web-dev-qa-db-ja.com

Windows Server 2008 R2でMeltdown / Spectre緩和策を有効にできません

本日リリースされたパッチを詳細 here としてインストールし、次に2つのレジストリキーを前述のように設定しました。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

ただし、提供されているPowerShellモジュールを実行して確認すると、軽減策がまだ有効になっていないことがわかります。

PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
 * Install the latest available updates for Windows with support for speculation control mitigations.
 * Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.Microsoft.com/help/4072698


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : False
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled           : False

どうしてこれなの?他に何をしなければなりませんか?サーバーを再起動しましたが、改善はありません。

--Paul:から answer の後に更新

これで正しい更新(wally)がインストールされました。これはPowerShellコマンドレットの出力です。

PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
 * Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.Microsoft.com/help/4072698


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : True
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled           : False

これは、マイクロコードの更新を保留するために私ができるすべてですか?

4
Darren

まず、上記の出力は、必要なWindowsパッチがインストールされていないことを示しています。

Speculation control settings for CVE-2017-5715 [branch target injection]

Windows OS support for branch target injection mitigation is present: False

そして

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Windows OS support for kernel VA shadow is present: False

あなたのAVはそれを妨げていますか? -参照 ここ

第二に、CVE-2017-5715には、CPUマイクロコードの更新も必要になります。これは、BIOS更新が利用可能になった場合、または利用可能になった場合に更新されます。 Intelは明らかにコードをリリースしましたが、それを組み込んだ更新されたBIOSを提供するのはOEMの責任です。

今できることは、Windowsパッチをインストールすることだけです。正しいパッチがインストールされたら、Meltdownの対象になるはずですが、Spectreを完全にカバーするために、その後のBIOSアップデートが必要になります。

ここで参考にしてください(パッチされた)Windows 10システムの出力:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

CVE-2017-5715の場合、パッチはインストールされているが、「ハードウェアサポートがない」ため、つまりマイクロコードの更新が原因で有効になっていないことを示しています。

また、CVE-2017-5754の場合、それは不要であると単に表示されていることにも注意してください。これは、AMD CPUで実行しているためです。

あなたのサイドノートについては、テストなしでは確かに言えませんが、よく見ると、無効にするために、FeatureSettingsOverrideキーは3に設定されています。有効にするために必要なので、0ではなく、 FeatureSettingsOverrideキーの0(有効)または3(無効)のいずれかを除きます。

5
Paul

ファームウェアの更新がない場合、CVE-2017-5715は正しいように見えますが、CVE-2017-5754はインストールされているが無効になっているように見えます。イネーブラーのレジストリキーの設定を確認しましたか?

また、CVE-2017-5715がシステムポリシーによって無効にされていること、およびハードウェアサポートがないことによっても無効になっていることを示しています。これは、レジストリ設定が間違っていることも示唆しています。

1
Paul

レジストリキーは2つではなく3つあります。こちらをご覧ください:

https://support.Microsoft.com/en-gb/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

これがありません:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1.0"/f

1
hmoobgolian

Marco Vernaglioneと同じ問題があります。 VMwareドライバーとIntelからダウンロードしたマイクロコードのおかげで、ハードウェアサポート、OSサポートを利用できましたが、軽減策はまだ無効になっています。

したがって、これはハードウェアサポートを有効にする方法です。

Kb4056892 Windows Updateを再インストールしようとしましたが、変更はありませんでした。

0
Pepa Vlček

@ marco-vernaglioneによって提案されたvmwareドライバーを試しましたが、成功しませんでした。

ドライバーをインストールし、Get-SpeculationControlSettings Powershellモジュールがハードウェアサポートを報告するようになりました。しかし、サポートを有効にするためのウィンドウを取得できません。参照されているKB記事でレジストリキーを設定しようとしました https://support.Microsoft.com/help/4073119

ドライバーの読み込みが遅くなっているのではないかと思います。そのウィンドウでは、ドライバーがマイクロコードの更新を読み込む前にサポートを有効にするためのチェックが既に行われており、チェックの再実行について、またはそのチェックの前にドライバーを読み込む方法が何も見つかりません。

Get-SpeculationControlSettings Powershellモジュールからの出力

---

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Suggested actions

* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.Microsoft.com/help/4073119

BTIHardwarePresent             : True
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : True
0
BiaachMonkie

これのハードウェアサポートを有効にするためのメモです。

BIOS更新を介してサポートを有効にする必要があります。..... VMWare CPUマイクロコード更新ドライバーを介したCPUマイクロコード更新が機能しているようです。 Intelは1月8日にマイクロコードファイルを含むアーカイブをリリースしました。 cpuのmcを更新します。変更はhwinfoなどで表示されます。

https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=87

https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver

ハウツー: http://forum.notebookreview.com/threads/how-to-update-microcode-from-windows.787152/

しかし、ハードウェアとOSのサポートが有効になっていますが、完全にアクティブ化することもできません。

S C:\ Windows\system32> Get-SpeculationControlSettings CVE-2017-5715のスペキュレーションコントロール設定[ブランチターゲットインジェクション]

ブランチターゲットインジェクション緩和のハードウェアサポートが存在します:True

ブランチターゲットインジェクションの緩和に対するWindows OSのサポートが存在する:True

ブランチターゲットインジェクションの緩和に対するWindows OSサポートが有効になっています:False

ブランチターゲットインジェクションの緩和に対するWindows OSのサポートは、システムポリシーによって無効になっています:False

ハードウェアサポートがないため、ブランチターゲットインジェクションの緩和に対するWindows OSサポートが無効になっています:False

CVE-2017-5754の投機制御設定[不正データキャッシュの読み込み]

ハードウェアにはカーネルが必要VAシャドウイング:True

カーネルのWindows OSサポートVAシャドウが存在します:True

カーネルのWindows OSサポートVAシャドウが有効になっています:True

PCIDパフォーマンス最適化のWindows OSサポートが有効になっています:True [セキュリティには必要ありません]

推奨されるアクション

0