PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY構造体 (winnt.h)

[アーティクル]
01/12/2024

このデータ構造は、サイドチャネルの軽減に関連するプロセスポリシーの状態を提供します。これには、投機的実行とページ結合を含むサイドチャネル攻撃が含まれる場合があります。

構文

typedef struct _PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY {
  union {
    DWORD Flags;
    struct {
      DWORD SmtBranchTargetIsolation : 1;
      DWORD IsolateSecurityDomain : 1;
      DWORD DisablePageCombine : 1;
      DWORD SpeculativeStoreBypassDisable : 1;
      DWORD RestrictCoreSharing : 1;
      DWORD ReservedFlags : 27;
    } DUMMYSTRUCTNAME;
  } DUMMYUNIONNAME;
} PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY, *PPROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY;

メンバー

DUMMYUNIONNAME

DUMMYUNIONNAME.Flags

このメンバーは、システム使用のために予約されています。

DUMMYUNIONNAME.DUMMYSTRUCTNAME

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SmtBranchTargetIsolation

TRUE の場合、このプロセスがユーザーモードで実行されている間に、クロス SMT スレッドブランチターゲットの汚染を防ぐために、ハードウェア軽減策の適用を要求します。

ハードウェアでこのような軽減策のサポートが提供されていない場合、または軽減策がシステム全体で無効になっている場合、このポリシーは無効になります。

プロセスの開始後にこのポリシーを有効にするには、 SetProcessMitigationPolicy を呼び出します。一度有効にすると無効にすることはできません。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.IsolateSecurityDomain

TRUE の場合、同じセキュリティコンテキストとして実行されている他のプロセスからでも、このプロセスを個別のセキュリティドメインに分離します。これにより、分岐ターゲットインジェクションのクロスプロセスが防止されます。

ページ結合は、同じセキュリティドメイン内のプロセスに限定されます。このフラグは、一般的なページを除き、 DisablePageCombine ポリシーによってさらに制限されていない限り、プロセス自体に内部的にのみ結合するようにプロセスを効果的に制限します。

プロセスの開始後にこのポリシーを有効にするには、 SetProcessMitigationPolicy を呼び出します。一度有効にすると無効にすることはできません。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.DisablePageCombine

TRUE の場合、は、共通ページ (完全に 0 または完全に 1 のページ) を除き、プロセス自体の内部でも、このプロセスのすべてのページ結合を無効にします。

プロセスの開始後にこのポリシーを有効にするには、 SetProcessMitigationPolicy を呼び出します。一度有効にすると無効にすることはできません。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.SpeculativeStoreBypassDisable

TRUE の場合、このプロセスはユーザーモードで実行されており、プロセス内 SSB を軽減するために、投機的ストアバイパス (SSB) のハードウェア軽減策を有効にするよう要求します。

ハードウェアでこのような軽減策のサポートが提供されていない場合、または軽減策がシステム全体で無効になっている場合、このポリシーは無効になります。

プロセスの開始後にこのポリシーを有効にするには、 SetProcessMitigationPolicy を呼び出します。一度有効にすると無効にすることはできません。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.RestrictCoreSharing

TRUE の場合、CPU スケジューラは、このプロセス内のスレッドが別のセキュリティドメインからのスレッドと同じコアにスケジュールされないようにします。

スケジューラがこの保証を提供できないシステムでは、このポリシーを有効にすることはできません。たとえば、ハイパーバイザーが非アーキテクチャコア共有がないことを報告しない限り、仮想マシン内のプロセスに対してこのポリシーを有効にすることはできません。

プロセスの開始後にこのポリシーを有効にするには、 SetProcessMitigationPolicy を呼び出します。一度有効にすると無効にすることはできません。

DUMMYUNIONNAME.DUMMYSTRUCTNAME.ReservedFlags

このメンバーは、システム使用のために予約されています。

要件

要件	値
Header	winnt.h

フィードバック

以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバックメカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバックシステムに置き換えます。詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。

フィードバックの送信と表示

この製品このページ

すべてのページフィードバックを表示