Freigeben über


PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY-Struktur (winnt.h)

Diese Datenstruktur stellt die status von Prozessrichtlinien bereit, die sich auf die Entschärfung von Nebenkanälen beziehen. Dies kann Nebenkanalangriffe umfassen, die spekulative Ausführung und Seitenkombinationen umfassen.

Syntax

typedef struct _PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY {
  union {
    DWORD Flags;
    struct {
      DWORD SmtBranchTargetIsolation : 1;
      DWORD IsolateSecurityDomain : 1;
      DWORD DisablePageCombine : 1;
      DWORD SpeculativeStoreBypassDisable : 1;
      DWORD RestrictCoreSharing : 1;
      DWORD ReservedFlags : 27;
    } DUMMYSTRUCTNAME;
  } DUMMYUNIONNAME;
} PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY, *PPROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY;

Member

DUMMYUNIONNAME

DUMMYUNIONNAME.Flags

Dieses Element ist für die Systemverwendung reserviert.

DUMMYUNIONNAME.DUMMYSTRUCTNAME

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SmtBranchTargetIsolation

Wenn true dann, während dieser Prozess im Benutzermodus ausgeführt wird, fordert die Anwendung von Hardwareminderungen an, um eine smt-threadübergreifende Branch-Zielverschmutzung zu verhindern.

Wenn die Hardware keine Unterstützung für eine solche Entschärfung bietet oder die Entschärfung systemweit deaktiviert wurde, hat diese Richtlinie keine Auswirkungen.

Um diese Richtlinie nach dem Starten eines Prozesses zu aktivieren, können Sie SetProcessMitigationPolicy aufrufen. Sie kann nach der Aktivierung nicht deaktiviert werden.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.IsolateSecurityDomain

Wenn true, isoliert diesen Prozess in eine separate Sicherheitsdomäne, auch von anderen Prozessen, die als derselbe Sicherheitskontext ausgeführt werden. Dadurch wird die prozessübergreifende Einschleusung des Branchziels verhindert.

Die Seitenkombination ist auf Prozesse innerhalb derselben Sicherheitsdomäne beschränkt. Dieses Flag beschränkt den Prozess effektiv darauf, nur intern auf den Prozess selbst zu kombinieren, mit Ausnahme allgemeiner Seiten und sofern nicht durch die DisablePageCombine-Richtlinie weiter eingeschränkt.

Um diese Richtlinie nach dem Starten eines Prozesses zu aktivieren, können Sie SetProcessMitigationPolicy aufrufen. Sie kann nach der Aktivierung nicht deaktiviert werden.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.DisablePageCombine

Wenn true, deaktiviert alle Seitenkombinationen für diesen Prozess, auch intern für den Prozess selbst, mit Ausnahme von allgemeinen Seiten (Seiten mit vollständig 0s oder vollständig 1s).

Um diese Richtlinie nach dem Starten eines Prozesses zu aktivieren, können Sie SetProcessMitigationPolicy aufrufen. Sie kann nach der Aktivierung nicht deaktiviert werden.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SpeculativeStoreBypassDisable

Wenn TRUE dann, während dieser Prozess im Benutzermodus ausgeführt wird, und um die prozessinterne SSB zu verringern, wird angefordert, dass Hardwareminderungen für Speculative Store Bypass (SSB) aktiviert werden.

Wenn die Hardware keine Unterstützung für eine solche Entschärfung bietet oder die Entschärfung systemweit deaktiviert wurde, hat diese Richtlinie keine Auswirkungen.

Um diese Richtlinie nach dem Starten eines Prozesses zu aktivieren, können Sie SetProcessMitigationPolicy aufrufen. Sie kann nach der Aktivierung nicht deaktiviert werden.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.RestrictCoreSharing

Wenn TRUE, verhindert der CPU-Planer, dass Threads innerhalb dieses Prozesses auf denselben Kern wie Threads aus einer anderen Sicherheitsdomäne geplant werden.

Diese Richtlinie kann nicht auf Systemen aktiviert werden, auf denen der Planer nicht in der Lage ist, diese Garantie bereitzustellen. Beispielsweise kann diese Richtlinie nicht für Prozesse auf einem virtuellen Computer aktiviert werden, es sei denn, der Hypervisor meldet, dass keine Nichtarchitekturkernfreigabe vorhanden ist.

Um diese Richtlinie nach dem Starten eines Prozesses zu aktivieren, können Sie SetProcessMitigationPolicy aufrufen. Sie kann nach der Aktivierung nicht deaktiviert werden.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags

Dieses Element ist für die Systemverwendung reserviert.

Anforderungen

Anforderung Wert
Header winnt.h