Я установил выпущенный сегодня патч, как подробно описано Вот а затем установите два ключа реестра, как указано:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Однако, когда я запускаю предоставленный модуль PowerShell для проверки, он сообщает мне, что средства защиты все еще не включены:
PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation control mitigations.
* Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.microsoft.com/help/4072698
BTIHardwarePresent : False
BTIWindowsSupportPresent : False
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
Почему это? Что мне еще делать? Я перезагрузил сервер без каких-либо улучшений.
Обновить после ответ от @Paul:
Я установил правильное обновление (wally), и это результат работы командлета PowerShell:
PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.microsoft.com/help/4072698
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
Это все, что я могу сделать в ожидании обновления микрокода?
Во-первых, вышеприведенный вывод говорит о том, что требуемый патч Windows не установлен:
Speculation control settings for CVE-2017-5715 [branch target injection]
Windows OS support for branch target injection mitigation is present: False
и
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Windows OS support for kernel VA shadow is present: False
Ваш AV предотвращает это? - видеть Вот
Во-вторых, CVE-2017-5715 также потребует обновления микрокода ЦП, что означает обновление BIOS, когда / если оно станет доступным. Intel, очевидно, выпустила код, но OEM-производители должны предоставить обновленные BIOS, которые включают его, и это может занять некоторое время.
Все, что вы можете сделать прямо сейчас, это установить патч для Windows. После установки правильного патча вы должны быть защищены от Meltdown, но все равно потребуется последующее обновление BIOS, чтобы полностью закрыть Spectre.
К вашему сведению, вот результат для моей (исправленной) системы Windows 10:
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: False
Вы заметите, что для CVE-2017-5715 он показывает, что патч установлен, но не включен из-за «отсутствия поддержки оборудования», то есть обновления микрокода.
Вы также заметите, что для CVE-2017-5754 просто сказано, что это не требуется - это потому, что я работаю на процессоре AMD.
Что касается вашего бокового примечания, я не могу сказать наверняка без тестирования, но если вы присмотритесь, для отключения ключа FeatureSettingsOverride установлено значение 3, а не 0, как требуется для его включения, поэтому я предполагаю, что вам нужна такая же маска для оба, но либо 0 (включить), либо 3 (отключить) для ключа FeatureSettingsOverride.
Есть 3 ключа реестра, а не два. Посмотреть здесь:
Вам не хватает этого:
reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization" / v MinVmVersionForCpuBasedMitigations / t REG_SZ / d "1.0" / f
CVE-2017-5715 мне кажется правильным в отсутствие обновления прошивки, однако CVE-2017-5754 теперь отображается как установленный, но отключенный. Вы проверили, что установлено в ключах реестра enabler?
Я также только что отметил, что CVE-2017-5715 также отображается как отключенный системной политикой, а также из-за отсутствия поддержки оборудования, что также предполагает неправильные настройки реестра.
Просто примечание о включении аппаратной поддержки этого.
Поддержка должна быть включена через обновление Bios или .... ... Кажется, работает обновление микрокода ЦП через драйвер обновления микрокода ЦП VMWare. Intel выпустила архив с файлами микрокода 8 января. Он обновляет mc процессора, изменение отображается в hwinfo или аналогичном.
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=873
https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver
как: http://forum.notebookreview.com/threads/how-to-update-microcode-from-windows.787152/
Но я также не могу полностью активировать его, хотя теперь поддержка HW и OS включена.
S C: \ Windows \ system32> Get-SpeculationControlSettings Параметры управления предположениями для CVE-2017-5715 [внедрение целевой ветви]
Имеется аппаратная поддержка для смягчения последствий внедрения целевой ветки: True
Присутствует поддержка ОС Windows для предотвращения внедрения целевой ветки: True
Включена поддержка ОС Windows для предотвращения внедрения целевой ветви: False
Поддержка ОС Windows для предотвращения внедрения целевой ветки отключена системной политикой: False
Поддержка ОС Windows для предотвращения внедрения целевой ветви отключена из-за отсутствия поддержки оборудования: False
Настройки управления предположениями для CVE-2017-5754 [загрузка кэша мошеннических данных]
Для оборудования требуется ядро VA Shadowing: True
Присутствует поддержка ОС Windows для ядра VA shadow: True
Включена поддержка ОС Windows для ядра VA shadow: True
Включена поддержка ОС Windows для оптимизации производительности PCID: True [не требуется для безопасности]
Предлагаемые действия
У меня такая же проблема, как и у Марко Вернальоне. Благодаря драйверу VMware и загруженному микрокоду от Intel у меня теперь есть поддержка HW, поддержка ОС, но смягчение последствий все еще отключено.
Так что определенно это способ включить поддержку hw.
Я попытался переустановить обновление Windows kb4056892, но никаких изменений не произошло.
Я безуспешно попробовал драйвер vmware, предложенный @ marco-vernaglione.
У меня установлен драйвер, и теперь модуль PowerShell Get-SpeculationControlSettings сообщает о поддержке оборудования. Но я не могу заставить окна включить поддержку, я попытался установить ключи реестра в указанной статье базы знаний https://support.microsoft.com/help/4073119
Я подозреваю, что драйвер загружается слишком поздно, что Windows уже выполнила проверку, чтобы включить поддержку, прежде чем драйвер загрузит обновление микрокода, и я не могу найти ничего о повторном запуске проверки или, в любом случае, о загрузке драйвера перед этой проверкой.
Вывод из модуля Get-SpeculationControlSettings Powershell
---
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
Suggested actions
* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True