Não consigo ativar as atenuações de Meltdown / Specter no Windows Server 2008 R2

Primeiramente, a saída acima está dizendo que o patch requerido do Windows não foi instalado:

Speculation control settings for CVE-2017-5715 [branch target injection]

Windows OS support for branch target injection mitigation is present: False

e

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Windows OS support for kernel VA shadow is present: False

O seu antivírus está impedindo isso? - consulte aqui

Em segundo lugar, o CVE-2017-5715 também exigirá uma atualização do microcódigo da CPU, o que significa uma atualização do BIOS quando / se estiver disponível. A Intel aparentemente lançou o código, mas cabe aos OEMs fornecer BIOSs atualizados que o incorporem e isso pode demorar um pouco.

Tudo o que você pode fazer agora é instalar o patch do Windows. Depois que o patch correto estiver instalado, você deve estar coberto para o Meltdown, mas ainda precisará de uma atualização de BIOS subsequente para cobrir totalmente o Specter.

FYI aqui é a saída para o meu sistema (windows) patched 10:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

Você notará que, para o CVE-2017-5715, ele mostra que o patch está instalado mas não habilitado devido a "ausência de suporte de hardware", ou seja, a atualização do microcódigo.

Você também notará que, para o CVE-2017-5754, ele simplesmente diz que não é necessário - isso acontece porque estou executando em um processador AMD.

Quanto à sua nota paralela, não posso dizer com certeza sem testar, mas se você olhar de perto, para desativar a chave FeatureSettingsOverride está sendo definida como 3, não 0 como é necessário para ativá-lo, então eu suponho que você precisa do mesma máscara para ambos, mas um 0 (ativar) ou 3 (desativar) para a chave FeatureSettingsOverride.

O CVE-2017-5715 parece certo para mim, na ausência de uma atualização de firmware, no entanto, o CVE-2017-5754 está agora sendo exibido como instalado, mas desativado. Você verificou quais são as chaves de registro do ativador definidas?

Eu também observei que o CVE-2017-5715 também está sendo mostrado como desativado pela política do sistema, bem como pela ausência de suporte de hardware, o que também sugere que as configurações do registro estão erradas.

Existem 3 chaves de registro, não duas. Veja aqui:

link

Você está sentindo falta desta:

reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualização" / v MinVmVersionForCpuBasedMitigations / t REG_SZ / d "1.0" / f

Apenas uma nota para ativar o suporte de hardware.

O suporte deve ser ativado via atualização do Bios ou .... ... Uma atualização do Microcódigo da CPU através do driver de atualização do Microcódigo da CPU do VMWare parece funcionar. A Intel lançou um arquivo com os arquivos de microcódigo em 8 de janeiro. Atualiza o mc da cpu, a mudança é mostrada no hwinfo ou similar.

link

link

como fazer: link

Mas também não consigo ativá-lo totalmente, embora agora o suporte a HW e SO esteja ativado.

S C: \ Windows \ system32 > Get-SpeculationControlSettings Configurações de controle de especulação para CVE-2017-5715 [injeção de alvo de ramificação]

O suporte de hardware para a atenuação da injeção de destino da filial está presente: True

O suporte do sistema operacional Windows para a atenuação da injeção de destino da filial está presente: True

O suporte do sistema operacional Windows para a atenuação de injeção de destino da filial está ativado: False

O suporte do SO Windows para a atenuação da injeção de destino da ramificação está desativado pela política do sistema: False

O suporte do SO Windows para a atenuação da injeção de destino da ramificação está desativado pela ausência de suporte de hardware: False

Configurações de controle de especificação para CVE-2017-5754 [carga de cache de dados não autorizados]

Hardware requer sombreamento do kernel VA: Verdadeiro

O suporte do SO Windows para a sombra do kernel VA está presente: True

O suporte do SO Windows para a sombra do kernel VA está ativado: True

O suporte do SO Windows para otimização de desempenho de PCID está ativado: True [não é necessário para segurança]

Ações sugeridas

• Siga as orientações para ativar o suporte do Windows Client a mitigações de controle de especulação descritas no link

Eu tenho apenas o mesmo problema de Marco Vernaglione. Graças ao driver VMware e ao microcódigo baixado da Intel, agora tenho suporte a HW, suporte a SO, mas a atenuação ainda está desativada.

Então, definitivamente, essa é a maneira de ativar o suporte ao hw.

Eu tentei reinstalar a atualização do Windows kb4056892, mas nenhuma mudança aconteceu.

Eu tentei o driver vmware como sugerido pelo @ marco-vernaglione sem sucesso.

Eu tenho o driver instalado e o módulo Get-SpeculationControlSettings Powershell relata o suporte a hardware agora. No entanto, não consigo abrir janelas para ativar o suporte. Tentei definir as chaves de registro no artigo da base de conhecimento referenciado link

Eu suspeito que o driver carregue até tarde, que o windows já tenha feito o check para habilitar o suporte antes que o driver carregue a atualização do microcódigo e eu não consiga encontrar nada sobre re-executar a verificação ou mesmo carregar o driver antes disso verifique.

Saída do módulo Powershell Get-SpeculationControlSettings

---

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Suggested actions

* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119

BTIHardwarePresent             : True
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : True