Applies ToWindows 11 Windows 10

Data da alteração

Descrição da alteração

17 de julho de 2023

MMIO adicionado e descrições específicas de valores de saída na seção "Saída que tem todas as mitigações habilitadas"

Resumo

Para ajudá-lo a verificar o status das mitigações de canal lateral de execução especulativa, publicamos um script do PowerShell (SpeculatControl) que pode ser executado em seus dispositivos. Este artigo explica como executar o script SpeculationContro e o que significa a saída.

Os comunicados de segurança ADV180002ADV180012, ADV180018 e ADV190013 abrangem as nove vulnerabilidades a seguir:

  • CVE-2017-5715 (injeção de destino de branch)

  • CVE-2017-5753 (bypass de verificação de limites)

    Observação A proteção para a CVE-2017-5753 (verificação de limites) não requer configurações adicionais do registro ou atualizações de firmware.  

  • CVE-2017-5754 (carregamento de cache de dados fraudulentos)

  • CVE-2018-3639 (bypass de repositório especulativo)

  • CVE-2018-3620 (falha de terminal L1 – OS)

  • CVE-2018-11091 (Amostragem de Dados Microarquitetural de Memória sem Cache (MDSUM))

  • CVE-2018-12126 (Amostragem de Dados Microarquitetural de Repositório de Buffer (MSBDS))

  • CVE-2018-12127 (Amostragem de Dados Microarquitetural de Carregamento de Porta (MLPDS))

  • CVE-2018-12130 (Amostragem de Dados Microarquitetural de Buffer de Preenchimento (MFBDS))

O Comunicado ADV220002 aborda vulnerabilidades adicionais relacionadas à E/S mapeada na memória (MMIO):

  • CVE-2022-21123 | Shared Buffer Data Read (SBDR)

  • CVE-2022-21125 | Shared Buffer Data Sampling (SBDS)

  • CVE-2022-21127 | Special Register Buffer Data Sampling Update (SRBDS Update)

  • CVE-2022-21166 | Device Register Partial Write (DRPW)

Este artigo fornece detalhes sobre o script SpeculationControl do PowerShell que ajuda a determinar o estado das mitigações para as CVEs listadas que exigem configurações adicionais do registro e, em alguns casos, atualizações de firmware.

Mais informações

Script SpeculationControl do PowerShell

Instale e execute o script SpeculationControl usando um dos métodos a seguir.

Método 1: Verificação do PowerShell usando a Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1)

Instale o módulo do PowerShell

PS> Install-Module SpeculationControl

Execute o módulo SpeculationControl do PowerShell para verificar se as proteções estão habilitadas

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Método 2: Verificação do PowerShell usando um download do Technet (versões anteriores do sistema operacional e do WMF)

Instale o módulo PowerShell do ScriptCenter do Technet:

  1. Acesse https://aka.ms/SpeculationControlPS.

  2. Baixe SpeculationControl.zip em uma pasta local.

  3. Extraia o conteúdo em uma pasta local, por exemplo C:\ADV180002

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

Inicie o PowerShell e, em seguida, (usando o exemplo acima) copie e execute os seguintes comandos:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Saída do script do PowerShell

A saída do script do PowerShell SpeculationControl será semelhante à saída a seguir. As proteções habilitadas aparecem na saída como "True".

PS C:\> Get-SpeculationControlSettings

Configurações de controle de lógica para CVE-2017-5715 [injeção de destino de branch]

O suporte de hardware para mitigação de injeção de destino de branch está presente: False O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está presente: True O suporte do sistema operacional Windows para mitigação de injeção de alvo de ramificação está habilitado: False O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela política do sistema: True O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela ausência de suporte de hardware: True

Configurações de controle de linguagem para CVE-2017-5754 [carregamento de cache de dados fraudulentos]

O hardware é vulnerável ao carregamento de cache de dados fraudulentos: True O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está presente: True O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está ativado: True O hardware requer a sombra VA do kernel: True O suporte do sistema operacional Windows para sombra VA do kernel está presente: False O suporte do sistema operacional Windows para sombra VA do kernel está ativado: False O suporte do sistema operacional Windows para otimização de PCID está ativado: False Configurações de controle de especulação para CVE-2018-3639 [bypass de repositório especulativo]

O hardware é vulnerável a bypass de repositório especulativo: True O suporte de hardware para mitigação de bypass de repositório especulativo está presente: False O suporte do sistema operacional Windows para mitigação de bypass de repositório especulativo está presente: True O suporte do sistema operacional Windows para mitigação de bypass de repositório especulativo está ativado em todo o sistema: False

Configurações de controle de isolamento para CVE-2018-3620 [falha de terminal L1]

O hardware é vulnerável à falha de terminal L1: True O suporte do sistema operacional Windows para mitigação de falha de terminal L1 está presente: True O suporte do sistema operacional Windows para mitigação de falha de terminal L1 está ativado: True

Configurações de controle de erro para MDS [amostragem de dados microarquitetural]

O suporte do sistema operacional Windows para mitigação de MDS está presente: True O hardware é vulnerável ao MDS: True O suporte do sistema operacional Windows para mitigação de MDS está ativado: True

Configurações de controle de erro para SBDR [leitura de dados de buffers compartilhados] 

O suporte do sistema operacional Windows para mitigação de SBDR está presente: True O hardware é vulnerável a SBDR: True O suporte do sistema operacional Windows para mitigação de SBDR está ativado: True 

As configurações de controle de negação para FBSDP [propagador de dados obsoletos do buffer de preenchimento] O suporte do sistema operacional Windows para mitigação de FBSDP está presente: True O hardware é vulnerável ao FBSDP: True O suporte do sistema operacional Windows para mitigação de FBSDP está ativado: True 

Configurações de controle de propagação para PSDP [propagador de dados obsoletos primários]

O suporte do sistema operacional Windows para mitigação de PSDP está presente: True O hardware é vulnerável ao PSDP: True O suporte do sistema operacional Windows para mitigação de PSDP está ativado: True

BTIHardwarePresent: True BTIWindowsSupportPresent: True BTIWindowsSupportEnabled: True BTIDisabledBySystemPolicy: False BTIDisabledByNoHardwareSupport: False BTIKernelRetpolineEnabled: True BTIKernelImportOptimizationEnabled: True RdclHardwareProtectedReported: True RdclHardwareProtected: False KVAShadowRequired: True KVAShadowWindowsSupportPresent: True KVAShadowWindowsSupportEnabled: True KVAShadowPcidEnabled: True SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: True SSBDHardwarePresent: False SSBDWindowsSupportEnabledSystemWide: False L1TFHardwareVulnerable: True L1TFWindowsSupportPresent: True L1TFWindowsSupportEnabled: True L1TFInvalidPteBit: 45 L1DFlushSupported: False HvL1tfStatusAvailable: True HvL1tfProcessorNotAffected: True MDSWindowsSupportPresent: True MDSHardwareVulnerable: True MDSWindowsSupportEnabled: True FBClearWindowsSupportPresent: True SBDRSSDPHardwareVulnerable: True FBSDPHardwareVulnerable: True PSDPHardwareVulnerable: True

Explicação da saída do script SpeculationControl do PowerShell

A grade de saída final é mapeada para a saída das linhas anteriores. Isso aparece porque o PowerShell imprime o objeto retornado por uma função. A tabela a seguir explica cada linha na saída do script do PowerShell.

Fluxo de

Explicação

Configurações de controle de lógica para CVE-2017-5715 [injeção de destino de branch]

Esta seção fornece o status do sistema para a variante 2, CVE-2017-5715, injeção de destino de branch.

O suporte de hardware para mitigação de injeção de destino de branch está presente

Mapeia para BTIHardwarePresent. Essa linha informa se os recursos de hardware estão presentes para dar suporte à injeção de destino de branch. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pelos fabricantes de CPU. Se essa linha for True, os recursos de hardware necessários estarão presentes. Se a linha for False, os recursos de hardware necessários não estarão presentes. Portanto, a mitigação de injeção de destino de branch não pode ser habilitada.

Observação O BTIHardwarePresent será True em VMs convidadas se a atualização do OEM for aplicada ao host e as diretrizes forem seguidas.

O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está presente

Mapeia para BTIWindowsSupportPresent. Essa linha informa se o suporte ao sistema operacional Windows está presente para a mitigação de injeção de destino de branch. Se forTrue, o sistema operacional dá suporte à habilitação da mitigação de injeção de destino de branch (e, portanto, instalou a atualização de janeiro de 2018). Se forFalse, a atualização de janeiro de 2018 não será instalada no dispositivo e a mitigação da injeção de destino de branch não poderá ser habilitada.

Observação Se uma VM convidada não puder detectar a atualização de hardware do host, o BTIWindowsSupportEnabled sempre será False.

O suporte do sistema operacional Windows para mitigação de injeção de injeção de destino de branch está habilitado

Mapeia para BTIWindowsSupportEnabled. Essa linha informa se o suporte ao sistema operacional Windows está habilitado para a mitigação de injeção de destino de branch. Se for True, o suporte de hardware e o suporte ao sistema operacional para a mitigação de injeção de destino de branch será habilitado para o dispositivo, protegendo-o contra CVE-2017-5715. Se for False, uma das seguintes condições é verdadeira:

  • O suporte a hardware não está presente.

  • O suporte ao sistema operacional não está presente.

  • A mitigação está desabilitada pela política do sistema.

O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela política do sistema

Mapeia para BTIDisabledBySystemPolicy. Essa linha informa se a mitigação de injeção de destino de branch está desabilitada pela política do sistema (como uma política definida pelo administrador). A política do sistema refere-se aos controles do Registro, conforme documentado em KB4072698. Se forTrue, a política do sistema será responsável por desabilitar a mitigação. Se forFalse, a mitigação será desabilitada por uma causa diferente.

O suporte do sistema operacional Windows para mitigação de injeção de destino de branch está desabilitado pela ausência de suporte de hardware

Mapeia para BTIDisabledByNoHardwareSupport. Essa linha informa se a mitigação de injeção de destino de branch está desabilitada devido à ausência de suporte de hardware. Se forTrue, a política do sistema será responsável por desabilitar a mitigação. Se forFalse, a mitigação será desabilitada por uma causa diferente.

Observação Se uma VM convidada não conseguir detectar a atualização de hardware do host, o BTIDisabledByNoHardwareSupport sempre será True.

Configurações de controle de linguagem para CVE-2017-5754 [carregamento de cache de dados fraudulentos]

Esta seção fornece o status do sistema de resumo para a variante 3, CVE-2017-5754, carregamento de cache de dados fraudulentos. A mitigação para isso é conhecida como sombra de Endereço Virtual (VA) do kernel ou mitigação de carregamento de cache de dados fraudulentos.

O hardware é vulnerável ao carregamento de cache de dados fraudulentos

Mapeia para RdclHardwareProtected. Essa linha informa se o hardware é vulnerável à CVE-2017-5754. Se for True, acredita-se que o hardware seja vulnerável à CVE-2017-5754. Se for False, sabe-se que o hardware não é vulnerável à CVE-2017-5754.

O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está presente

Mapeia para KVAShadowWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para o recurso de sombra VA do kernel está presente.

O suporte do sistema operacional Windows para mitigação de carregamento de cache de dados fraudulentos está habilitado

Mapeia para KVAShadowWindowsSupportEnabled. Essa linha informa se o recurso de sombra VA do kernel está habilitado. Se for True, acredita-se que o hardware seja vulnerável à CVE-2017-5754, o suporte ao sistema operacional Windows está presente e o recurso está habilitado.

O hardware requer sombra VA do kernel

Mapeia para KVAShadowRequired. Essa linha informa se o sistema requer sombra VA do kernel para atenuar uma vulnerabilidade.

O suporte do sistema operacional Windows para sombra VA do kernel está presente

Mapeia para KVAShadowWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para o recurso de sombra VA do kernel está presente. Se forTrue, a atualização de janeiro de 2018 será instalada no dispositivo e a sombra VA do kernel terá suporte. Se forFalse, a atualização de janeiro de 2018 não será instalada e o suporte à sombra VA do kernel não existirá.

O suporte do sistema operacional Windows para a sombra VA do kernel está habilitado

Mapeia para KVAShadowWindowsSupportEnabled. Essa linha informa se o recurso de sombra VA do kernel está habilitado. Se for True, o suporte ao sistema operacional Windows estará presente e o recurso estará habilitado. O recurso de sombra VA do Kernel está habilitado por padrão em versões de cliente do Windows e está desabilitado por padrão em versões do Windows Server. Se forFalse , o suporte ao sistema operacional Windows não estará presente ou o recurso não estará habilitado.

O suporte do sistema operacional Windows para otimização de desempenho PCID está habilitado

Observação O PCID não é necessário para segurança. Ele só indica se uma melhoria de desempenho está habilitada. Não há suporte para PCID com o Windows Server 2008 R2

Mapeia para KVAShadowPcidEnabled. Essa linha informa se uma otimização de desempenho adicional está habilitada para sombra VA do kernel. Se for True, a sombra VA do kernel está habilitada, o suporte de hardware para PCID está presente e a otimização PCID para a sombra VA do kernel está habilitada. Se for false, o hardware ou o sistema operacional poderá não dar suporte a PCID. O fato de a otimização PCID não estar habilitada não é um ponto fraco de segurança.

O suporte do sistema operacional Windows para a Desabilitação do Bypass de Repositório Especulativo está presente

Mapeia para SSBDWindowsSupportPresent. Esta linha informa se o suporte do sistema operacional Windows para a Desabilitação do Bypass de Store Especulativo está presente. Se for True, a atualização de janeiro de 2018 será instalada no dispositivo e a sombra VA do kernel terá suporte. Se forFalse, a atualização de janeiro de 2018 não será instalada e o suporte à sombra VA do kernel não existirá.

O hardware requer a Desabilitação de Bypass de Repositório Especulativo

Mapeia para SSBDHardwareVulnerablePresent. Essa linha informa se o hardware é vulnerável à CVE-2018-3639. Se for True, acredita-se que o hardware seja vulnerável à CVE-2018-3639. Se for False, sabe-se que o hardware não é vulnerável à CVE-2018-3639.

O suporte de hardware para Desabilitação de Bypass de Repositório Especulativo está presente

Mapeia para SSBDHardwarePresent. Esta linha informa se os recursos de hardware estão presentes para dar suporte à Desabilitação de Bypass de Repositório Especulativo. O OEM do dispositivo é responsável por fornecer o BIOS/firmware atualizado que contém o microcódigo fornecido pela Intel. Se essa linha for True, os recursos de hardware necessários estarão presentes. Se a linha for False, os recursos de hardware necessários não estarão presentes. Portanto, a Desabilitação de Bypass de Repositório Especulativo não pode ser ativada.

Observação O SSBDHardwarePresent será True em VMs convidadas se a atualização do OEM for aplicada ao host.

O suporte do sistema operacional Windows à Desabilitação de Bypass de Repositório Especulativo está ativado

Mapeia para SSBDWindowsSupportEnabledSystemWide. Esta linha informa se a Desabilitação de Bypass de Repositório Especulativo está ativada no sistema operacional Windows. Se for True, o suporte de hardware e o suporte do sistema operacional à Desabilitação de Bypass de Repositório Especulativo estão ativados para o dispositivo impedindo que um Bypass de Repositório Especulativo ocorra, eliminando o risco de segurança completamente. Se for False, uma das seguintes condições é verdadeira:

Configurações de controle de isolamento para CVE-2018-3620 [falha de terminal L1]

Esta seção fornece o status do sistema de resumo para L1TF (sistema operacional) referenciado pela CVE-2018-3620. Essa mitigação garante que os bits de quadro de página seguros sejam usados para entradas de tabela de página não presentes ou inválidas.

Observação Esta seção não fornece um resumo do status de mitigação para L1TF (VMM) referenciado pelaCVE-2018-3646.

O hardware é vulnerável a uma falha de terminal L1: True

Mapeia para L1TFHardwareVulnerable. Essa linha informa se o hardware é vulnerável à Falha de Terminal L1 (L1TF, CVE-2018-3620). Se for True, acredita-se que o hardware seja vulnerável à CVE-2018-3620. Se for False, sabe-se que o hardware não é vulnerável à CVE-2018-3620.

O suporte do sistema operacional Windows para mitigação de Falha de terminal L1 está presente: True

Mapeia para L1TFWindowsSupportPresent. Esta linha informa se o suporte do sistema operacional Windows para a mitigação de L1TF (Falha de Terminal L1) está presente. Se for True, a atualização de agosto de 2018 será instalada no dispositivo e a mitigação do CVE-2018-3620 estará presente. Se for False, a atualização de agosto de 2018 não será instalada e a mitigação da CVE-2018-3620 não estará presente.

O suporte do sistema operacional Windows para mitigação de Falha de terminal L1 está habilitado: True

Mapeia para L1TFWindowsSupportEnabled. Esta linha informa se a mitigação do sistema operacional Windows para Falha de Terminal L1 (L1TF, CVE-2018-3620) está habilitada. Se for True, acredita-se que o hardware seja vulnerável à CVE-2018-3620, o suporte ao sistema operacional Windows está presente e o recurso está habilitado. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não estará presente ou o recurso não estará habilitado.

Configurações de controle de especulação para MDS [Amostragem de Dados Microarquitetural]

Esta seção fornece o status do sistema para o conjunto de vulnerabilidades do MDS, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130e ADV220002..

O suporte do sistema operacional Windows para mitigação do MDS está presente

Mapeia para MDSWindowsSupportPresent. Esta linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional MDS (Amostragem de Dados Microarquitetural) está presente. Se for True, a atualização de maio de 2019 será instalada no dispositivo e a mitigação para MDS estará presente. Se for False, a atualização de maio de 2019 não será instalada e a mitigação do MDS não estará presente.

O hardware é vulnerável a MDS

Mapeia para MDSHardwareVulnerable. Esta linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades do MDS (Amostragem de Dados Microarquitetural) (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável.

O suporte do sistema operacional Windows para mitigação de MDS está habilitado

Mapeia para MDSWindowsSupportEnabled. Esta linha informa se a mitigação do sistema operacional Windows para a MDS (Amostragem de Dados Microarquitetural) está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de MDS, o suporte ao sistema operacional Windows está presente e a mitigação está habilitado. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não está presente ou o recurso não está habilitado.

O suporte do sistema operacional Windows para mitigação de SBDR está presente

Mapeia para FBClearWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional SBDR está presente. Se for True, a atualização de junho de 2022 está instalada no dispositivo e a mitigação para SBDR estará presente. Se for False, a atualização de junho de 2022 não está instalada e a mitigação de SBDR não está presente.

O hardware é vulnerável a SBDR

Mapeia para SBDRSSDPHardwareVulnerable. Esta linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades de SBDR [leitura de dados de buffers compartilhados] (CVE-2022-21123). Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável.

O suporte do sistema operacional Windows para mitigação de SBDR está habilitado

Mapeia para FBClearWindowsSupportEnabled. Essa linha informa se a mitigação do sistema operacional Windows para SBDR [leitura de dados de buffers compartilhados] está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de SBDR, o suporte ao sistema operacional Windows está presente e a mitigação está habilitada. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não está presente ou o recurso não está habilitado.

O suporte do sistema operacional Windows para mitigação de FBSDP está presente

Mapeia para FBClearWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional FBSDP está presente. Se for True, a atualização de junho de 2022 está instalada no dispositivo e a mitigação para FBSDP está presente. Se for False , a atualização de junho de 2022 não será instalada e a mitigação de FBSDP não está presente.

O hardware é vulnerável a FBSDP

Mapeia para FBSDPHardwareVulnerable. Esta linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades do FBSDP [propagador de dados obsoletos do buffer de preenchimento] (CVE-2022-21125, CVE-2022-21127 e CVE-2022-21166). Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável.

O suporte do sistema operacional Windows para mitigação de FBSDP está habilitado

Mapeia para FBClearWindowsSupportEnabled. Essa linha informa se a mitigação do sistema operacional Windows para FBSDP [propagador de dados obsoletos do buffer de preenchimento] está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de FBSDP, o suporte ao sistema operacional Windows está presente e a mitigação está habilitada. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não estará presente ou o recurso não estará habilitado.

O suporte do sistema operacional Windows para mitigação de PSDP está presente

Mapeia para FBClearWindowsSupportPresent. Essa linha informa se o suporte do sistema operacional Windows para a mitigação do sistema operacional PSDP está presente. Se for True, a atualização de junho de 2022 está instalada no dispositivo e a mitigação para PSDP está presente. Se forFalse , a atualização de junho de 2022 não será instalada e a mitigação do PSDP não estará presente.

O hardware é vulnerável a PSDP

Mapeia para PSDPHardwareVulnerable. Essa linha informa se o hardware é vulnerável ao conjunto de vulnerabilidades de PSDP [propagador de dados obsoletos primários]. Se for True, acredita-se que o hardware seja afetado por essas vulnerabilidades. Se for False, sabe-se que o hardware não é vulnerável.

O suporte do sistema operacional Windows para mitigação de PSDP está habilitado

Mapeia para FBClearWindowsSupportEnabled. Essa linha informa se a mitigação do sistema operacional Windows para PSDP [propagador de dados obsoletos primários] está habilitada. Se for True, acredita-se que o hardware seja afetado pelas vulnerabilidades de PSDP, o suporte ao sistema operacional Windows está presente e a mitigação está habilitada. Se forFalse, o hardware não é vulnerável, o suporte ao sistema operacional Windows não está presente ou a mitigação não está habilitada.

Saída que tem todas as mitigações habilitadas

A saída a seguir é esperada para um dispositivo que tem todas as mitigações habilitadas, juntamente com o que é necessário para atender a cada condição.

BTIHardwarePresent: True -> atualização de BIOS/firmware do OEM aplicada BTIWindowsSupportPresent: True -> atualização de janeiro de 2018 instalada BTIWindowsSupportEnabled: True -> no cliente, nenhuma ação é necessária. No servidor, siga as diretrizes. BTIDisabledBySystemPolicy: False -> certifique-se de que não esteja desabilitado pela política. BTIDisabledByNoHardwareSupport: False -> certifique-se de que a atualização do BIOS/firmware do OEM seja aplicada. BTIKernelRetpolineEnabled: False       BTIKernelImportOptimizationEnabled: True KVAShadowRequired: True ou False -> Nenhuma ação, esta é uma função da CPU usada pelo computador Se KVAShadowRequired é True KVAShadowWindowsSupportPresent: True -> instalar atualização de janeiro de 2018 KVAShadowWindowsSupportEnabled: True -> no cliente, nenhuma ação é necessária. No servidor, siga as diretrizes. KVAShadowPcidEnabled: True or False -> nenhuma ação, essa é uma função da CPU que o computador usa

Se SSBDHardwareVulnerablePresent é True SSBDWindowsSupportPresent: True -> instalar atualizações do Windows conforme documentado no ADV180012 SSBDHardwarePresent: True -> instalar a atualização do BIOS/firmware com suporte para SSBD do OEM do seu dispositivo SSBDWindowsSupportEnabledSystemWide: True -> seguir as ações recomendadas para ativar o SSBD

Se L1TFHardwareVulnerable é True L1TFWindowsSupportPresent: True -> instalar as atualizações do Windows conforme documentado no ADV180018 L1TFWindowsSupportEnabled: True -> seguier as ações descritas no ADV180018 para Windows Server ou Cliente, conforme apropriado para habilitar a mitigação L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> instalar a atualização de junho de 2022 MDSHardwareVulnerable: False -> o hardware não é considerado vulnerável MDSWindowsSupportEnabled: True -> a mitigação para Microarchitectural Data Sampling (MDS) está habilitada FBClearWindowsSupportPresent: True -> instalar a atualização de junho de 2022 SBDRSSDPHardwareVulnerable: True -> o hardware é considerado afetado por essas vulnerabilidades FBSDPHardwareVulnerable: True -> o hardware é considerado afetado por essas vulnerabilidades PSDPHardwareVulnerable: True -> o hardware é considerado afetado por essas vulnerabilidades FBClearWindowsSupportEnabled: True -> Representa a habilitação da mitigação para SBDR/FBSDP/PSDP. Verifique se o BIOS/firmware do OEM está atualizado, se FBClearWindowsSupportPresent é True conforme descrito no ADV220002 e se KVAShadowWindowsSupportEnabled é True.

Registro

 A tabela a seguir mapeia a saída para as chaves do Registro que são abordadas em KB4072698: diretrizes do Windows Server e do Azure Stack HCI para proteger contra vulnerabilidades de canal lateral de execução especulativa e microarquitetural baseada em silício.

Chave do Registro

Mapeamento

FeatureSettingsOverride – Bit 0

Mapeia para para - Injeção de destino de branch - BTIWindowsSupportEnabled

FeatureSettingsOverride – Bit 1

Mapeia para para - Carregamento de cache de dados fraudulentos - VAShadowWindowsSupportEnabled

Referências

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.