Applies ToWindows 11 Windows 10

Tarihi değiştir

Değişikliğin açıklaması

17 Temmuz 2023, Temmuz 2023, Temmuz 2023, Temmuz 2023, Temmuz

"Tüm risk azaltmaları etkin olan çıkış" bölümüne MMIO ve çıkış değerlerinin belirli açıklamaları eklendi

Özet

Kurgusal yürütme yan kanal azaltmalarının durumunu doğrulamanıza yardımcı olmak için cihazlarınızda çalıştırılabilen bir PowerShell betiği (SpeculationControl) yayımladık. Bu makalede SpeculationControl betiğinin nasıl çalıştırılması ve çıkışın anlamı açıklanmaktadır.

ADV180002, ADV180012, ADV180018 ve ADV190013 güvenlik danışmanları aşağıdaki dokuz güvenlik açığını kapsar:

  • CVE-2017-5715 (dal hedef ekleme)

  • CVE-2017-5753 (sınır denetimi atlama)

    Not CVE-2017-5753 (sınır denetimi) için koruma için ek kayıt defteri ayarları veya üretici yazılımı güncelleştirmeleri gerekmez.  

  • CVE-2017-5754 (sahte veri önbelleği yükü)

  • CVE-2018-3639 (kurgusal mağaza atlama)

  • CVE-2018-3620 (L1 terminal hatası – İs)

  • CVE-2018-11091 (Mikro mimari veri örneklemesi seçilemez bellek (MDSUM))

  • CVE-2018-12126 (Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS))

  • CVE-2018-12127 (Mikro Mimari Yük Bağlantı Noktası Veri Örneklemesi (MLPDS))

  • CVE-2018-12130 (Mikro mimari dolgu arabellek veri örnekleme (MFBDS))

Danışmanlık ADV220002 G/Ç (MMIO) ile ilgili ek Memory-Mapped güvenlik açıklarını kapsar:

  • CVE-2022-21123 | Paylaşılan Arabellek Verileri Okuma (SBDR)

  • CVE-2022-21125 | Paylaşılan Arabellek Verileri Örnekleme (SBDS)

  • CVE-2022-21127 | Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)

  • CVE-2022-21166 | Cihaz Kaydı Kısmi Yazma (DRPW)

Bu makalede, listelenen CVE'ler için ek kayıt defteri ayarları ve bazı durumlarda üretici yazılımı güncelleştirmeleri gerektiren risk azaltmaların durumunun belirlenmesine yardımcı olan SpeculationControl PowerShell betiği hakkında ayrıntılar sağlanır.

Daha fazla bilgi

SpeculationControl PowerShell betiği

Aşağıdaki yöntemlerden birini kullanarak SpeculationControl betiğini yükleyin ve çalıştırın.

Yöntem 1: PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanarak PowerShell doğrulaması

PowerShell modülünü yükleme

PS> Install-Module SpeculationControl

Korumaların etkinleştirildiğini doğrulamak için SpeculationControl PowerShell modülünü çalıştırın

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Yöntem 2: TechNet'ten indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri/önceki WMF sürümleri)

TechNet ScriptCenter'nden PowerShell modülünü yükleme

  1. https://aka.ms/SpeculationControlPS gidin.

  2. SpeculationControl.zip yerel bir klasöre indirin.

  3. İçeriği yerel bir klasöre ayıklama, örneğin C:\ADV180002

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın

PowerShell'i başlatın ve ardından (yukarıdaki örneği kullanarak) aşağıdaki komutları kopyalayıp çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell betik çıkışı

SpeculationControl PowerShell betiğinin çıkışı aşağıdaki çıkışa benzer. Etkin korumalar çıkışta "True" olarak görünür.

PS C:\> Get-SpeculationControlSettings

CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme]

Dal hedefi ekleme azaltma için donanım desteği var: False Dal hedef ekleme azaltma için Windows işletim sistemi desteği mevcut: Doğru Dal hedefi ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi: False Dal hedef ekleme azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı: True Dal hedef ekleme azaltma için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı: True

CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü]

Donanım, sahte veri önbelleği yüküne karşı savunmasızdır: True Sahte veri önbelleği yük azaltma için Windows işletim sistemi desteği mevcut: Doğru Sahte veri önbelleği yük azaltma için Windows işletim sistemi desteği etkinleştirildi: True Donanım için çekirdek VA gölgelendirmesi gerekir: True Çekirdek VA gölgesi için Windows işletim sistemi desteği var: False Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi: False PCID iyileştirmesi için Windows işletim sistemi desteği etkinleştirildi: False CVE-2018-3639 için spekülasyon denetimi ayarları [kurgusal mağaza atlama]

Donanım spekülatif depo atlamasına karşı savunmasız: Doğru Tahmini mağaza atlama azaltması için donanım desteği mevcut: False Spekülatif depo atlama azaltma için Windows işletim sistemi desteği mevcut: Doğru Spekülatif depo atlama azaltması için Windows işletim sistemi desteği sistem genelinde etkinleştirildi: False

CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası]

Donanım L1 terminal hatasına karşı savunmasız: True L1 terminal hatasını azaltma için Windows işletim sistemi desteği mevcut: Doğru L1 terminal hatasını azaltma için Windows işletim sistemi desteği etkinleştirildi: True

MDS için spekülasyon denetimi ayarları [mikro mimari veri örnekleme]

MDS azaltma için Windows işletim sistemi desteği mevcut: Doğru Donanım MDS'ye karşı savunmasız: True MDS azaltma için Windows işletim sistemi desteği etkinleştirildi: True

SBDR için spekülasyon denetimi ayarları [paylaşılan arabellek verileri okuma] 

SBDR azaltma için Windows işletim sistemi desteği mevcut: True Donanım SBDR'ye karşı savunmasız: True SBDR azaltma için Windows işletim sistemi desteği etkinleştirildi: True 

FBSDP için spekülasyon denetimi ayarları [doldurma arabellek eski veri yayıcısı] FBSDP azaltma için Windows işletim sistemi desteği mevcut: True Donanım FBSDP'ye karşı savunmasız: True FBSDP azaltma için Windows işletim sistemi desteği etkinleştirildi: True 

PSDP için spekülasyon denetimi ayarları [birincil eski veri yayıcı]

PSDP azaltma için Windows işletim sistemi desteği mevcut: True Donanım PSDP'ye karşı savunmasız: True PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

SpeculationControl PowerShell betik çıkışının açıklaması

Son çıkış kılavuzu, önceki satırların çıkışıyla eşler. Bunun nedeni, PowerShell'in bir işlev tarafından döndürülen nesneyi yazdırmasıdır. Aşağıdaki tabloda PowerShell betik çıkışındaki her satır açıklanmaktadır.

Çıkış

Açıklama

CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme]

Bu bölüm değişken 2, CVE-2017-5715, dal hedef ekleme için sistem durumunu sağlar.

Dal hedefi ekleme azaltma için donanım desteği mevcut

BTIHardwarePresent ile eşler. Bu satır, dal hedefi ekleme azaltmayı desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM'i, CPU üreticileri tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri mevcut değildir. Bu nedenle, dal hedefi ekleme azaltma etkinleştirilemez.

Not Konakta OEM güncelleştirmesi uygulanırsa ve yönergelerizlenirse konuk VM'lerde BTIHardwarePresent True olur.

Dal hedef ekleme azaltma için Windows işletim sistemi desteği mevcut

BTIWindowsSupportPresent ile eşler. Bu satır, dal hedef ekleme azaltması için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, işletim sistemi dal hedefi ekleme azaltmasını etkinleştirmeyi destekler (ve bu nedenle Ocak 2018 güncelleştirmesini yüklemiştir). False ise, Ocak 2018 güncelleştirmesi cihaza yüklenmez ve dal hedefi ekleme azaltma etkinleştirilemez.

Not Konuk VM konak donanım güncelleştirmesini algılayamazsa, BTIWindowsSupportEnabled her zaman False olur.

Dal hedefi ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi

BTIWindowsSupportEnabled ile eşler. Bu satır, dal hedef ekleme azaltması için Windows işletim sistemi desteğinin etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, cihaz için dal hedef ekleme azaltma için donanım desteği ve işletim sistemi desteği etkinleştirilir, bu nedenle CVE-2017-5715'e karşı koruma sağlar. False ise, aşağıdaki koşullardan biri doğrudur:

  • Donanım desteği yok.

  • İşletim sistemi desteği yok.

  • Risk azaltma, sistem ilkesi tarafından devre dışı bırakıldı.

Dal hedef ekleme azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı

BTIDisabledBySystemPolicy ile eşler. Bu satır, dal hedefi ekleme azaltmasının sistem ilkesi (yönetici tanımlı ilke gibi) tarafından devre dışı bırakılıp bırakılmadığı bildirir. Sistem ilkesi, KB4072698'de belgelendiği gibi kayıt defteri denetimlerini ifade eder. True ise, sistem ilkesi azaltmayı devre dışı bırakmakla sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır.

Dal hedefi ekleme azaltma için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı

BTIDisabledByNoHardwareSupport ile eşler. Bu satır, donanım desteğinin olmaması nedeniyle dal hedefi ekleme azaltmanın devre dışı bırakılıp bırakılmadığını bildirir. True ise, azaltmayı devre dışı bırakmak donanım desteğinin olmamasından sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır.

NotKonuk VM konak donanım güncelleştirmesini algılayamazsa, BTIDisabledByNoHardwareSupport her zaman True olur.

CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü]

Bu bölüm değişken 3, CVE-2017-5754, sahte veri önbelleği yükü için özet sistem durumu sağlar. Bunun risk azaltması çekirdek Sanal Adresi (VA) gölgesi veya sahte veri önbelleği yük azaltma olarak bilinir.

Donanım, kötü niyetli veri önbelleği yüküne karşı savunmasızdır

RdclHardwareProtected ile eşler. Bu satır, donanımın CVE-2017-5754'e karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2017-5754'e karşı savunmasız olmadığı bilinmektedir.

Sahte veri önbelleği yükü azaltma için Windows işletim sistemi desteği mevcut

KVAShadowWindowsSupportPresent ile eşler. Bu satır, çekirdek VA gölge özelliği için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir.

Sahte veri önbelleği yük azaltma için Windows işletim sistemi desteği etkinleştirildi

KVAShadowWindowsSupportEnabled ile eşler. Bu satırda çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediği gösterilir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir, Windows işletim sistemi desteği vardır ve özellik etkinleştirilir.

Donanım için çekirdek VA gölgelendirmesi gerekir

KVAShadowRequired ile eşler. Bu satır, sisteminizin bir güvenlik açığını azaltmak için çekirdek VA gölgelendirmesi gerekip gerekmediğini bildirir.

Çekirdek VA gölgesi için Windows işletim sistemi desteği var

KVAShadowWindowsSupportPresent ile eşler. Bu satır, çekirdek VA gölge özelliği için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur.

Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi

KVAShadowWindowsSupportEnabled ile eşler. Bu satırda çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediği gösterilir. True ise, Windows işletim sistemi desteği vardır ve özellik etkinleştirilir. Çekirdek VA gölge özelliği şu anda Windows'un istemci sürümlerinde varsayılan olarak etkindir ve Windows Server sürümlerinde varsayılan olarak devre dışıdır. False ise, Windows işletim sistemi desteği mevcut değildir veya özellik etkinleştirilmez.

PCID performans iyileştirmesi için Windows işletim sistemi desteği etkinleştirildi

NotGüvenlik için PCID gerekli değildir. Yalnızca bir performans geliştirmenin etkinleştirilip etkinleştirilmediğini gösterir. PCID, Windows Server 2008 R2 ile desteklenmez

KVAShadowPcidEnabled ile eşler. Bu satır, çekirdek VA gölgesi için ek performans iyileştirmenin etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise çekirdek VA gölgesi etkinleştirilir, PCID için donanım desteği sağlanır ve çekirdek VA gölgesi için PCID iyileştirmesi etkinleştirilir. False ise donanım veya işletim sistemi PCID'yi desteklemeyebilir. PCID iyileştirmesinin etkinleştirilmemesi bir güvenlik zayıflığı değildir.

Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği mevcut

SSBDWindowsSupportPresent ile eşler. Bu satır, Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur.

Donanım, Kurgusal Depo Atlama Devre Dışı Bırakma gerektirir

SSBDHardwareVulnerablePresent ile eşler. Bu satır, donanımın CVE-2018-3639'a karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3639'a karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2018-3639'a karşı savunmasız olmadığı bilinmektedir.

Kurgusal Mağaza Atlama Devre Dışı Bırakma için donanım desteği var

SSBDHardwarePresent ile eşler. Bu satır, Kurgusal Mağaza Atlama Devre Dışı Bırakma özelliğini desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM, Intel tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri mevcut değildir. Bu nedenle Kurgusal Mağaza Atlama Devre Dışı Bırak özelliği açılamaz.

Not KONAKta OEM güncelleştirmesi uygulanmışsa konuk VM'lerde SSBDHardwarePresent True olur.

Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği açık

SSBDWindowsSupportEnabledSystemWide ile eşler. Bu satır, Windows işletim sisteminde Tahmini Depolama Atlama Devre Dışı Bırakma özelliğinin açık olup olmadığını bildirir. Doğru ise, spekülatif Mağaza Atlama Devre Dışı Bırakma için donanım desteği ve işletim sistemi desteği cihaz için açık olduğundan Tahmini Mağaza Atlamasının oluşmasını önler ve bu da güvenlik riskini tamamen ortadan kaldırır. False ise, aşağıdaki koşullardan biri doğrudur:

CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası]

Bu bölüm CVE-2018-3620 tarafından başvuruda bulunılan L1TF (işletim sistemi) için özet sistem durumu sağlar. Bu azaltma, güvenli sayfa çerçevesi bitlerinin mevcut olmayan veya geçersiz sayfa tablosu girdileri için kullanılmasını sağlar.

Not Bu bölüm CVE-2018-3646 tarafından başvuruda bulunılan L1TF (VMM) için azaltma durumunun özetini sağlamaz.

Donanım L1 terminal hatasına karşı savunmasız: True

L1TFHardwareVulnerable ile eşler. Bu satır, donanımın L1 Terminal Hatasına (L1TF, CVE-2018-3620) karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2018-3620'ye karşı savunmasız olmadığı bilinmektedir.

L1 terminal hatasını azaltma için Windows işletim sistemi desteği mevcut: Doğru

L1TFWindowsSupportPresent ile eşler. Bu satır, L1 Terminal Hatası (L1TF) işletim sistemi azaltma için Windows işletim sistemi desteği olup olmadığını bildirir. Doğru ise, ağustos 2018 güncelleştirmesi cihaza yüklenir ve CVE-2018-3620 için azaltma mevcut olur. False ise Ağustos 2018 güncelleştirmesi yüklenmez ve CVE-2018-3620 için azaltma mevcut değildir.

L1 terminal hatasını azaltma için Windows işletim sistemi desteği etkinleştirildi: True

L1TFWindowsSupportEnabled ile eşler. Bu satır, L1 Terminal Hatası (L1TF, CVE-2018-3620) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın CVE-2018-3620'ye karşı savunmasız olduğuna inanılır, azaltma için Windows işletim sistemi desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez.

MDS için spekülasyon denetimi ayarları [Mikro mimari veri örnekleme]

Bu bölüm, MDS güvenlik açıkları kümesi( CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ve ADV220002) için sistem durumunu sağlar.

MDS azaltma için Windows işletim sistemi desteği mevcut

MDSWindowsSupportPresent ile eşler. Bu satır, Mikro Mimari Veri Örnekleme (MDS) işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, Cihaza Mayıs 2019 güncelleştirmesi yüklenir ve MDS için azaltma sağlanır. False ise Mayıs 2019 güncelleştirmesi yüklenmez ve MDS için azaltma mevcut değildir.

Donanım MDS'ye karşı savunmasız

MDSHardwareVulnerable ile eşler. Bu satır, donanımın Mikro Mimari Veri Örnekleme (MDS) güvenlik açıkları kümesine (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

MDS azaltma için Windows işletim sistemi desteği etkinleştirildi

MDSWindowsSupportEnabled ile eşler. Bu satır, Mikro Mimari Veri Örnekleme (MDS) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, donanımın MDS güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows işletim sistemi desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez.

SBDR azaltma için Windows işletim sistemi desteği mevcut

FBClearWindowsSupportPresent ile eşler. Bu satır, SBDR işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve SBDR için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve SBDR için azaltma mevcut değildir.

Donanım SBDR'ye karşı savunmasız

SBDRSSDPHardwareVulnerable ile eşler. Bu satır, donanımın SBDR [paylaşılan arabellek verileri okuma] güvenlik açığı kümesine (CVE-2022-21123) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

SBDR azaltma için Windows işletim sistemi desteği etkinleştirildi

FBClearWindowsSupportEnabled ile eşler. Bu satır, SBDR için Windows işletim sistemi azaltmanın [paylaşılan arabellek verileri okuma] etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, donanımın SBDR güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez.

FBSDP azaltma için Windows işletim sistemi desteği mevcut

FBClearWindowsSupportPresent ile eşler. Bu satır, FBSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve FBSDP için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve FBSDP için azaltma mevcut değildir.

Donanım FBSDP'ye karşı savunmasız

FBSDPHardwareVulnerable ile eşler. Bu satır, donanımın FBSDP [arabellek eski veri yayıcısını doldurma] güvenlik açıkları kümesine (CVE-2022-21125, CVE-2022-21127 ve CVE-2022-21166) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

FBSDP azaltma için Windows işletim sistemi desteği etkinleştirildi

FBClearWindowsSupportEnabled ile eşler. Bu satır, FBSDP [doldurma arabellek eski veri yayıcısı] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise donanımın FBSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows çalışma desteği sağlanır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez.

PSDP azaltma için Windows işletim sistemi desteği mevcut

FBClearWindowsSupportPresent ile eşler. Bu satır, PSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve PSDP için risk azaltma mevcut olur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve PSDP için azaltma mevcut değildir.

Donanım PSDP'ye karşı savunmasız

PSDPHardwareVulnerable ile eşler. Bu satır, donanımın PSDP [birincil eski veri yayıcı] güvenlik açıkları kümesine karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi

FBClearWindowsSupportEnabled ile eşler. Bu satır, PSDP [birincil eski veri yayıcısı] için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın PSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya risk azaltma etkinleştirilmez.

Tüm azaltmaların etkinleştirildiği çıkış

Tüm risk azaltmaları etkinleştirilmiş bir cihaz için aşağıdaki çıkış beklenir ve her koşulu karşılamak için gerekenler sağlanır.

BTIHardwarePresent: True -> OEM BIOS/üretici yazılımı güncelleştirmesi uygulandı BTIWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesi yüklendi BTIWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.BTIDisabledBySystemPolicy: False -> ilke tarafından devre dışı bırakılmadığından emin olun.BTIDisabledByNoHardwareSupport: False -> OEM BIOS/üretici yazılımı güncelleştirmesinin uygulandığından emin olun.BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True veya False -> eylem yok, bu, bilgisayarın kullandığı CPU'nun bir işlevidir KVAShadowRequired True ise KVAShadowWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini yükleme KVAShadowWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.KVAShadowPcidEnabled: True veya False -> eylem yok, bu, bilgisayarın kullandığı CPU'nun bir işlevidir

SSBDHardwareVulnerablePresent True ise SSBDWindowsSupportPresent: True -> ADV180012'de belgelendiği gibi Windows güncelleştirmelerini yükleyin SSBDHardwarePresent: True -> cihazınızın OEM'sinden SSBD desteğiyle BIOS/üretici yazılımı güncelleştirmesi yükleyin SSBDWindowsSupportEnabledSystemWide: True -> SSBD'yi açmak için önerilen eylemleri izleyin

L1TFHardwareVulnerable True ise L1TFWindowsSupportPresent: True -> ADV180018'de belgelendiği gibi Windows güncelleştirmelerini yükleyin L1TFWindowsSupportEnabled: True -> azaltmayı etkinleştirmek için Windows Server veya İstemci için ADV180018'de belirtilen eylemleri uygun şekilde izleyin L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> Haziran 2022 güncelleştirmesini yükleme MDSHardwareVulnerable: False -> donanımının güvenlik açığı olmadığı biliniyor MDSWindowsSupportEnabled: Microarchitectural Data Sampling (MDS) için True -> azaltma etkinleştirildi FBClearWindowsSupportPresent: True -> Haziran 2022 güncelleştirmesini yükleyin SBDRSSDPHardwareVulnerable: True -> donanımının bu güvenlik açıklarından etkilendiğine inanılmaktadır FBSDPHardwareVulnerable: True -> donanımının bu güvenlik açıklarından etkilendiğine inanılmaktadır PSDPHardwareVulnerable: True -> donanımının bu güvenlik açıklarından etkilendiğine inanılmaktadır FBClearWindowsSupportEnabled: True -> SBDR/FBSDP/PSDP için azaltma etkinleştirmesini temsil eder. OEM BIOS/üretici yazılımının güncelleştirildiğinden, FBClearWindowsSupportPresent'in True olduğundan, ADV220002 ve KVAShadowWindowsSupportEnabled'da açıklandığı gibi etkinleştirilen risk azaltmaların True olduğundan emin olun.

Kayıt defteri

Aşağıdaki tablo, çıkışı KB4072698 kapsamındaki kayıt defteri anahtarlarıyla eşler: Silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows Server ve Azure Stack HCI kılavuzu.

Kayıt defteri anahtarı

Eşleme

FeatureSettingsOverride – Bit 0

Eşlemeler - Dal hedef ekleme - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Eşlemeler - Sahte veri önbelleği yükü - VAShadowWindowsSupportEnabled

Başvurular

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.