Windows Server2012の更新プログラムは利用できません

Question

Windows Server 2012R2サーバーでAWSInspectorを実行しましたが、いくつかの脆弱性が検出されました。たとえば、これは CVE-2019-11091 であり、 KB4499158 で修正されています。

ただし、これは私がインストールしたアップデートです。

これは、すべての更新がインストールされていることを意味します（先週の3つを除く）。

その問題は修正されるはずですか？別の方法で修正する必要があるのか、まだ修正されていないのか、AWSインスペクターがうまく機能していないのかを理解しようとしています。ありがとう！

更新：

グレッグが提案したスクリプト出力：

CVE-2017-5715 [分岐ターゲットインジェクション]の投機制御設定

分岐ターゲットインジェクション緩和のためのハードウェアサポートが存在します：False

分岐ターゲットインジェクション緩和のためのWindowsOSサポートが存在します：True

分岐ターゲットインジェクション緩和のためのWindowsOSサポートが有効になっています：False

分岐ターゲットインジェクション緩和のためのWindowsOSサポートは、システムポリシーによって無効にされています：True

分岐ターゲットインジェクション緩和のためのWindowsOSサポートは、ハードウェアサポートがないため無効になっています：True

CVE-2017-5754の投機的制御設定[不正なデータキャッシュのロード]

ハードウェアにはカーネルが必要VAシャドウイング：True

カーネルのWindowsOSサポートVAシャドウが存在します：True

カーネルのWindowsOSサポートVAシャドウが有効になっています：False

CVE-2018-3639の投機的制御設定[投機的ストアバイパス]

ハードウェアは投機的なストアバイパスに対して脆弱です：True

投機的ストアバイパス無効化のハードウェアサポートが存在します：False

投機的ストアバイパス無効化に対するWindowsOSのサポートが存在します：True

投機的ストアバイパス無効化のWindowsOSサポートがシステム全体で有効になっている：False

CVE-2018-3620の投機制御設定[L1端末障害]

ハードウェアはL1端末障害に対して脆弱です：True

L1端末障害軽減のためのWindowsOSサポートが存在します：True

L1端末の障害軽減に対するWindowsOSのサポートが有効になっている：False

MDSの投機制御設定[マイクロアーキテクチャデータサンプリング]

MDS緩和のためのWindowsOSサポートが存在します：True

ハードウェアはMDSに対して脆弱です：True

MDS緩和のためのWindowsOSサポートが有効になっています：False

推奨されるアクション

デバイスOEMが提供するBIOS /ファームウェアアップデートをインストールして、分岐ターゲットインジェクション緩和のハードウェアサポートを有効にします。

https://support.Microsoft.com/help/4072698 で説明されている投機制御緩和のためのWindowsServerサポートを有効にするためのガイダンスに従ってください。

BTIHardwarePresent：False

BTIWindowsSupportPresent：True

BTIWindowsSupportEnabled：False

BTIDisabledBySystemPolicy：True

BTIDisabledByNoHardwareSupport：True

BTIKernelRetpolineEnabled：False

BTIKernelImportOptimizationEnabled：False

KVAShadowRequired：True

KVAShadowWindowsSupportPresent：True

KVAShadowWindowsSupportEnabled：False

KVAShadowPcidEnabled：False

SSBDWindowsSupportPresent：True

SSBDHardwareVulnerable：True

SSBDHardwarePresent：False

SSBDWindowsSupportEnabledSystemWide：False

L1TFHardwareVulnerable：True

L1TFWindowsSupportPresent：True

L1TFWindowsSupportEnabled：False

L1TFInvalidPteBit：45

L1DFlushSupported：False

MDSWindowsSupportPresent：True

MDSHardwareVulnerable：True

MDSWindowsSupportEnabled：False

Greg Askew · Accepted Answer

軽減を有効にするためのレジストリ値が存在しないことを意味している可能性があります。

Microsoft Speculation Controlスクリプトを実行すると、より多くの情報を取得できます。

https://support.Microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell

https://support.Microsoft.com/en-us/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities-prot

ハイパースレッディングが有効または無効の場合、レジストリ値は異なります。

有効：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

無効：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

有効にするには、再起動が必要です。