Windows Server 2008 R2でMeltdown / Spectre緩和策を有効にできません
本日リリースされたパッチを詳細 here としてインストールし、次に2つのレジストリキーを前述のように設定しました。
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
ただし、提供されているPowerShellモジュールを実行して確認すると、軽減策がまだ有効になっていないことがわかります。
PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation control mitigations.
* Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.Microsoft.com/help/4072698
BTIHardwarePresent : False
BTIWindowsSupportPresent : False
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
どうしてこれなの?他に何をしなければなりませんか?サーバーを再起動しましたが、改善はありません。
--Paul:から answer の後に更新
これで正しい更新(wally)がインストールされました。これはPowerShellコマンドレットの出力です。
PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.Microsoft.com/help/4072698
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False
これは、マイクロコードの更新を保留するために私ができるすべてですか?
まず、上記の出力は、必要なWindowsパッチがインストールされていないことを示しています。
Speculation control settings for CVE-2017-5715 [branch target injection]
Windows OS support for branch target injection mitigation is present: False
そして
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Windows OS support for kernel VA shadow is present: False
あなたのAVはそれを妨げていますか? -参照 ここ
第二に、CVE-2017-5715には、CPUマイクロコードの更新も必要になります。これは、BIOS更新が利用可能になった場合、または利用可能になった場合に更新されます。 Intelは明らかにコードをリリースしましたが、それを組み込んだ更新されたBIOSを提供するのはOEMの責任です。
今できることは、Windowsパッチをインストールすることだけです。正しいパッチがインストールされたら、Meltdownの対象になるはずですが、Spectreを完全にカバーするために、その後のBIOSアップデートが必要になります。
ここで参考にしてください(パッチされた)Windows 10システムの出力:
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: False
CVE-2017-5715の場合、パッチはインストールされているが、「ハードウェアサポートがない」ため、つまりマイクロコードの更新が原因で有効になっていないことを示しています。
また、CVE-2017-5754の場合、それは不要であると単に表示されていることにも注意してください。これは、AMD CPUで実行しているためです。
あなたのサイドノートについては、テストなしでは確かに言えませんが、よく見ると、無効にするために、FeatureSettingsOverrideキーは3に設定されています。有効にするために必要なので、0ではなく、 FeatureSettingsOverrideキーの0(有効)または3(無効)のいずれかを除きます。
ファームウェアの更新がない場合、CVE-2017-5715は正しいように見えますが、CVE-2017-5754はインストールされているが無効になっているように見えます。イネーブラーのレジストリキーの設定を確認しましたか?
また、CVE-2017-5715がシステムポリシーによって無効にされていること、およびハードウェアサポートがないことによっても無効になっていることを示しています。これは、レジストリ設定が間違っていることも示唆しています。
レジストリキーは2つではなく3つあります。こちらをご覧ください:
これがありません:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1.0"/f
Marco Vernaglioneと同じ問題があります。 VMwareドライバーとIntelからダウンロードしたマイクロコードのおかげで、ハードウェアサポート、OSサポートを利用できましたが、軽減策はまだ無効になっています。
したがって、これはハードウェアサポートを有効にする方法です。
Kb4056892 Windows Updateを再インストールしようとしましたが、変更はありませんでした。
@ marco-vernaglioneによって提案されたvmwareドライバーを試しましたが、成功しませんでした。
ドライバーをインストールし、Get-SpeculationControlSettings Powershellモジュールがハードウェアサポートを報告するようになりました。しかし、サポートを有効にするためのウィンドウを取得できません。参照されているKB記事でレジストリキーを設定しようとしました https://support.Microsoft.com/help/4073119
ドライバーの読み込みが遅くなっているのではないかと思います。そのウィンドウでは、ドライバーがマイクロコードの更新を読み込む前にサポートを有効にするためのチェックが既に行われており、チェックの再実行について、またはそのチェックの前にドライバーを読み込む方法が何も見つかりません。
Get-SpeculationControlSettings Powershellモジュールからの出力
---
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
Suggested actions
* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.Microsoft.com/help/4073119
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
これのハードウェアサポートを有効にするためのメモです。
BIOS更新を介してサポートを有効にする必要があります。..... VMWare CPUマイクロコード更新ドライバーを介したCPUマイクロコード更新が機能しているようです。 Intelは1月8日にマイクロコードファイルを含むアーカイブをリリースしました。 cpuのmcを更新します。変更はhwinfoなどで表示されます。
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=87
https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver
ハウツー: http://forum.notebookreview.com/threads/how-to-update-microcode-from-windows.787152/
しかし、ハードウェアとOSのサポートが有効になっていますが、完全にアクティブ化することもできません。
S C:\ Windows\system32> Get-SpeculationControlSettings CVE-2017-5715のスペキュレーションコントロール設定[ブランチターゲットインジェクション]
ブランチターゲットインジェクション緩和のハードウェアサポートが存在します:True
ブランチターゲットインジェクションの緩和に対するWindows OSのサポートが存在する:True
ブランチターゲットインジェクションの緩和に対するWindows OSサポートが有効になっています:False
ブランチターゲットインジェクションの緩和に対するWindows OSのサポートは、システムポリシーによって無効になっています:False
ハードウェアサポートがないため、ブランチターゲットインジェクションの緩和に対するWindows OSサポートが無効になっています:False
CVE-2017-5754の投機制御設定[不正データキャッシュの読み込み]
ハードウェアにはカーネルが必要VAシャドウイング:True
カーネルのWindows OSサポートVAシャドウが存在します:True
カーネルのWindows OSサポートVAシャドウが有効になっています:True
PCIDパフォーマンス最適化のWindows OSサポートが有効になっています:True [セキュリティには必要ありません]
推奨されるアクション
- https://support.Microsoft.com/help/4073119 で説明されている投機制御の軽減のためのWindowsクライアントサポートを有効にするためのガイダンスに従ってください