我在 Windows Server 2012 R2 服务器上运行了 AWS Inspector,它检测到了一些漏洞。例如,这个CVE-2019-11091,固定在KB4499158。
但是,这是我安装的更新:
这意味着所有更新都已安装(除上周发布的 3 个更新外)。
这个问题应该修复吗?我想知道是否需要用其他方式修复它,它还没有修复,或者 AWS 检查器运行不正常。谢谢!
更新:
Greg 建议的脚本输出:
CVE-2017-5715 的推测控制设置 [分支目标注入]
存在对分支目标注入缓解的硬件支持:错误
Windows 操作系统支持分支目标注入缓解:True
Windows 操作系统对分支目标注入缓解的支持已启用:False
系统策略已禁用 Windows 操作系统对分支目标注入缓解的支持:True
由于缺乏硬件支持,Windows 操作系统对分支目标注入缓解的支持被禁用:True
CVE-2017-5754 的推测控制设置 [恶意数据缓存加载]
硬件需要内核 VA 阴影:True
Windows 操作系统支持内核 VA 影子:True
Windows 操作系统对内核 VA 影子的支持已启用:False
CVE-2018-3639 的推测控制设置 [推测存储绕过]
硬件很容易受到投机商店绕过的影响:没错
存在对推测存储绕过禁用的硬件支持:错误
Windows 操作系统支持禁用推测存储绕过:True
Windows 操作系统对推测存储绕过禁用的支持已在系统范围内启用:False
CVE-2018-3620 的推测控制设置 [L1 终端故障]
硬件容易受到 L1 终端故障的影响:是的
Windows 操作系统支持 L1 终端故障缓解:是
Windows 操作系统对 L1 终端故障缓解的支持已启用:False
MDS [微架构数据采样] 的推测控制设置
Windows 操作系统支持 MDS 缓解措施:是的
硬件容易受到 MDS 攻击:没错
Windows 操作系统对 MDS 缓解的支持已启用:False
建议采取的措施
安装设备 OEM 提供的 BIOS/固件更新,以便为分支目标注入缓解提供硬件支持。
按照以下指南启用 Windows Server 对推测控制缓解措施的支持https://support.microsoft.com/help/4072698
BTIHardwarePresent : 假
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : 假
BTIDisabledBySystemPolicy : 真
BTIDisabledByNoHardwareSupport : 真
BTIKernelRetpolineEnabled : False
BTIKernelImportOptimizationEnabled : 假
KVAShadowRequired :真
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled :假
SSBDWindowsSupportPresent : True
SSBDHardwareVulnerable :真
SSBDHardwarePresent : 假
SSBDWindowsSupportEnabledSystemWide : 假
L1TFHardwareVulnerable :真实
L1TFWindowsSupportPresent :真
L1TFWindowsSupportEnabled :False
L1TFInvalidPteBit : 45
L1DFlushSupported :错误
MDSWindowsSupportPresent : True
MDSHardwareVulnerable :真
MDSWindowsSupportEnabled : False
答案1
这可能意味着注册表值不存在,无法启用缓解措施。
您可以通过运行 Microsoft Speculation Control 脚本获取更多信息。
如果启用或禁用超线程,注册表值将有所不同:
已启用:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
已禁用:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
需要重新启动才能生效。