web-dev-qa-db-fra.com

Je ne peux pas activer les atmosphères de fusion / spectre dans Windows Server 2008 R2

J'ai installé le patch publié aujourd'hui comme détaillé ici puis définissez les deux clés de registre comme mentionné:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Cependant, lorsque j'exécute le module PowerShell fourni pour vérifier, il vous informe que les mesures d'atténuation ne sont toujours pas activées:

PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
 * Install the latest available updates for Windows with support for speculation control mitigations.
 * Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.Microsoft.com/help/4072698


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : False
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled           : False

Pourquoi est-ce? Que dois-je faire d'autre? J'ai redémarré le serveur pour une bonne mesure sans amélioration.

Mise à jour après Réponse de @Paul:

J'ai maintenant installé la mise à jour correcte (Wally), et c'est la sortie de la cmdlet PowerShell:

PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
 * Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.Microsoft.com/help/4072698


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : True
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled           : False

Est-ce tout ce que je peux faire en attente d'une mise à jour de microcode?

4
Darren

Tout d'abord, la sortie ci-dessus indique que le patch Windows requis n'a pas été installé:

Speculation control settings for CVE-2017-5715 [branch target injection]

Windows OS support for branch target injection mitigation is present: False

et

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Windows OS support for kernel VA shadow is present: False

Votre AV l'empêche-t-elle? - voir ici

Deuxièmement, CVE-2017-5715 nécessitera également une mise à jour du microcode CPU qui signifie une mise à jour du BIOS lorsque/si elle devient disponible. Intel a apparemment publié le code, mais il est essentiel de fournir des BIOS mis à jour qui l'incorporent et qui peut prendre un certain temps.

Tout ce que vous pouvez faire en ce moment est d'installer le patch Windows. Une fois que le correctif correct est installé, vous devez être couvert pour l'effondrement, mais il aura toujours besoin d'une mise à jour du BIOS ultérieure pour couvrir complètement Spectre.

FYI Voici la sortie de mon système Windows 10 (corrigé):

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

Vous remarquerez que pour CVE-2017-5715, cela montre que le patch est installé mais non activé en raison de "absence de support matériel", c'est-à-dire la mise à jour du microcode.

Vous remarquerez également que pour CVE-2017-5754, cela dit simplement que ce n'est pas nécessaire - c'est parce que je cours sur une CPU AMD.

Quant à votre note latérale, je ne peux pas dire avec certitude sans tester, mais si vous regardez de près, pour désactiver la clé FeeletSetSoverride est définie sur 3, pas 0, comme c'est nécessaire pour l'activer afin que je suppose que vous avez besoin du même masque pour tous deux, soit un 0 (Activer) OU 3 (Désactivez) pour la clé FeatsetSoverride.

5
Paul

CVE-2017-5715 se dirige vers moi en l'absence d'une mise à jour du micrologiciel, cependant, CVE-2017-5754 figure désormais comme installé mais désactivé. Avez-vous vérifié ce que les clés de registre d'Enabler sont définies?

J'ai également noté que CVE-2017-5715 apparaît également comme désactivé par la politique du système ainsi que par l'absence de support matériel suggérant également que les paramètres de registre sont faux.

1
Paul

Il y a 3 clés de registre, pas deux. Vois ici:

https://support.microsoft.com/fr-gb/help/4072698/windows-server-Guidance-a-protect-Agrainst-Le-Spulative-Execution

Vous manquez celui-ci:

reg Ajouter "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization"/V MINVMVERSIONFORCPUBASEDMIGATIONS/T REG_SZ/D "1.0"/F

1
hmoobgolian

J'ai juste un même problème comme Marco Vernaglione. Grâce au pilote VMware et au microcode téléchargé d'Intel, j'ai maintenant la prise en charge de HW, la prise en charge du système d'exploitation, mais l'atténuation est toujours désactivée.

Tellement, c'est la voie à la prise en charge HW.

J'ai essayé de réinstaller KB4056892 Windows Update, mais aucun changement n'est arrivé.

0
Pepa Vlček

J'ai essayé le pilote VMware comme suggéré par @ Marco-Vernaglione sans succès.

J'ai installé le pilote et le module Get-SpeculationControlSettings PowerShell Rapporte le support matériel maintenant. Mais je ne peux pas obtenir Windows pour activer la prise en charge, j'ai essayé de définir les clés de registre dans l'article de KB référencé https://support.microsoft.com/help/4073119

Je soupçonne que le conducteur se charge en retard, que Windows a déjà fait que la vérification permet d'activer la prise en charge avant que le pilote ne charge la mise à jour du microcode et je ne trouve aucun sujet de réexécution du chèque ou de toute façon pour charger le conducteur avant cette vérification.

Sortie de Get-SpeculationControlSettings Module PowerShell

---

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Suggested actions

* Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.Microsoft.com/help/4073119

BTIHardwarePresent             : True
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : True
0
BiaachMonkie

Juste une note pour permettre le support matériel de cela.

La prise en charge doit être activée via la mise à jour de BIOS ou .... ... une mise à jour de microcode CPU via le pilote de mise à jour de microcode VMware CPU semble fonctionner. Intel a publié une archive avec les fichiers de microcode le 8 janvier. Il met à jour le MC de la CPU, le changement est montré à Hwinfo ou similaire.

https://downloadcenter.intel.com/download/27431/linux-processor-microcode-Data-file?Product=87

https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver

comment-de: http://forum.notebookreview.com/threads/how-to-update-microcode-from-windows.787152/

Mais je ne suis pas aussi capable de l'activer complètement, bien que la prise en charge de HW et du système d'exploitation soit activée.

S C:\Windows\System32> Get-SpeculationControlSettings Paramètres de contrôle de la spéculation pour CVE-2017-5715 [Injection de la cible de branche]

Prise en charge du matériel pour l'atténuation d'injection ciblée de la branche est présente: vrai

La prise en charge de Windows OS pour l'atténuation d'injection ciblée de la branche est présente: True

La prise en charge de Windows OS pour l'atténuation de l'injection de citation de la branche est activée: Faux

La prise en charge de Windows OS pour l'atténuation des injections cibles de la branche est désactivée par la stratégie système: Faux

La prise en charge de Windows OS pour l'atténuation des injections cibles de la branche est désactivée par l'absence de support matériel: Faux

Paramètres de contrôle de spéculation pour CVE-2017-5754 [Charge de cache de données de voyous]

Le matériel nécessite du noyau VA Shading: True

Prise en charge de Windows OS pour Kernel VA Shadow est présente: True

Support Windows OS pour Kernel VA Shadow est activé: true

La prise en charge de Windows OS pour l'optimisation des performances PCID est activée: TRUE [Non requis pour la sécurité]

Actions suggérées

0
Marco Vernaglione