Наверх

База знаний
Try 2 Fix
beta

Инструкция по защите Windows от уязвимостей Meltdown и Spectre

Meltdown Spectre

Статья обновлена 9 января 2018 в 22:22.  Добавлено видео.

Год начался с отличных новостей об уязвимостях Meltdown и Spectre. Вот их список

  • CVE-2017-5753 — Bounds check bypass
  • CVE-2017-5715 — Branch target injection
  • CVE-2017-5754 — Rogue data cache load

Полностью защитить себя от них не получится, так как нет средств, которые полностью закрывают их, но IT гиганты уже начали латать эти дыры. Подавлюяющее большинство наших клиентов работают на Windows, поэтому мы подготовили инструкцию по защите Windows от уязвимостей Meltdown и Spectre.

Это не исчерпывающее руководство, так как механизмов полного закрытия уязвимостей ещё не существует!

Инструкция по обновлению Windows и Windows Server

Рекомендуем отключить Ваш антивирус на время выполнения всех процедур!

  1. Для проверки текущего статуса уязвимостей в Вашей системе, необходим модуль PowerShell SpeculativeControl. Чтобы им воспользоваться вам потребуется минимум Powershell 5.0. Если у Вас не Windows 10 и не Windows Server 2016, Вам необходимо его скачать отсюда: Windows Management Framework 5.1. Установите его. Перезагрузите ПК или сервер.
  2. После перезагрузки запускаем Powershell от имени администратора и введите
    host

    В строке Version Вы должны увидеть мажорную цифру 5, то есть

    Version          : 5.1.14409.1012

    Meltdown Spectre

    Можно двигаться дальше.

  3. Установим модуль:
    Install-Module SpeculationControl

    После нескольких секунд ожидания подтвердите операцию, введя Y и нажав Enter. Возможно, потребуется установка NuGet. Powershell предложит Вам это сделать — соглашайтесь.

  4. Далее необходимо разрешить выполнение скриптов Powershell, если это ещё не сделано
    Set-ExecutionPolicy RemoteSigned
  5. Импортируем модуль
    Import-Module SpeculationControl
  6. Теперь проверим текущее состояние дел:
    Get-SpeculationControlSettings

    Всё должно быть «красным».

    Meltdown Spectre

  7. Идём по ссылке ADV180002 и выбираем четыре обновления для Вашей системы: куммулятивное и Monthly Rollup для Internet Explorer, и Monthly Rollup и обновление безопасности для Вашей системы (в нижней части таблицы).
    Из таблицы переходим на статью на support.microsoft.com, в самой статье переходим на сайт Каталог Центра обновления Майкрософт (внизу страницы ссылка на Microsoft Update Catalog). И уже здесь в таблице (в соответствии с Вашей ОС) выбираем обновление и нажимаем «Загрузить».
    Устанавливаем все обновления, если они не повторяются!
  8. Включаем защиту в командной строке от имени администратора
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Перезагружаемся!

  9. Снова проверяем статус в Powershell от имени администратора.
    Несколько (а может и все, но у нас только некоторые) из ранее горевших пунктов станут зелёными. Это значит, что обновления заработали! (пример в заголовке этой статьи).Meltdown Spectre

    Обновлено 1: на англоязычных сайтах «красные» пункты связывают с тем, что нужно установить обновления драйверов для чипсета и обновлением прошивки BIOS или UEFI, если они уже выпущены Вашим вендором.

  10. Выключаем назад выполнение скриптов в Powershell
    Set-ExecutionPolicy Default
    

На этом пока всё! Информация будет пополняться по мере выхода новых обновлений.

 

Если обновления не устанавливаются

Скорее всего виноват Ваш антивирус. Для того, чтобы он пропустил обновления, необходимо в командной строке, запущенной от имени администратора сделать следующее:

Добавить следующий ключ в реестр

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

Полный список антивирусов, которые поддерживают обновления можно найти здесь: Windows antivirus patch compatibility : Sheet1


Дополнительная информация об уязвимостях

Для того, чтобы подробнее ознакомиться с рекомендациями Microsoft по закрытию уязвимостей, вы можете посетить следующие ресурсы:

Здесь можно найти информацию по совместимости антивирусного ПО и январских обновлений Windows (некоторые АВ блокируют получение обновлений):

Остались вопросы?

Если в инструкции допущены ошибки или она Вам не помогла — пишите в нашу группу ВК! Мы обязательно поможем!

Или попробуйте найти интересующие Вас ответы в инструкциях на нашем YouTube канале!

Эти статьи будут Вам интересны

FreeBSD 11: Полезные команды для мониторинга системы

Информация - самое главное оружие предотвращения небольших неполадок, а так же крупных аварий. А чтобы быть всесторонне информированным, нужно тщательно следить за своей системой. В этой статье перечислены наиболее популярные средства мониторинга FreeBSD, которые помогут Вам всегда знать, что происходит с Вашей системой.

1С:Предприятие: Очистка кэша и мусора

Если с Вашей базой данных 1С:Предприятие началось твориться что-то неладное, то очистка кэша 1С такая же необходимая операция, как и внешнее и внутреннее (ТиИ) тестирование файла базы данных. Это довольно несложная операция, однако есть некоторые НО. Пройдём этот путь вместе. Поехали.

FreeBSD 11: WEB-сервер своими руками. MySQL 5.5 + Nginx + PHP-FPM 5.6

Инструкция по настройке полноценного WEB-сервер на основе FreeBSD 11. В комплекте у нас MySQL 5.5, PHP-FPM 5.6.27 и Nginx. Никаких невероятных откровений по тюнингу и быстродействию Вы здесь не найдёте. Наша цель получить готовый WEB-сервер с полным набором приложений максимально простым путём. Поехали.