Özet
Kurgusal yürütme yan kanal risk azaltmalarının durumunu doğrulamaya yardımcı olmak için cihazlarınızda çalıştırılabilen bir PowerShell betiği (SpeculationControl) yayımladık. Bu makalede SpeculationControl betiğinin nasıl çalıştırılması ve çıkışın anlamı açıklanmaktadır.
ADV180002, ADV180012, ADV180018 ve ADV190013 önerileri aşağıdaki dokuz güvenlik açığını kapsar:
-
CVE-2017-5715 (dal hedefi ekleme)
-
CVE-2017-5753 (sınır denetimi atlaması)
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. CVE-2017-5753 (sınır denetimi) için koruma için ek kayıt defteri ayarları veya üretici yazılımı güncelleştirmeleri gerekmez.
-
CVE-2017-5754 (yetkisiz sunucu verileri önbellek yüklemesi)
-
CVE-2018-3639 (kurgusal mağaza atlama)
-
CVE-2018-3620 (L1 terminal hatası – İs)
-
CVE-2018-11091 (Mikro mimari veri örneklemesi seçilemez bellek (MDSUM))
-
CVE-2018-12126 (Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS))
-
CVE-2018-12127 (Mikro Mimari Yük Bağlantı Noktası Veri Örneklemesi (MLPDS))
-
CVE-2018-12130 (Mikro mimari dolgu arabellek veri örnekleme (MFBDS))
Danışmanlık ADV220002 G/Ç (MMIO) ile ilgili ek Memory-Mapped güvenlik açıklarını kapsar:
-
CVE-2022-21123 - Paylaşılan Arabellek Verileri Okuma (SBDR)
-
CVE-2022-21125 - Paylaşılan Arabellek Verileri Örnekleme (SBDS)
-
CVE-2022-21127 - Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)
-
CVE-2022-21166 - Cihaz Yazmaç Kısmi Yazma (DRPW)
Bu makalede, listelenen CVE'ler için ek kayıt defteri ayarları ve bazı durumlarda üretici yazılımı güncelleştirmeleri gerektiren risk azaltmaların durumunun belirlenmesine yardımcı olan SpeculationControl PowerShell betiği hakkında ayrıntılar sağlanır.
Daha fazla bilgi
SpeculationControl PowerShell betiği
Aşağıdaki yöntemlerden birini kullanarak SpeculationControl betiğini yükleyin ve çalıştırın.
|
Yöntem 1: PowerShell Galerisi (Windows Server 2016 veya WMF 5.0/5.1) kullanarak PowerShell doğrulaması |
|
PowerShell modülünü yükleme PS> Install-Module SpeculationControl Korumaların etkinleştirildiğini doğrulamak için SpeculationControl PowerShell modülünü çalıştırın PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Yöntem 2: TechNet'ten indirme kullanarak PowerShell doğrulaması (önceki işletim sistemi sürümleri/önceki WMF sürümleri) |
|
TechNet ScriptCenter'nden PowerShell modülünü yükleme
Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın PowerShell'i başlatın ve ardından (yukarıdaki örneği kullanarak) aşağıdaki komutları kopyalayıp çalıştırın: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell betik çıkışı
SpeculationControl PowerShell betiğinin çıkışı aşağıdakine benzer olacaktır. Etkin korumalar çıkışta "True" olarak görünür.
PS C:\> Get-SpeculationControlSettings
CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme]
Dal hedef ekleme azaltma için donanım desteği var: Dal hedef ekleme azaltma için yanlış
Windows işletim sistemi desteği var: Dal hedef ekleme azaltma için Doğru
Windows işletim sistemi desteği etkinleştirildi: Dal hedef ekleme azaltma için yanlış
Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı: True
Windows Dal hedefi ekleme azaltma için işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı: True
CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü]
Donanım için çekirdek VA gölgesi gerekiyor: Çekirdek VA gölgesi için Doğru
Windows işletim sistemi desteği var: Çekirdek VA gölgesi için Yanlış
Windows işletim sistemi desteği etkinleştirildi: PCID iyileştirmesi için Yanlış
Windows işletim sistemi desteği etkinleştirildi: False
CVE-2018-3639 için spekülasyon denetimi ayarları [kurgusal mağaza atlama]
Donanım spekülatif depo atlamasına karşı savunmasız: Doğru
Spekülatif depo atlama azaltma için donanım desteği var: Kurgusal mağaza atlama azaltma için yanlış
Windows işletim sistemi desteği var: Doğru
Windows Spekülatif mağaza atlama azaltma için işletim sistemi desteği sistem genelinde etkinleştirildi: False
CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası]
Donanım L1 terminal hatasına karşı savunmasız: L1 terminal hatasını azaltma için doğru
Windows işletim sistemi desteği var: Doğru
Windows L1 terminal hatasını azaltma için işletim sistemi desteği etkinleştirildi: True
AVH için spekülasyon denetimi ayarları [mikro mimari veri örnekleme]
AVH azaltma için Windows işletim sistemi desteği mevcut: Doğru
Donanım AVH karşı savunmasız: AVH azaltma için Doğru
Windows işletim sistemi desteği etkinleştirildi: True
SBDR için spekülasyon denetimi ayarları [paylaşılan arabellek verileri okuma]
SBDR azaltma için Windows işletim sistemi desteği mevcut: True
Donanım SBDR'ye karşı savunmasız: SBDR azaltma için doğru
Windows işletim sistemi desteği etkinleştirildi: True
FBSDP için spekülasyon denetimi ayarları [doldurma arabellek eski veri yayıcısı]
Windows FBSDP azaltma için işletim sistemi desteği var: Doğru
Donanım FBSDP'ye karşı savunmasız: FBSDP azaltma için doğru
Windows işletim sistemi desteği etkinleştirildi: True
PSDP için spekülasyon denetimi ayarları [birincil eski veri yayıcısı]
PSDP azaltma için Windows işletim sistemi desteği mevcut: True
Donanım PSDP'ye karşı savunmasız: Doğru
Windows PSDP azaltma için işletim sistemi desteği etkinleştirildi: True
BTIHardwarePresent: False
BTIWindowsSupportPresent: True
BTIWindowsSupportEnabled: False
BTIDisabledBySystemPolicy: True
BTIDisabledByNoHardwareSupport: True
KVAShadowRequired: True
KVAShadowWindowsSupportPresent: False
KVAShadowWindowsSupportEnabled: False
KVAShadowPcidEnabled: False
SSBDWindowsSupportPresent: True
SSBDHardwareVulnerablePresent: True
SSBDHardwarePresent: True
SSBDWindowsSupportEnabledSystemWide: False
L1TFHardwareVulnerable: True
L1TFWindowsSupportPresent: True
L1TFWindowsSupportEnabled: True
L1TFInvalidPteBit: 45
L1DFlushSupported: False
MDSWindowsSupportPresent: True
MDSHardwareVulnerable: True
MDSWindowsSupportEnabled: True
FBClearWindowsSupportPresent: True
SBDRSSDPHardwareVulnerable: True
FBSDPHardwareVulnerable: True
PSDPHardwareVulnerable: True
FBClearWindowsSupportEnabled: True
SpeculationControl PowerShell betik çıkışının açıklaması
Son çıkış kılavuzu, önceki satırların çıkışıyla eşler. Bunun nedeni, PowerShell'in bir işlev tarafından döndürülen nesneyi yazdırmasıdır. Aşağıdaki tabloda PowerShell betik çıkışındaki her satır açıklanmaktadır.
|
Çıkış |
Açıklama |
|
CVE-2017-5715 için spekülasyon denetimi ayarları [dal hedef ekleme] |
Bu bölüm, değişken 2, CVE-2017-5715, dal hedef ekleme için sistem durumunu sağlar. |
|
Dal hedefi ekleme azaltma için donanım desteği mevcut |
BTIHardwarePresent'e Haritalar. Bu satır, dal hedefi ekleme azaltmayı desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM'i, CPU üreticileri tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri yoktur ve bu nedenle dal hedefi ekleme azaltma etkinleştirilemez. Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Konakta OEM güncelleştirmesi uygulanmışsa ve yönergelerizlenirse, konuk VM'lerde BTIHardwarePresent True olur. |
|
Dal hedef ekleme azaltma için Windows işletim sistemi desteği mevcut |
BTIWindowsSupportPresent'e Haritalar. Bu satır, dal hedef ekleme azaltma için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, işletim sistemi dal hedefi ekleme azaltmasını etkinleştirmeyi destekler (ve bu nedenle Ocak 2018 güncelleştirmesini yüklemiştir). False ise, Ocak 2018 güncelleştirmesi cihaza yüklenmemiştir ve dal hedefi ekleme azaltma etkinleştirilemez. Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Konuk VM konak donanım güncelleştirmesini algılayamazsa, BTIWindowsSupportEnabled her zaman False olur. |
|
Dal hedef ekleme azaltma için Windows işletim sistemi desteği etkinleştirildi |
BTIWindowsSupportEnabled'a Haritalar. Bu satır, dal hedef ekleme azaltması için Windows işletim sistemi desteğinin etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, cihaz için dal hedef ekleme azaltma için donanım desteği ve işletim sistemi desteği etkinleştirilir, bu nedenle CVE-2017-5715'e karşı koruma sağlar. False ise, aşağıdaki koşullardan biri doğrudur:
|
|
Dal hedef ekleme azaltma için Windows işletim sistemi desteği sistem ilkesi tarafından devre dışı bırakıldı |
BTIDisabledBySystemPolicy'ye Haritalar. Bu satır, dal hedefi ekleme azaltmasının sistem ilkesi (yönetici tanımlı ilke gibi) tarafından devre dışı bırakılıp bırakılmadığını bildirir. Sistem ilkesi, KB4072698'de belgelendiği gibi kayıt defteri denetimlerini ifade eder. True ise, sistem ilkesi azaltmayı devre dışı bırakmakla sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır. |
|
Dal hedef ekleme azaltma için Windows işletim sistemi desteği, donanım desteği olmadığında devre dışı bırakıldı |
BTIDisabledByNoHardwareSupport'a Haritalar. Bu satır, donanım desteğinin olmaması nedeniyle dal hedefi ekleme azaltmanın devre dışı bırakılıp bırakılmadığını bildirir. True ise, azaltmayı devre dışı bırakmak donanım desteğinin olmamasından sorumludur. False ise, azaltma farklı bir nedenden devre dışı bırakılır. NotKonuk VM konak donanım güncelleştirmesini algılayamazsa, BTIDisabledByNoHardwareSupport her zaman True olur. |
|
CVE-2017-5754 için tahmini denetim ayarları [standart dışı veri önbelleği yükü] |
Bu bölüm değişken 3, CVE-2017-5754, sahte veri önbelleği yükü için özet sistem durumu sağlar. Bunun risk azaltması çekirdek Sanal Adresi (VA) gölgesi veya sahte veri önbelleği yük azaltma olarak bilinir. |
|
Donanım için çekirdek VA gölgelendirmesi gerekir |
KVAShadowRequired'a Haritalar. Bu satır, donanımın CVE-2017-5754'e karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir. False ise, donanımın CVE-2017-5754'e karşı savunmasız olmadığı bilinmektedir. |
|
Çekirdek VA gölgesi için Windows işletim sistemi desteği var |
KVAShadowWindowsSupportPresent'e Haritalar. Bu satır, çekirdek VA gölge özelliği için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur. |
|
Çekirdek VA gölgesi için Windows işletim sistemi desteği etkinleştirildi |
KVAShadowWindowsSupportEnabled'a Haritalar. Bu satır, çekirdek VA gölge özelliğinin etkinleştirilip etkinleştirilmediğini bildirir. True ise donanımın CVE-2017-5754'e karşı savunmasız olduğu düşünülebilir, Windows işletim sistemi desteği vardır ve özellik etkinleştirilmiştir. Çekirdek VA gölge özelliği şu anda Windows istemci sürümlerinde varsayılan olarak etkindir ve Windows Server sürümlerinde varsayılan olarak devre dışıdır. False ise, Windows işletim sistemi desteği mevcut değildir veya özellik etkinleştirilmemiştir. |
|
PCID performans iyileştirmesi için Windows işletim sistemi desteği etkinleştirildi NotGüvenlik için PCID gerekli değildir. Yalnızca bir performans geliştirmenin etkinleştirilip etkinleştirilmediğini gösterir. PCID, Windows Server 2008 R2 ile desteklenmez |
KVAShadowPcidEnabled'a Haritalar. Bu satır, çekirdek VA gölgesi için ek bir performans iyileştirmenin etkinleştirilip etkinleştirilmediğini bildirir. True ise çekirdek VA gölgesi etkinleştirilir, PCID için donanım desteği sağlanır ve çekirdek VA gölgesi için PCID iyileştirmesi etkinleştirilir. False ise donanım veya işletim sistemi PCID'yi desteklemeyebilir. PCID iyileştirmesinin etkinleştirilmemesi bir güvenlik zayıflığı değildir. |
|
Kurgusal Depo Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği mevcut |
SSBDWindowsSupportPresent'e Haritalar. Bu satır, Kurgusal Depolama Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği olup olmadığını bildirir. True ise, Ocak 2018 güncelleştirmesi cihaza yüklenir ve çekirdek VA gölgesi desteklenir. False ise Ocak 2018 güncelleştirmesi yüklenmez ve çekirdek VA gölge desteği yoktur. |
|
Donanım, Kurgusal Depo Atlama Devre Dışı Bırakma gerektirir |
SSBDHardwareVulnerablePresent'e Haritalar. Bu satır, donanımın CVE-2018-3639'a karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3639'a karşı savunmasız olduğu düşünülebilir. False ise, donanımın CVE-2018-3639'a karşı savunmasız olmadığı bilinmektedir. |
|
Kurgusal Mağaza Atlama Devre Dışı Bırakma için donanım desteği var |
SSBDHardwarePresent'e Haritalar. Bu satır, Kurgusal Mağaza Atlama Devre Dışı Bırakma özelliğini desteklemek için donanım özelliklerinin mevcut olup olmadığını bildirir. Cihaz OEM, Intel tarafından sağlanan mikro kodu içeren güncelleştirilmiş BIOS/üretici yazılımını sağlamakla sorumludur. Bu satır True ise, gerekli donanım özellikleri vardır. Satır False ise, gerekli donanım özellikleri yoktur ve bu nedenle Tahmini Depolama Atlama Devre Dışı Bırak özelliği açılamaz. Not KONAKta OEM güncelleştirmesi uygulanmışsa konuk VM'lerde SSBDHardwarePresent True olur. |
|
Kurgusal Depo Atlama Devre Dışı Bırakma için Windows işletim sistemi desteği açık |
SSBDWindowsSupportEnabledSystemWide'a Haritalar. Bu satır, Windows işletim sisteminde Tahmini Depolama Atlama Devre Dışı Bırakma'nın açık olup olmadığını bildirir. Doğru ise, Spekülatif Mağaza Atlama Devre Dışı Bırakma için donanım desteği ve işletim sistemi desteği cihaz için açık olduğundan Tahmini Mağaza Atlamasının oluşmasını önler ve bu da güvenlik riskini tamamen ortadan kaldırır. False ise, aşağıdaki koşullardan biri doğrudur:
|
|
CVE-2018-3620 için spekülasyon denetimi ayarları [L1 terminal hatası] |
Bu bölüm CVE-2018-3620 tarafından başvuruda bulunılan L1TF (işletim sistemi) için özet sistem durumu sağlar. Bu azaltma, güvenli sayfa çerçevesi bitlerinin mevcut olmayan veya geçersiz sayfa tablosu girdileri için kullanılmasını sağlar. Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu bölüm CVE-2018-3646 tarafından başvuruda bulunılan L1TF (VMM) için risk azaltma durumunun özetini sağlamaz. |
|
Donanım L1 terminal hatasına karşı savunmasız: True |
L1TFHardwareVulnerable'a Haritalar. Bu satır, donanımın L1 Terminal Hatasına (L1TF, CVE-2018-3620) karşı savunmasız olup olmadığını bildirir. True ise donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülebilir. False ise donanımın CVE-2018-3620'ye karşı savunmasız olmadığı bilinmektedir. |
|
L1 terminal hatasını azaltma için Windows işletim sistemi desteği mevcut: Doğru |
L1TFWindowsSupportPresent'e Haritalar. Bu satır, L1 Terminal Hatası (L1TF) işletim sistemi azaltması için Windows işletim sistemi desteği olup olmadığını bildirir. Doğru ise, ağustos 2018 güncelleştirmesi cihaza yüklenir ve CVE-2018-3620 için azaltma mevcut olur. False ise Ağustos 2018 güncelleştirmesi yüklenmez ve CVE-2018-3620 için azaltma mevcut değildir. |
|
L1 terminal hatasını azaltma için Windows işletim sistemi desteği etkinleştirildi: True |
L1TFWindowsSupportEnabled'a Haritalar. Bu satır, L1 Terminal Hatası (L1TF, CVE-2018-3620) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın CVE-2018-3620'ye karşı savunmasız olduğu düşünülebilir, Windows azaltma için işletim sistemi desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir. |
|
AVH için spekülasyon denetimi ayarları [Mikro mimari Veri Örnekleme] |
Bu bölüm, AVH güvenlik açıkları kümesi için sistem durumunu sağlar: CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ve ADV220002. |
|
AVH azaltma için Windows işletim sistemi desteği mevcut |
MDSWindowsSupportPresent'e Haritalar. Bu satır, Mikro mimari Veri Örnekleme (AVH) işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, Mayıs 2019 güncelleştirmesi cihaza yüklenir ve AVH için azaltma sağlanır. False ise Mayıs 2019 güncelleştirmesi yüklenmez ve AVH için azaltma mevcut değildir. |
|
Donanım AVH |
MDSHardwareVulnerable'a Haritalar. Bu satır, donanımın Mikro Mimari Veri Örnekleme (AVH) güvenlik açıkları kümesine (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
AVH azaltma için Windows işletim sistemi desteği etkinleştirildi |
MDSWindowsSupportEnabled'a Haritalar. Bu satır, Mikro Mimari Veri Örnekleme (AVH) için Windows işletim sistemi azaltmanın etkinleştirilip etkinleştirilmediğini bildirir. True ise donanımın AVH güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows işletim sistemi desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir. |
|
SBDR azaltma için Windows işletim sistemi desteği mevcut |
FBClearWindowsSupportPresent'e Haritalar. Bu satır, SBDR işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve SBDR için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve SBDR için azaltma mevcut değildir. |
|
Donanım SBDR'ye karşı savunmasız |
SBDRSSDPHardwareVulnerable'a Haritalar. Bu satır, donanımın SBDR [paylaşılan arabellek verileri okuma] güvenlik açığı kümesine (CVE-2022-21123) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
SBDR azaltma için Windows işletim sistemi desteği etkinleştirildi |
FBClearWindowsSupportEnabled'a Haritalar. Bu satır, SBDR için Windows işletim sistemi azaltmanın [paylaşılan arabellek verileri okuma] etkinleştirilip etkinleştirilmediğini bildirir. Doğru ise, donanımın SBDR güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir. |
|
FBSDP azaltma için Windows işletim sistemi desteği mevcut |
FBClearWindowsSupportPresent'e Haritalar. Bu satır, FBSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. Doğru ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve FBSDP için azaltma sağlanır. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve FBSDP için azaltma mevcut değildir. |
|
Donanım FBSDP'ye karşı savunmasız |
FBSDPHardwareVulnerable'a Haritalar. Bu satır, donanımın FBSDP [doldurma arabellek eski veri yayıcısı] güvenlik açıkları kümesine (CVE-2022-21125, CVE-2022-21127 ve CVE-2022-21166) karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
FBSDP azaltma için Windows işletim sistemi desteği etkinleştirildi |
FBClearWindowsSupportEnabled'a Haritalar. Bu satır, FBSDP [doldurma arabellek eski veri yayıcısı] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın FBSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için Windows çalışma desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir. |
|
PSDP azaltma için Windows işletim sistemi desteği mevcut |
FBClearWindowsSupportPresent'e Haritalar. Bu satır, PSDP işletim sistemi azaltma için Windows işletim sistemi desteğinin mevcut olup olmadığını bildirir. True ise, cihaza Haziran 2022 güncelleştirmesi yüklenir ve PSDP için risk azaltma mevcut olur. False ise, Haziran 2022 güncelleştirmesi yüklenmez ve PSDP için azaltma mevcut değildir. |
|
Donanım PSDP'ye karşı savunmasız |
PSDPHardwareVulnerable'a Haritalar. Bu satır, donanımın PSDP [birincil eski veri yayıcısı] güvenlik açığı kümesine karşı savunmasız olup olmadığını bildirir. True ise, donanımın bu güvenlik açıklarından etkilendiğine inanılır. False ise, donanımın güvenlik açığı olmadığı bilinir. |
|
PSDP azaltma için Windows işletim sistemi desteği etkinleştirildi |
FBClearWindowsSupportEnabled'a Haritalar. Bu satır, PSDP [birincil eski veri yayıcısı] için Windows işletim sistemi azaltmasının etkinleştirilip etkinleştirilmediğini bildirir. True ise, donanımın PSDP güvenlik açıklarından etkilendiğine inanılır, azaltma için windows işletim desteği vardır ve azaltma etkinleştirilmiştir. False ise, donanım güvenlik açığına açık değildir, Windows işletim sistemi desteği mevcut değildir veya azaltma etkinleştirilmemiştir. |
Tüm risk azaltmaların etkinleştirildiği çıkış
Tüm risk azaltmaları etkinleştirilmiş bir cihaz için ve her koşulu karşılamak için gerekenlerle birlikte aşağıdaki çıkış beklenir.
BTIHardwarePresent: True -> apply OEM BIOS/firmware update
BTIWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini
yükleme
BTIWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.
BTIDisabledBySystemPolicy: False -> ilke tarafından devre dışı bırakılmadığından emin olun.
BTIDisabledByNoHardwareSupport: False -> OEM BIOS/üretici yazılımı güncelleştirmesinin uygulandığından emin olun.
KVAShadowRequired: True veya False -> eylem yok, bu, bilgisayarınIf KVAShadowRequired is True
kullandığı
CPU'nun bir işlevidir
KVAShadowWindowsSupportPresent: True -> Ocak 2018 güncelleştirmesini
yükleme
KVAShadowWindowsSupportEnabled: İstemcide True ->, eylem gerekmez. Sunucuda yönergeleri izleyin.
KVAShadowPcidEnabled: True veya False -> eylem yok, bu, bilgisayarın kullandığı CPU'nun bir işlevidir
ADV180012
#x1If SSBDHardwareVulnerablePresent is True
SSBDHardwarePresent: True -> cihazınızdan SSBD desteğiyle BIOS/üretici yazılımı güncelleştirmesini yükleyin OEM
SSBDWindowsSupportEnabledSystemWide: True -> follow SSBD'yi açmak için önerilen eylemler
ADV180018
for Windows Server or Client as appropriate to enable the mitigation #x1If L1TFHardwareVulnerable is True
Kayıt defteri
Aşağıdaki tablo, çıkışı KB4072698 kapsamındaki kayıt defteri anahtarlarıyla eşler: silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows Server ve Azure Stack HCI kılavuzu.
|
Kayıt defteri anahtarı |
Eşleme |
|
FeatureSettingsOverride – Bit 0 |
Haritalar - Dal hedef ekleme - BTIWindowsSupportEnabled |
|
FeatureSettingsOverride – Bit 1 |
Haritalar - Sahte veri önbelleği yükü - VAShadowWindowsSupportEnabled |
Başvurular
Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.
