Windows Server 2012 更新不可用
我在 Windows Server 2012 R2 伺服器上執行了 AWS Inspector,它檢測到了一些漏洞。例如,這個CVE-2019-11091,在KB4499158中修復。
但是,這是我安裝的更新:
這意味著所有更新都已安裝(上週出現的 3 個更新除外)。
這個問題應該解決還是不解決?我試圖了解是否需要以另一種方式修復它,它尚未修復或 AWS 檢查器執行不正常。謝謝!
更新:
Greg 建議的腳本輸出:
CVE-2017-5715 的推測控制設置$$ branch target injection $$
存在對分支目標註入緩解的硬體支持:False
存在對分支目標註入緩解的 Windows 作業系統支持:True
啟用了對分支目標註入緩解的 Windows 作業系統支持:False
系統策略禁用了對分支目標註入緩解的 Windows 作業系統支持:True
由於缺少硬體支持,Windows 作業系統對分支目標註入緩解的支持被禁用:True
CVE-2017-5754 的推測控制設置$$ rogue data cache load $$
硬體需要核心 VA 陰影:True
存在對核心 VA 影子的 Windows 作業系統支持:True
Windows 作業系統對核心 VA 影子的支持已啟用:False
CVE-2018-3639 的推測控制設置$$ speculative store bypass $$
硬體容易受到投機儲存繞過:是的
存在對推測性儲存繞過禁用的硬體支持:False
存在對推測性儲存繞過禁用的 Windows 作業系統支持:True
在系統範圍內啟用了對推測性儲存繞過禁用的 Windows 作業系統支持:False
CVE-2018-3620 的推測控制設置$$ L1 terminal fault $$
硬體易受 L1 終端故障的影響:真
存在對 L1 終端故障緩解的 Windows 作業系統支持:True
啟用了對 L1 終端故障緩解的 Windows 作業系統支持:False
MDS 的推測控制設置$$ microarchitectural data sampling $$
存在對 MDS 緩解的 Windows 作業系統支持:True
硬體易受 MDS 攻擊:是的
Windows 作業系統對 MDS 緩解的支持已啟用:False
建議的行動
- 安裝設備 OEM 提供的 BIOS/韌體更新,以啟用對分支目標註入緩解的硬體支持。
- 遵循https://support.microsoft.com/help/4072698中描述的啟用 Windows Server 支持以支持推測控制緩解的指南
BTIHardwarePresent:假
BTIWindowsSupportPresent:真
BTIWindowsSupportEnabled : 假
BTIDisabledBySystemPolicy:真
BTIDisabledByNoHardwareSupport:真
BTIKernelRetpolineEnabled:假
BTIKernelImportOptimizationEnabled : False
KVAShadowRequired : 真
KVAShadowWindowsSupportPresent:真
KVAShadowWindowsSupportEnabled : 假
KVAShadowPcidEnabled:假
SSBDWindowsSupportPresent:真
SSBDHardwareVulnerable:真
SSBDHardwarePresent : 假
SSBDWindowsSupportEnabledSystemWide:假
L1TFHardwareVulnerable:真
L1TFWindowsSupportPresent:真
L1TFWindowsSupportEnabled:假
L1TFInvalidPteBit:45
L1DflushSupported : 假
MDSWindowsSupportPresent:真
MDSHardwareVulnerable:真
MDSWindowsSupportEnabled:假
這可能意味著系統資料庫值不存在以啟用緩解。
您可以通過執行 Microsoft 推測控制腳本來獲取更多資訊。
如果啟用或禁用超執行緒,系統資料庫值會有所不同:
啟用:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
禁用:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
需要重新啟動才能生效。