Windows-Server-2012-R2

Windows Server 2012 更新不可用

  • December 16, 2019

我在 Windows Server 2012 R2 伺服器上執行了 AWS Inspector,它檢測到了一些漏洞。例如,這個CVE-2019-11091,在KB4499158中修復。

但是,這是我安裝的更新:

已安裝的更新

這意味著所有更新都已安裝(上週出現的 3 個更新除外)。

這個問題應該解決還是不解決?我試圖了解是否需要以另一種方式修復它,它尚未修復或 AWS 檢查器執行不正常。謝謝!

更新:

Greg 建議的腳本輸出:

CVE-2017-5715 的推測控制設置$$ branch target injection $$

存在對分支目標註入緩解的硬體支持:False

存在對分支目標註入緩解的 Windows 作業系統支持:True

啟用了對分支目標註入緩解的 Windows 作業系統支持:False

系統策略禁用了對分支目標註入緩解的 Windows 作業系統支持:True

由於缺少硬體支持,Windows 作業系統對分支目標註入緩解的支持被禁用:True

CVE-2017-5754 的推測控制設置$$ rogue data cache load $$

硬體需要核心 VA 陰影:True

存在對核心 VA 影子的 Windows 作業系統支持:True

Windows 作業系統對核心 VA 影子的支持已啟用:False

CVE-2018-3639 的推測控制設置$$ speculative store bypass $$

硬體容易受到投機儲存繞過:是的

存在對推測性儲存繞過禁用的硬體支持:False

存在對推測性儲存繞過禁用的 Windows 作業系統支持:True

在系統範圍內啟用了對推測性儲存繞過禁用的 Windows 作業系統支持:False

CVE-2018-3620 的推測控制設置$$ L1 terminal fault $$

硬體易受 L1 終端故障的影響:真

存在對 L1 終端故障緩解的 Windows 作業系統支持:True

啟用了對 L1 終端故障緩解的 Windows 作業系統支持:False

MDS 的推測控制設置$$ microarchitectural data sampling $$

存在對 MDS 緩解的 Windows 作業系統支持:True

硬體易受 MDS 攻擊:是的

Windows 作業系統對 MDS 緩解的支持已啟用:False

建議的行動

BTIHardwarePresent:假

BTIWindowsSupportPresent:真

BTIWindowsSupportEnabled : 假

BTIDisabledBySystemPolicy:真

BTIDisabledByNoHardwareSupport:真

BTIKernelRetpolineEnabled:假

BTIKernelImportOptimizationEnabled : False

KVAShadowRequired : 真

KVAShadowWindowsSupportPresent:真

KVAShadowWindowsSupportEnabled : 假

KVAShadowPcidEnabled:假

SSBDWindowsSupportPresent:真

SSBDHardwareVulnerable:真

SSBDHardwarePresent : 假

SSBDWindowsSupportEnabledSystemWide:假

L1TFHardwareVulnerable:真

L1TFWindowsSupportPresent:真

L1TFWindowsSupportEnabled:假

L1TFInvalidPteBit:45

L1DflushSupported : 假

MDSWindowsSupportPresent:真

MDSHardwareVulnerable:真

MDSWindowsSupportEnabled:假

這可能意味著系統資料庫值不存在以啟用緩解。

您可以通過執行 Microsoft 推測控制腳本來獲取更多資訊。

https://support.microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell

https://support.microsoft.com/en-us/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities-prot

如果啟用或禁用超執行緒,系統資料庫值會有所不同:

啟用:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

禁用:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

需要重新啟動才能生效。

引用自:https://serverfault.com/questions/995781