4

В этом QA по информационной безопасности мы вдумчиво обсуждаем, необходимы ли исправления для Spectre и Meltdown на блоках Windows.

Некоторые, несомненно, решат, что они хотят исправить некоторые блоки Windows, в то время как другие решат, что они не хотят исправлять некоторые блоки Windows.

Для блоков Windows 7, для которых исправления нежелательны (из-за известных проблем, в том числе из-за негативного влияния на производительность), есть ли способ не устанавливать эти специальные исправления, но продолжать устанавливать другие исправления ОС, выпущенные Microsoft?

Или, если в системе нежелательны исправления на уровне ОС Spectre и Meltdown, исправления Microsoft Windows 7 не могут быть применены к этой конкретной системе?

2 ответа2

4

Если основным возражением является снижение производительности, то вам, по-видимому, нет необходимости препятствовать установке этих обновлений: та часть мер защиты Meltdown/Spectre, которая, как считается, является причиной большей части штрафа, может быть впоследствии отключена (или снова включена). ) с ключом реестра, гарантирующим, что вы не получите снижение производительности, если на вас это не влияет:

Чтобы включить исправление

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Чтобы отключить исправление

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

(Нет необходимости изменять MinVmVersionForCpuBasedMitigations.)

  • Примечание: настройка 3 является точной как для включения, так и для отключения настроек из-за маскировки.

Мало того, но так как большая часть штрафа вызвана переходами между ядром пользователя, которые в настоящее время стоят дороже из-за смягчения, это хуже для Linux и других операционных систем, основанных на монолитных ядрах, чем для Windows. В некоторых конфигурациях Windows влияние на производительность незначительно, поэтому, если они совпадают, вам не о чем беспокоиться.

Тем не менее, обратите внимание, что влияние на производительность - не единственная проблема с исправлениями Meltdown/Spectre для Windows. Известно, что некоторые антивирусные продукты вызывают дополнительные проблемы, в том числе ошибки «синего экрана» и невозможность загрузки.

Хотя пропуск обновлений безопасности является окончательной мерой (и вы должны делать это только в том случае, если вы на сто процентов уверены, что знаете, что делаете, и готовы столкнуться с последствиями), лучше сначала обратиться к официальному консультанту вашего антивируса. vendor (и, возможно, производители любого другого программного обеспечения, связанного с системой, если таковое имеется на вашей установке), если уже нормально использовать обновления Spectre/Meltdown вместе с их продуктами.

Обратите внимание, что в конце концов не похоже, что вы сможете установить какие-либо обновления безопасности в будущем без установки исправлений Meltdown/Spectre. Таким образом, лучше не пропускать, а управлять.

2

Для блоков Windows 7, для которых исправления нежелательны (из-за известных проблем, в том числе из-за негативного влияния на производительность), есть ли способ не устанавливать эти специальные исправления, но продолжать устанавливать другие исправления ОС, выпущенные Microsoft?

Это не будет возможно. Текущий ежемесячный патч (накопительный и для безопасности), выпущенный для Windows 7, Windows 8.x и Windows 10, содержит исправления безопасности для CVE-2017-5753 и CVE-2017-5754 . Это означает, что когда в следующем месяце будет выпущено следующее ежемесячное (накопительное и защитное) исправление, оно также будет включать в себя предыдущие исправления, если в вашей системе не установлено накопительное исправление этого месяца.

Стоит отметить, что, насколько я понимаю, снижение уязвимости, которое сопровождается снижением производительности, относится к CVE-2017-5715 . Единственными изменениями в Windows, касающимися этого уменьшения уязвимости, являются изменения в ядре, которые вызывают инструкцию CPU, используемую для смягчения варианта 2 уязвимости Spectre. Для защиты от этой уязвимости микрокод вашего процессора также должен быть обновлен (в противном случае ваша система останется уязвимой для варианта 2).

Или, если в системе нежелательны исправления на уровне ОС Spectre и Meltdown, исправления Microsoft Windows 7 не могут быть применены к этой конкретной системе?

Windows 7 и Windows 8.1 вышли на ежемесячный выпуск исправлений (накопительный и для обеспечения безопасности) более полутора лет назад (середина 2016 года). Предыдущие исправления безопасности, предоставленные в данном месяце, включены в накопительное исправление следующего года и исправление безопасности.

В целом, наш опыт показывает, что смягчение последствий Варианта 1 и Варианта 3 оказывает минимальное влияние на производительность, а исправление Варианта 2, включая ОС и микрокод, оказывает влияние на производительность.

Понимание влияния снижения производительности на Spectre и Meltdown на системы Windows

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .