Как вручную включить Retpoline в Windows 10

Я уверен, что вы знаете об аппаратных уязвимостях Spectre и Meltdown, которые были обнаружены в прошлом году в январе.

Эти аппаратные уязвимости позволяют программам украсть данные, которые обрабатываются на компьютере.

Затем прибыл Spectre 2!

Хотя это было пофикшено, решение привело к более существенному снижению производительности.

Retpoline стал новым решением!

В этом руководстве мы увидим, как вы можете настроить Retpoline в Windows 10.

Настроить Retpoline в Windows 10

Интересно отметить, что Retpoline — это метод бинарной модификации, разработанный Google.

Он предназначен для защиты от «Branch target injection», также называемого «Spectre».

Это решение обеспечивает повышение производительности ЦП.

Microsoft разворачивает его поэтапно.

А из-за сложности его реализации, преимущество в производительности у Windows 10 v1809 и более поздних выпусков.

Чтобы вручную включить Rerpoline в Windows, убедитесь, что у вас есть обновление KB4482887.

Затем добавьте следующие обновления конфигурации реестра:

На клиентских SKU:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400

Перезагрузитесь

На серверных SKU :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401

Перезагрузитесь

Как проверить статус Retpoline в Windows

Чтобы подтвердить, активен ли Retpoline, вы можете использовать командлет Get-SpeculationControlSettings PowerShell.

Этот скрипт PowerShell покажет состояние настраиваемых обновлений Windows для различных уязвимостей.

Включает в себя Spectre 2 и Meltdown.

Как только вы загрузите скрипт и выполните его, вот как это выглядит.

Speculation control settings for CVE-2017-5715 [branch target injection] 

Hardware support for branch target injection mitigation is present: True  
Windows OS support for branch target injection mitigation is present: True 
Windows OS support for branch target injection mitigation is enabled: True 
… 
BTIKernelRetpolineEnabled           : True 
BTIKernelImportOptimizationEnabled  : True 
...

В будущих обновлениях эта функция будет включена по умолчанию.

На данный момент она будет разрешена через облачную конфигурацию.

Microsoft работает над решением, которое больше не требует Retpoline.

Следующее поколение оборудования должно быть способно это исправить, но до обновления они будут исправлять эту уязвимость.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40