Applies ToWindows 11 Windows 10

變更日期

變更描述

2023 年 7 月 17 日

在 [已啟用所有緩和功能的輸出] 區段中新增 MMIO 和輸出值的特定描述

摘要

為了協助您驗證推測執行旁路保護功能的降低風險狀態,我們發佈了 PowerShell 指令碼 (SpeculationControl) 可在您的裝置上執行。 本文將說明如何執行 SpeculationControl 指令碼以及輸出所代表的意義。

資訊安全諮詢 ADV180002ADV180012ADV180018ADV190013 涵蓋下列九個弱點:

  • CVE-2017-5715 (分支目標導入)

  • CVE-2017-5753 (範圍檢查旁路)

    附註: 保護 CVE-2017-5753 (範圍檢查) 不需要額外的登錄設定或韌體更新。  

  • CVE-2017-5754 (惡意攻擊資料快取載入)

  • CVE-2018-3639 (推測儲存旁路)

  • CVE-2018-3620 (L1 終端機錯誤: 作業系統)

  • CVE-2018-11091 (微結構資料取樣不可快取記憶體 (MDSUM))

  • CVE-2018-12126 (微結構儲存緩衝區資料取樣 (MSBDS))

  • CVE-2018-12127 (微結構負載埠資料取樣 (MLPDS))

  • CVE-2018-12130 (微結構填滿緩衝區資料取樣 (MFBDS))

公告 ADV220002 涵蓋其他記憶體對應 I/O (MMIO) 相關弱點:

  • CVE-2022-21123 | 共用緩衝區資料讀取 (SBDR)

  • CVE-2022-21125 | 共用緩衝區資料取樣 (SBDS)

  • CVE-2022-21127 | 特殊登錄緩衝區資料取樣更新 (SRBDS 更新)

  • CVE-2022-21166 | 裝置註冊部分寫入 (DRPW)

本文提供 SpeculationControl PowerShell 指令碼的詳細資訊,可協助判斷所列 CVE 的風險降低措施狀態,這些 CVE 需要其他登錄設定,以及在某些情況下需要韌體更新。

其他相關資訊

QueryControl PowerShell 指令碼

使用下列其中一種方法來安裝和執行 SpeculationControl 指令碼。

方法 1: 使用 PowerShell 資源庫的 PowerShell 驗證 (Windows Server 2016 或 WMF 5.0/5.1)

安裝 PowerShell 模組:

PS> Install-Module SpeculationControl

執行 SpeculationControl PowerShell 模組,以驗證已啟用保護

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

方法 2: 使用 TechNet (舊版作業系統/舊版 WMF) 的下載來驗證 PowerShell

安裝 Technet 指令碼中心的 PowerShell 模組

  1. 移至 https://aka.ms/SpeculationControlPS

  2. 將 SpeculationControl.zip 下載到本機資料夾。

  3. 將內容解壓縮到本機資料夾,例如 C:\ADV180002

執行 PowerShell 模組以驗證已啟用保護

啟動 PowerShell,然後 (使用上述範例) 複製並執行下列命令:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell 指令碼輸出

SpeculationControl PowerShell 指令碼的輸出結果會類似下列輸出。 啟用的保護會在輸出中顯示為「True」。

PS C:\> Get-SpeculationControlSettings

CVE-2017-5715 [分支目標導入] 的推測控制設定

分支目標導入安全功能的硬體支援存在: FALSE Windows 作業系統支援分支目標導入風險降低功能存在: TRUE 已啟用 Windows 作業系統分支目標導入風險降低功能支援存在: FALSE 系統原則會停用 Windows 作業系統分支目標導入風險降低功能支援: TRUE 由於缺少硬體支援,Windows 作業系統對分支目標導入風險降低功能的支援已停用: True

CVE-2017-5754 的推測控制設定 [惡意攻擊資料快取載入]

硬體容易受到惡意攻擊的資料快取載入: TRUE Windows 作業系統支援惡意攻擊資料快取載入風險降低功能存在: TRUE 已啟用 Windows 作業系統對惡意攻擊資料快取載入風險降低功能的支援: TRUE 硬體需要核心 VA 陰影: TRUE Windows 作業系統支援核心 VA 陰影存在: FALSE 已啟用 Windows 作業系統對核心 VA 陰影的支援: FALSE 已啟用 Windows 作業系統對 PCID 最佳化的支援: FALSE CVE-2018-3639 [推測儲存旁路] 的推測控制項設定

硬體容易受到推測儲存旁路的攻擊: TRUE 針對推測儲存旁路風險降低功能的硬體支援存在: FALSE 針對推測儲存旁路風險降低功能的 Windows 作業系統支援存在: TRUE 在全系統啟用推測儲存旁路風險降低功能的 Windows 作業系統支援: FALSE

CVE-2018-3620 的推測控制設定 [L1 終端機錯誤]

硬體容易發生 L1 終端機錯誤: TRUE Windows 作業系統支援 L1 終端機錯誤風險降低功能存在: TRUE 已啟用 Windows 作業系統對於 L1 終端機錯誤風險降低功能的支援: TRUE

MDS [微結構資料取樣] 的推測控制項設定

Windows 作業系統支援 MDS 風險降低功能存在: TRUE 硬體容易受到 MDS 攻擊: TRUE 已啟用 Windows 作業系統支援 MDS 風險降低功能: TRUE

SBDR [共用緩衝區資料讀取] 的推測控制項設定 

Windows 作業系統支援 SBDR 風險降低功能存在: TRUE 硬體容易受到 SBDR 攻擊: TRUE 已啟用 Windows 作業系統支援 SBDR 風險降低功能: TRUE 

FBSDP [填滿緩衝區過時資料傳播器] 的推測控制項設定 Windows 作業系統支援 FBSDP 風險降低功能已存在: TRUE 硬體容易受到 FBSDP 影響: TRUE 已啟用 Windows 作業系統對於 FBSDP 風險降低功能的支援: TRUE 

PSDP 的推測控制措施設定 [主要過時資料傳播器]

Windows 作業系統對於 PSDP 風險降低功能的支援存在: TRUE 硬體容易受到 PSDP 攻擊: TRUE 已啟用 Windows 作業系統對 PSDP 風險降低功能的支援: TRUE

BTIHardwarePresent: TRUE BTIWindowsSupportPresent: TRUE BTIWindowsSupportEnabled: TRUE BTIDisabledBySystemPolicy: FALSE BTIDisabledByNoHardwareSupport: FALSE BTIKernelRetpolineEnabled: TRUE BTIKernelImportOptimizationEnabled: TRUE RdclHardwareProtectedReported: TRUE RdclHardwareProtected: FALSE KVAShadowRequired: TRUE KVAShadowWindowsSupportPresent: TRUE KVAShadowWindowsSupportEnabled: TRUE KVAShadowPcidEnabled: TRUE SSBDWindowsSupportPresent: True SSBDHardwareVulnerable: TRUE SSBDHardwarePresent: FALSE SSBDWindowsSupportEnabledSystemWide: FALSE L1TFHardwareVulnerable: TRUE L1TFWindowsSupportPresent: TRUE L1TFWindowsSupportEnabled: TRUE L1TFInvalidPteBit: 45 L1DFlushSupported: FALSE HvL1tfStatusAvailable: TRUE HvL1tfProcessorNotAffected: TRUE MDSWindowsSupportPresent: TRUE MDSHardwareVulnerable: TRUE MDSWindowsSupportEnabled: TRUE FBClearWindowsSupportPresent: TRUE SBDRSSDPHardwareVulnerable: TRUE FBSDPHardwareVulnerable: TRUE PSDPHardwareVulnerable: TRUE

SpeculationControl PowerShell 指令碼輸出的說明

最終輸出方格會對應到前幾行的輸出。 這會出現是因為 PowerShell 會列印函數傳回的物件。 下表說明 PowerShell 指令碼輸出中的每一行。

輸出

說明

CVE-2017-5715 [分支目標導入] 的推測控制設定

本章節提供變體 2、CVE-2017-5715分支目標導入的系統狀態。

分支目標導入風險降低功能的硬體支援已存在

對應到 BTIHardwarePresent。 此行會告訴您是否存在支援分支目標導入風險降低功能的硬體功能。 裝置 OEM 負責提供包含 CPU 製造商所提供之微碼的更新 BIOS/韌體。 如果此行為True,則存在所需的硬體功能。 如果線條為False,則不存在所需的硬體功能。 因此,無法啟用分支目標導入風險降低功能。

附註: 如果 OEM 更新已套用至主機且遵循指引,來賓 VM 中的 BTIHardwarePresent 會為 True 

Windows 作業系統支援分支目標導入風險降低功能已存在

對應到 BTIWindowsSupportPresent。 此行會告訴您 Windows 作業系統對分支目標導入風險降低功能的支援是否存在。 如果為 True,則作業系統支援啟用分支目標導入風險降低功能 (因此已安裝 2018 年 1 月更新)。 如果是False,則裝置上未安裝 2018 年 1 月更新,且無法啟用分支目標導入風險降低功能。

附註: 如果來賓 VM 偵測不到主機硬體更新,BTIWindowsSupportEnabled 永遠都是 False

已啟用 Windows 作業系統針對分支目標導入風險降低功能的支援

對應到 BTIWindowsSupportEnabled。 此行會告訴您是否已針對分支目標導入風險降低功能啟用 Windows 作業系統支援。 如果為 True,裝置會啟用分支目標導入風險降低功能的硬體支援和作業系統支援,因此可防範 CVE-2017-5715。 如果是 False,則下列其中一個條件為 True:

  • 硬體支援不存在。

  • 作業系統支援不存在。

  • 系統原則會停用這項風險降低功能。

系統原則停用 Windows 作業系統對分支目標導入風險降低功能的支援

對應至 BTIDisabledBySystemPolicy。 此行會告訴您分支目標注入風險降低功能是否已由系統原則 停用 (例如系統管理員定義的原則)。 系統原則是指 KB4072698 中所述的登錄控制項。 如果為True,則系統原則停用保護功能。 如果為 False,則因不同原因停用了風險降低功能。

由於缺少硬體支援,Windows 作業系統對分支目標導入風險降低功能的支援已停用

對應至 BTIDisabledByNoHardwareSupport。 此行會告訴您,分支目標導入風險降低功能是否因為缺少硬體支援而停用。 如果是 True,則是因缺乏硬體支援而停用風險降低功能。 如果為 False,則因不同原因停用了風險降低功能。

附註如果來賓 VM 偵測不到主機硬體更新,BTIDisabledByNoHardwareSupport 永遠都是 True

CVE-2017-5754 的推測控制設定 [惡意攻擊資料快取載入]

本章節提供變體 3、CVE-2017-5754、惡意攻擊資料快取載入的摘要系統狀態。 此功能的風險降低功能稱為核心虛擬位址 (VA) 陰影或惡意攻擊資料快取載入風險降低功能。

硬體容易受到惡意攻擊的資料快取載入

對應至 RdclHardwareProtected。 此行會告訴您硬體是否容易受到 CVE-2017-5754 攻擊。 如果為 True,則硬體可能容易受到 CVE-2017-5754 攻擊。 如果為 False,已知硬體不易受到 CVE-2017-5754 攻擊。

Windows 作業系統對惡意攻擊資料快取載入風險降低功能的支援

對應至 KVAShadowWindowsSupportPresent。 此行會告訴您 Windows 作業系統對核心 VA 陰影功能的支援是否存在。

已啟用 Windows 作業系統對惡意攻擊資料快取載入風險降低功能的支援

對應至 KVAShadowWindowsSupportEnabled。 此行會告訴您是否已啟用核心 VA 陰影功能。 如果是 True,則硬體可能容易受到 CVE-2017-5754 攻擊,並且 Windows 作業系統支援已存在且已啟用。

硬體需要核心 VA 陰影

對應至 KVAShadowRequired。 此行會告訴您,您的系統是否需要核心 VA 陰影來降低弱點的風險。

Windows 作業系統對核心 VA 陰影的支援已存在

對應至 KVAShadowWindowsSupportPresent。 此行會告訴您 Windows 作業系統對核心 VA 陰影功能的支援是否存在。 如果是 True,則裝置上已安裝 2018 年 1 月更新,並支援核心 VA 陰影。 如果是 False,則未安裝 2018 年 1 月更新,且核心 VA 陰影支援不存在。

已啟用 Windows 作業系統對核心 VA 陰影的支援

對應至 KVAShadowWindowsSupportEnabled。 此行會告訴您是否已啟用核心 VA 陰影功能。 如果為 True,則 Windows 作業系統支援已存在且已啟用。 Windows 用戶端版本目前預設會啟用核心 VA 陰影功能,並且在 Windows Server 版本上預設為停用。 如果是 False,則 Windows 作業系統支援不存在,或未啟用此功能。

已啟用 PCID 效能最佳化的 Windows 作業系統支援

附註安全性不需要 PCID。 它只會指出是否已啟用效能改進。 Windows Server 2008 R2 不支援 PCID

對應至 KVAShadowPcidEnabled。 此行會告訴您是否已針對核心 VA 陰影啟用其他效能最佳化。 如果為 True,則會啟用核心 VA 陰影、PCID 的硬體支援已存在,並已啟用核心 VA 陰影的 PCID 最佳化。 如果是 False,則硬體或作業系統可能不支援 PCID。 未啟用 PCID 最佳化並非安全性弱點。

針對推測儲存旁路停用的 Windows 作業系統支援已存在

對應至 SSBDWindowsSupportPresent。 此行會告訴您 Windows 作業系統對推測儲存旁路停用的支援是否存在。 如果為 True,則裝置上已安裝 2018 年 1 月更新,並支援核心 VA 陰影。 如果為 False,則未安裝 2018 年 1 月更新,且核心 VA 陰影支援不存在。

硬體需要推測儲存旁路停用

對應至 SSBDHardwareVulnerablePresent。 此行會告訴您硬體是否容易受到 CVE-2018-3639 攻擊。 如果為 True,則硬體可能容易受到 CVE-2018-3639 攻擊。 如果為 False,已知硬體不易受到 CVE-2018-3639 攻擊。

針對推測儲存旁路停用的硬體支援已存在

對應至 SSBDHardwarePresent。 此行會告訴您是否存在支援推測儲存旁路停用的硬體功能。 裝置 OEM 負責提供包含 Intel 所提供微碼的更新 BIOS/韌體。 如果此行為 True,則所需的硬體功能已存在。 如果線條為 False,則不存在所需的硬體功能。 因此,無法開啟推測儲存旁路停用。

附註  如果 OEM 更新套用至主機,來賓 VM 中的 SSBDHardwarePresent 會是 True

已開啟對推測儲存旁路停用的 Windows 作業系統支援

對應至 SSBDWindowsSupportEnabledSystemWide。 此行會告訴您 Windows 作業系統中是否已開啟推測儲存旁路停用。 如果為 True,表示裝置啟用推測儲存旁路停用的硬體支援和作業系統支援已開啟,以防止發生推測儲存旁路,因此完全消除安全性風險。 如果為 False,下列其中一個條件為 True:

CVE-2018-3620 的推測控制設定 [L1 終端機錯誤]

本章節提供由 CVE-2018-3620 參照 L1TF (作業系統) 的摘要系統狀態。 這個風險降低功能可確保安全頁面框架位元用於不存在或不正確的頁面表格項目。

附註: 本章節並未提供 CVE-2018-3646所參照的 L1TF (VMM) 風險降低功能狀態摘要。

硬體容易發生 L1 終端機錯誤: True

對應至 L1TFHardwareVulnerable。 此行會告訴您硬體是否容易發生 L1 終端機錯誤 (L1TF、CVE-2018-3620)。 如果為 True,則硬體可能容易受到 CVE-2018-3620 攻擊。 如果為 False,已知硬體不易受到 CVE-2018-3620 攻擊。

Windows 作業系統支援 L1 終端機錯誤風險降低功能已存在: True

對應至 L1TFWindowsSupportPresent。 此行會告訴您針對 L1 終端機錯誤 (L1TF) 作業系統風險降低功能的 Windows 作業系統支援是否已存在。 如果為 True,則裝置已安裝 2018 年 8 月更新,並提供針對 CVE-2018-3620 的風險降低功能。 如果為 False,則未安裝 2018 年 8 月更新,並且針對 CVE-2018-3620 的風險降低功能不存在。

已啟用針對 L1 終端機錯誤風險降低功能的 Windows 作業系統支援: True

對應至 L1TFWindowsSupportEnabled。 此行會告訴您是否已啟用針對 L1 終端機錯誤 (L1TF、CVE-2018-3620) 的 Windows 作業系統風險降低功能。 如果為 True,則硬體可能容易受到 CVE-2018-3620 攻擊,並且 Windows 作業系統對風險降低功能的支援已存在且已啟用。 如果為 False,可能是硬體不易受攻擊、Windows 作業系統支援不存在,或是未啟用風險降低功能。

MDS [微結構資料取樣] 的推測控制項設定

本章節提供 MDS 集合弱點、CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130ADV220002的系統狀態。

Windows 作業系統對 MDS 風險降低功能的支援已存在

對應至 MDSWindowsSupportPresent。 此行會告訴您是否已存在微結構資料取樣 (MDS) 作業系統安全風險降低功能的 Windows 作業系統支援。 如果為 True,則裝置上已安裝 2019 年 5 月更新,並提供針對 MDS 的風險降低功能。 如果為 False,則未安裝 2019 年 5 月更新,並且針對 MDS 的風險降低功能不存在。

硬體容易受到 MDS 攻擊

對應至 MDSHardwareVulnerable。 此行會告訴您硬體是否容易受到為結構資料取樣 (MDS) 弱點集合 (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12139) 的攻擊。 如果為 True,則硬體可能容易受到這些弱點影響。 如果為 False,則已知硬體不易受到攻擊。

已啟用 Windows 作業系統對 MDS 風險降低功能的支援

對應至 MDSWindowsSupportEnabled。 此行會告訴您是否已啟用針對微結構資料取樣 (MDS) 的 Windows 作業系統風險降低功能。 如果為 True,則硬體可能容易受到 MDS 弱點影響,並且 Windows 作業系統對風險降低功能的支援已存在且已啟用。 如果為 False,可能是硬體不易受攻擊、Windows 作業系統支援不存在,或是未啟用風險降低功能。

Windows 作業系統對 SBDR 風險降低功能的支援已存在

對應至 FBClearWindowsSupportPresent。 此行會告訴您 Windows 作業系統針對 SBDR 作業系統風險降低的支援是否已存在。 如果為 True,則裝置上已安裝 2022 年 6 月更新,並提供針對 SBDR 的風險降低功能。 如果為 False,則未安裝 2022 年 6 月更新,並且針對 SBDR 的風險降低功能不存在。

硬體容易受到 SBDR 攻擊

對應至 SBDRSSDPHardwareVulnerable。 此行會告訴您硬體是否容易受到 SBDR [共用緩衝區資料讀取] 弱點集合 (CVE-2022-21123) 的攻擊。 如果為 True,則硬體可能容易受到這些弱點影響。 如果為 False,則已知硬體不易受到攻擊。

已啟用 Windows 作業系統對 SBDR 風險降低功能的支援

對應至 FBClearWindowsSupportEnabled。 此行會告訴您是否已啟用針對 SBDR 的 Windows 作業系統風險降低功能 [共用緩衝區資料讀取]。 如果為 True,則硬體可能容易受到 SBDR 弱點的影響,並且 Windows 作業系統對風險降低功能的支援已存在且已啟用。 如果為 False,可能是硬體不易受攻擊、Windows 作業系統支援不存在,或是未啟用風險降低功能。

Windows 作業系統對 FBSDP 風險降低功能的支援已存在

對應至 FBClearWindowsSupportPresent。 此行會告訴您針對 FBSDP 作業系統風險降低功能的 Windows 作業系統支援是否已存在。 如果為 True,則裝置上已安裝 2022 年 6 月更新,並提供針對 FBSDP 的風險降低功能。 如果為 False,則未安裝 2022 年 6 月更新,並且針對 FBSDP 的風險降低功能不存在。

硬體容易受到 FBSDP 攻擊

對應至 FBSDPHardwareVulnerable。 此行會告訴您硬體是否容易受到 FBSDP [填滿緩衝區過時資料傳播器] 弱點集合(CVE-2022-21125CVE-2022-21127CVE-2022-21166) 的攻擊。 如果為 True,則硬體可能容易受到這些弱點影響。 如果為 False,則已知硬體不易受到攻擊。

已啟用針對 FBSDP 風險降低功能的 Windows 作業系統支援

對應至 FBClearWindowsSupportEnabled。 此行會告訴您是否已啟用針對 FBSDP [填滿緩衝區過時資料傳播器] 的 Windows 作業系統風險降低功能。 如果為 True,則硬體可能容易受到 FBSDP 弱點的影響,並且 Windows 作業系統對風險降低功能的支援已存在且已啟用。 如果為 False,可能是硬體不易受攻擊、Windows 作業系統支援不存在,或是未啟用風險降低功能。

Windows 作業系統針對 PSDP 風險降低功能的支援已存在

對應至 FBClearWindowsSupportPresent。 此行會告訴您針對 PSDP 作業系統風險降低功能的 Windows 作業系統支援是否已存在。 如果為 True,則裝置上已安裝 2022 年 6 月更新,並提供針對 PSDP 的風險降低功能。 如果為 False,則未安裝 2022 年 6 月更新,並且針對 PSDP 的風險降低功能不存在。

硬體容易受到 PSDP 攻擊

對應至 PSDPHardwareVulnerable。 此行會告訴您硬體是否容易受到 PSDP [主要過時資料傳播器] 弱點集合的攻擊。 如果為 True,則硬體可能容易受到這些弱點影響。 如果為 False,則已知硬體不易受到攻擊。

已啟用針對 PSDP 風險降低功能的 Windows 作業系統支援

對應至 FBClearWindowsSupportEnabled。 此行會告訴您是否已啟用針對 PSDP [主要過時資料傳播器] 的 Windows 作業系統風險降低功能。 如果為 True,則硬體可能容易受到 PSDP 弱點影響,並且 Windows 作業系統對風險降低功能的支援已存在且已啟用。 如果為 False,可能是硬體不易受攻擊、Windows 作業系統支援不存在,或是未啟用風險降低功能。

已啟用所有風險降低功能的輸出

下列輸出適用於已啟用所有風險降低功能的裝置,以及滿足每個條件的必要條件。

BTIWindowsSupportPresent: TRUE -> 已套用 BIOS/韌體更新BTIWindowsSupportPresent: True -> 已安裝 2018 年 1 月更新 BTIWindowsSupportEnabled: True -> 在用戶端上,不需要採取任何動作。 在伺服器上,請遵循 指導方針 BTIDisabledBySystemPolicy: FALSE -> 確保原則不會停用。 BTIDisabledByNoHardwareSupport: FALSE -> 確定已套用 OEM BIOS/韌體更新。 BTIKernelRetpolineEnabled: False       BTIKernelImportOptimizationEnabled: True KVAShadowRequired: TRUE 或 False -> 沒有動作,這是電腦使用的 CPU 函數如果 KVAShadowRequired 為 True KVAShadowWindowsSupportPresent: TRUE -> 安裝 2018 年 1 月更新 KVAShadowWindowsSupportEnabled: True -> 在用戶端上,不需要採取任何動作。 在伺服器上,請遵循 指導方針 KVAShadowPcidEnabled: TRUE或 False -> 沒有動作,這是電腦所使用的 CPU 函數

如果 SSBDHardwareVulnerablePresent 為 True SSBDWindowsSupportPresent: True -> 請安裝 ADV180012 中所述的 Windows 更新SSBDHardwarePresent: True -> 請以來自您裝置 OEM 的 SSBD 的支援安裝 BIOS/韌體更新 SSBDWindowsSupportEnabledSystemWide: True -> 請遵循 建議的動作 以開啟 SSBD

如果 L1TFHardwareVulnerable 為 True L1TFWindowsSupportPresent: True -> 請安裝在 ADV180018 中所述的 Windows 更新 L1TFWindowsSupportEnabled: True ->請遵循在適用于 Windows Server 或用戶端的 ADV180018 中所述的動作,視需要啟用緩和措施 L1TFInvalidPteBit: 0 L1DFlushSupported: True MDSWindowsSupportPresent: True -> 請安裝 2022 年 6 月更新 MDSHardwareVulnerable: False -> 已知硬體不受攻擊 MDSWindowsSupportEnabled: True -> 已啟用 Microarchitectural 資料抽樣 (MDS) 的緩和措施 FBClearWindowsSupportPresent: True -> 請安裝 2022 年 6 月更新 SBDRSSDPHardwareVulnerable: True -> 我們認為硬體會受到這些弱點影響 FBSDPHardwareVulnerable: True -> 我們認為硬體會受到這些弱點影響 PSDPHardwareVulnerable: True -> 我們認為硬體會受到這些弱點影響 FBClearWindowsSupportEnabled: True -> 代表啟用 SBDR/FBSDP/PSDP 的緩和措施。 確定 OEM BIOS/韌體已更新、FBClearWindowsSupportPresent 為 True、已啟用 ADV220002 中所述的緩和措施,且 KVAShadowWindowsSupportEnabled 為 True。

登錄

下表將輸出對應到 KB4072698: Windows Server 和 Azure Stack HCI 指導方針中所涵蓋的登錄機碼,以防範晶片型微結構和推測執行旁路弱點的攻擊

登錄機碼

對應

FeatureSettingsOverride: 位元 0

對應至: 分支目標導入 - BTIWindowsSupportEnabled

FeatureSettingsOverride: 位元 1

對應至: 惡意攻擊資料快取載入 - VAShadowWindowsSupportEnabled

參考

我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。