winnt.h) (PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY 结构
此数据结构提供与旁路缓解相关的进程策略的状态。 这可以包括涉及推理执行和页面组合的侧通道攻击。
语法
typedef struct _PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY {
union {
DWORD Flags;
struct {
DWORD SmtBranchTargetIsolation : 1;
DWORD IsolateSecurityDomain : 1;
DWORD DisablePageCombine : 1;
DWORD SpeculativeStoreBypassDisable : 1;
DWORD RestrictCoreSharing : 1;
DWORD ReservedFlags : 27;
} DUMMYSTRUCTNAME;
} DUMMYUNIONNAME;
} PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY, *PPROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY;
成员
DUMMYUNIONNAME
DUMMYUNIONNAME.Flags
此成员保留供系统使用。
DUMMYUNIONNAME.DUMMYSTRUCTNAME
DUMMYUNIONNAME.DUMMYSTRUCTNAME.SmtBranchTargetIsolation
如果 为 TRUE ,则当此过程在用户模式下执行时,请求应用硬件缓解措施,以防止跨 SMT 线程分支目标污染。
如果硬件不支持此类缓解措施,或者已在系统范围内禁用缓解,则此策略无效。
若要在进程启动后启用此策略,可以调用 SetProcessMitigationPolicy。 启用后,无法禁用它。
DUMMYUNIONNAME.DUMMYSTRUCTNAME.IsolateSecurityDomain
如果 为 TRUE,则将此过程隔离到不同的安全域中,甚至与作为同一安全上下文运行的其他进程隔离开来。 这可以防止分支目标注入跨进程。
页面合并仅限于同一安全域中的进程。 此标志有效地将进程限制为仅在内部与进程本身合并,但常见页面除外,除非 DisablePageCombine 策略进一步限制。
若要在进程启动后启用此策略,可以调用 SetProcessMitigationPolicy。 启用后,无法禁用它。
DUMMYUNIONNAME.DUMMYSTRUCTNAME.DisablePageCombine
如果 为 TRUE,则禁用此过程的所有页面组合,即使在进程本身内部也是如此,但公共页面 (完全为 0 或完全为 1 的页面除外,) 。
若要在进程启动后启用此策略,可以调用 SetProcessMitigationPolicy。 启用后,无法禁用它。
DUMMYUNIONNAME.DUMMYSTRUCTNAME.SpeculativeStoreBypassDisable
如果 为 TRUE ,则当此过程在用户模式下执行时,为了缓解进程内 SSB,请求启用推理存储绕过 (SSB 的硬件缓解) 。
如果硬件不支持此类缓解措施,或者已在系统范围内禁用缓解,则此策略无效。
若要在进程启动后启用此策略,可以调用 SetProcessMitigationPolicy。 启用后,无法禁用它。
DUMMYUNIONNAME.DUMMYSTRUCTNAME.RestrictCoreSharing
如果 为 TRUE,则 CPU 计划程序会阻止此进程中的线程与来自另一个安全域的线程计划到同一个核心。
无法在计划程序无法提供此保证的系统上启用此策略。 例如,无法为虚拟机中的进程启用此策略,除非虚拟机监控程序报告不存在 非体系结构核心共享。
若要在进程启动后启用此策略,可以调用 SetProcessMitigationPolicy。 启用后,无法禁用它。
DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags
此成员保留供系统使用。
要求
| 要求 | 值 |
|---|---|
| Header | winnt.h |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈