Datum ändern |
Beschreibung der Änderung |
---|---|
17. Juli 2023 |
MMIO und spezifische Beschreibungen der Ausgabewerte wurden im Abschnitt "Ausgabe, für die alle Risikominderungen aktiviert sind" hinzugefügt. |
Zusammenfassung
Um die Status spekulativer Parallelkanalminderungen für die Ausführung zu überprüfen, haben wir ein PowerShell-Skript (SpeculationControl) veröffentlicht, das auf Ihren Geräten ausgeführt werden kann. In diesem Artikel wird erläutert, wie Sie das SpeculationControl-Skript ausführen und was die Ausgabe bedeutet.
Die Sicherheitshinweise ADV180002, ADV180012, ADV180018 und ADV190013 decken die folgenden neun Sicherheitsrisiken ab:
-
CVE-2017-5715 (Branch Target Injection)
-
CVE-2017-5753 (Bounds Check Bypass)
Hinweis Der Schutz für CVE-2017-5753 (Bounds Check Bypass) erfordert keine zusätzlichen Registrierungseinstellungen oder Firmwareupdates.
-
CVE-2017-5754 (Rogue Data Cache Load)
-
CVE-2018-3639 (Speculative Store Bypass)
-
CVE-2018-3620 (L1 Terminal Fault – OS)
-
CVE-2018-11091 (Microarchitectural Data Sampling Uncacheable Memory (MDSUM))
-
CVE-2018-12126 (Microarchitectural Store Buffer Data Sampling (MSBDS))
-
CVE-2018-12127 (Microarchitectural Load Port Data Sampling (MLPDS))
-
CVE-2018-12130 (Microarchitectural Fill Buffer Data Sampling (MFBDS))
Der Hinweis ADV220002 deckt zusätzliche Sicherheitsrisiken im Zusammenhang mit im Speicher abgebildeten E/As (Memory-Mapped IO, MMIO) ab:
-
CVE-2022-21123 – Shared Buffer Data Read (SBDR)
-
CVE-2022-21125 – Shared Buffer Data Sampling (SBDS)
-
CVE-2022-21127 – Special Register Buffer Data Sampling Update (SRBDS Update)
-
CVE-2022-21166 – Device Register Partial Write (DRPW)
Dieser Artikel enthält Details über das SpeculationControl PowerShell-Skript, mit dem der Status der Risikominderungen für die aufgeführten CVEs bestimmt werden kann, die zusätzliche Registrierungseinstellungen und in einigen Fällen auch Firmwareupdates erfordern.
Weitere Informationen
SpeculationControl PowerShell-Skript
Installieren Sie das SpeculationControl-Skript, und führen Sie es mit einer der folgenden Methoden aus.
Methode 1: PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1) |
Installieren des PowerShell-Moduls PS> Install-Module SpeculationControl Ausführen des SpeculationControl PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Methode 2: PowerShell-Überprüfung mithilfe eines TechNet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen) |
Installieren des PowerShell-Moduls über das TechNet ScriptCenter
Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden Starten Sie PowerShell, und kopieren Sie dann (mithilfe des obigen Beispiels) die folgenden Befehle, und führen Sie sie aus: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell-Skriptausgabe
Die Ausgabe des SpeculationControl PowerShell-Skripts ähnelt der folgenden Ausgabe. Aktivierter Schutz wird in der Ausgabe als "True" angezeigt.
PS C:\> Get-SpeculationControlSettings
Spekulationssteuerungseinstellungen für CVE-2017-5715 [Branch Target Injection]
Die Hardwareunterstützung für die Risikominderung für Branch Target Injection ist vorhanden: False
Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection Mitigation ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aktiviert: False Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist per Systemrichtlinie deaktiviert: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aufgrund fehlender Hardwareunterstützung deaktiviert: TrueSpekulationssteuerungseinstellungen für CVE-2017-5754 [Rogue Data Cache Load]
Die Hardware ist anfällig für Rogue Data Cache Load: True
Die Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist aktiviert: True Die Hardware erfordert Kernel-VA-Shadowing: True Die Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist vorhanden: False Die Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist aktiviert: False Die Windows-Betriebssystemunterstützung für PCID-Optimierung ist aktiviert: False Spekulationssteuerungseinstellungen für CVE-2018-3639 [Speculative Store Bypass]Die Hardware ist anfällig für Speculative Store Bypass: True
Die Hardwareunterstützung für die Risikominderung für Speculative Store Bypass ist vorhanden: False Die Windows-Betriebssystemunterstützung für die Risikominderung für Speculative Store Bypass ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für Speculative Store Bypass ist systemübergreifend aktiviert: FalseSpekulationssteuerungseinstellungen für CVE-2018-3620 [L1 Terminal Fault]
Die Hardware ist anfällig für L1 Terminal Fault: True
Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist vorhanden: True Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist aktiviert: TrueSpekulationssteuerungseinstellungen für MDS [Microarchitectural Data Sampling]
Die Windows-Betriebssystemunterstützung für die MDS-Risikominderung ist vorhanden: True
Die Hardware ist anfällig für MDS: True Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist aktiviert: TrueSpekulationssteuerungseinstellungen für SBDR [Shared Buffers Data Read]
Die Windows-Betriebssystemunterstützung für die SBDR-Risikominderung ist vorhanden: True
Die Hardware ist anfällig für SBDR: True Die Windows-Betriebssystemunterstützung für die SBDR-Risikominderung ist aktiviert: TrueSpekulationssteuerungseinstellungen für FBSDP [Fill Buffer Stale Data Propagator]
Die Windows-Betriebssystemunterstützung für die FBSDP-Risikominderung ist vorhanden: True Die Hardware ist anfällig für FBSDP: True Die Windows-Betriebssystemunterstützung für die FBSDP-Risikominderung ist aktiviert: TrueSpekulationssteuerungseinstellungen für PSDP [Primary Stale Data Propagator]
Die Windows-Betriebssystemunterstützung für die PSDP-Risikominderung ist vorhanden: True
Die Hardware ist anfällig für PSDÜP: True Die Windows-Betriebssystemunterstützung für die PSDP-Risikominderung ist aktiviert: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueErläuterung der SpeculationControl PowerShell-Skriptausgabe
Das endgültige Ausgaberaster wird der Ausgabe der vorherigen Zeilen zugeordnet. Dies wird angezeigt, weil PowerShell das Objekt ausgibt, das von einer Funktion zurückgegeben wird. In der folgenden Tabelle wird jede Zeile in der PowerShell-Skriptausgabe erläutert.
Ausgabe- |
Erklärung |
Spekulationssteuerungseinstellungen für CVE-2017-5715 [Branch Target Injection] |
Dieser Abschnitt enthält den Systemstatus für Variante 2, CVE-2017-5715, Branch Target Injection. |
Hardwareunterstützung für die Risikominderung für Branch Target Injection ist vorhanden |
Wird BTIHardwarePresent zugeordnet. In dieser Zeile erfahren Sie, ob Hardwarefeatures vorhanden sind, um die Risikominderung für Branch Target Injection zu unterstützen. Der Geräte-OEM ist für die Bereitstellung des aktualisierten BIOS/der aktualisierten Firmware verantwortlich, das den von CPU-Herstellern bereitgestellten Microcode enthält. Wenn diese Zeile auf True festgelegt ist, sind die erforderlichen Hardwarefeatures vorhanden. Wenn diese Zeile auf False festgelegt ist, sind die erforderlichen Hardwarefeatures nicht vorhanden. Daher kann die Risikominderung für Branch Target Injection nicht aktiviert werden. Hinweis "BTIHardwarePresent" wird auf Gast-VMs auf True festgelegt, wenn das OEM-Update auf den Host angewendet wird und Anleitungbefolgt wird. |
Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist vorhanden |
Wird "BTIWindowsSupportPresent" zugeordnet. In dieser Zeile erfahren Sie, ob Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection vorhanden ist. Wenn der Wert auf True festgelegt ist, unterstützt das Betriebssystem die Aktivierung der Risikominderung für Branch Target Injection (und hat daher das Update vom Januar 2018 installiert). Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht auf dem Gerät installiert, und die Risikominderung für Branch Target Injection kann nicht aktiviert werden. Hinweis Wenn eine Gast-VM das Hosthardwareupdate nicht erkennen kann, ist BTIWindowsSupportEnabled immer False. |
Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection ist aktiviert |
Wird "BTIWindowsSupportEnabled" zugeordnet. In dieser Zeile erfahren Sie, ob Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection aktiviert ist. Wenn der Wert auf True festgelegt ist, werden Hardwareunterstützung und Betriebssystemunterstützung für die Risikominderung für Branch Target Injection für das Gerät aktiviert und somit vor CVE-2017-5715 geschützt. Wenn der Wert auf False festgelegt ist, liegt eine der folgenden Bedingungen vor:
|
Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection wird durch die Systemrichtlinie deaktiviert. |
Wird BTIDisabledBySystemPolicy zugeordnet. In dieser Zeile erfahren Sie, ob die Risikominderung für Brach Target Injection durch eine Systemrichtlinie (z. B. eine vom Administrator definierte Richtlinie) deaktiviert ist. Die Systemrichtlinie bezieht sich auf die Registrierungssteuerelemente, wie in KB4072698 dokumentiert. Wenn der Wert auf True festgelegt ist, ist die Systemrichtlinie für das Deaktivieren der Risikominderung verantwortlich. Wenn der Wert auf False festgelegt ist, wird die Risikominderung durch eine andere Ursache deaktiviert. |
Die Windows-Betriebssystemunterstützung für die Risikominderung für Branch Target Injection wird deaktiviert, wenn keine Hardwareunterstützung vorhanden ist. |
Wird BTIDisabledByNoHardwareSupport zugeordnet. In dieser Zeile erfahren Sie, ob die Risikominderung für Branch Target Injection aufgrund fehlender Hardwareunterstützung deaktiviert ist. Wenn eder Wert auf True festgelegt ist, ist das Fehlen von Hardwareunterstützung für das Deaktivieren der Risikominderung verantwortlich. Wenn der Wert auf False festgelegt ist, wird die Risikominderung durch eine andere Ursache deaktiviert. Hinweis Wenn eine Gast-VM das Hosthardwareupdate nicht erkennen kann, ist BTIDisabledByNoHardwareSupport immer True. |
Spekulationssteuerungseinstellungen für CVE-2017-5754 [Rogue Data Cache Load] |
Dieser Abschnitt enthält einen zusammenfassenden Systemstatus für Variante 3, CVE-2017-5754, Rogue Data Cache Load. Die Risikominderung hierfür wird als Kernel-Schatten für virtuelle Adressen (Virtual Address, VA) oder als Risikominderung für Rogue Data Cache Load bezeichnet. |
Hardware ist anfällig für Rogue Data Cache Load |
Wird RdclHardwareProtected zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für CVE-2017-5754 ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2017-5754. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2017-5754. |
Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist vorhanden |
Wird KVAShadowWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für das Kernel-VA-Schattenfeature vorhanden ist. |
Windows-Betriebssystemunterstützung für die Risikominderung für Rogue Data Cache Load ist aktiviert |
Wird KVAShadowWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob das Kernel-VA-Schattenfeature aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware anfällig für CVE-2017-5754 ist, die Windows-Betriebssystemunterstützung vorhanden ist und das Feature aktiviert ist. |
Hardware erfordert Kernel-VA-Shadowing |
Wird KVAShadowRequired zugeordnet. In dieser Zeile erfahren Sie, ob Ihr System Kernel-VA-Shadowing erfordert, um ein Sicherheitsrisiko zu mindern. |
Windows-Betriebssystemunterstützung für Kernel-VA-Schatten vorhanden |
Wird KVAShadowWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für das Kernel-VA-Schattenfeature vorhanden ist. Wenn der Wert auf True festgelegt ist wird das Update vom Januar 2018 auf dem Gerät installiert, und der Kernel-VA-Schatten wird unterstützt. Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht installiert, und die Kernel-VA-Schattenunterstützung ist nicht vorhanden. |
Windows-Betriebssystemunterstützung für Kernel-VA-Schatten ist aktiviert |
Wird KVAShadowWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob das Kernel-VA-Schattenfeature aktiviert ist. Wenn der Wert auf True festgelegt ist, ist die Windows-Betriebssystemunterstützung vorhanden, und das Feature ist aktiviert. Das Kernel-VA-Schattenfeature ist derzeit standardmäßig auf Clientversionen von Windows aktiviert und in Versionen von Windows Server standardmäßig deaktiviert. Wenn der Wert auf False festgelegt ist, ist entweder die Windows-Betriebssystemunterstützung nicht vorhanden, oder das Feature ist nicht aktiviert. |
Die Windows-Betriebssystemunterstützung für die PCID-Leistungsoptimierung ist aktiviert. Hinweis PCID ist aus Sicherheitsgründen nicht erforderlich. Sie gibt nur an, ob eine Leistungsverbesserung aktiviert ist. PCID wird mit Windows Server 2008 R2 nicht unterstützt. |
Wird KVAShadowPcidEnabled zugeordnet. In dieser Zeile erfahren Sie, ob eine zusätzliche Leistungsoptimierung für Kernel-VA-Schatten aktiviert ist. Wenn der Wert auf True festgelegt ist, ist der Kernel-VA-Schatten aktiviert, die Hardwareunterstützung für PCID ist vorhanden, und die PCID-Optimierung für Kernel-VA-Schatten ist aktiviert. Wenn der Wert auf False festgelegt ist, unterstützt die Hardware oder das Betriebssystem PCID möglicherweise nicht. Es ist keine Sicherheitsschwäche, dass die PCID-Optimierung nicht aktiviert wird. |
Die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable ist vorhanden |
Wird SSBDWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable vorhanden ist. Wenn der Wert auf True festgelegt ist wird das Update vom Januar 2018 auf dem Gerät installiert, und der Kernel-VA-Schatten wird unterstützt. Wenn der Wert auf False festgelegt ist, ist das Update vom Januar 2018 nicht installiert, und die Kernel-VA-Schattenunterstützung ist nicht vorhanden. |
Hardware erfordert Speculative Store Bypass Disable |
Wird SSBDHardwareVulnerablePresent zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für CVE-2018-3639 ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2018-3639. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2018-3639. |
Die Hardwareunterstützung für Speculative Store Bypass Disable ist vorhanden |
Wird SSBDHardwarePresent zugeordnet. In dieser Zeile erfahren Sie, ob Hardwarefeatures zur Unterstützung von Speculative Store Bypass Disable vorhanden sind. Der Geräte-OEM ist für die Bereitstellung des aktualisierten BIOS/der aktualisierten Firmware verantwortlich, das den von Intel bereitgestellten Microcode enthält. Wenn diese Zeile auf True festgelegt ist, sind die erforderlichen Hardwarefeatures vorhanden. Wenn diese Zeile auf False festgelegt ist, sind die erforderlichen Hardwarefeatures nicht vorhanden. Daher kann Speculative Store Bypass Disable nicht aktiviert werden. Hinweis SSBDHardwarePresent wird auf Gast-VMs auf True festgelegt, wenn das OEM-Update auf den Host angewendet wird. |
Die Windows-Betriebssystemunterstützung für Speculative Store Bypass Disable ist aktiviert |
Wird SSBDWindowsSupportEnabledSystemWide zugeordnet. Diese Zeile gibt an, ob Speculative Store Bypass Disable im Windows-Betriebssystem aktiviert ist. Wenn der Wert auf True festgelegt ist, ist die Hardwareunterstützung und Betriebssystemunterstützung für Speculative Store Bypass Disable für das Gerät aktiviert, um das Auftreten einer Speculative Store Bypass zu verhindern, wodurch das Sicherheitsrisiko vollständig beseitigt wird. Wenn der Wert auf False festgelegt ist, liegt eine der folgenden Bedingungen vor:
|
Spekulationssteuerungseinstellungen für CVE-2018-3620 [L1 Terminal Fault] |
Dieser Abschnitt enthält einen zusammenfassenden Systemstatus für L1TF (Betriebssystem), auf das CVE-2018-3620 verweist. Durch diese Risikominderung wird sichergestellt, dass sichere Seitenrahmenbits für nicht vorhandene oder ungültige Seitentabelleneinträge verwendet werden. Hinweis Dieser Abschnitt enthält keine Zusammenfassung des Risikominderungsstatus für L1TF (VMM), auf den von CVE-2018-3646 verwiesen wird. |
Hardware ist anfällig für L1 Terminal Fault: True |
Wird L1TFHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für L1 Terminal Fault (L1TF, CVE-2018-3620) ist. Wenn der Wert auf True festgelegt ist, ist die Hardware vermutlich anfällig für CVE-2018-3620. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig für CVE-2018-3620. |
Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist vorhanden: True |
Wird L1TFWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die L1 Terminal Fault (L1TF)-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom August 2018 auf dem Gerät installiert, und die Risikominderung für CVE-2018-3620 ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom August 2018 nicht installiert, und die Risikominderung für CVE-2018-3620 ist nicht vorhanden. |
Die Windows-Betriebssystemunterstützung für die Risikominderung für L1 Terminal Fault ist aktiviert: True |
Wird L1TFWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für L1 Terminal Fault (L1TF, CVE-2018-3620) aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware anfällig für CVE-2018-3620 ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
Spekulationssteuerungseinstellungen für MDS [Microarchitectural Data Sampling] |
Dieser Abschnitt enthält den Systemstatus der MDS-Sicherheitsrisiken CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und ADV220002. |
Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist vorhanden |
Wird MDSWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die MDS-Betriebssystemminderung (Microarchitectural Data Sampling) vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Mai 2019 auf dem Gerät installiert, und die Risikominderung für MDS ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Mai 2019 nicht installiert, und die Risikominderung für MDS ist nicht vorhanden. |
Hardware ist anfällig für MDS |
Wird MDSHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für MDS-Sicherheitsrisiken (Microarchitectural Data Sampling) ist (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
Die Windows-Betriebssystemunterstützung für MDS-Risikominderung ist aktiviert |
Wird MDSWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für Microarchitectural Data Sampling (MDS) aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den MDS-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
Die Windows-Betriebssystemunterstützung für SBDR-Risikominderung ist vorhanden |
Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die SBDR-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für SBDR ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für SBDR ist nicht vorhanden. |
Hardware ist anfällig für SBDR |
Wird SBDRSSDPHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für SBDR-Sicherheitsrisiken [Shared Buffers Data Read] ist (CVE-2022-21123). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
Die Windows-Betriebssystemunterstützung für SBDR-Risikominderung ist aktiviert |
Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für SBDR [Shared Buffers Data Read] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den SBDR-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
Die Windows-Betriebssystemunterstützung für FBSDP-Risikominderung ist vorhanden |
Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die FBSDP-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für FBSDP ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für FBSDP ist nicht vorhanden. |
Hardware ist anfällig für FBSDP |
Wird FBSDPHardwareVulnerable zugeordnet. In dieser Zeile erfahren Sie, ob die Hardware anfällig für FBSDP-Sicherheitsrisiken [Fill Buffer Stale Data Propagator] ist (CVE-2022-21125, CVE-2022-21127 und CVE-2022-21166). Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
Die Windows-Betriebssystemunterstützung für FBSDP-Risikominderung ist aktiviert |
Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für FBSDP [Fill Buffer Stale Data Propagator] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den FBSDP-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
Die Windows-Betriebssystemunterstützung für PSDP-Risikominderung ist vorhanden |
Wird FBClearWindowsSupportPresent zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemunterstützung für die PSDP-Betriebssystemminderung vorhanden ist. Wenn der Wert auf True festgelegt ist, wird das Update vom Juni 2022 auf dem Gerät installiert, und die Risikominderung für PSDP ist vorhanden. Wenn der Wert auf False festgelegt ist, ist das Update vom Juni 2022 nicht installiert, und die Risikominderung für PSDP ist nicht vorhanden. |
Hardware ist anfällig für PSDP |
Wird PSDPHardwareVulnerable zugeordnet. Diese Zeile informiert Sie darüber, ob die Hardware anfällig für PSDP-Sicherheitsrisiken [Primary Stale Data Propagator] ist. Wenn der Wert auf True festgelegt ist, ist die Hardware wahrscheinlich von diesen Sicherheitsanfälligkeiten betroffen. Wenn der Wert auf False festgelegt ist, ist die Hardware bekanntermaßen nicht anfällig. |
Die Windows-Betriebssystemunterstützung für PSDP-Risikominderung ist aktiviert |
Wird FBClearWindowsSupportEnabled zugeordnet. In dieser Zeile erfahren Sie, ob die Windows-Betriebssystemminderung für PSDP [Primary Stale Data Propagator] aktiviert ist. Wenn der Wert auf True festgelegt ist, wird davon ausgegangen, dass die Hardware von den PSDP-Sicherheitsrisiken betroffen ist, die Windows-Betriebssystemunterstützung für die Risikominderung vorhanden ist und die Risikominderung aktiviert ist. Wenn der Wert auf False festgelegt ist, ist entweder die Hardware nicht anfällig, die Windows-Betriebssystemunterstützung ist nicht vorhanden, oder die Risikominderung ist nicht aktiviert. |
Ausgabe, bei der alle Risikominderungen aktiviert sind
Die folgende Ausgabe wird für ein Gerät erwartet, für das alle Risikominderungen aktiviert sind, zusammen mit dem, was erforderlich ist, um die einzelnen Bedingungen zu erfüllen.
BTIHardwarePresent: True -> OEM-BIOS-/Firmwareupdate angewendetAnleitung. BTIDisabledBySystemPolicy: False -> sicherstellen, dass die Richtlinie nicht deaktiviert ist. BTIDisabledByNoHardwareSupport: False -> sicherstellen, dass das OEM-BIOS-/Firmwareupdate angewendet wird. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True oder False -> keine Aktion, dies ist eine Funktion der vom Computer verwendeten CPU Wenn KVAShadowRequired True ist KVAShadowWindowsSupportPresent: True -> Update Januar 2018 installieren KVAShadowWindowsSupportEnabled: True -> auf dem Client, keine Aktion erforderlich. Befolgen Sie auf dem Server die Anleitung. KVAShadowPcidEnabled: True oder False -> keine Aktion, dies ist eine Funktion der CPU, die der Computer verwendet.
BTIWindowsSupportPresent: True -> Update vom Januar 2018 installiert BTIWindowsSupportEnabled: True -> auf dem Client, keine Aktion erforderlich. Befolgen Sie auf dem Server dieWenn SSBDHardwareVulnerablePresent True istADV180012 SSBDHardwarePresent: True -> installieren Sie ein BIOS-/Firmware-Update mit Unterstützung für SSBD von Ihrem Geräte-OEM SSBDWindowsSupportEnabledSystemWide: True -> befolgen Sie die empfohlenen Aktionen, um SSBD einzuschalten
SSBDWindowsSupportPresent: True -> installieren Sie Windows-Updates wie inWenn L1TFHardwareVulnerable True istADV180018 beschrieben L1TFWindowsSupportEnabled: True -> befolgen Sie die Aktionen, die in ADV180018 beschrieben sind, für Windows Server oder Client, um den Ausgleich zu aktivieren L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> Update Juni 2022 installieren MDSHardwareVulnerable: False -> die Hardware ist bekanntermaßen nicht anfällig MDSWindowsSupportEnabled: True -> Ausgleich für Microarchitectural Data Sampling (MDS) ist aktiviert FBClearWindowsSupportPresent: True -> Update Juni 2022 installieren SBDRSSDPHardwareVulnerable: True -> Hardware ist vermutlich von diesen Sicherheitslücken betroffen FBSDPHardwareVulnerable: True -> Hardware ist vermutlich von diesen Sicherheitslücken betroffen PSDPHardwareVulnerable: True -> Hardware ist vermutlich von diesen Sicherheitslücken betroffen FBClearWindowsSupportEnabled: True -> Repräsentiert die Möglichkeit zum Ausgleich für SBDR/FBSDP/PSDP. Stellen Sie sicher, dass das OEM-BIOS/die OEM-Firmware aktualisiert ist, dass FBClearWindowsSupportPresent auf True steht und dass die Ausgleichsmaßnahmen wie in ADV220002 beschrieben aktiviert sind und dass KVAShadowWindowsSupportEnabled True ist.
L1TFWindowsSupportPresent: True -> installieren Sie Windows-Updates wie inRegistrierung
Die folgende Tabelle ordnet die Ausgabe den Registrierungsschlüsseln zu, die in KB4072698 behandelt werden: Windows Server und Azure Stack HCI-Anleitung zum Schutz vor siliziumbasierten mikroarchitektonischen Schwachstellen und Seitenkanalschwachstellen durch spekulative Ausführung.
Registrierungsschlüssel |
zuordnung |
FeatureSettingsOverride – Bit 0 |
Zuordnung zu – Branch Target Injection – BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Zuordnung zu – Rogue Data Cache Load – VAShadowWindowsSupportEnabled |
Verweise
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.