Applies ToWindows 11 Windows 10

Datum ändern

Beschreibung der Änderung

17. Juli 2023

MMIO und spezifische Beschreibungen der Ausgabewerte wurden im Abschnitt "Ausgabe, für die alle Risikominderungen aktiviert sind" hinzugefügt.

Zusammenfassung

Um die Status spekulativer Parallelkanalminderungen für die Ausführung zu überprüfen, haben wir ein PowerShell-Skript (SpeculationControl) veröffentlicht, das auf Ihren Geräten ausgeführt werden kann. In diesem Artikel wird erläutert, wie Sie das SpeculationControl-Skript ausführen und was die Ausgabe bedeutet.

Die Sicherheitshinweise ADV180002, ADV180012, ADV180018 und ADV190013 decken die folgenden neun Sicherheitsrisiken ab:

  • CVE-2017-5715 (Branch Target Injection)

  • CVE-2017-5753 (Bounds Check Bypass)

    Hinweis Der Schutz für CVE-2017-5753 (Bounds Check Bypass) erfordert keine zusätzlichen Registrierungseinstellungen oder Firmwareupdates.  

  • CVE-2017-5754 (Rogue Data Cache Load)

  • CVE-2018-3639 (Speculative Store Bypass)

  • CVE-2018-3620 (L1 Terminal Fault – OS)

  • CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))

  • CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))

  • CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))

  • CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))

Der Hinweis ADV220002 deckt zusätzliche Sicherheitsrisiken im Zusammenhang mit im Speicher abgebildeten E/As (Memory-Mapped IO, MMIO) ab:

  • CVE-2022-21123 – Shared Buffer Data Read (SBDR)

  • CVE-2022-21125 – Shared Buffer Data Sampling (SBDS)

  • CVE-2022-21127 – Special Register Buffer Data Sampling Update (SRBDS Update)

  • CVE-2022-21166 – Device Register Partial Write (DRPW)

Dieser Artikel enthält Details über das SpeculationControl PowerShell-Skript, mit dem der Status der Risikominderungen für die aufgeführten CVEs bestimmt werden kann, die zusätzliche Registrierungseinstellungen und in einigen Fällen auch Firmwareupdates erfordern.

Weitere Informationen

SpeculationControl PowerShell-Skript

Installieren Sie das SpeculationControl-Skript, und führen Sie es mit einer der folgenden Methoden aus.

Methode 1: PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls

PS> Install-Module SpeculationControl

Ausführen des SpeculationControl PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Methode 2: PowerShell-Überprüfung mithilfe eines TechNet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das TechNet ScriptCenter

  1. Navigieren Sie zu https://aka.ms/SpeculationControlPS.

  2. Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.

  3. Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV180002“.

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden

Starten Sie PowerShell, und kopieren Sie dann (mithilfe des obigen Beispiels) die folgenden Befehle, und führen Sie sie aus:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell-Skriptausgabe

Die Ausgabe des SpeculationControl PowerShell-Skripts ähnelt der folgenden Ausgabe. Aktivierter Schutz wird in der Ausgabe als "True" angezeigt.

PS C:\> Get-SpeculationControlSettings

Spekulationssteuerungseinstellungen für CVE-2017-5715 [Branch Target Injection]

Die Hardwareunterstützung für die Risikominderung für Branch Target Injection ist vorhanden: False Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection Mitigation ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aktiviert: False Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist per Systemrichtlinie deaktiviert: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aufgrund fehlender Hardwareunterstützung deaktiviert: True

Spekulationssteuerungseinstellungen für CVE-2017-5754 [Rogue Data Cache Load]

Die Hardware ist anfällig für Rogue Data Cache Load: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist aktiviert: True Die Hardware erfordert Kernel-VA-Shadowing: True Die Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist vorhanden: False Die Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist aktiviert: False Die Windows-Betriebssystemunterstützung für PCID-Optimierung ist aktiviert: False Spekulationssteuerungseinstellungen für CVE-2018-3639 [Speculative Store Bypass]

Die Hardware ist anfällig für Speculative Store Bypass: True Die Hardwareunterstützung für die Risikominderung für Speculative Store Bypass ist vorhanden: False Die Windows-Betriebssystemunterstützung für die Risikominderung für Speculative Store Bypass ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Speculative Store Bypass ist systemübergreifend aktiviert: False

Spekulationssteuerungseinstellungen für CVE-2018-3620 [L1 Terminal Fault]

Die Hardware ist anfällig für L1 Terminal Fault: True Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist aktiviert: True

Spekulationssteuerungseinstellungen für MDS [Microarchitectural Data Sampling]

Die Windows-Betriebssystemunterstützung für die MDS-Risikominderung ist vorhanden: True Die Hardware ist anfällig für MDS: True Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist aktiviert: True

Spekulationssteuerungseinstellungen für SBDR [Shared Buffers Data Read] 

Die Windows-Betriebssystemunterstützung für die SBDR-Risikominderung ist vorhanden: True Die Hardware ist anfällig für SBDR: True Die Windows-Betriebssystemunterstützung für die SBDR-Risikominderung ist aktiviert: True 

Spekulationssteuerungseinstellungen für FBSDP [Fill Buffer Stale Data Propagator] Die Windows-Betriebssystemunterstützung für die FBSDP-Risikominderung ist vorhanden: True Die Hardware ist anfällig für FBSDP: True Die Windows-Betriebssystemunterstützung für die FBSDP-Risikominderung ist aktiviert: True 

Spekulationssteuerungseinstellungen für PSDP [Primary Stale Data Propagator]

Die Windows-Betriebssystemunterstützung für die PSDP-Risikominderung ist vorhanden: True Die Hardware ist anfällig für PSDÜP: True Die Windows-Betriebssystemunterstützung für die PSDP-Risikominderung ist aktiviert: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Erläuterung der SpeculationControl PowerShell-Skriptausgabe

Das endgültige Ausgaberaster wird der Ausgabe der vorherigen Zeilen zugeordnet. Dies wird angezeigt, weil PowerShell das Objekt ausgibt, das von einer Funktion zurückgegeben wird. In der folgenden Tabelle wird jede Zeile in der PowerShell-Skriptausgabe erläutert.

Ausgabe-

Erklärung

Spekulationssteuerungseinstellungen für CVE-2017-5715 [Branch Target Injection]

Dieser Abschnitt enthält den Systemstatus für Variante 2, CVE-2017-5715, Branch Target Injection.

Hardwareunterstützung für die Risikominderung für Branch Target Injection ist vorhanden

Wird BTIHardwarePresent zugeordnet. In dieser Zeile erfahren Sie, ob Hardwarefeatures vorhanden sind, um die Risikominderung für Branch Target Injection zu unterstützen. Der Geräte-OEM ist für die Bereitstellung des aktualisierten BIOS/der aktualisierten Firmware verantwortlich, das den von CPU-Herstellern bereitgestellten Microcode enthält. Wenn diese Zeile auf True festgelegt ist, sind die erforderlichen Hardwarefeatures vorhanden. Wenn diese Zeile auf False festgelegt ist, sind die erforderlichen Hardwarefeatures nicht vorhanden. Daher kann die Risikominderung für Branch Target Injection nicht aktiviert werden.

Hinweis "BTIHardwarePresent" wird auf Gast-VMs auf True festgelegt, wenn das OEM-Update auf den Host angewendet wird und Anleitungbefolgt wird.

Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist vorhanden

Wird "BTIWindowsSupportPresent" zugeordnet. In dieser Zeile erfahren Sie, ob Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection vorhanden ist. Wenn der Wert auf True festgelegt ist, unterstützt das Betriebssystem die Aktivierung der Risikominderung für Branch Target Injection (und hat daher das Update vom Januar 2018 installiert). Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht auf dem Gerät installiert, und die Risikominderung für Branch Target Injection kann nicht aktiviert werden.

Hinweis Wenn eine Gast-VM das Hosthardwareupdate nicht erkennen kann, ist BTIWindowsSupportEnabled immer False.

Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aktiviert

Wird "BTIWindowsSupportEnabled" zugeordnet. In dieser Zeile erfahren Sie, ob Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection aktiviert ist. Wenn der Wert auf True festgelegt ist, werden Hardwareunterstützung und Betriebssystemunterstützung für die Risikominderung für Branch Target Injection für das Gerät aktiviert und somit vor CVE-2017-5715 geschützt. Wenn der Wert auf False festgelegt ist, liegt eine der folgenden Bedingungen vor:

  • Hardwareunterstützung ist nicht vorhanden.

  • Betriebssystemunterstützung ist nicht vorhanden.

  • Die Risikominderung wird durch die Systemrichtlinie deaktiviert.

Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection wird durch die Systemrichtlinie deaktiviert.

Wird BTIDisabledBySystemPolicy zugeordnet. In dieser Zeile erfahren Sie, ob die Risikominderung für Brach Target Injection durch eine Systemrichtlinie (z. B. eine vom Administrator definierte Richtlinie) deaktiviert ist. Die Systemrichtlinie bezieht sich auf die Registrierungssteuerelemente, wie in KB4072698 dokumentiert. Wenn der Wert auf True festgelegt ist, ist die Systemrichtlinie für das Deaktivieren der Risikominderung verantwortlich. Wenn der Wert auf False festgelegt ist, wird die Risikominderung durch eine andere Ursache deaktiviert.

Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection wird deaktiviert, wenn keine Hardwareunterstützung vorhanden ist.

Wird BTIDisabledByNoHardwareSupport zugeordnet. In dieser Zeile erfahren Sie, ob die Risikominderung für Branch Target Injection aufgrund fehlender Hardwareunterstützung deaktiviert ist. Wenn eder Wert auf True festgelegt ist, ist das Fehlen von Hardwareunterstützung für das Deaktivieren der Risikominderung verantwortlich. Wenn der Wert auf False festgelegt ist, wird die Risikominderung durch eine andere Ursache deaktiviert.

Hinweis Wenn eine Gast-VM das Hosthardwareupdate nicht erkennen kann, ist BTIDisabledByNoHardwareSupport immer True.

Spekulationssteuerungseinstellungen für CVE-2017-5754 [Rogue Data Cache Load]

Dieser Abschnitt enthält einen zusammenfassenden Systemstatus für Variante 3, CVE-2017-5754, Rogue Data Cache Load. Die Risikominderung hierfür wird als Kernel-Schatten für virtuelle Adressen (Virtual Address, VA) oder als Risikominderung für Rogue Data Cache Load bezeichnet.

Hardware ist anfällig für Rogue Data Cache Load

Wird RdclHardwareProtected zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für CVE-2017-5754 ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2017-5754. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2017-5754.

Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist vorhanden

Wird KVAShadowWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für das Kernel-VA-Schattenfeature vorhanden ist.

Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist aktiviert

Wird KVAShadowWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob das Kernel-VA-Schattenfeature aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware anfällig für CVE-2017-5754 ist, die Windows-Betriebssystemunterstützung vorhanden ist und das Feature aktiviert ist.

Hardware erfordert Kernel-VA-Shadowing

Wird KVAShadowRequired zugeordnet. In dieser Zeile erfahren Sie, ob Ihr System Kernel-VA-Shadowing erfordert, um ein Sicherheitsrisiko zu mindern.

Windows-Betriebssystemunterstützung für Kernel-VA-Schatten vorhanden

Wird KVAShadowWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für das Kernel-VA-Schattenfeature vorhanden ist. Wenn der Wert auf True festgelegt ist wird das Update vom Januar 2018 auf dem Gerät installiert, und der Kernel-VA-Schatten wird unterstützt. Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht installiert, und die Kernel-VA-Schattenunterstützung ist nicht vorhanden.

Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist aktiviert

Wird KVAShadowWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob das Kernel-VA-Schattenfeature aktiviert ist. Wenn der Wert auf True festgelegt ist, ist die Windows-Betriebssystemunterstützung vorhanden, und das Feature ist aktiviert. Das Kernel-VA-Schattenfeature ist derzeit standardmäßig auf Clientversionen von Windows aktiviert und in Versionen von Windows Server standardmäßig deaktiviert. Wenn der Wert auf False festgelegt ist, ist entweder die Windows-Betriebssystemunterstützung nicht vorhanden, oder das Feature ist nicht aktiviert.

Die Windows-Betriebssystemunterstützung für die PCID-Leistungsoptimierung ist aktiviert.

Hinweis PCID ist aus Sicherheitsgründen nicht erforderlich. Sie gibt nur an, ob eine Leistungsverbesserung aktiviert ist. PCID wird mit Windows Server 2008 R2 nicht unterstützt.

Wird KVAShadowPcidEnabled zugeordnet. In dieser Zeile erfahren Sie, ob eine zusätzliche Leistungsoptimierung für Kernel-VA-Schatten aktiviert ist. Wenn der Wert auf True festgelegt ist, ist der Kernel-VA-Schatten aktiviert, die Hardwareunterstützung für PCID ist vorhanden, und die PCID-Optimierung für Kernel-VA-Schatten ist aktiviert. Wenn der Wert auf False festgelegt ist, unterstützt die Hardware oder das Betriebssystem PCID möglicherweise nicht. Es ist keine Sicherheitsschwäche, dass die PCID-Optimierung nicht aktiviert wird.

Die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable ist vorhanden

Wird SSBDWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable vorhanden ist. Wenn der Wert auf True festgelegt ist wird das Update vom Januar 2018 auf dem Gerät installiert, und der Kernel-VA-Schatten wird unterstützt. Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht installiert, und die Kernel-VA-Schattenunterstützung ist nicht vorhanden.

Hardware erfordert Speculative Store Bypass Disable

Wird SSBDHardwareVulnerablePresent zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für CVE-2018-3639 ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2018-3639. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2018-3639.

Die Hardwareunterstützung für Speculative Store Bypass Disable ist vorhanden

Wird SSBDHardwarePresent zugeordnet. In dieser Zeile erfahren Sie, ob Hardwarefeatures zur Unterstützung von Speculative Store Bypass Disable vorhanden sind. Der Geräte-OEM ist für die Bereitstellung des aktualisierten BIOS/der aktualisierten Firmware verantwortlich, das den von Intel bereitgestellten Microcode enthält. Wenn diese Zeile auf True festgelegt ist, sind die erforderlichen Hardwarefeatures vorhanden. Wenn diese Zeile auf False festgelegt ist, sind die erforderlichen Hardwarefeatures nicht vorhanden. Daher kann Speculative Store Bypass Disable nicht aktiviert werden.

Hinweis SSBDHardwarePresent wird auf Gast-VMs auf True festgelegt, wenn das OEM-Update auf den Host angewendet wird.

Die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable ist aktiviert

Wird SSBDWindowsSupportEnabledSystemWide zugeordnet. Diese Zeile gibt an, ob Speculative Store Bypass Disable im Windows-Betriebssystem aktiviert ist. Wenn der Wert auf True festgelegt ist, ist die Hardwareunterstützung und Betriebssystemunterstützung für Speculative Store Bypass Disable für das Gerät aktiviert, um das Auftreten einer Speculative Store Bypass zu verhindern, wodurch das Sicherheitsrisiko vollständig beseitigt wird. Wenn der Wert auf False festgelegt ist, liegt eine der folgenden Bedingungen vor:

Spekulationssteuerungseinstellungen für CVE-2018-3620 [L1 Terminal Fault]

Dieser Abschnitt enthält einen zusammenfassenden Systemstatus für L1TF (Betriebssystem), auf das CVE-2018-3620 verweist. Durch diese Risikominderung wird sichergestellt, dass sichere Seitenrahmenbits für nicht vorhandene oder ungültige Seitentabelleneinträge verwendet werden.

Hinweis Dieser Abschnitt enthält keine Zusammenfassung des Risikominderungsstatus für L1TF (VMM), auf den von CVE-2018-3646 verwiesen wird.

Hardware ist anfällig für L1 Terminal Fault: True

Wird L1TFHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für L1 Terminal Fault (L1TF, CVE-2018-3620) ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2018-3620. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2018-3620.

Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist vorhanden: True

Wird L1TFWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die L1 Terminal Fault (L1TF)-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom August 2018 auf dem Gerät installiert, und die Risikominderung für CVE-2018-3620 ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom August 2018 nicht installiert, und die Risikominderung für CVE-2018-3620 ist nicht vorhanden.

Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist aktiviert: True

Wird L1TFWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für L1 Terminal Fault (L1TF, CVE-2018-3620) aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware anfällig für CVE-2018-3620 ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert.

Spekulationssteuerungseinstellungen für MDS [Microarchitectural Data Sampling]

Dieser Abschnitt enthält den Systemstatus der MDS-Sicherheitsrisiken CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und ADV220002.

Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist vorhanden

Wird MDSWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die MDS-Betriebssystemminderung (Microarchitectural Data Sampling) vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Mai 2019 auf dem Gerät installiert, und die Risikominderung für MDS ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Mai 2019 nicht installiert, und die Risikominderung für MDS ist nicht vorhanden.

Hardware ist anfällig für MDS

Wird MDSHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für MDS-Sicherheitsrisiken (Microarchitectural Data Sampling) ist (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig.

Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist aktiviert

Wird MDSWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für Microarchitectural Data Sampling (MDS) aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den MDS-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert.

Die Windows-Betriebssystemunterstützung für SBDR-Risikominderung ist vorhanden

Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die SBDR-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für SBDR ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für SBDR ist nicht vorhanden.

Hardware ist anfällig für SBDR

Wird SBDRSSDPHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für SBDR-Sicherheitsrisiken [Shared Buffers Data Read] ist (CVE-2022-21123). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig.

Die Windows-Betriebssystemunterstützung für SBDR-Risikominderung ist aktiviert

Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für SBDR [Shared Buffers Data Read] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den SBDR-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert.

Die Windows-Betriebssystemunterstützung für FBSDP-Risikominderung ist vorhanden

Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die FBSDP-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für FBSDP ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für FBSDP ist nicht vorhanden.

Hardware ist anfällig für FBSDP

Wird FBSDPHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für FBSDP-Sicherheitsrisiken [Fill Buffer Stale Data Propagator] ist (CVE-2022-21125, CVE-2022-21127 und CVE-2022-21166). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig.

Die Windows-Betriebssystemunterstützung für FBSDP-Risikominderung ist aktiviert

Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für FBSDP [Fill Buffer Stale Data Propagator] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den FBSDP-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert.

Die Windows-Betriebssystemunterstützung für PSDP-Risikominderung ist vorhanden

Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die PSDP-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für PSDP ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für PSDP ist nicht vorhanden.

Hardware ist anfällig für PSDP

Wird PSDPHardwareVulnerable zugeordnet. Diese Zeile informiert Sie darüber, ob die Hardware anfällig für PSDP-Sicherheitsrisiken [Primary Stale Data Propagator] ist. Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig.

Die Windows-Betriebssystemunterstützung für PSDP-Risikominderung ist aktiviert

Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für PSDP [Primary Stale Data Propagator] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den PSDP-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert.

Ausgabe, bei der alle Risikominderungen aktiviert sind

Die folgende Ausgabe wird für ein Gerät erwartet, für das alle Risikominderungen aktiviert sind, zusammen mit dem, was erforderlich ist, um die einzelnen Bedingungen zu erfüllen.

BTIHardwarePresent: True -> OEM-BIOS-/Firmwareupdate angewendet BTIWindowsSupportPresent: True -> Update vom Januar 2018 installiert BTIWindowsSupportEnabled: True -> auf dem Client, keine Aktion erforderlich. Befolgen Sie auf dem Server die Anleitung. BTIDisabledBySystemPolicy: False -> sicherstellen, dass die Richtlinie nicht deaktiviert ist. BTIDisabledByNoHardwareSupport: False -> sicherstellen, dass das OEM-BIOS-/Firmwareupdate angewendet wird. BTIKernelRetpolineEnabled: False       BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True oder False -> keine Aktion, dies ist eine Funktion der vom Computer verwendeten CPU Wenn KVAShadowRequired True ist KVAShadowWindowsSupportPresent: True -> Update Januar 2018 installieren KVAShadowWindowsSupportEnabled: True -> auf dem Client, keine Aktion erforderlich. Befolgen Sie auf dem Server die Anleitung. KVAShadowPcidEnabled: True oder False -> keine Aktion, dies ist eine Funktion der CPU, die der Computer verwendet.

Wenn SSBDHardwareVulnerablePresent True ist SSBDWindowsSupportPresent: True -> installieren Sie Windows-Updates wie in ADV180012 SSBDHardwarePresent: True -> installieren Sie ein BIOS-/Firmware-Update mit Unterstützung für SSBD von Ihrem Geräte-OEM SSBDWindowsSupportEnabledSystemWide: True -> befolgen Sie die empfohlenen Aktionen, um SSBD einzuschalten

Wenn L1TFHardwareVulnerable True ist L1TFWindowsSupportPresent: True -> installieren Sie Windows-Updates wie in ADV180018 beschrieben L1TFWindowsSupportEnabled: True -> befolgen Sie die Aktionen, die in ADV180018 beschrieben sind, für Windows Server oder Client, um den Ausgleich zu aktivieren L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> Update Juni 2022 installieren MDSHardwareVulnerable: False -> die Hardware ist bekanntermaßen nicht anfällig MDSWindowsSupportEnabled: True -> Ausgleich für Microarchitectural Data Sampling (MDS) ist aktiviert FBClearWindowsSupportPresent: True -> Update Juni 2022 installieren SBDRSSDPHardwareVulnerable: True -> Hardware ist vermutlich von diesen Sicherheitslücken betroffen FBSDPHardwareVulnerable: True -> Hardware ist vermutlich von diesen Sicherheitslücken betroffen PSDPHardwareVulnerable: True -> Hardware ist vermutlich von diesen Sicherheitslücken betroffen FBClearWindowsSupportEnabled: True -> Repräsentiert die Möglichkeit zum Ausgleich für SBDR/FBSDP/PSDP. Stellen Sie sicher, dass das OEM-BIOS/die OEM-Firmware aktualisiert ist, dass FBClearWindowsSupportPresent auf True steht und dass die Ausgleichsmaßnahmen wie in ADV220002 beschrieben aktiviert sind und dass KVAShadowWindowsSupportEnabled True ist.

Registrierung

Die folgende Tabelle ordnet die Ausgabe den Registrierungsschlüsseln zu, die in KB4072698 behandelt werden: Windows Server und Azure Stack HCI-Anleitung zum Schutz vor siliziumbasierten mikroarchitektonischen Schwachstellen und Seitenkanalschwachstellen durch spekulative Ausführung.

Registrierungsschlüssel

zuordnung

FeatureSettingsOverride – Bit 0

Zuordnung zu – Branch Target Injection – BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Zuordnung zu – Rogue Data Cache Load – VAShadowWindowsSupportEnabled

Verweise

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.