Data da alteração |
Descrição da alteração |
---|---|
17 de julho de 2023 |
MMIO adicionado e descrições específicas de valores de saída na seção "Saída que tem todas as mitigações habilitadas" |
Resumo
Para ajudá-lo a verificar o status das mitigações de canal lateral de execução especulativa, publicamos um script do PowerShell (SpeculatControl) que pode ser executado em seus dispositivos. Este artigo explica como executar o script SpeculationContro e o que significa a saída.
Os comunicados de segurança ADV180002, ADV180012, ADV180018 e ADV190013 abrangem as nove vulnerabilidades a seguir:
-
CVE-2017-5715 (injeção de destino de branch)
-
CVE-2017-5753 (bypass de verificação de limites)
Observação A proteção para a CVE-2017-5753 (verificação de limites) não requer configurações adicionais do registro ou atualizações de firmware.
-
CVE-2017-5754 (carregamento de cache de dados fraudulentos)
-
CVE-2018-3639 (bypass de repositório especulativo)
-
CVE-2018-3620 (falha de terminal L1 – OS)
-
CVE-2018-11091 (Amostragem de Dados Microarquitetural de Memória sem Cache (MDSUM))
-
CVE-2018-12126 (Amostragem de Dados Microarquitetural de Repositório de Buffer (MSBDS))
-
CVE-2018-12127 (Amostragem de Dados Microarquitetural de Carregamento de Porta (MLPDS))
-
CVE-2018-12130 (Amostragem de Dados Microarquitetural de Buffer de Preenchimento (MFBDS))
O Comunicado ADV220002 aborda vulnerabilidades adicionais relacionadas à E/S mapeada na memória (MMIO):
-
CVE-2022-21123 | Shared Buffer Data Read (SBDR)
-
CVE-2022-21125 | Shared Buffer Data Sampling (SBDS)
-
CVE-2022-21127 | Special Register Buffer Data Sampling Update (SRBDS Update)
-
CVE-2022-21166 | Device Register Partial Write (DRPW)
Este artigo fornece detalhes sobre o script SpeculationControl do PowerShell que ajuda a determinar o estado das mitigações para as CVEs listadas que exigem configurações adicionais do registro e, em alguns casos, atualizações de firmware.
Mais informações
Script SpeculationControl do PowerShell
Instale e execute o script SpeculationControl usando um dos métodos a seguir.
Método 1: Verificação do PowerShell usando a Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1) |
Instale o módulo do PowerShell PS> Install-Module SpeculationControl Execute o módulo SpeculationControl do PowerShell para verificar se as proteções estão habilitadas PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Método 2: Verificação do PowerShell usando um download do Technet (versões anteriores do sistema operacional e do WMF) |
Instale o módulo PowerShell do ScriptCenter do Technet:
Execute o módulo PowerShell para verificar se as proteções estão habilitadas: Inicie o PowerShell e, em seguida, (usando o exemplo acima) copie e execute os seguintes comandos: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Saída do script do PowerShell
A saída do script do PowerShell SpeculationControl será semelhante à saída a seguir. As proteções habilitadas aparecem na saída como "True".
PS C:\> Get-SpeculationControlSettings
Configurações de controle de lógica para CVE-2017-5715 [injeção de destino de branch]
O suporte de hardware para mitigação de injeção de destino de branch está presente: False
O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está presente: True O suporte do sistema operacional Windows para mitigação de injeção de alvo de ramificação está habilitado: False O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela política do sistema: True O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela ausência de suporte de hardware: TrueConfigurações de controle de linguagem para CVE-2017-5754 [carregamento de cache de dados fraudulentos]
O hardware é vulnerável ao carregamento de cache de dados fraudulentos: True
O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está presente: True O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está ativado: True O hardware requer a sombra VA do kernel: True O suporte do sistema operacional Windows para sombra VA do kernel está presente: False O suporte do sistema operacional Windows para sombra VA do kernel está ativado: False O suporte do sistema operacional Windows para otimização de PCID está ativado: False Configurações de controle de especulação para CVE-2018-3639 [bypass de repositório especulativo]O hardware é vulnerável a bypass de repositório especulativo: True
O suporte de hardware para mitigação de bypass de repositório especulativo está presente: False O suporte do sistema operacional Windows para mitigação de bypass de repositório especulativo está presente: True O suporte do sistema operacional Windows para mitigação de bypass de repositório especulativo está ativado em todo o sistema: FalseConfigurações de controle de isolamento para CVE-2018-3620 [falha de terminal L1]
O hardware é vulnerável à falha de terminal L1: True
O suporte do sistema operacional Windows para mitigação de falha de terminal L1 está presente: True O suporte do sistema operacional Windows para mitigação de falha de terminal L1 está ativado: TrueConfigurações de controle de erro para MDS [amostragem de dados microarquitetural]
O suporte do sistema operacional Windows para mitigação de MDS está presente: True
O hardware é vulnerável ao MDS: True O suporte do sistema operacional Windows para mitigação de MDS está ativado: TrueConfigurações de controle de erro para SBDR [leitura de dados de buffers compartilhados]
O suporte do sistema operacional Windows para mitigação de SBDR está presente: True
O hardware é vulnerável a SBDR: True O suporte do sistema operacional Windows para mitigação de SBDR está ativado: TrueAs configurações de controle de negação para FBSDP [propagador de dados obsoletos do buffer de preenchimento]
O suporte do sistema operacional Windows para mitigação de FBSDP está presente: True O hardware é vulnerável ao FBSDP: True O suporte do sistema operacional Windows para mitigação de FBSDP está ativado: TrueConfigurações de controle de propagação para PSDP [propagador de dados obsoletos primários]
O suporte do sistema operacional Windows para mitigação de PSDP está presente: True
O hardware é vulnerável ao PSDP: True O suporte do sistema operacional Windows para mitigação de PSDP está ativado: TrueBTIHardwarePresent: True
BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: TrueExplicação da saída do script SpeculationControl do PowerShell
A grade de saída final é mapeada para a saída das linhas anteriores. Isso aparece porque o PowerShell imprime o objeto retornado por uma função. A tabela a seguir explica cada linha na saída do script do PowerShell.
Fluxo de |
Explicação |
Configurações de controle de lógica para CVE-2017-5715 [injeção de destino de branch] |
Esta seção fornece o status do sistema para a variante 2, CVE-2017-5715, injeção de destino de branch. |
O suporte de hardware para mitigação de injeção de destino de branch está presente |
Mapeia para BTIHardwarePresent. Essa linha informa se os recursos de hardware estão presentes para dar suporte à injeção de destino de branch. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pelos fabricantes de CPU. Se essa linha for True, os recursos de hardware necessários estarão presentes. Se a linha for False, os recursos de hardware necessários não estarão presentes. Portanto, a mitigação de injeção de destino de branch não pode ser habilitada. Observação O BTIHardwarePresent será True em VMs convidadas se a atualização do OEM for aplicada ao host e as diretrizes forem seguidas. |
O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está presente |
Mapeia para BTIWindowsSupportPresent. Essa linha informa se o suporte ao sistema operacional Windows está presente para a mitigação de injeção de destino de branch. Se forTrue, o sistema operacional dá suporte à habilitação da mitigação de injeção de destino de branch (e, portanto, instalou a atualização de janeiro de 2018). Se forFalse, a atualização de janeiro de 2018 não será instalada no dispositivo e a mitigação da injeção de destino de branch não poderá ser habilitada. Observação Se uma VM convidada não puder detectar a atualização de hardware do host, o BTIWindowsSupportEnabled sempre será False. |
O suporte do sistema operacional Windows para mitigação de injeção de injeção de destino de branch está habilitado |
Mapeia para BTIWindowsSupportEnabled. Essa linha informa se o suporte ao sistema operacional Windows está habilitado para a mitigação de injeção de destino de branch. Se for True, o suporte de hardware e o suporte ao sistema operacional para a mitigação de injeção de destino de branch será habilitado para o dispositivo, protegendo-o contra CVE-2017-5715. Se for False, uma das seguintes condições é verdadeira:
|
O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela política do sistema |
Mapeia para BTIDisabledBySystemPolicy. Essa linha informa se a mitigação de injeção de destino de branch está desabilitada pela política do sistema (como uma política definida pelo administrador). A política do sistema refere-se aos controles do Registro, conforme documentado em KB4072698. Se forTrue, a política do sistema será responsável por desabilitar a mitigação. Se forFalse, a mitigação será desabilitada por uma causa diferente. |
O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela ausência de suporte de hardware |
Mapeia para BTIDisabledByNoHardwareSupport. Essa linha informa se a mitigação de injeção de destino de branch está desabilitada devido à ausência de suporte de hardware. Se forTrue, a política do sistema será responsável por desabilitar a mitigação. Se forFalse, a mitigação será desabilitada por uma causa diferente. Observação Se uma VM convidada não conseguir detectar a atualização de hardware do host, o BTIDisabledByNoHardwareSupport sempre será True. |
Configurações de controle de linguagem para CVE-2017-5754 [carregamento de cache de dados fraudulentos] |
Esta seção fornece o status do sistema de resumo para a variante 3, CVE-2017-5754, carregamento de cache de dados fraudulentos. A mitigação para isso é conhecida como sombra de Endereço Virtual (VA) do kernel ou mitigação de carregamento de cache de dados fraudulentos. |
O hardware é vulnerável ao carregamento de cache de dados fraudulentos |
Mapeia para RdclHardwareProtected. Essa linha informa se o hardware é vulnerável à CVE-2017-5754. Se for True, acredita-se que o hardware seja vulnerável à CVE-2017-5754. Se for False, sabe-se que o hardware não é vulnerável à CVE-2017-5754. |
O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está presente |
Mapeia para KVAShadowWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para o recurso de sombra VA do kernel está presente. |
O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está habilitado |
Mapeia para KVAShadowWindowsSupportEnabled. Essa linha informa se o recurso de sombra VA do kernel está habilitado. Se for True, acredita-se que o hardware seja vulnerável à CVE-2017-5754, o suporte ao sistema operacional Windows está presente e o recurso está habilitado. |
O hardware requer sombra VA do kernel |
Mapeia para KVAShadowRequired. Essa linha informa se o sistema requer sombra VA do kernel para atenuar uma vulnerabilidade. |
O suporte do sistema operacional Windows para sombra VA do kernel está presente |
Mapeia para KVAShadowWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para o recurso de sombra VA do kernel está presente. Se forTrue, a atualização de janeiro de 2018 será instalada no dispositivo e a sombra VA do kernel terá suporte. Se forFalse, a atualização de janeiro de 2018 não será instalada e o suporte à sombra VA do kernel não existirá. |
O suporte do sistema operacional Windows para a sombra VA do kernel está habilitado |
Mapeia para KVAShadowWindowsSupportEnabled. Essa linha informa se o recurso de sombra VA do kernel está habilitado. Se for True, o suporte ao sistema operacional Windows estará presente e o recurso estará habilitado. O recurso de sombra VA do Kernel está habilitado por padrão em versões de cliente do Windows e está desabilitado por padrão em versões do Windows Server. Se forFalse , o suporte ao sistema operacional Windows não estará presente ou o recurso não estará habilitado. |
O suporte do sistema operacional Windows para otimização de desempenho PCID está habilitado Observação O PCID não é necessário para segurança. Ele só indica se uma melhoria de desempenho está habilitada. Não há suporte para PCID com o Windows Server 2008 R2 |
Mapeia para KVAShadowPcidEnabled. Essa linha informa se uma otimização de desempenho adicional está habilitada para sombra VA do kernel. Se for True, a sombra VA do kernel está habilitada, o suporte de hardware para PCID está presente e a otimização PCID para a sombra VA do kernel está habilitada. Se for false, o hardware ou o sistema operacional poderá não dar suporte a PCID. O fato de a otimização PCID não estar habilitada não é um ponto fraco de segurança. |
O suporte do sistema operacional Windows para a Desabilitação do Bypass de Repositório Especulativo está presente |
Mapeia para SSBDWindowsSupportPresent. Esta linha informa se o suporte do sistema operacional Windows para a Desabilitação do Bypass de Store Especulativo está presente. Se for True, a atualização de janeiro de 2018 será instalada no dispositivo e a sombra VA do kernel terá suporte. Se forFalse, a atualização de janeiro de 2018 não será instalada e o suporte à sombra VA do kernel não existirá. |
O hardware requer a Desabilitação de Bypass de Repositório Especulativo |
Mapeia para SSBDHardwareVulnerablePresent. Essa linha informa se o hardware é vulnerável à CVE-2018-3639. Se for True, acredita-se que o hardware seja vulnerável à CVE-2018-3639. Se for False, sabe-se que o hardware não é vulnerável à CVE-2018-3639. |
O suporte de hardware para Desabilitação de Bypass de Repositório Especulativo está presente |
Mapeia para SSBDHardwarePresent. Esta linha informa se os recursos de hardware estão presentes para dar suporte à Desabilitação de Bypass de Repositório Especulativo. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pela Intel. Se essa linha for True, os recursos de hardware necessários estarão presentes. Se a linha for False, os recursos de hardware necessários não estarão presentes. Portanto, a Desabilitação de Bypass de Repositório Especulativo não pode ser ativada. Observação O SSBDHardwarePresent será True em VMs convidadas se a atualização do OEM for aplicada ao host. |
O suporte do sistema operacional Windows à Desabilitação de Bypass de Repositório Especulativo está ativado |
Mapeia para SSBDWindowsSupportEnabledSystemWide. Esta linha informa se a Desabilitação de Bypass de Repositório Especulativo está ativada no sistema operacional Windows. Se for True, o suporte de hardware e o suporte do sistema operacional à Desabilitação de Bypass de Repositório Especulativo estão ativados para o dispositivo impedindo que um Bypass de Repositório Especulativo ocorra, eliminando o risco de segurança completamente. Se for False, uma das seguintes condições é verdadeira:
|
Configurações de controle de isolamento para CVE-2018-3620 [falha de terminal L1] |
Esta seção fornece o status do sistema de resumo para L1TF (sistema operacional) referenciado pela CVE-2018-3620. Essa mitigação garante que os bits de quadro de página seguros sejam usados para entradas de tabela de página não presentes ou inválidas. Observação Esta seção não fornece um resumo do status de mitigação para L1TF (VMM) referenciado pelaCVE-2018-3646. |
O hardware é vulnerável a uma falha de terminal L1: True |
Mapeia para L1TFHardwareVulnerable. Essa linha informa se o hardware é vulnerável à Falha de Terminal L1 (L1TF, CVE-2018-3620). Se for True, acredita-se que o hardware seja vulnerável à CVE-2018-3620. Se for False, sabe-se que o hardware não é vulnerável à CVE-2018-3620. |
O suporte do sistema operacional Windows para mitigação de Falha de terminal L1 está presente: True |
Mapeia para L1TFWindowsSupportPresent. Esta linha informa se o suporte do sistema operacional Windows para a mitigação de L1TF (Falha de Terminal L1) está presente. Se for True, a atualização de agosto de 2018 será instalada no dispositivo e a mitigação do CVE-2018-3620 estará presente. Se for False, a atualização de agosto de 2018 não será instalada e a mitigação da CVE-2018-3620 não estará presente. |
O suporte do sistema operacional Windows para mitigação de Falha de terminal L1 está habilitado: True |
Mapeia para L1TFWindowsSupportEnabled. Esta linha informa se a mitigação do sistema operacional Windows para Falha de Terminal L1 (L1TF, CVE-2018-3620) está habilitada. Se for True, acredita-se que o hardware seja vulnerável à CVE-2018-3620, o suporte ao sistema operacional Windows está presente e o recurso está habilitado. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não estará presente ou o recurso não estará habilitado. |
Configurações de controle de especulação para MDS [Amostragem de Dados Microarquitetural] |
Esta seção fornece o status do sistema para o conjunto de vulnerabilidades do MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130e ADV220002.. |
O suporte do sistema operacional Windows para mitigação do MDS está presente |
Mapeia para MDSWindowsSupportPresent. Esta linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional MDS (Amostragem de Dados Microarquitetural) está presente. Se for True, a atualização de maio de 2019 será instalada no dispositivo e a mitigação para MDS estará presente. Se for False, a atualização de maio de 2019 não será instalada e a mitigação do MDS não estará presente. |
O hardware é vulnerável a MDS |
Mapeia para MDSHardwareVulnerable. Esta linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades do MDS (Amostragem de Dados Microarquitetural) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável. |
O suporte do sistema operacional Windows para mitigação de MDS está habilitado |
Mapeia para MDSWindowsSupportEnabled. Esta linha informa se a mitigação do sistema operacional Windows para a MDS (Amostragem de Dados Microarquitetural) está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de MDS, o suporte ao sistema operacional Windows está presente e a mitigação está habilitado. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não está presente ou o recurso não está habilitado. |
O suporte do sistema operacional Windows para mitigação de SBDR está presente |
Mapeia para FBClearWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional SBDR está presente. Se for True, a atualização de junho de 2022 está instalada no dispositivo e a mitigação para SBDR estará presente. Se for False, a atualização de junho de 2022 não está instalada e a mitigação de SBDR não está presente. |
O hardware é vulnerável a SBDR |
Mapeia para SBDRSSDPHardwareVulnerable. Esta linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades de SBDR [leitura de dados de buffers compartilhados] (CVE-2022-21123). Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável. |
O suporte do sistema operacional Windows para mitigação de SBDR está habilitado |
Mapeia para FBClearWindowsSupportEnabled. Essa linha informa se a mitigação do sistema operacional Windows para SBDR [leitura de dados de buffers compartilhados] está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de SBDR, o suporte ao sistema operacional Windows está presente e a mitigação está habilitada. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não está presente ou o recurso não está habilitado. |
O suporte do sistema operacional Windows para mitigação de FBSDP está presente |
Mapeia para FBClearWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional FBSDP está presente. Se for True, a atualização de junho de 2022 está instalada no dispositivo e a mitigação para FBSDP está presente. Se for False , a atualização de junho de 2022 não será instalada e a mitigação de FBSDP não está presente. |
O hardware é vulnerável a FBSDP |
Mapeia para FBSDPHardwareVulnerable. Esta linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades do FBSDP [propagador de dados obsoletos do buffer de preenchimento] (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável. |
O suporte do sistema operacional Windows para mitigação de FBSDP está habilitado |
Mapeia para FBClearWindowsSupportEnabled. Essa linha informa se a mitigação do sistema operacional Windows para FBSDP [propagador de dados obsoletos do buffer de preenchimento] está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de FBSDP, o suporte ao sistema operacional Windows está presente e a mitigação está habilitada. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não estará presente ou o recurso não estará habilitado. |
O suporte do sistema operacional Windows para mitigação de PSDP está presente |
Mapeia para FBClearWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional PSDP está presente. Se for True, a atualização de junho de 2022 está instalada no dispositivo e a mitigação para PSDP está presente. Se forFalse , a atualização de junho de 2022 não será instalada e a mitigação do PSDP não estará presente. |
O hardware é vulnerável a PSDP |
Mapeia para PSDPHardwareVulnerable. Essa linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades de PSDP [propagador de dados obsoletos primários]. Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável. |
O suporte do sistema operacional Windows para mitigação de PSDP está habilitado |
Mapeia para FBClearWindowsSupportEnabled. Essa linha informa se a mitigação do sistema operacional Windows para PSDP [propagador de dados obsoletos primários] está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de PSDP, o suporte ao sistema operacional Windows está presente e a mitigação está habilitada. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não está presente ou a mitigação não está habilitada. |
Saída que tem todas as mitigações habilitadas
A saída a seguir é esperada para um dispositivo que tem todas as mitigações habilitadas, juntamente com o que é necessário para atender a cada condição.
BTIHardwarePresent: True -> atualização de BIOS/firmware do OEM aplicadadiretrizes. BTIDisabledBySystemPolicy: False -> certifique-se de que não esteja desabilitado pela política. BTIDisabledByNoHardwareSupport: False -> certifique-se de que a atualização do BIOS/firmware do OEM seja aplicada. BTIKernelRetpolineEnabled: False BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True ou False -> Nenhuma ação, esta é uma função da CPU usada pelo computador Se KVAShadowRequired é True KVAShadowWindowsSupportPresent: True -> instalar atualização de janeiro de 2018 KVAShadowWindowsSupportEnabled: True -> no cliente, nenhuma ação é necessária. No servidor, siga as diretrizes. KVAShadowPcidEnabled: True or False -> nenhuma ação, essa é uma função da CPU que o computador usa
BTIWindowsSupportPresent: True -> atualização de janeiro de 2018 instalada BTIWindowsSupportEnabled: True -> no cliente, nenhuma ação é necessária. No servidor, siga asSe SSBDHardwareVulnerablePresent é TrueADV180012 SSBDHardwarePresent: True -> instalar a atualização do BIOS/firmware com suporte para SSBD do OEM do seu dispositivo SSBDWindowsSupportEnabledSystemWide: True -> seguir as ações recomendadas para ativar o SSBD
SSBDWindowsSupportPresent: True -> instalar atualizações do Windows conforme documentado noSe L1TFHardwareVulnerable é TrueADV180018 L1TFWindowsSupportEnabled: True -> seguier as ações descritas no ADV180018 para Windows Server ou Cliente, conforme apropriado para habilitar a mitigação L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> instalar a atualização de junho de 2022 MDSHardwareVulnerable: False -> o hardware não é considerado vulnerável MDSWindowsSupportEnabled: True -> a mitigação para Microarchitectural Data Sampling (MDS) está habilitada FBClearWindowsSupportPresent: True -> instalar a atualização de junho de 2022 SBDRSSDPHardwareVulnerable: True -> o hardware é considerado afetado por essas vulnerabilidades FBSDPHardwareVulnerable: True -> o hardware é considerado afetado por essas vulnerabilidades PSDPHardwareVulnerable: True -> o hardware é considerado afetado por essas vulnerabilidades FBClearWindowsSupportEnabled: True -> Representa a habilitação da mitigação para SBDR/FBSDP/PSDP. Verifique se o BIOS/firmware do OEM está atualizado, se FBClearWindowsSupportPresent é True conforme descrito no ADV220002 e se KVAShadowWindowsSupportEnabled é True.
L1TFWindowsSupportPresent: True -> instalar as atualizações do Windows conforme documentado noRegistro
Chave do Registro |
Mapeamento |
FeatureSettingsOverride – Bit 0 |
Mapeia para para - Injeção de destino de branch - BTIWindowsSupportEnabled |
FeatureSettingsOverride – Bit 1 |
Mapeia para para - Carregamento de cache de dados fraudulentos - VAShadowWindowsSupportEnabled |
Referências
Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.