KB4074629: загальні відомості про вивід сценарію SpeculationControl PowerShell

Спосіб 1. Перевірка PowerShell за допомогою колекції PowerShell (Windows Server 2016 або WMF 5.0/5.1)

Інсталяція модуля PowerShell

PS> Install-Module SpeculationControl

Запустіть модуль SpeculationControl PowerShell, щоб переконатися, що захист увімкнуто

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Спосіб 2. Перевірка PowerShell за допомогою завантаження з TechNet (попередніх версій ОС або попередніх версій WMF)

Інсталяція модуля PowerShell із Центру сценаріїв TechNet

1. Перейдіть до https://aka.ms/SpeculationControlPS.

2. Завантажте SpeculationControl.zip до локальної папки.

3. Видобування вмісту до локальної папки, наприклад C:\ADV180002

Запустіть модуль PowerShell, щоб переконатися, що захист увімкнуто

Запустіть PowerShell, а потім (у наведеному вище прикладі) скопіюйте та виконайте такі команди:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Вихід

Пояснення

Параметри керування спекуляціями для CVE-2017-5715 [ін'єкція цільової гілки]

У цьому розділі наведено стан системи для варіанта 2, CVE-2017-5715, ін'єкції цільової гілки.

Наявна апаратна підтримка послаблення ризиків ін'єкції цільової гілки

Карти для BTIHardwarePresent. Ця лінія повідомляє, чи наявні апаратні функції для підтримки послаблення ризиків ін'єкції цільової гілки. ВиробникИ оригінального обладнання відповідають за надання оновленої мікропрограми BIOS/мікропрограми, яка містить мікрокоманд, наданий виробниками ЦП. Якщо цей рядок має значення True, доступні обов'язкові апаратні функції. Якщо лінія має значення False, необхідні функції обладнання відсутні. Таким чином, не вдалося ввімкнути зниження цільової гілки.

Нотатка BTIHardwarePresent буде true в гостьових віртуальних машинах, якщо до хоста застосовано оновлення OEM та буде виконано вказівки.

Підтримка ОС Windows для послаблення ризиків ін'єкції цільової гілки присутня

Карти до BTIWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків ін'єкції цільової гілки. Якщо це правда, операційна система підтримує активацію зниження цільової гілки (і, отже, інсталював оновлення за січень 2018 р.). Якщо це false, оновлення за січень 2018 р. не інстальовано на пристрої, і не вдалося ввімкнути послаблення ризиків ін'єкції цільової гілки.

Нотатка Якщо гостьовій ВМ не вдалося виявити оновлення апаратного забезпечення хоста, BTIWindowsSupportEnabled завжди матиме значення False.

Увімкнуто підтримку ОС Windows для послаблення ризиків ін'єкції цільової гілки

Карти для BTIWindowsSupportEnabled. У цьому рядку повідомляється, чи ввімкнуто підтримку операційної системи Windows для зниження ризику ін'єкції цільової гілки. Якщо це правда, для пристрою активовано підтримку обладнання та ОС для зниження ризику ін'єкції цільової гілки, що захищається від CVE-2017-5715. Якщо значення хибне, виконується одна з таких умов:

• Підтримка обладнання відсутня.

• Підтримка ОС відсутня.

• Зниження ризику вимкнуто системною політикою.

Системна політика вимикає підтримку ОС Windows для зниження цільової версії гілки

Карти до BTIDisabledBySystemPolicy. У цьому рядку вказано, чи вимкнуто зниження ризиків ін'єкції цільової гілки системною політикою (наприклад, політикою, визначеною адміністратором). Системна політика посилається на елементи керування реєстром, як описано в KB4072698. Якщо це правда, системна політика несе відповідальність за вимкнення засобу послаблення ризиків. Якщо значення хибне, послаблення ризиків вимикається іншою причиною.

Підтримку ОС Windows для послаблення ризиків ін'єкції цільової гілки вимкнуто через відсутність підтримки обладнання

Карти для BTIDisabledByNoHardwareSupport. У цьому рядку вказано, чи вимкнуто послаблення ризиків ін'єкції цільової гілки через відсутність підтримки обладнання. Якщо це правда, за вимкнення послаблення ризиків відповідає відсутність підтримки обладнання. Якщо значення хибне, послаблення ризиків вимикається іншою причиною.

ПриміткаЯкщо гостьовій ВМ не вдалося виявити оновлення апаратного забезпечення хоста, BTIDisabledByNoHardwareSupport завжди матиме значення True.

Параметри керування спекуляціями для CVE-2017-5754 [ізгоїв завантаження кеша даних]

У цьому розділі наведено стан зведеної системи для варіанта 3, CVE-2017-5754, ізгоїв завантаження кеша даних. Послаблення ризиків для цього відоме як тінь віртуальної адреси ядра (VA) або зниження ризику завантаження кеша даних ізгоїв.

Обладнання вразливе до навантаження кеша ізгоїв

Карти для RdclHardwareProtected. У цій лінії описано, чи вразливе обладнання до CVE-2017-5754. Якщо це правда, обладнання вважається вразливим до CVE-2017-5754. Якщо це False, обладнання, як відомо, не вразливе до CVE-2017-5754.

Підтримка ОС Windows для зниження ризику завантаження кеша даних ізгоїв

Карти до KVAShadowWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для функції тіні ядра VA.

Увімкнуто підтримку ОС Windows для зниження ризику завантаження кеша даних ізгоїв

Карти до KVAShadowWindowsSupportEnabled. У цьому рядку вказується, чи ввімкнуто функцію тіні ядра VA. Якщо це правда, вважається, що обладнання вразливе до CVE-2017-5754, підтримка операційної системи Windows присутня, і ця функція активована.

Апаратне забезпечення потребує тіні ядра VA

Карти до KVAShadowRequired. У цьому рядку ви дізнаєтеся, чи потрібна в системі тінь ядра VA для усунення вразливості.

Підтримка ОС Windows для тіні Ядра VA присутня

Карти до KVAShadowWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для функції тіні ядра VA. Якщо це правда, на пристрої інсталюється оновлення за січень 2018 р., і підтримується тінь Ядра VA. Якщо це хибність, оновлення за січень 2018 р. не інстальовано, а підтримка ядра з тінню VA не існує.

Увімкнуто підтримку ОС Windows для тіні VA ядра

Карти до KVAShadowWindowsSupportEnabled. У цьому рядку вказується, чи ввімкнуто функцію тіні ядра VA. Якщо це правда, доступна підтримка операційної системи Windows і її ввімкнуто. Функцію тіні Ядра VA наразі ввімкнуто за замовчуванням у клієнтських версіях Windows і вимкнуто за замовчуванням у версіях Windows Server. Якщо це хибність, підтримка операційної системи Windows відсутня або її не ввімкнуто.

Підтримку ОС Windows для оптимізації продуктивності PCID увімкнуто

ПриміткаДля безпеки ідентифікатор PCID не потрібен. Це вказує лише на те, чи ввімкнуто підвищення продуктивності. PcID не підтримується Windows Server 2008 R2

Карти до KVAShadowPcidEnabled. У цьому рядку вказується, чи ввімкнуто додаткову оптимізацію продуктивності для тіні ядра VA. Якщо це правда, активовано тінь Ядра VA, доступна апаратна підтримка PCID, а також активовано оптимізацію PCID для тіні Ядра VA. Якщо це false, можливо, обладнання або ОС не підтримують PCID. Це не слабкість безпеки для оптимізації PCID не буде ввімкнуто.

Доступна підтримка ОС Windows для спекулятивного відключення обходу сховища

Карти для SSBDWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для спекулятивного відключення обходу сховища. Якщо це правда, на пристрої інсталюється оновлення за січень 2018 р., і підтримується тінь Ядра VA. Якщо це хибність, оновлення за січень 2018 р. не інстальовано, а підтримка ядра з тінню VA не існує.

Апаратне забезпечення потребує спекулятивного магазину обходу Disable

Карти для SSBDHardwareVulnerablePresent. У цій лінії описано, чи вразливе обладнання до CVE-2018-3639. Якщо це правда, обладнання вважається вразливим до CVE-2018-3639. Якщо це False, обладнання, як відомо, не вразливе до CVE-2018-3639.

Наявна підтримка обладнання для спекулятивного відключення обходу сховища

Карти для SSBDHardwarePresent. Цей рядок повідомляє про наявність апаратних функцій для підтримки спекулятивного відключення обходу сховища. Виробник оригінального обладнання відповідає за надання оновленого BIOS/мікропрограми, що містить мікрокоманд від Intel. Якщо цей рядок має значення True, доступні обов'язкові апаратні функції. Якщо лінія має значення False, необхідні функції обладнання відсутні. Таким чином, спекулятивний магазин обхід вимкнути не можна ввімкнути.

Примітка Якщо до хоста застосовано оновлення OEM, SSBDHardwarePresent матиме значення True в гостьових віртуальних машинах.

Підтримку ОС Windows для спекулятивного сховища вимкніть обхід увімкнуто

Карти для SSBDWindowsSupportEnabledSystemWide. У цьому рядку вказується, чи ввімкнуто в операційній системі Windows функцію спекулятивного відключення обходу сховища. Якщо це правда, підтримка апаратного забезпечення та ОС для спекулятивного відключення обходу магазину увімкнуто для пристрою, який перешкоджає спекулятивному обходу магазину, таким чином повністю усунувши ризик безпеки. Якщо значення хибне, виконується одна з таких умов:

• Підтримка обладнання відсутня.

• Підтримка ОС відсутня.

• Спекулятивний магазин, обхід вимкнути не ввімкнуто через розділи реєстру. Інструкції з їх увімкнення див. в наведених нижче статтях.

  • KB4073119: рекомендації для клієнтів Windows для ІТ-фахівців щодо захисту від мікроархітектурних і спекулятивних вразливостей стороннього каналу виконання на базі процесора мікроархітектури та спекулятивного виконання

  • KB4072698: Рекомендації щодо HCI для Windows Server та Azure Stack для захисту від вразливостей стороннього каналу мікроархітектури та спекулятивного виконання на основі мікроархітектури та спекулятивного виконання

Параметри керування спекуляціями для CVE-2018-3620 [L1 помилка терміналу]

У цьому розділі наведено стан зведеної системи для L1TF (операційної системи), на яку посилається CVE-2018-3620. Це зниження ризику гарантує, що біти рамки безпечної сторінки використовуються для відсутніх або неприпустимих записів таблиці сторінок.

Нотатка У цьому розділі не наведено зведення стану зниження ризику для L1TF (VMM), на який посилається CVE-2018-3646.

Обладнання вразливе до несправності терміналу L1: True

Карти для L1TFHardwareVulnerable. У цьому рядку описано, чи вразливе обладнання до несправності терміналу L1 (L1TF, CVE-2018-3620). Якщо це правда, обладнання вважається вразливим до CVE-2018-3620. Якщо це False, обладнання, як відомо, не вразливе до CVE-2018-3620.

Підтримка ОС Windows для послаблення ризиків несправностей терміналу L1 присутня: True

Карти до L1TFWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи L1 Terminal Fault (L1TF). Якщо це правда, на пристрої інсталюється оновлення за серпень 2018 р., а також засіб послаблення ризиків для CVE-2018-3620 . Якщо це хибність, оновлення за серпень 2018 р. не інстальовано, а послаблення ризиків для CVE-2018-3620 відсутнє.

Увімкнуто підтримку ОС Windows для послаблення ризиків несправностей термінала L1: True

Карти до L1TFWindowsSupportEnabled. У цьому рядку описано, чи активовано послаблення ризиків операційної системи Windows для несправностей терміналів L1 (L1TF, CVE-2018-3620). Якщо це правда, вважається, що обладнання вразливе до CVE-2018-3620, підтримка операційної системи Windows для послаблення ризиків присутня, і засіб послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Параметри керування спекуляціями для MDS [Вибірка мікроархітектурних даних]

У цьому розділі наведено стан системи для набору вразливостей MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 і ADV220002.

Підтримка ОС Windows для послаблення ризиків MDS наявна

Карти для MDSWindowsSupportPresent. У цьому рядку вказується, чи підтримує операційна система Windows засіб захисту від вибірки мікроархітектурних даних (MDS). Якщо це значення true, на пристрої інсталюється оновлення за травень 2019 р., а також засіб послаблення ризиків для MDS. Якщо це false, оновлення за травень 2019 р. не інстальовано, а засіб послаблення ризиків для MDS відсутній.

Обладнання вразливе до MDS

Карти для MDSHardwareVulnerable. У цьому рядку вказано, чи вразливе обладнання до набору вразливостей вибірки мікроархітектурних даних (MDS) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків MDS увімкнуто

Карти для MDSWindowsSupportEnabled. У цьому рядку вказується, чи активовано послаблення ризиків операційної системи Windows для вибірки мікроархітектурних даних (MDS). Якщо це правда, обладнання, як вважають, залежить від вразливостей MDS, наявна підтримка операційної системи Windows для послаблення ризиків, а також послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Підтримка ОС Windows для послаблення ризиків SBDR наявна

Карти до FBClearWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи SBDR. Якщо це правда, на пристрої інсталюється оновлення за червень 2022 р., а також засіб послаблення ризиків для SBDR. Якщо це хибність, оновлення за червень 2022 р. не інстальовано, а послаблення ризиків для SBDR відсутнє.

Обладнання вразливе до SBDR

Карти для SBDRSSDPHardwareVulnerable. У цьому рядку вказано, чи вразливе обладнання до SBDR [читання даних спільних буферів] набору вразливостей (CVE-2022-21123). Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків SBDR увімкнуто

Карти до FBClearWindowsSupportEnabled. У цьому рядку вказується, чи активовано послаблення ризиків операційної системи Windows для SBDR [читання даних спільних буферів]. Якщо це правда, обладнання, як вважають, залежить від вразливостей SBDR, windows операційної підтримки для зниження ризику присутній і послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Підтримка ОС Windows для послаблення ризиків FBSDP наявна

Карти до FBClearWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи FBSDP. Якщо це правда, на пристрої інсталюється оновлення за червень 2022 р., а також засіб захисту від FBSDP. Якщо це False, оновлення за червень 2022 р. не інстальовано, а засіб захисту від FBSDP відсутній.

Обладнання вразливе до FBSDP

Карти для FBSDPHardwareVulnerable. У цьому рядку вказано, чи вразливе обладнання до набору вразливостей FBSDP [заповнювач застарілих даних] (CVE-2022-21125, CVE-2022-21127 і CVE-2022-21166). Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків FBSDP увімкнуто

Карти до FBClearWindowsSupportEnabled. У цьому рядку вказано, чи активовано послаблення ризиків операційної системи Windows для FBSDP [розповсюдження застарілих даних у буфері заповнення]. Якщо це правда, обладнання, як вважають, залежить від вразливостей FBSDP, наявна операційна підтримка Windows для послаблення ризиків, а також послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Підтримка ОС Windows для послаблення ризиків PSDP наявна

Карти до FBClearWindowsSupportPresent. У цьому рядку повідомляється, чи підтримується підтримка операційної системи Windows для послаблення ризиків операційної системи PSDP. Якщо це правда, на пристрої інсталюється оновлення за червень 2022 р. і є засіб послаблення ризиків для PSDP. Якщо це False, оновлення за червень 2022 р. не інстальовано, а засіб послаблення ризиків для PSDP відсутній.

Обладнання вразливе до PSDP

Карти для PSDPHardwareVulnerable. Ця лінія повідомляє, чи обладнання вразливе до набору вразливостей PSDP [основний застарілий розмножувач даних]. Якщо це правда, обладнання, як вважають, залежить від цих вразливостей. Якщо це False, обладнання, як відомо, не вразливе.

Підтримку ОС Windows для послаблення ризиків PSDP увімкнуто

Карти до FBClearWindowsSupportEnabled. У цьому рядку вказується, чи активовано послаблення ризиків операційної системи Windows для PSDP [основний розповсюдження застарілих даних]. Якщо це правда, обладнання, як вважають, залежить від вразливостей PSDP, windows операційної підтримки для послаблення ризиків присутній і послаблення ризиків увімкнуто. Якщо це хибність, обладнання не вразливе, підтримка операційної системи Windows відсутня або засіб послаблення ризиків не активовано.

Реєстру

Відображення

FeatureSettingsOverride – біт 0

Карти до - Ін'єкція цільової гілки - BTIWindowsSupportEnabled

FeatureSettingsOverride – біт 1

Карти до - Ізгоїв завантаження кеша даних - VAShadowWindowsSupportEnabled