PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY struttura (winnt.h)

Questa struttura di dati fornisce lo stato dei criteri di processo correlati alla mitigazione dei canali lato. Ciò può includere attacchi sul canale laterale che coinvolgono l'esecuzione speculativa e la combinazione di pagine.

Sintassi

typedef struct _PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY {
  union {
    DWORD Flags;
    struct {
      DWORD SmtBranchTargetIsolation : 1;
      DWORD IsolateSecurityDomain : 1;
      DWORD DisablePageCombine : 1;
      DWORD SpeculativeStoreBypassDisable : 1;
      DWORD RestrictCoreSharing : 1;
      DWORD ReservedFlags : 27;
    } DUMMYSTRUCTNAME;
  } DUMMYUNIONNAME;
} PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY, *PPROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY;

Members

DUMMYUNIONNAME

DUMMYUNIONNAME.Flags

Questo membro è riservato per l'uso del sistema.

DUMMYUNIONNAME.DUMMYSTRUCTNAME

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SmtBranchTargetIsolation

Se true , mentre questo processo viene eseguito in modalità utente, richiede l'applicazione di mitigazioni hardware per evitare l'inquinamento della destinazione del ramo multi-thread SMT.

Se l'hardware non fornisce supporto per tale mitigazione o la mitigazione è stata disabilitata a livello di sistema, questo criterio non ha alcun effetto.

Per abilitare questo criterio dopo l'avvio di un processo, è possibile chiamare SetProcessMitigationPolicy. Non può essere disabilitato una volta abilitato.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.IsolateSecurityDomain

Se TRUE, isola questo processo in un dominio di sicurezza distinto, anche da altri processi in esecuzione nello stesso contesto di sicurezza. Che impedisce l'inserimento incrociato della destinazione del ramo.

La combinazione di pagine è limitata ai processi all'interno dello stesso dominio di sicurezza. Questo flag limita in modo efficace il processo a combinare internamente il processo stesso, ad eccezione delle pagine comuni e a meno che non venga ulteriormente limitato dal criterio DisablePageCombine .

Per abilitare questo criterio dopo l'avvio di un processo, è possibile chiamare SetProcessMitigationPolicy. Non può essere disabilitato una volta abilitato.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.DisablePageCombine

Se TRUE, disabilita tutte le combinazioni di pagine per questo processo, anche internamente al processo stesso, ad eccezione delle pagine comuni (pagine di 0 o completamente 1).

Per abilitare questo criterio dopo l'avvio di un processo, è possibile chiamare SetProcessMitigationPolicy. Non può essere disabilitato una volta abilitato.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SpeculativeStoreBypassDisable

Se true viene eseguito in modalità utente, mentre questo processo viene eseguito in modalità utente e per attenuare il SSB all'interno del processo, richiede che le mitigazioni hardware per il bypass dello store speculativo (SSB) siano abilitate.

Se l'hardware non fornisce supporto per tale mitigazione o la mitigazione è stata disabilitata a livello di sistema, questo criterio non ha alcun effetto.

Per abilitare questo criterio dopo l'avvio di un processo, è possibile chiamare SetProcessMitigationPolicy. Non può essere disabilitato una volta abilitato.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.RestrictCoreSharing

Se TRUE, l'utilità di pianificazione della CPU impedisce che i thread all'interno di questo processo vengano pianificati nello stesso core dei thread di un altro dominio di sicurezza.

Questo criterio non può essere abilitato nei sistemi in cui l'utilità di pianificazione non è in grado di fornire questa garanzia. Ad esempio, questo criterio non può essere abilitato per i processi in una macchina virtuale, a meno che l'hypervisor non segnala l'assenza di condivisione di core non architetturali.

Per abilitare questo criterio dopo l'avvio di un processo, è possibile chiamare SetProcessMitigationPolicy. Non può essere disabilitato una volta abilitato.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags

Questo membro è riservato per l'uso del sistema.

Requisiti

Requisito Valore
Intestazione winnt.h