Eu vejo que Não posso ativar as atenuações de Meltdown / Specter no Windows Server 2008 R2 é uma pergunta semelhante, mas suponho que as diferenças de ambiente possam justificar remédios diferentes.
Depois de instalar as atualizações do Windows e as chaves de registro relacionadas ao Meltdown / Specter e verificar se o O patch relevante do VMware está instalado (mais precisamente, o ESXi550-201709101-SG está listado como "considerado obsoleto pelo host", assim como o ESXi550-201709102-SG, mas o ESXi550-201709103-SG está instalado).
A ferramenta de teste da Microsoft só me dá
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
Eu me atrevo a interpretá-los (em particular no que diz respeito a CVE-2017-5715) como
- CPU é vulnerável
- Atualizações do Windows foram instaladas
- As configurações do registro estão faltando
- o GPO não é um problema
- Microcódigo / firmware apropriado está faltando
Isso me confunde.
Por um lado, as configurações do registro devem estar de acordo com o seguinte trecho de exportação:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000000
"FeatureSettingsOverrideMask"=dword:00000003
"FeatureSettings"=dword:00000003
Além disso, não entendo por que o microcódigo necessário está faltando (e portanto a atualização do BIOS / firmware é sugerida), já que o host VmWare subjacente possui o ESXi550-201709103-SG instalado (note que o ESXi550-201709101-SG vem com uma nota de rodapé que mitiga contra o CVE-2017-5715, mas não contra o CVE-2017-5753)
O que devo fazer?
Atualizar
Enquanto isso, eu também instalei o BIOS / firmware (especificamente, para o blade ProLiant BL460c Gen 9 subjacente, instalei o BIOS versão 2.54 12-07-2017 (Correções: "Atualizei o microcódigo do processador Intel para a versão mais recente"). .
O blade / host, bem como o convidado foram reinicializados depois, mas eu ainda recebo os mesmos resultados de teste (FTFFTTTTF e ainda estou sugerido para "Instalar BIOS / atualização de firmware fornecida pelo seu dispositivo OEM ...").
Eu até fiz o guest inicializar em seu BIOS e folheei as configurações para ver se algo precisava ser ativado (aparentemente esse não é o caso).
Atualização 2
Por curiosidade, eu tentei a ferramenta de teste do Linux também. Isso me diz "Hardware (CPU microcode) suporte para mitigação: SIM" mesmo em um blade que tinha apenas o ESXi550-201709103-SG instalado, mas ainda não o ProLiant BIOS 2.54.