|
Tarihi değiştir |
Değişikliğin açıklaması |
|---|---|
|
17 Temmuz 2023, Temmuz 2023, Temmuz 2023, Temmuz 2023, Temmuz |
"Tüm risk azaltmaları etkin olan çıkış" bölümüne MMIO ve çıkış değerlerinin belirli açıklamaları eklendi |
Özet
Kurgusal yürütme yan kanal azaltmalarının durumunu doğrulamanıza yardımcı olmak için cihazlarınızda çalıştırılabilen bir PowerShell betiği (SpeculationControl) yayımladık. Bu makalede SpeculationControl betiğinin nasıl çalıştırılması ve çıkışın anlamı açıklanmaktadır.
ADV180002, ADV180012, ADV180018 ve ADV190013 güvenlik danışmanları aşağıdaki dokuz güvenlik açığını kapsar:
-
CVE-2017-5715 (dal hedef ekleme)
-
CVE-2017-5753 (sınır denetimi atlama)
Not CVE-2017-5753 (sınır denetimi) için koruma için ek kayıt defteri ayarları veya üretici yazılımı güncelleştirmeleri gerekmez.
-
CVE-2017-5754 (sahte veri önbelleği yükü)
-
CVE-2018-3639 (kurgusal mağaza atlama)
-
CVE-2018-3620 (L1 terminal hatası – İs)
-
CVE-2018-11091 (Mikro mimari veri örneklemesi seçilemez bellek (MDSUM))
-
CVE-2018-12126 (Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS))
-
CVE-2018-12127 (Mikro Mimari Yük Bağlantı Noktası Veri Örneklemesi (MLPDS))
-
CVE-2018-12130 (Mikro mimari dolgu arabellek veri örnekleme (MFBDS))
Danışmanlık ADV220002 G/Ç (MMIO) ile ilgili ek Memory-Mapped güvenlik açıklarını kapsar:
-
CVE-2022-21123 | Paylaşılan Arabellek Verileri Okuma (SBDR)
-
CVE-2022-21125 | Paylaşılan Arabellek Verileri Örnekleme (SBDS)
-
CVE-2022-21127 | Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)
-
CVE-2022-21166 | Cihaz Kaydı Kısmi Yazma (DRPW)
Bu makalede, listelenen CVE'ler için ek kayıt defteri ayarları ve bazı durumlarda üretici yazılımı güncelleştirmeleri gerektiren risk azaltmaların durumunun belirlenmesine yardımcı olan SpeculationControl PowerShell betiği hakkında ayrıntılar sağlanır.
Daha fazla bilgi
SpeculationControl PowerShell betiği
Aşağıdaki yöntemlerden birini kullanarak SpeculationControl betiğini yükleyin ve çalıştırın.
|
Yöntem 1: PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanarak PowerShell doğrulaması |
|
PowerShell modülünü yükleme PS> Install-Module SpeculationControl Korumaların etkinleştirildiğini doğrulamak için SpeculationControl PowerShell modülünü çalıştırın PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Yöntem 2: TechNet'ten indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri/önceki WMF sürümleri) |
|
TechNet ScriptCenter'nden PowerShell modülünü yükleme
Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın PowerShell'i başlatın ve ardından (yukarıdaki örneği kullanarak) aşağıdaki komutları kopyalayıp çalıştırın: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell betik çıkışı
SpeculationControl PowerShell betiğinin çıkışı aşağıdaki çıkışa benzer. Etkin korumalar çıkışta "True" olarak görünür.
PS C:\> Get-SpeculationControlSettings
CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme]
Dal hedefi ekleme azaltma için donanım desteği var: False
Dal hedef ekleme azaltma için Windows işletim sistemi desteği mevcut: Doğru
Dal hedefi ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi: False
Dal hedef ekleme azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı: True
Dal hedef ekleme azaltma için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı: True
CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü]
Donanım, sahte veri önbelleği yüküne karşı savunmasızdır: True
Sahte veri önbelleği yük azaltma için Windows işletim sistemi desteği mevcut: Doğru
Sahte veri önbelleği yük azaltma için Windows işletim sistemi desteği etkinleştirildi: True
Donanım için çekirdek VA gölgelendirmesi gerekir: True
Çekirdek VA gölgesi için Windows işletim sistemi desteği var: False
Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi: False
PCID iyileştirmesi için Windows işletim sistemi desteği etkinleştirildi: False
CVE-2018-3639 için spekülasyon denetimi ayarları [kurgusal mağaza atlama]
Donanım spekülatif depo atlamasına karşı savunmasız: Doğru
Tahmini mağaza atlama azaltması için donanım desteği mevcut: False
Spekülatif depo atlama azaltma için Windows işletim sistemi desteği mevcut: Doğru
Spekülatif depo atlama azaltması için Windows işletim sistemi desteği sistem genelinde etkinleştirildi: False
CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası]
Donanım L1 terminal hatasına karşı savunmasız: True
L1 terminal hatasını azaltma için Windows işletim sistemi desteği mevcut: Doğru
L1 terminal hatasını azaltma için Windows işletim sistemi desteği etkinleştirildi: True
MDS için spekülasyon denetimi ayarları [mikro mimari veri örnekleme]
MDS azaltma için Windows işletim sistemi desteği mevcut: Doğru
Donanım MDS'ye karşı savunmasız: True
MDS azaltma için Windows işletim sistemi desteği etkinleştirildi: True
SBDR için spekülasyon denetimi ayarları [paylaşılan arabellek verileri okuma]
SBDR azaltma için Windows işletim sistemi desteği mevcut: True
Donanım SBDR'ye karşı savunmasız: True
SBDR azaltma için Windows işletim sistemi desteği etkinleştirildi: True
FBSDP için spekülasyon denetimi ayarları [doldurma arabellek eski veri yayıcısı]
FBSDP azaltma için Windows işletim sistemi desteği mevcut: True
Donanım FBSDP'ye karşı savunmasız: True
FBSDP azaltma için Windows işletim sistemi desteği etkinleştirildi: True
PSDP için spekülasyon denetimi ayarları [birincil eski veri yayıcı]
PSDP azaltma için Windows işletim sistemi desteği mevcut: True
Donanım PSDP'ye karşı savunmasız: True
PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi: True
BTIHardwarePresent: True
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: True
BTIDisabledBySystemPolicy: False
BTIDisabledByNoHardwareSupport: False
BTIKernelRetpolineEnabled: True
BTIKernelImportOptimizationEnabled: True
RdclHardwareProtectedReported: True
RdclHardwareProtected: False
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: True
KVAShadowWindowsSupportEnabled: True
KVAShadowPcidEnabled: True
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerable: True
SSBDHardwarePresent: False
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
HvL1tfStatusAvailable: True
HvL1tfProcessorNotAffected: True
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
SpeculationControl PowerShell betik çıkışının açıklaması
Son çıkış kılavuzu, önceki satırların çıkışıyla eşler. Bunun nedeni, PowerShell'in bir işlev tarafından döndürülen nesneyi yazdırmasıdır. Aşağıdaki tabloda PowerShell betik çıkışındaki her satır açıklanmaktadır.
|
Çıkış |
Açıklama |
|
CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme] |
Bu bölüm değişken 2, CVE-2017-5715, dal hedef ekleme için sistem durumunu sağlar. |
|
Dal hedefi ekleme azaltma için donanım desteği mevcut |
BTIHardwarePresent ile eşler. Bu satır, dal hedefi ekleme azaltmayı desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM'i, CPU üreticileri tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri mevcut değildir. Bu nedenle, dal hedefi ekleme azaltma etkinleştirilemez. Not Konakta OEM güncelleştirmesi uygulanırsa ve yönergelerizlenirse konuk VM'lerde BTIHardwarePresent True olur. |
|
Dal hedef ekleme azaltma için Windows işletim sistemi desteği mevcut |
BTIWindowsSupportPresent ile eşler. Bu satır, dal hedef ekleme azaltması için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, işletim sistemi dal hedefi ekleme azaltmasını etkinleştirmeyi destekler (ve bu nedenle Ocak 2018 güncelleştirmesini yüklemiştir). False ise, Ocak 2018 güncelleştirmesi cihaza yüklenmez ve dal hedefi ekleme azaltma etkinleştirilemez. Not Konuk VM konak donanım güncelleştirmesini algılayamazsa, BTIWindowsSupportEnabled her zaman False olur. |
|
Dal hedefi ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi |
BTIWindowsSupportEnabled ile eşler. Bu satır, dal hedef ekleme azaltması için Windows işletim sistemi desteğinin etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, cihaz için dal hedef ekleme azaltma için donanım desteği ve işletim sistemi desteği etkinleştirilir, bu nedenle CVE-2017-5715'e karşı koruma sağlar. False ise, aşağıdaki koşullardan biri doğrudur:
|
|
Dal hedef ekleme azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı |
BTIDisabledBySystemPolicy ile eşler. Bu satır, dal hedefi ekleme azaltmasının sistem ilkesi (yönetici tanımlı ilke gibi) tarafından devre dışı bırakılıp bırakılmadığı bildirir. Sistem ilkesi, KB4072698'de belgelendiği gibi kayıt defteri denetimlerini ifade eder. True ise, sistem ilkesi azaltmayı devre dışı bırakmakla sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır. |
|
Dal hedefi ekleme azaltma için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı |
BTIDisabledByNoHardwareSupport ile eşler. Bu satır, donanım desteğinin olmaması nedeniyle dal hedefi ekleme azaltmanın devre dışı bırakılıp bırakılmadığını bildirir. True ise, azaltmayı devre dışı bırakmak donanım desteğinin olmamasından sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır. NotKonuk VM konak donanım güncelleştirmesini algılayamazsa, BTIDisabledByNoHardwareSupport her zaman True olur. |
|
CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü] |
Bu bölüm değişken 3, CVE-2017-5754, sahte veri önbelleği yükü için özet sistem durumu sağlar. Bunun risk azaltması çekirdek Sanal Adresi (VA) gölgesi veya sahte veri önbelleği yük azaltma olarak bilinir. |
|
Donanım, kötü niyetli veri önbelleği yüküne karşı savunmasızdır |
RdclHardwareProtected ile eşler. Bu satır, donanımın CVE-2017-5754'e karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2017-5754'e karşı savunmasız olmadığı bilinmektedir. |
|
Sahte veri önbelleği yükü azaltma için Windows işletim sistemi desteği mevcut |
KVAShadowWindowsSupportPresent ile eşler. Bu satır, çekirdek VA gölge özelliği için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. |
|
Sahte veri önbelleği yük azaltma için Windows işletim sistemi desteği etkinleştirildi |
KVAShadowWindowsSupportEnabled ile eşler. Bu satırda çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediği gösterilir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir, Windows işletim sistemi desteği vardır ve özellik etkinleştirilir. |
|
Donanım için çekirdek VA gölgelendirmesi gerekir |
KVAShadowRequired ile eşler. Bu satır, sisteminizin bir güvenlik açığını azaltmak için çekirdek VA gölgelendirmesi gerekip gerekmediğini bildirir. |
|
Çekirdek VA gölgesi için Windows işletim sistemi desteği var |
KVAShadowWindowsSupportPresent ile eşler. Bu satır, çekirdek VA gölge özelliği için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur. |
|
Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi |
KVAShadowWindowsSupportEnabled ile eşler. Bu satırda çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediği gösterilir. True ise, Windows işletim sistemi desteği vardır ve özellik etkinleştirilir. Çekirdek VA gölge özelliği şu anda Windows'un istemci sürümlerinde varsayılan olarak etkindir ve Windows Server sürümlerinde varsayılan olarak devre dışıdır. False ise, Windows işletim sistemi desteği mevcut değildir veya özellik etkinleştirilmez. |
|
PCID performans iyileştirmesi için Windows işletim sistemi desteği etkinleştirildi NotGüvenlik için PCID gerekli değildir. Yalnızca bir performans geliştirmenin etkinleştirilip etkinleştirilmediğini gösterir. PCID, Windows Server 2008 R2 ile desteklenmez |
KVAShadowPcidEnabled ile eşler. Bu satır, çekirdek VA gölgesi için ek performans iyileştirmenin etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise çekirdek VA gölgesi etkinleştirilir, PCID için donanım desteği sağlanır ve çekirdek VA gölgesi için PCID iyileştirmesi etkinleştirilir. False ise donanım veya işletim sistemi PCID'yi desteklemeyebilir. PCID iyileştirmesinin etkinleştirilmemesi bir güvenlik zayıflığı değildir. |
|
Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği mevcut |
SSBDWindowsSupportPresent ile eşler. Bu satır, Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur. |
|
Donanım, Kurgusal Depo Atlama Devre Dışı Bırakma gerektirir |
SSBDHardwareVulnerablePresent ile eşler. Bu satır, donanımın CVE-2018-3639'a karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3639'a karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2018-3639'a karşı savunmasız olmadığı bilinmektedir. |
|
Kurgusal Mağaza Atlama Devre Dışı Bırakma için donanım desteği var |
SSBDHardwarePresent ile eşler. Bu satır, Kurgusal Mağaza Atlama Devre Dışı Bırakma özelliğini desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM, Intel tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri mevcut değildir. Bu nedenle Kurgusal Mağaza Atlama Devre Dışı Bırak özelliği açılamaz. Not KONAKta OEM güncelleştirmesi uygulanmışsa konuk VM'lerde SSBDHardwarePresent True olur. |
|
Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği açık |
SSBDWindowsSupportEnabledSystemWide ile eşler. Bu satır, Windows işletim sisteminde Tahmini Depolama Atlama Devre Dışı Bırakma özelliğinin açık olup olmadığını bildirir. Doğru ise, spekülatif Mağaza Atlama Devre Dışı Bırakma için donanım desteği ve işletim sistemi desteği cihaz için açık olduğundan Tahmini Mağaza Atlamasının oluşmasını önler ve bu da güvenlik riskini tamamen ortadan kaldırır. False ise, aşağıdaki koşullardan biri doğrudur:
|
|
CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası] |
Bu bölüm CVE-2018-3620 tarafından başvuruda bulunılan L1TF (işletim sistemi) için özet sistem durumu sağlar. Bu azaltma, güvenli sayfa çerçevesi bitlerinin mevcut olmayan veya geçersiz sayfa tablosu girdileri için kullanılmasını sağlar. Not Bu bölüm CVE-2018-3646 tarafından başvuruda bulunılan L1TF (VMM) için azaltma durumunun özetini sağlamaz. |
|
Donanım L1 terminal hatasına karşı savunmasız: True |
L1TFHardwareVulnerable ile eşler. Bu satır, donanımın L1 Terminal Hatasına (L1TF, CVE-2018-3620) karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2018-3620'ye karşı savunmasız olmadığı bilinmektedir. |
|
L1 terminal hatasını azaltma için Windows işletim sistemi desteği mevcut: Doğru |
L1TFWindowsSupportPresent ile eşler. Bu satır, L1 Terminal Hatası (L1TF) işletim sistemi azaltma için Windows işletim sistemi desteği olup olmadığını bildirir. Doğru ise, ağustos 2018 güncelleştirmesi cihaza yüklenir ve CVE-2018-3620 için azaltma mevcut olur. False ise Ağustos 2018 güncelleştirmesi yüklenmez ve CVE-2018-3620 için azaltma mevcut değildir. |
|
L1 terminal hatasını azaltma için Windows işletim sistemi desteği etkinleştirildi: True |
L1TFWindowsSupportEnabled ile eşler. Bu satır, L1 Terminal Hatası (L1TF, CVE-2018-3620) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın CVE-2018-3620'ye karşı savunmasız olduğuna inanılır, azaltma için Windows işletim sistemi desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez. |
|
MDS için spekülasyon denetimi ayarları [Mikro mimari veri örnekleme] |
Bu bölüm, MDS güvenlik açıkları kümesi( CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ve ADV220002) için sistem durumunu sağlar. |
|
MDS azaltma için Windows işletim sistemi desteği mevcut |
MDSWindowsSupportPresent ile eşler. Bu satır, Mikro Mimari Veri Örnekleme (MDS) işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, Cihaza Mayıs 2019 güncelleştirmesi yüklenir ve MDS için azaltma sağlanır. False ise Mayıs 2019 güncelleştirmesi yüklenmez ve MDS için azaltma mevcut değildir. |
|
Donanım MDS'ye karşı savunmasız |
MDSHardwareVulnerable ile eşler. Bu satır, donanımın Mikro Mimari Veri Örnekleme (MDS) güvenlik açıkları kümesine (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
MDS azaltma için Windows işletim sistemi desteği etkinleştirildi |
MDSWindowsSupportEnabled ile eşler. Bu satır, Mikro Mimari Veri Örnekleme (MDS) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, donanımın MDS güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows işletim sistemi desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez. |
|
SBDR azaltma için Windows işletim sistemi desteği mevcut |
FBClearWindowsSupportPresent ile eşler. Bu satır, SBDR işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve SBDR için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve SBDR için azaltma mevcut değildir. |
|
Donanım SBDR'ye karşı savunmasız |
SBDRSSDPHardwareVulnerable ile eşler. Bu satır, donanımın SBDR [paylaşılan arabellek verileri okuma] güvenlik açığı kümesine (CVE-2022-21123) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
SBDR azaltma için Windows işletim sistemi desteği etkinleştirildi |
FBClearWindowsSupportEnabled ile eşler. Bu satır, SBDR için Windows işletim sistemi azaltmanın [paylaşılan arabellek verileri okuma] etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, donanımın SBDR güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez. |
|
FBSDP azaltma için Windows işletim sistemi desteği mevcut |
FBClearWindowsSupportPresent ile eşler. Bu satır, FBSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve FBSDP için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve FBSDP için azaltma mevcut değildir. |
|
Donanım FBSDP'ye karşı savunmasız |
FBSDPHardwareVulnerable ile eşler. Bu satır, donanımın FBSDP [arabellek eski veri yayıcısını doldurma] güvenlik açıkları kümesine (CVE-2022-21125, CVE-2022-21127 ve CVE-2022-21166) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
FBSDP azaltma için Windows işletim sistemi desteği etkinleştirildi |
FBClearWindowsSupportEnabled ile eşler. Bu satır, FBSDP [doldurma arabellek eski veri yayıcısı] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise donanımın FBSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows çalışma desteği sağlanır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez. |
|
PSDP azaltma için Windows işletim sistemi desteği mevcut |
FBClearWindowsSupportPresent ile eşler. Bu satır, PSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve PSDP için risk azaltma mevcut olur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve PSDP için azaltma mevcut değildir. |
|
Donanım PSDP'ye karşı savunmasız |
PSDPHardwareVulnerable ile eşler. Bu satır, donanımın PSDP [birincil eski veri yayıcı] güvenlik açıkları kümesine karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi |
FBClearWindowsSupportEnabled ile eşler. Bu satır, PSDP [birincil eski veri yayıcısı] için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın PSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez. |
Tüm azaltmaların etkinleştirildiği çıkış
Tüm risk azaltmaları etkinleştirilmiş bir cihaz için aşağıdaki çıkış beklenir ve her koşulu karşılamak için gerekenler sağlanır.
BTIHardwarePresent: True -> OEM BIOS/üretici yazılımı güncelleştirmesi uygulandı
BTIWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesi yüklendi
BTIWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.
BTIDisabledBySystemPolicy: False -> ilke tarafından devre dışı bırakılmadığından emin olun.
BTIDisabledByNoHardwareSupport: False -> OEM BIOS/üretici yazılımı güncelleştirmesinin uygulandığından emin olun.
BTIKernelRetpolineEnabled: False
BTIKernelImportOptimizationEnabled: True
KVAShadowRequired: True veya False -> eylem yok, bu, bilgisayarın kullandığı
CPU'nun bir işlevidir
KVAShadowRequired True
ise
KVAShadowWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini
yükleme
KVAShadowWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.
KVAShadowPcidEnabled: True veya False -> eylem yok, bu, bilgisayarın kullandığı CPU'nun bir işlevidir
SSBDHardwareVulnerablePresent True
ise
SSBDWindowsSupportPresent: True -> ADV180012'de
belgelendiği gibi Windows güncelleştirmelerini yükleyin
SSBDHardwarePresent: True -> cihazınızın OEM'sinden
SSBD desteğiyle BIOS/üretici yazılımı güncelleştirmesi yükleyin
SSBDWindowsSupportEnabledSystemWide: True -> SSBD'yi açmak için önerilen eylemleri izleyin
L1TFHardwareVulnerable True
ise
L1TFWindowsSupportPresent: True -> ADV180018'de
belgelendiği gibi Windows güncelleştirmelerini yükleyin
L1TFWindowsSupportEnabled: True -> azaltmayı etkinleştirmek
için Windows Server veya İstemci için ADV180018'de belirtilen eylemleri uygun şekilde izleyin
L1TFInvalidPteBit: 0
L1DFlushSupported: True
MDSWindowsSupportPresent: True -> Haziran 2022 güncelleştirmesini
yükleme
MDSHardwareVulnerable: False -> donanımının güvenlik açığı
olmadığı biliniyor
MDSWindowsSupportEnabled: Microarchitectural Data Sampling (MDS) için True -> azaltma etkinleştirildi
FBClearWindowsSupportPresent: True -> Haziran 2022 güncelleştirmesini
yükleyin
SBDRSSDPHardwareVulnerable: True -> donanımının bu güvenlik açıklarından
etkilendiğine inanılmaktadır
FBSDPHardwareVulnerable: True -> donanımının bu güvenlik açıklarından
etkilendiğine inanılmaktadır
PSDPHardwareVulnerable: True -> donanımının bu güvenlik açıklarından
etkilendiğine inanılmaktadır
FBClearWindowsSupportEnabled: True -> SBDR/FBSDP/PSDP için azaltma etkinleştirmesini temsil eder. OEM BIOS/üretici yazılımının güncelleştirildiğinden, FBClearWindowsSupportPresent'in True olduğundan, ADV220002 ve KVAShadowWindowsSupportEnabled'da açıklandığı gibi etkinleştirilen risk azaltmaların True olduğundan emin olun.
Kayıt defteri
Aşağıdaki tablo, çıkışı KB4072698 kapsamındaki kayıt defteri anahtarlarıyla eşler: Silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows Server ve Azure Stack HCI kılavuzu.
|
Kayıt defteri anahtarı |
Eşleme |
|
FeatureSettingsOverride – Bit 0 |
Eşlemeler - Dal hedef ekleme - BTIWindowsSupportEnabled |
|
FeatureSettingsOverride – Bit 1 |
Eşlemeler - Sahte veri önbelleği yükü - VAShadowWindowsSupportEnabled |
Başvurular
Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.
