SpectreおよびMeltdownOSパッチがWindowsシステムに適用されていない場合、他の新しいMicrosoftパッチを適用できますか?
この情報セキュリティQA では、WindowsボックスでSpectreとMeltdownのパッチが必要かどうかについて慎重に説明します。
間違いなく、特定のWindowsボックスにパッチを適用することを決定する人もいれば、一部のWindowsボックスにパッチを適用しないことを決定する人もいます。
(パフォーマンスへの悪影響などの既知の問題のために)パッチが望ましくないWindows 7ボックスの場合、notを実行する方法はありますか? )これらの特定のパッチをインストールしますが、Microsoftによってリリースされた他のOSパッチを引き続きインストールしますか?
または、システムでSpectreおよびMeltdown OSレベルのパッチが不要な場合、その特定のシステムにMicrosoft Windows 7パッチを適用できなくなるということですか?
パフォーマンスペナルティが主な異議である場合は、これらのアップデートのインストールを防ぐ必要はないようです。ペナルティの大部分を引き起こすと考えられているMeltdown/Spectre保護対策のその部分は、後でオフにする(またはオンに戻す)ことができます。 ) レジストリキーを使用 、影響を受けていない場合にパフォーマンスの低下が発生しないようにします。
修正を有効にするには
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f変更を有効にするには、コンピューターを再起動します。
修正を無効にするには
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f変更を有効にするには、コンピューターを再起動します。
(MinVmVersionForCpuBasedMitigationsを変更する必要はありません。)
- 3の設定は、マスキングによる有効化/無効化の両方の設定で正確であることに注意してください。
それだけでなく、ペナルティのほとんどはユーザーカーネルの移行によって引き起こされますが、緩和策によりコストが高くなるため、Linuxやモノリシックカーネルに基づく他のオペレーティングシステムの方がWindowsよりも悪くなります。 特定のWindows構成 パフォーマンスへの影響はごくわずかであるため、それらと一致する場合は、それほど心配する必要はありません。
とはいえ、Windows用のMeltdown/Spectreパッチでは パフォーマンスへの影響だけが問題ではありません であることにも注意してください。 いくつかのウイルス対策製品 は、 ブルースクリーンエラー や起動不能など、さらに問題を引き起こすことが知られています。
セキュリティ更新をスキップすることが究極の手段ですが(そして、自分が何をしているかを知っていて、結果に直面する準備ができていると100%確信している場合にのみ、それを行う必要があります)、最初にアンチウイルスの公式アドバイザリに確認することをお勧めしますSpectre/Meltdownアップデートを製品と一緒に使用しても問題がない場合は、ベンダー(および、おそらく、他のシステム関連ソフトウェアのベンダーがインストールに含まれている場合)。
結局のところ、Meltdown/Spectreパッチをインストールしないと、将来的にセキュリティアップデートをインストールできないように見えることに注意してください。このように、スキップではなく管理する方が良いでしょう。
パッチが不要なWindows7ボックスの場合(パフォーマンスへの悪影響などの既知の問題のため)、これらの特定のパッチをインストールせずに、Microsoftがリリースした他のOSパッチをインストールし続ける方法はありますか?
これは不可能です。 Windows 7、Windows 8.x、およびWindows 10用にリリースされた現在の(累積およびセキュリティ)月次パッチには、CVE-2017-5753およびCVE-2017-5754のセキュリティ修正が含まれています。つまり、次の月次(累積およびセキュリティ)パッチが来月リリースされると、システムに今月の累積パッチがインストールされていない場合は、以前のパッチも含まれます。
パフォーマンスの低下に伴う脆弱性の軽減はCVE-2017-5715であるというのが私の理解であるということを指摘する価値があります。この脆弱性の緩和に関するWindows内の唯一の変更は、Spectreの脆弱性のバリアント2を緩和するために使用されるCPU命令を呼び出すカーネルへの変更です。この脆弱性から保護するには、プロセッサのマイクロコードも更新する必要があります(そうしないと、システムはバリアント2に対して脆弱なままになります)。
または、システムでSpectreおよびMeltdown OSレベルのパッチが不要な場合、その特定のシステムにMicrosoft Windows 7パッチを適用できなくなるということですか?
Windows7とWindows8.1は、1年半前(2016年半ば)に(累積およびセキュリティ)月次パッチリリースを開始しました。特定の月に提供された以前のセキュリティパッチは、翌月の累積セキュリティパッチに含まれます。
一般に、私たちの経験では、バリアント1とバリアント3の緩和策によるパフォーマンスへの影響は最小限ですが、OSやマイクロコードを含むバリアント2の修復によるパフォーマンスへの影響は最小限です。