Я вижу это Я не могу включить защиту от Meltdown / Spectre в Windows Server 2008 R2 - аналогичный вопрос, но я полагаю, что различия в окружающей среде могут оправдать различные средства правовой защиты.
После установки связанных с Meltdown / Spectre обновлений Windows и ключей реестра и проверки того, что соответствующий патч Vmware установлен (точнее, ESXi550-201709101-SG указан как "устаревший для хоста", как и ESXi550-201709102-SG, но установлен ESXi550-201709103-SG).
Microsoft инструмент тестирования дает мне только
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
Осмелюсь интерпретировать их (в частности, в отношении CVE-2017-5715) как
Это меня смущает. Во-первых, настройки реестра должны быть в порядке в соответствии со следующей выдержкой из экспорта:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000000
"FeatureSettingsOverrideMask"=dword:00000003
"FeatureSettings"=dword:00000003
Кроме того, я не понимаю, почему отсутствует требуемый микрокод (и поэтому предлагается обновление BIOS / прошивки), учитывая, что на базовом хосте VmWare установлен ESXi550-201709103-SG (обратите внимание, что ESXi550-201709101-SG имеет сноску, он смягчает против CVE-2017-5715, но не против CVE-2017-5753)
Что я должен делать?
Между тем, я также установил BIOS / прошивку (в частности, для базового блейд-сервера ProLiant BL460c Gen 9 я установил версию BIOS 2.54 12-07-2017 (Исправления: «Обновлен микрокод процессора Intel до последней версии.»). / host, а также гость были впоследствии перезагружены, но я по-прежнему получаю те же результаты теста (FTFFTTTTF, и мне все еще предлагают «Установить обновление BIOS / прошивки, предоставленное OEM-производителем вашего устройства ...»). У меня даже был гость загрузитесь в его BIOS и пролистайте настройки, чтобы увидеть, нужно ли что-то включить (видимо, это не так).
Из любопытства попробовал Инструмент тестирования Linux также. Это говорит мне «Аппаратная поддержка (микрокод процессора) для смягчения: ДА» даже на блейд-сервере, на котором был установлен только ESXi550-201709103-SG, но еще не был установлен ProLiant BIOS 2.54.
Насколько мне известно, патчи VMware не содержат новых микрокод- для этого вам нужно будет получить и установить обновление прошивки / BIOS от поставщика оборудования. ESXi550-201709101-SG должен содержать (некоторые) средства защиты от CVE-2017-5715, но на уровне гипервизора, а не на уровне оборудования / процессора / микрокода.
Уже есть обновления от HPE для ProLiant Gen9 и 10 и Dell для PowerEdge R630 / R730 / R730XD. Я должен подумать о других поставщиках и о других моделях, но это те, которые меня интересуют, и поэтому я присмотрелся.
Однако не могу помочь вам с настройками реестра.
редактировать: Я должен извиниться, похоже ESXi650-201801402-BG обновляет микрокод процессора. Для меня это ново ...
редактировать 2: Установка всех обновлений (BIOS / микрокод, ESXi, ОС) может оказаться недостаточной, похоже, вам нужно убедитесь, что используется виртуальное оборудование 9 (лучше 11 или новее), снова выключите и снова включите виртуальную машину.. И power off and power on your VM просто означает, что перезагрузки гостевой ОС кажется недостаточно.