estructura PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY (winnt.h)

  • Artículo

Esta estructura de datos proporciona el estado de las directivas de proceso relacionadas con la mitigación de canales secundarios. Esto puede incluir ataques de canal lateral que implican la ejecución especulativa y la combinación de páginas.

Sintaxis

typedef struct _PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY {
  union {
    DWORD Flags;
    struct {
      DWORD SmtBranchTargetIsolation : 1;
      DWORD IsolateSecurityDomain : 1;
      DWORD DisablePageCombine : 1;
      DWORD SpeculativeStoreBypassDisable : 1;
      DWORD RestrictCoreSharing : 1;
      DWORD ReservedFlags : 27;
    } DUMMYSTRUCTNAME;
  } DUMMYUNIONNAME;
} PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY, *PPROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY;

Miembros

DUMMYUNIONNAME

DUMMYUNIONNAME.Flags

Este miembro está reservado para uso del sistema.

DUMMYUNIONNAME.DUMMYSTRUCTNAME

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SmtBranchTargetIsolation

Si es TRUE , mientras este proceso se ejecuta en modo de usuario, solicita la aplicación de mitigaciones de hardware para evitar la contaminación de la rama entre subprocesos de SMT.

Si el hardware no proporciona compatibilidad con esta mitigación o la mitigación se ha deshabilitado en todo el sistema, esta directiva no tiene ningún efecto.

Para habilitar esta directiva una vez iniciado un proceso, puede llamar a SetProcessMitigationPolicy. No se puede deshabilitar una vez habilitado.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.IsolateSecurityDomain

Si es TRUE, aísla este proceso en un dominio de seguridad distinto, incluso de otros procesos que se ejecutan como el mismo contexto de seguridad. Esto evita la inyección de destino de rama entre procesos.

La combinación de páginas se limita a los procesos dentro del mismo dominio de seguridad. Esta marca limita eficazmente el proceso a combinar solo internamente con el propio proceso, excepto para páginas comunes y a menos que la directiva DisablePageCombine restrinda aún más.

Para habilitar esta directiva una vez iniciado un proceso, puede llamar a SetProcessMitigationPolicy. No se puede deshabilitar una vez habilitado.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.DisablePageCombine

Si es TRUE, deshabilita toda la combinación de páginas para este proceso, incluso internamente al propio proceso, excepto las páginas comunes (páginas de completamente 0 o completamente 1s).

Para habilitar esta directiva una vez iniciado un proceso, puede llamar a SetProcessMitigationPolicy. No se puede deshabilitar una vez habilitado.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SpeculativeStoreBypassDisable

Si es TRUE , mientras este proceso se ejecuta en modo de usuario y para mitigar el SSB dentro del proceso, se habilitarán las mitigaciones de hardware para la omisión de almacén especulativo (SSB).

Si el hardware no proporciona compatibilidad con esta mitigación o la mitigación se ha deshabilitado en todo el sistema, esta directiva no tiene ningún efecto.

Para habilitar esta directiva una vez iniciado un proceso, puede llamar a SetProcessMitigationPolicy. No se puede deshabilitar una vez habilitado.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.RestrictCoreSharing

Si es TRUE, el programador de CPU impide que los subprocesos de este proceso se programe en el mismo núcleo que los subprocesos de otro dominio de seguridad.

Esta directiva no se puede habilitar en sistemas en los que el programador no puede proporcionar esta garantía. Por ejemplo, esta directiva no se puede habilitar para los procesos de una máquina virtual a menos que el hipervisor notifique la ausencia de uso compartido de núcleos no arquitectónicos.

Para habilitar esta directiva una vez iniciado un proceso, puede llamar a SetProcessMitigationPolicy. No se puede deshabilitar una vez habilitado.

DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags

Este miembro está reservado para uso del sistema.

Requisitos

Requisito Valor
Header winnt.h