Год назад я писал об обнаруженных проблемах безопасности в процессорах Intel, известные как «Meltdown» (CVE-2017-5754) и «Spectre» (CVE-2017-5753 и CVE-2017-5715) — https://moonback.ru/page/obnovlenie-uyazvimostej-bezopasnosti-protsessora-meltdown-i-spectre.
За это время корпорация Microsoft выпустила патчи, которые должны защитить операционную систему Windows от таких угроз.
Зачем отключать патчи защиты Microsoft от MeltDown и Spectre
Я заметил, что на большинстве немолодых компьютеров (старше 5 лет) после применения патча от Microsoft существенно упала производительность. Кроме того для многих процессоров нет защиты от уязвимости Spectre.
Я подумал, что раз нет гарантированной защиты и при этом упала производительность, то есть смысл отказаться от такой защиты в пользу скорости работы компьютера.
Конечно все это справедливо для старых компьютеров, которые еле-еле справляются с современными задачами.
Как проверить наличие защиты от MeltDown и Spectre
Если у вас включены автоматические обновления Windows, то скорее всего у вас уже установлены патчи защиты от MeltDown и Spectre. Проверить это проще всего с помощью программы InSpectre от Steve Gibson — https://www.grc.com/inspectre.htm
Disabling Spectre And Meltdown In Windows For Increased Performance
Запускать программу нужно от имени администратора.
В моем случае (на ноутбуке на котором я пишу эту статью) состояние защиты выглядело так:
Отключение фикса Meltdown и Spectre в Windows
На сайте майкрософт размещена информация о том, как можно проверить подвержена ли ОС атакам meltdown. Там же имеется информация, как можно отключить последнее исправление.
Учитывая, что в интернете не утихают слухи о катастрофическом падении производительности и даже появляются сравнительные тесты «до» и «после» информация по отключению данной заплатки может оказаться полезной.
Сразу к делу: отключить можно внесением или корректировкой двух параметров в реестре.
С сайта майкрософт:
Включение или отключение фикса отдельно для CVE-2017-5715 и CVE-2017-5754 (Spectre и Meltdown)
Как включить фикс CVE-2017-5715 и CVE-2017-5754
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Как отключить фикс CVE-2017-5715 и CVE-2017-5754
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Включение или отключение фикса отдельно для CVE 2017-5715 (Spectre)
Meltdown и Spectre | Как отключить Meltdown и Spectre | Оптимизация процессора | InSpectre обзор
Как включить фикс CVE-2017-5715
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
Как отключить фикс CVE-2017-5715
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
Примечание * Установка значения 3 для FeatureSettingsOverrideMask является одинаковым для обоих случаев.
Примечание.* Отключение и включение посредством изменения параметров реестра потребует перезагрузки компьютера и права администратора.
Примечание.* Изменять MinVmVersionForCpuBasedMitigations нет необходимости.
Проверка наличия уязвимости в системе при помощи powershell модуля SpeculationControl
Предполагается, что ExecutionPolicy в powershell настроена на нужный уровень (Bypass или Unrestricted).
Установка модуля PowerShell:
Install-Module SpeculationControl
На оба вопроса отвечаем «Y».
Import-Module SpeculationControl
Get-SpeculationControlSettings
Результат в случае полной «защищенности» ПК:
BTIHardwarePresent : True BTIWindowsSupportPresent : True BTIWindowsSupportEnabled : True BTIDisabledBySystemPolicy : True BTIDisabledByNoHardwareSupport : True KVAShadowRequired : True KVAShadowWindowsSupportPresent : True KVAShadowWindowsSupportEnabled : True KVAShadowPcidEnabled : True
После применения изменения настроек и перезагрузки:
BTIHardwarePresent : False BTIWindowsSupportPresent : False BTIWindowsSupportEnabled : False BTIDisabledBySystemPolicy : False BTIDisabledByNoHardwareSupport : False KVAShadowRequired : False KVAShadowWindowsSupportPresent : False KVAShadowWindowsSupportEnabled : False KVAShadowPcidEnabled : False
А вот вопросы нужно это делать или нет, есть ли смысл или нет и остаются открытыми.
Официальное обновление отключающее патч CVE 2017-5715 для всех поддерживаемых windows
www.catalog.update.microsoft.com/Search.aspx?q=KB4078130
P.P.S.: Если у кого-нибудь есть возможность протестировать есть ли вообще изменения в плане производительности, то было бы очень замечательно.
Источник: habr.com
Отключаем патч Meltdown и Spectre в Windows 10
После установки патча безопасности которое устраняет уязвимость Meltdown и Spectre производительность компьютера снижается от 2% до 25%. Если Вы используете слабый компьютер то это будет очень заметно.
ADVERTISEMENT
Для отключения патча в Windows 10 необходимо:
- запустить Командную строку или Windows PowerShell от имени администратора.
Поочередно вставить нижеприведенные команды в окно Командной строки или Windows PowerShell (после ввода каждой команды нажать Enter):
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если команда выполнена успешно то увидим «Операция успешно завершена».
После ввода команд и их успешном выполнении перезагрузите компьютер.
Проверить отключен ли патч Meltdown и Spectre можно с помощью утилиты InSpectre, которая предоставляет информацию о защите компьютера от уязвимостей Meltdown и Spectre.
В нашем случае если патч отключен, то в окне программы будет следующая информация:
- System is Meltdown protected: NO!
- System is Spectre protected: NO!
Для включения патча в Windows 10 необходимо:
- запустить Командную строку или Windows PowerShell от имени администратора.
Поочередно вставить нижеприведенные команды в окно Командной строки или Windows PowerShell (после ввода каждой команды нажать Enter):
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management» /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если команда выполнена успешно то увидим «Операция успешно завершена».
После ввода команд и их успешном выполнении перезагрузите компьютер.
Источник: alexnettm.com