Özet

Kurgusal yürütme yan kanal risk azaltmalarının durumunu doğrulamaya yardımcı olmak için cihazlarınızda çalıştırılabilen bir PowerShell betiği (SpeculationControl) yayımladık. Bu makalede SpeculationControl betiğinin nasıl çalıştırılması ve çıkışın anlamı açıklanmaktadır.

ADV180002, ADV180012, ADV180018 ve ADV190013 önerileri aşağıdaki dokuz güvenlik açığını kapsar:

  • CVE-2017-5715 (dal hedefi ekleme)

  • CVE-2017-5753 (sınır denetimi atlaması)

    Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. CVE-2017-5753 (sınır denetimi) için koruma için ek kayıt defteri ayarları veya üretici yazılımı güncelleştirmeleri gerekmez.  

  • CVE-2017-5754 (yetkisiz sunucu verileri önbellek yüklemesi)

  • CVE-2018-3639 (kurgusal mağaza atlama)

  • CVE-2018-3620 (L1 terminal hatası – İs)

  • CVE-2018-11091 (Mikro mimari veri örneklemesi seçilemez bellek (MDSUM))

  • CVE-2018-12126 (Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS))

  • CVE-2018-12127 (Mikro Mimari Yük Bağlantı Noktası Veri Örneklemesi (MLPDS))

  • CVE-2018-12130 (Mikro mimari dolgu arabellek veri örnekleme (MFBDS))

Danışmanlık ADV220002 G/Ç (MMIO) ile ilgili ek Memory-Mapped güvenlik açıklarını kapsar:

  • CVE-2022-21123 - Paylaşılan Arabellek Verileri Okuma (SBDR)

  • CVE-2022-21125 - Paylaşılan Arabellek Verileri Örnekleme (SBDS)

  • CVE-2022-21127 - Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)

  • CVE-2022-21166 - Cihaz Yazmaç Kısmi Yazma (DRPW)

Bu makalede, listelenen CVE'ler için ek kayıt defteri ayarları ve bazı durumlarda üretici yazılımı güncelleştirmeleri gerektiren risk azaltmaların durumunun belirlenmesine yardımcı olan SpeculationControl PowerShell betiği hakkında ayrıntılar sağlanır.

Daha fazla bilgi

SpeculationControl PowerShell betiği

Aşağıdaki yöntemlerden birini kullanarak SpeculationControl betiğini yükleyin ve çalıştırın.

Yöntem 1: PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanarak PowerShell doğrulaması

PowerShell modülünü yükleme

PS> Install-Module SpeculationControl

Korumaların etkinleştirildiğini doğrulamak için SpeculationControl PowerShell modülünü çalıştırın

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Yöntem 2: TechNet'ten indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri/önceki WMF sürümleri)

TechNet ScriptCenter'nden PowerShell modülünü yükleme

  1. https://aka.ms/SpeculationControlPS gidin.

  2. SpeculationControl.zip yerel bir klasöre indirin.

  3. İçeriği yerel bir klasöre ayıklama, örneğin C:\ADV180002

Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın

PowerShell'i başlatın ve ardından (yukarıdaki örneği kullanarak) aşağıdaki komutları kopyalayıp çalıştırın:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell betik çıkışı

SpeculationControl PowerShell betiğinin çıkışı aşağıdakine benzer olacaktır. Etkin korumalar çıkışta "True" olarak görünür.

PS C:\> Get-SpeculationControlSettings

CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme]

Dal hedef ekleme azaltma için donanım desteği var: Dal hedef ekleme azaltma için yanlış
Windows işletim sistemi desteği var: Dal hedef ekleme azaltma için Doğru
Windows işletim sistemi desteği etkinleştirildi: Dal hedef ekleme azaltma için yanlış
Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı: True
Windows Dal hedefi ekleme azaltma için işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı: True

CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü]

Donanım için çekirdek VA gölgesi gerekiyor: Çekirdek VA gölgesi için Doğru
Windows işletim sistemi desteği var: Çekirdek VA gölgesi için Yanlış
Windows işletim sistemi desteği etkinleştirildi: PCID iyileştirmesi için Yanlış
Windows işletim sistemi desteği etkinleştirildi: False

CVE-2018-3639 için spekülasyon denetimi ayarları [kurgusal mağaza atlama]

Donanım spekülatif depo atlamasına karşı savunmasız: Doğru
Spekülatif depo atlama azaltma için donanım desteği var: Kurgusal mağaza atlama azaltma için yanlış
Windows işletim sistemi desteği var: Doğru
Windows Spekülatif mağaza atlama azaltma için işletim sistemi desteği sistem genelinde etkinleştirildi: False

CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası]

Donanım L1 terminal hatasına karşı savunmasız: L1 terminal hatasını azaltma için doğru
Windows işletim sistemi desteği var: Doğru
Windows L1 terminal hatasını azaltma için işletim sistemi desteği etkinleştirildi: True

AVH için spekülasyon denetimi ayarları [mikro mimari veri örnekleme]

AVH azaltma için Windows işletim sistemi desteği mevcut: Doğru
Donanım AVH karşı savunmasız: AVH azaltma için Doğru
Windows işletim sistemi desteği etkinleştirildi: True

SBDR için spekülasyon denetimi ayarları [paylaşılan arabellek verileri okuma] 

SBDR azaltma için Windows işletim sistemi desteği mevcut: True
Donanım SBDR'ye karşı savunmasız: SBDR azaltma için doğru
Windows işletim sistemi desteği etkinleştirildi: True  

FBSDP için spekülasyon denetimi ayarları [doldurma arabellek eski veri yayıcısı]

Windows FBSDP azaltma için işletim sistemi desteği var: Doğru
Donanım FBSDP'ye karşı savunmasız: FBSDP azaltma için doğru
Windows işletim sistemi desteği etkinleştirildi: True  

PSDP için spekülasyon denetimi ayarları [birincil eski veri yayıcısı]

PSDP azaltma için Windows işletim sistemi desteği mevcut: True
Donanım PSDP'ye karşı savunmasız: Doğru
Windows PSDP azaltma için işletim sistemi desteği etkinleştirildi: True

BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerablePresent: True
SSBDHardwarePresent: True
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
FBClearWindowsSupportEnabled: True 

SpeculationControl PowerShell betik çıkışının açıklaması

Son çıkış kılavuzu, önceki satırların çıkışıyla eşler. Bunun nedeni, PowerShell'in bir işlev tarafından döndürülen nesneyi yazdırmasıdır. Aşağıdaki tabloda PowerShell betik çıkışındaki her satır açıklanmaktadır.

Çıkış

Açıklama

CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme]

Bu bölüm, değişken 2, CVE-2017-5715, dal hedef ekleme için sistem durumunu sağlar.

Dal hedefi ekleme azaltma için donanım desteği mevcut

BTIHardwarePresent'e Haritalar. Bu satır, dal hedefi ekleme azaltmayı desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM'i, CPU üreticileri tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri yoktur ve bu nedenle dal hedefi ekleme azaltma etkinleştirilemez.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Konakta OEM güncelleştirmesi uygulanmışsa ve yönergelerizlenirse, konuk VM'lerde BTIHardwarePresent True olur.

Dal hedef ekleme azaltma için Windows işletim sistemi desteği mevcut

BTIWindowsSupportPresent'e Haritalar. Bu satır, dal hedef ekleme azaltma için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, işletim sistemi dal hedefi ekleme azaltmasını etkinleştirmeyi destekler (ve bu nedenle Ocak 2018 güncelleştirmesini yüklemiştir). False ise, Ocak 2018 güncelleştirmesi cihaza yüklenmemiştir ve dal hedefi ekleme azaltma etkinleştirilemez.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Konuk VM konak donanım güncelleştirmesini algılayamazsa, BTIWindowsSupportEnabled her zaman False olur.

Dal hedef ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi

BTIWindowsSupportEnabled'a Haritalar. Bu satır, dal hedef ekleme azaltması için Windows işletim sistemi desteğinin etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, cihaz için dal hedef ekleme azaltma için donanım desteği ve işletim sistemi desteği etkinleştirilir, bu nedenle CVE-2017-5715'e karşı koruma sağlar. False ise, aşağıdaki koşullardan biri doğrudur:

  • Donanım desteği yok.

  • İşletim sistemi desteği yok.

  • Risk azaltma, sistem ilkesi tarafından devre dışı bırakıldı.

Dal hedef ekleme azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı

BTIDisabledBySystemPolicy'ye Haritalar. Bu satır, dal hedefi ekleme azaltmasının sistem ilkesi (yönetici tanımlı ilke gibi) tarafından devre dışı bırakılıp bırakılmadığını bildirir. Sistem ilkesi, KB4072698'de belgelendiği gibi kayıt defteri denetimlerini ifade eder. True ise, sistem ilkesi azaltmayı devre dışı bırakmakla sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır.

Dal hedef ekleme azaltma için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı

BTIDisabledByNoHardwareSupport'a Haritalar. Bu satır, donanım desteğinin olmaması nedeniyle dal hedefi ekleme azaltmanın devre dışı bırakılıp bırakılmadığını bildirir. True ise, azaltmayı devre dışı bırakmak donanım desteğinin olmamasından sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır.

NotKonuk VM konak donanım güncelleştirmesini algılayamazsa, BTIDisabledByNoHardwareSupport her zaman True olur.

CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü]

Bu bölüm değişken 3, CVE-2017-5754, sahte veri önbelleği yükü için özet sistem durumu sağlar. Bunun risk azaltması çekirdek Sanal Adresi (VA) gölgesi veya sahte veri önbelleği yük azaltma olarak bilinir.

Donanım için çekirdek VA gölgelendirmesi gerekir

KVAShadowRequired'a Haritalar. Bu satır, donanımın CVE-2017-5754'e karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir. False ise, donanımın CVE-2017-5754'e karşı savunmasız olmadığı bilinmektedir.

Çekirdek VA gölgesi için Windows işletim sistemi desteği var

KVAShadowWindowsSupportPresent'e Haritalar. Bu satır, çekirdek VA gölge özelliği için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur.

Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi

KVAShadowWindowsSupportEnabled'a Haritalar. Bu satır, çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediğini bildirir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir, Windows işletim sistemi desteği vardır ve özellik etkinleştirilmiştir. Çekirdek VA gölge özelliği şu anda Windows istemci sürümlerinde varsayılan olarak etkindir ve Windows Server sürümlerinde varsayılan olarak devre dışıdır. False ise, Windows işletim sistemi desteği mevcut değildir veya özellik etkinleştirilmemiştir.

PCID performans iyileştirmesi için Windows işletim sistemi desteği etkinleştirildi

NotGüvenlik için PCID gerekli değildir. Yalnızca bir performans geliştirmenin etkinleştirilip etkinleştirilmediğini gösterir. PCID, Windows Server 2008 R2 ile desteklenmez

KVAShadowPcidEnabled'a Haritalar. Bu satır, çekirdek VA gölgesi için ek bir performans iyileştirmenin etkinleştirilip etkinleştirilmediğini bildirir. True ise çekirdek VA gölgesi etkinleştirilir, PCID için donanım desteği sağlanır ve çekirdek VA gölgesi için PCID iyileştirmesi etkinleştirilir. False ise donanım veya işletim sistemi PCID'yi desteklemeyebilir. PCID iyileştirmesinin etkinleştirilmemesi bir güvenlik zayıflığı değildir.

Kurgusal Depo Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği mevcut

SSBDWindowsSupportPresent'e Haritalar. Bu satır, Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur.

Donanım, Kurgusal Depo Atlama Devre Dışı Bırakma gerektirir

SSBDHardwareVulnerablePresent'e Haritalar. Bu satır, donanımın CVE-2018-3639'a karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3639'a karşı savunmasız olduğu düşünülebilir. False ise, donanımın CVE-2018-3639'a karşı savunmasız olmadığı bilinmektedir.

Kurgusal Mağaza Atlama Devre Dışı Bırakma için donanım desteği var

SSBDHardwarePresent'e Haritalar. Bu satır, Kurgusal Mağaza Atlama Devre Dışı Bırakma özelliğini desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM, Intel tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri yoktur ve bu nedenle Tahmini Depolama Atlama Devre Dışı Bırak özelliği açılamaz.

Not KONAKta OEM güncelleştirmesi uygulanmışsa konuk VM'lerde SSBDHardwarePresent True olur.

Kurgusal Depo Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği açık

SSBDWindowsSupportEnabledSystemWide'a Haritalar. Bu satır, Windows işletim sisteminde Tahmini Depolama Atlama Devre Dışı Bırakma'nın açık olup olmadığını bildirir. Doğru ise, Spekülatif Mağaza Atlama Devre Dışı Bırakma için donanım desteği ve işletim sistemi desteği cihaz için açık olduğundan Tahmini Mağaza Atlamasının oluşmasını önler ve bu da güvenlik riskini tamamen ortadan kaldırır. False ise, aşağıdaki koşullardan biri doğrudur:

CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası]

Bu bölüm CVE-2018-3620 tarafından başvuruda bulunılan L1TF (işletim sistemi) için özet sistem durumu sağlar. Bu azaltma, güvenli sayfa çerçevesi bitlerinin mevcut olmayan veya geçersiz sayfa tablosu girdileri için kullanılmasını sağlar.

Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu bölüm CVE-2018-3646 tarafından başvuruda bulunılan L1TF (VMM) için risk azaltma durumunun özetini sağlamaz.

Donanım L1 terminal hatasına karşı savunmasız: True

L1TFHardwareVulnerable'a Haritalar. Bu satır, donanımın L1 Terminal Hatasına (L1TF, CVE-2018-3620) karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2018-3620'ye karşı savunmasız olmadığı bilinmektedir.

L1 terminal hatasını azaltma için Windows işletim sistemi desteği mevcut: Doğru

L1TFWindowsSupportPresent'e Haritalar. Bu satır, L1 Terminal Hatası (L1TF) işletim sistemi azaltması için Windows işletim sistemi desteği olup olmadığını bildirir. Doğru ise, ağustos 2018 güncelleştirmesi cihaza yüklenir ve CVE-2018-3620 için azaltma mevcut olur. False ise Ağustos 2018 güncelleştirmesi yüklenmez ve CVE-2018-3620 için azaltma mevcut değildir.

L1 terminal hatasını azaltma için Windows işletim sistemi desteği etkinleştirildi: True

L1TFWindowsSupportEnabled'a Haritalar. Bu satır, L1 Terminal Hatası (L1TF, CVE-2018-3620) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülebilir, Windows azaltma için işletim sistemi desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir.

AVH için spekülasyon denetimi ayarları [Mikro mimari Veri Örnekleme]

Bu bölüm, AVH güvenlik açıkları kümesi için sistem durumunu sağlar: CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ve ADV220002.

AVH azaltma için Windows işletim sistemi desteği mevcut

MDSWindowsSupportPresent'e Haritalar. Bu satır, Mikro mimari Veri Örnekleme (AVH) işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, Mayıs 2019 güncelleştirmesi cihaza yüklenir ve AVH için azaltma sağlanır. False ise Mayıs 2019 güncelleştirmesi yüklenmez ve AVH için azaltma mevcut değildir.

Donanım AVH

MDSHardwareVulnerable'a Haritalar. Bu satır, donanımın Mikro Mimari Veri Örnekleme (AVH) güvenlik açıkları kümesine (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

AVH azaltma için Windows işletim sistemi desteği etkinleştirildi

MDSWindowsSupportEnabled'a Haritalar. Bu satır, Mikro Mimari Veri Örnekleme (AVH) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise donanımın AVH güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows işletim sistemi desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir.

SBDR azaltma için Windows işletim sistemi desteği mevcut

FBClearWindowsSupportPresent'e Haritalar. Bu satır, SBDR işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve SBDR için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve SBDR için azaltma mevcut değildir.

Donanım SBDR'ye karşı savunmasız

SBDRSSDPHardwareVulnerable'a Haritalar. Bu satır, donanımın SBDR [paylaşılan arabellek verileri okuma] güvenlik açığı kümesine (CVE-2022-21123) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

SBDR azaltma için Windows işletim sistemi desteği etkinleştirildi

FBClearWindowsSupportEnabled'a Haritalar. Bu satır, SBDR için Windows işletim sistemi azaltmanın [paylaşılan arabellek verileri okuma] etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, donanımın SBDR güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir.

FBSDP azaltma için Windows işletim sistemi desteği mevcut

FBClearWindowsSupportPresent'e Haritalar. Bu satır, FBSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve FBSDP için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve FBSDP için azaltma mevcut değildir.

Donanım FBSDP'ye karşı savunmasız

FBSDPHardwareVulnerable'a Haritalar. Bu satır, donanımın FBSDP [doldurma arabellek eski veri yayıcısı] güvenlik açıkları kümesine (CVE-2022-21125, CVE-2022-21127 ve CVE-2022-21166) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

FBSDP azaltma için Windows işletim sistemi desteği etkinleştirildi

FBClearWindowsSupportEnabled'a Haritalar. Bu satır, FBSDP [doldurma arabellek eski veri yayıcısı] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın FBSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows çalışma desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir.

PSDP azaltma için Windows işletim sistemi desteği mevcut

FBClearWindowsSupportPresent'e Haritalar. Bu satır, PSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve PSDP için risk azaltma mevcut olur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve PSDP için azaltma mevcut değildir.

Donanım PSDP'ye karşı savunmasız

PSDPHardwareVulnerable'a Haritalar. Bu satır, donanımın PSDP [birincil eski veri yayıcısı] güvenlik açığı kümesine karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir.

PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi

FBClearWindowsSupportEnabled'a Haritalar. Bu satır, PSDP [birincil eski veri yayıcısı] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın PSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir.

Tüm risk azaltmaların etkinleştirildiği çıkış

Tüm risk azaltmaları etkinleştirilmiş bir cihaz için ve her koşulu karşılamak için gerekenlerle birlikte aşağıdaki çıkış beklenir.


BTIHardwarePresent: True -> apply OEM BIOS/firmware update BTIWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini
yükleme BTIWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.
BTIDisabledBySystemPolicy: False -> ilke tarafından devre dışı bırakılmadığından emin olun.
BTIDisabledByNoHardwareSupport: False -> OEM BIOS/üretici yazılımı güncelleştirmesinin uygulandığından emin olun.
KVAShadowRequired: True veya False -> eylem yok, bu, bilgisayarınIf KVAShadowRequired is True
kullandığı

CPU'nun bir işlevidir KVAShadowWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini
yükleme KVAShadowWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.
KVAShadowPcidEnabled: True veya False -> eylem yok, bu, bilgisayarın kullandığı CPU'nun bir işlevidir


ADV180012
#x1If SSBDHardwareVulnerablePresent is True SSBDHardwarePresent: True -> cihazınızdan SSBD desteğiyle BIOS/üretici yazılımı güncelleştirmesini yükleyin OEM
SSBDWindowsSupportEnabledSystemWide: True -> follow SSBD'yi açmak için önerilen eylemler


ADV180018
for Windows Server or Client as appropriate to enable the mitigation #x1If L1TFHardwareVulnerable is True

Kayıt defteri

Aşağıdaki tablo, çıkışı KB4072698 kapsamındaki kayıt defteri anahtarlarıyla eşler: silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows Server ve Azure Stack HCI kılavuzu.

Kayıt defteri anahtarı

Eşleme

FeatureSettingsOverride – Bit 0

Haritalar - Dal hedef ekleme - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Haritalar - Sahte veri önbelleği yükü - VAShadowWindowsSupportEnabled

Başvurular

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin

Eğitimleri keşfedin >

Yeni özellikleri ilk olarak siz edinin

Microsoft Insider’a katılın >

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×