Windows Server 2012 更新不可用

Windows Server 2012 更新不可用

我在 Windows Server 2012 R2 服务器上运行了 AWS Inspector,它检测到了一些漏洞。例如,这个CVE-2019-11091,固定在KB4499158

但是,这是我安装的更新:

已安装的更新

这意味着所有更新都已安装(除上周发布的 3 个更新外)。

这个问题应该修复吗?我想知道是否需要用其他方式修复它,它还没有修复,或者 AWS 检查器运行不正常。谢谢!

更新:

Greg 建议的脚本输出:

CVE-2017-5715 的推测控制设置 [分支目标注入]

存在对分支目标注入缓解的硬件支持:错误

Windows 操作系统支持分支目标注入缓解:True

Windows 操作系统对分支目标注入缓解的支持已启用:False

系统策略已禁用 Windows 操作系统对分支目标注入缓解的支持:True

由于缺乏硬件支持,Windows 操作系统对分支目标注入缓解的支持被禁用:True

CVE-2017-5754 的推测控制设置 [恶意数据缓存加载]

硬件需要内核 VA 阴影:True

Windows 操作系统支持内核 VA 影子:True

Windows 操作系统对内核 VA 影子的支持已启用:False

CVE-2018-3639 的推测控制设置 [推测存储绕过]

硬件很容易受到投机商店绕过的影响:没错

存在对推测存储绕过禁用的硬件支持:错误

Windows 操作系统支持禁用推测存储绕过:True

Windows 操作系统对推测存储绕过禁用的支持已在系统范围内启用:False

CVE-2018-3620 的推测控制设置 [L1 终端故障]

硬件容易受到 L1 终端故障的影响:是的

Windows 操作系统支持 L1 终端故障缓解:是

Windows 操作系统对 L1 终端故障缓解的支持已启用:False

MDS [微架构数据采样] 的推测控制设置

Windows 操作系统支持 MDS 缓解措施:是的

硬件容易受到 MDS 攻击:没错

Windows 操作系统对 MDS 缓解的支持已启用:False

建议采取的措施

  • 安装设备 OEM 提供的 BIOS/固件更新,以便为分支目标注入缓解提供硬件支持。

  • 按照以下指南启用 Windows Server 对推测控制缓解措施的支持https://support.microsoft.com/help/4072698

BTIHardwarePresent : 假

BTIWindowsSupportPresent : True

BTIWindowsSupportEnabled : 假

BTIDisabledBySystemPolicy : 真

BTIDisabledByNoHardwareSupport : 真

BTIKernelRetpolineEnabled : False

BTIKernelImportOptimizationEnabled : 假

KVAShadowRequired :真

KVAShadowWindowsSupportPresent : True

KVAShadowWindowsSupportEnabled : False

KVAShadowPcidEnabled :假

SSBDWindowsSupportPresent : True

SSBDHardwareVulnerable :真

SSBDHardwarePresent : 假

SSBDWindowsSupportEnabledSystemWide : 假

L1TFHardwareVulnerable :真实

L1TFWindowsSupportPresent :真

L1TFWindowsSupportEnabled :False

L1TFInvalidPteBit : 45

L1DFlushSupported :错误

MDSWindowsSupportPresent : True

MDSHardwareVulnerable :真

MDSWindowsSupportEnabled : False

答案1

这可能意味着注册表值不存在,无法启用缓解措施。

您可以通过运行 Microsoft Speculation Control 脚本获取更多信息。

https://support.microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell

https://support.microsoft.com/en-us/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities-prot

如果启用或禁用超线程,注册表值将有所不同:

已启用:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

已禁用:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

需要重新启动才能生效。

相关内容