Если исправления ОС Spectre и Meltdown не применяются в системе Windows, могут ли быть применены другие новые исправления Microsoft?

Question

Если исправления ОС Spectre и Meltdown не применяются в системе Windows, могут ли быть применены другие новые исправления Microsoft?

В этом QA по информационной безопасности мы вдумчиво обсуждаем, необходимы ли исправления для Spectre и Meltdown на блоках Windows.

Некоторые, несомненно, решат, что они хотят исправить некоторые блоки Windows, в то время как другие решат, что они не хотят исправлять некоторые блоки Windows.

Для блоков Windows 7, для которых исправления нежелательны (из-за известных проблем, в том числе из-за негативного влияния на производительность), есть ли способ не устанавливать эти специальные исправления, но продолжать устанавливать другие исправления ОС, выпущенные Microsoft?

Или если в системе нежелательны исправления на уровне ОС Spectre и Meltdown, то исправления Microsoft Windows 7 больше нельзя применять к этой конкретной системе?

4

windows windows-7 spectre meltdown

Источник

RockPaperLizard 16 янв '18 в 15:35

2 ответа

Другие вопросы по тегам windows windows-7 spectre meltdown

ximaera 16 янв '18 в 15:41 2018-01-16 15:41 · Answer 1 · 2018-01-16 15:41

Если основным возражением является снижение производительности, то вам, по-видимому, нет необходимости препятствовать установке этих обновлений: та часть мер защиты Meltdown/Spectre, которая, как считается, является причиной большей части штрафа, может быть впоследствии отключена (или снова включена).) с ключом реестра, гарантирующим, что вы не получите снижение производительности, если на вас это не влияет:

Чтобы включить исправление
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезагрузите компьютер, чтобы изменения вступили в силу.
Чтобы отключить исправление
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезагрузите компьютер, чтобы изменения вступили в силу.
(Нет необходимости изменять MinVmVersionForCpuBasedMitigations.)
Примечание: настройка 3 является точной как для включения, так и для отключения настроек из-за маскировки.

Мало того, но так как большая часть штрафа вызвана переходами между ядром пользователя, которые теперь стоят дороже из-за смягчения, это хуже для Linux и других операционных систем, основанных на монолитных ядрах, чем для Windows. В некоторых конфигурациях Windows влияние на производительность незначительно, поэтому, если они совпадают, вам не о чем беспокоиться.

Тем не менее, обратите внимание, что влияние на производительность - не единственная проблема с исправлениями Meltdown/Spectre для Windows. Известно, что некоторые антивирусные продукты вызывают дополнительные проблемы, в том числе ошибки "синего экрана" и невозможность загрузки.

Хотя пропуск обновлений безопасности является окончательной мерой (и вы должны делать это только в том случае, если вы на сто процентов уверены, что знаете, что делаете, и готовы столкнуться с последствиями), лучше сначала проконсультироваться с официальной рекомендацией вашего антивируса. vendor (и, возможно, производители любого другого программного обеспечения, связанного с системой, если таковое имеется на вашей установке), если уже нормально использовать обновления Spectre/Meltdown вместе с их продуктами.

Обратите внимание, что в конце концов не похоже, что вы сможете установить какие-либо обновления безопасности в будущем без установки исправлений Meltdown/Spectre. Таким образом, лучше не пропускать, а управлять.

Ramhound 16 янв '18 в 17:46 2018-01-16 17:46 · Answer 2 · 2018-01-16 17:46

Для блоков Windows 7, для которых исправления нежелательны (из-за известных проблем, в том числе из-за негативного влияния на производительность), есть ли способ не устанавливать эти специальные исправления, но продолжать устанавливать другие исправления ОС, выпущенные Microsoft?

Это не будет возможно. Текущий ежемесячный патч (накопительный и для безопасности), выпущенный для Windows 7, Windows 8.x и Windows 10, содержит исправления безопасности для CVE-2017-5753 а также CVE-2017-5754, Это означает, что когда в следующем месяце будет выпущено следующее ежемесячное (накопительное и защитное) исправление, оно также будет включать предыдущие исправления, если в вашей системе не установлено накопительное исправление этого месяца.

Стоит отметить, что, насколько я понимаю, снижение уязвимости, которое сопровождается снижением производительности, заключается в CVE-2017-5715, Единственными изменениями в Windows, касающимися этого уменьшения уязвимости, являются изменения в ядре, которые вызывают инструкцию CPU, используемую для смягчения варианта 2 уязвимости Spectre. Для защиты от этой уязвимости микрокод вашего процессора также должен быть обновлен (в противном случае ваша система останется уязвимой для варианта 2).

Или если в системе нежелательны исправления на уровне ОС Spectre и Meltdown, то исправления Microsoft Windows 7 больше нельзя применять к этой конкретной системе?

Windows 7 и Windows 8.1 вышли на ежемесячный выпуск исправлений (накопительный и для обеспечения безопасности) более полутора лет назад (середина 2016 года). Предыдущие исправления безопасности, предоставленные в данном месяце, включены в накопительное исправление следующего года и исправление безопасности.

В целом, наш опыт показывает, что смягчение последствий Варианта 1 и Варианта 3 оказывает минимальное влияние на производительность, в то время как исправление Варианта 2, включая ОС и микрокод, оказывает влияние на производительность.

Понимание влияния снижения производительности на Spectre и Meltdown на системы Windows