Se os patches do Spectre e do Meltdown OS não forem aplicados em um sistema Windows, outras novas correções da Microsoft poderão ser aplicadas?

4

Em este controle de segurança da informação , nós discutimos cuidadosamente se o patch ou o Specter e o Meltdown são necessários nas caixas do Windows.

Alguns, sem dúvida, decidirão que querem corrigir certas caixas do Windows, enquanto outros decidirão que não querem corrigir algumas caixas do Windows.

Para as caixas do Windows 7 para as quais os patches não são desejados (devido a problemas conhecidos, incluindo um impacto negativo no desempenho), existe alguma maneira de não instalar os específicos patches, ainda continuar a instalar outros patches OS lançados pela Microsoft?

Ou será que, se as correções no nível do sistema operacional Specter and Meltdown não forem desejadas em um sistema, não haverá mais patches do Microsoft Windows 7 para esse sistema específico?

    
por RockPaperLizard 16.01.2018 / 16:35

2 respostas

4

Se a penalidade de desempenho for sua principal objeção, você não precisará impedir que essas atualizações sejam instaladas: a parte das medidas de proteção do Meltdown / Specter que acredita-se que causará a maior parte da penalidade poderá ser desativada mais tarde ( ou de volta) com uma chave de registro , garantindo que você não receberá uma penalidade por desempenho se não for afetado:

To enable the fix

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restart the computer for the changes to take effect.

To disable the fix

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restart the computer for the changes to take effect.

(There is no need to change MinVmVersionForCpuBasedMitigations.)

  • Note setting of 3 is accurate for both enable/disable settings due to masking.

Não apenas isso, mas como a maior parte da penalidade é causada pelas transições do kernel do usuário, que agora custam mais devido às mitigações, é pior para o Linux e outros sistemas operacionais baseados em kernels monolíticos do que no Windows. Em Determinadas configurações do Windows O impacto no desempenho é insignificante, portanto, se o seu corresponder a esse, você não precisa se preocupar com isso.

Dito isso, observe também que o impacto no desempenho não é o único problema com as correções do Meltdown / Spectre para o Windows. Alguns produtos antivírus são conhecidos por causar mais problemas, incluindo Erros de tela azul e incapacidade de inicialização.

Embora pular as atualizações de segurança seja a medida definitiva (e você só deve fazer isso se tiver cem por cento certeza de que sabe o que está fazendo e está pronto para enfrentar as consequências), é melhor verificar primeiro com o aviso oficial. do seu fornecedor de antivírus (e, provavelmente, fornecedores de qualquer outro software relacionado ao sistema, caso haja algum em sua instalação), se já estiver bem usar as atualizações de Spectre / Meltdown junto com seus produtos.

Observe que, no final do dia, não parece que você poderá instalar nenhuma das atualizações de segurança no futuro sem as correções do Meltdown / Specter instaladas. Dessa forma, é melhor não pular , mas gerenciar .

    
por 16.01.2018 / 16:41
2

For Windows 7 boxes for which the patches are not desired (due to known issues, including a negative performance impact), is there any way to not install those specific patches, yet continue to install other OS patches released by Microsoft?

Isso não será possível. O patch mensal atual (cumulativo e de segurança) lançado para o Windows 7, Windows 8.xe Windows 10 contém as correções de segurança para CVE-2017-5753 e CVE-2017-5754 . Isso significa que quando o próximo patch mensal (cumulativo e de segurança) for lançado no mês que vem, ele também incluirá os patches anteriores se o sistema não tiver o patch cumulativo deste mês instalado.

Vale a pena ressaltar que, do meu ponto de vista, a atenuação da vulerabilidade que vem com um impacto no desempenho é de CVE-2017-5715 . As únicas alterações no Windows em relação a essa mitigação de vulerabilidade são as alterações no kernel, que chamam a instrução de CPU usada para mitigar a variante 2 da vulerabilidade do Specter. Para ser protegido contra essa vulerabilidade, o microcódigo de seu processador também deve ser atualizado (caso contrário, seu sistema permanecerá vulnerável à variante 2).

Or is that if Spectre and Meltdown OS-level patches are not desired on a system, that no more Microsoft Windows 7 patches can be applied to that specific system?

O Windows 7 e o Windows 8.1 foram lançados em um patch mensal (cumulativo e de segurança) há mais de um ano e meio (meados de 2016). Patches de segurança anteriores, fornecidos em um determinado mês, são incluídos no patch cumulativo e de segurança do próximo mês.

In general, our experience is that Variant 1 and Variant 3 mitigations have minimal performance impact, while Variant 2 remediation, including OS and microcode, has a performance impact.

Entendendo o impacto no desempenho de mitigações de Specter e Meltdown em sistemas Windows

    
por 16.01.2018 / 18:46