donanımın FBSDP güvenlik açıklarından etkilendiğine inanılır, risk azaltma için Windows işletim desteği mevcuttur ve risk azaltma etkinleştirilir. False ise, donanım savunmasız değildir, Windows işletim sistemi desteği yoktur veya risk azaltma etkinleştirilmemiştir.
PSDP azaltma için Windows işletim sistemi desteği mevcuttur	FBClearWindowsSupportPresent ile eşleşir. Bu satır size PSDP işletim sistemi azaltması için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğruysa, cihaza Haziran 2022 güncelleştirmesi yüklenir ve PSDP için risk azaltma mevcuttur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve PSDP için risk azaltma mevcut değildir.
Donanım PSDP'ye karşı savunmasızdır	PSDPHardwareVulnerable ile eşler. Bu satır size, donanımın PSDP [birincil eski veri yayıcı] güvenlik açıkları kümesine karşı savunmasız olup olmadığını söyler. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılıyor demektir. False ise, donanımın güvenlik açığı olmadığı bilinmektedir.
PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi	FBClearWindowsSupportEnabled ile eşleşir. Bu satır PSDP [birincil eski veri yayıcısı] için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini belirtir. True ise, donanımın PSDP güvenlik açıklarından etkilendiğine inanılır, risk azaltma için Windows işletim desteği mevcuttur ve risk azaltma etkinleştirilir. False ise, donanım savunmasız değildir, Windows işletim sistemi desteği yoktur veya risk azaltma etkinleştirilmemiştir.

Tüm risk azaltmaları etkinleştirilmiş çıktı

Tüm risk azaltma işlemleri etkinleştirilmiş bir cihaz için aşağıdaki çıktının, her bir koşulu karşılamak için gerekenlerle birlikte elde edilmesi beklenir.

BTIHardwarePresent: True -> OEM BIOS/üretici yazılımı güncelleştirmesi uygulandı
BTIWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesi yüklü
BTIWindowsSupportEnabled: True -> İstemcide, eylem gerekmiyor. Sunucuda, yönergeleri takip edin.
BTIDisabledBySystemPolicy: False -> ilke tarafından devre dışı bırakılmadığından emin olun.
BTIDisabledByNoHardwareSupport: False -> OEM BIOS/üretici yazılımı güncelleştirmesinin uygulandığından emin olun.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True veya False -> eylem yok, bu bilgisayarın kullandığı CPU'nun bir işlevidir

KVAShadowRequired değeri True ise
KVAShadowWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini yükleyin
KVAShadowWindowsSupportEnabled: True -> İstemcide, eylem gerekmiyor. Sunucuda, yönergeleri takip edin.
KVAShadowPcidEnabled: True veya False -> eylem yok, bu bilgisayarın kullandığı CPU'nun bir işlevidir

SSBDHardwareVulnerablePresent True ise
SSBDWindowsSupportPresent: True -> Windows güncelleştirmelerini ADV180012'da belgelendiği gibi yükleyin
SSBDHardwarePresent: True -> cihaz OEM'inizden SSBD desteği ile BIOS/üretici yazılımı güncellemesini yükleyin
SSBDWindowsSupportEnabledSystemWide: True -> SSBD'yi açmak için önerilen eylemleri izleyin

L1TFHardwareVulnerable değeri True ise
L1TFWindowsSupportPresent: True -> Windows güncelleştirmelerini ADV180018'da belgelendiği gibi yükleyin
L1TFWindowsSupportEnabled: True -> azaltmayı etkinleştirmek için Windows Server veya İstemci için ADV180018'da belirtilen eylemleri uygun şekilde izleyin
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> Haziran 2022 güncelleştirmesini yükleyin
MDSHardwareVulnerable: False -> donanımın savunmasız olmadığı biliniyor
MDSWindowsSupportEnabled: True -> Mikro Mimari Veri Örneklemesi (MDS) için risk azaltma etkinleştirildi
FBClearWindowsSupportPresent: True -> Haziran 2022 güncelleştirmesini yükleyin
SBDRSSDPHardwareVulnerable: True -> donanımın bu güvenlik açıklarından etkilendiğine inanılıyor
FBSDPHardwareVulnerable: True -> donanımın bu güvenlik açıklarından etkilendiğine inanılıyor
PSDPHardwareVulnerable: True -> donanımın bu güvenlik açıklarından etkilendiği düşünülüyor
FBClearWindowsSupportEnabled: True -> SBDR/FBSDP/PSDP için risk azaltma etkinleştirmesini temsil eder. OEM BIOS/üretici yazılımının güncelleştirildiğinden, FBClearWindowsSupportPresent'ın True olduğundan, risk azaltmaların ADV220002'de belirtildiği gibi etkinleştirildiğinden ve KVAShadowWindowsSupportEnabled'ın True olduğundan emin olun.

Kayıt Defteri Girişi

Aşağıdaki tabloda çıktı, KB4072698 ele alınan kayıt defteri anahtarlarıyla eşlenir: Windows Server ve Azure silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma için Stack HCI kılavuzu.

Kayıt defteri anahtarı	Eşleme
FeatureSettingsOverride – Bit 0	Haritalar - Dal hedefi ekleme - BTIWindowsSupportEnabled
FeatureSettingsOverride – Bit 1	Maps to - Rogue data cache load - VAShadowWindowsSupportEnabled

Başvurular

Üçüncü taraf bilgileri hakkında bildirim

Teknik destek bulmanıza yardımcı olmak için üçüncü tarafların iletişim bilgilerini sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmiyoruz.