Я уверен, что вы знаете об аппаратных уязвимостях Spectre и Meltdown, которые были обнаружены в прошлом году в январе.
Эти аппаратные уязвимости позволяют программам украсть данные, которые обрабатываются на компьютере.
Затем прибыл Spectre 2!
Хотя это было пофикшено, решение привело к более существенному снижению производительности.
Retpoline стал новым решением!
В этом руководстве мы увидим, как вы можете настроить Retpoline в Windows 10.
Настроить Retpoline в Windows 10
Интересно отметить, что Retpoline – это метод бинарной модификации, разработанный Google.
Он предназначен для защиты от «Branch target injection», также называемого «Spectre».
Это решение обеспечивает повышение производительности ЦП.
Microsoft разворачивает его поэтапно.
А из-за сложности его реализации, преимущество в производительности у Windows 10 v1809 и более поздних выпусков.
Чтобы вручную включить Rerpoline в Windows, убедитесь, что у вас есть обновление KB4482887.
Затем добавьте следующие обновления конфигурации реестра:
На клиентских SKU:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400
Перезагрузитесь
На серверных SKU :
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401
Перезагрузитесь
Как проверить статус Retpoline в Windows
Чтобы подтвердить, активен ли Retpoline, вы можете использовать командлет Get-SpeculationControlSettings PowerShell.
Этот скрипт PowerShell покажет состояние настраиваемых обновлений Windows для различных уязвимостей.
Включает в себя Spectre 2 и Meltdown.
Как только вы загрузите скрипт и выполните его, вот как это выглядит.
Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: True … BTIKernelRetpolineEnabled : True BTIKernelImportOptimizationEnabled : True ...
В будущих обновлениях эта функция будет включена по умолчанию.
На данный момент она будет разрешена через облачную конфигурацию.
Microsoft работает над решением, которое больше не требует Retpoline.
Следующее поколение оборудования должно быть способно это исправить, но до обновления они будут исправлять эту уязвимость.
