Наверх

База знаний
Try 2 Fix
beta

Инструкция по защите Windows от уязвимостей Meltdown и Spectre

Meltdown Spectre

Статья обновлена 9 января 2018 в 22:22.  Добавлено видео.

Год начался с отличных новостей об уязвимостях Meltdown и Spectre. Вот их список

  • CVE-2017-5753 — Bounds check bypass
  • CVE-2017-5715 — Branch target injection
  • CVE-2017-5754 — Rogue data cache load

Полностью защитить себя от них не получится, так как нет средств, которые полностью закрывают их, но IT гиганты уже начали латать эти дыры. Подавлюяющее большинство наших клиентов работают на Windows, поэтому мы подготовили инструкцию по защите Windows от уязвимостей Meltdown и Spectre.

Это не исчерпывающее руководство, так как механизмов полного закрытия уязвимостей ещё не существует!

Инструкция по обновлению Windows и Windows Server

Рекомендуем отключить Ваш антивирус на время выполнения всех процедур!

  1. Для проверки текущего статуса уязвимостей в Вашей системе, необходим модуль PowerShell SpeculativeControl. Чтобы им воспользоваться вам потребуется минимум Powershell 5.0. Если у Вас не Windows 10 и не Windows Server 2016, Вам необходимо его скачать отсюда: Windows Management Framework 5.1. Установите его. Перезагрузите ПК или сервер.
  2. После перезагрузки запускаем Powershell от имени администратора и введите
    host

    В строке Version Вы должны увидеть мажорную цифру 5, то есть

    Version          : 5.1.14409.1012

    Meltdown Spectre

    Можно двигаться дальше.

  3. Установим модуль:
    Install-Module SpeculationControl

    После нескольких секунд ожидания подтвердите операцию, введя Y и нажав Enter. Возможно, потребуется установка NuGet. Powershell предложит Вам это сделать — соглашайтесь.

  4. Далее необходимо разрешить выполнение скриптов Powershell, если это ещё не сделано
    Set-ExecutionPolicy RemoteSigned
  5. Импортируем модуль
    Import-Module SpeculationControl
  6. Теперь проверим текущее состояние дел:
    Get-SpeculationControlSettings

    Всё должно быть «красным».

    Meltdown Spectre

  7. Идём по ссылке ADV180002 и выбираем четыре обновления для Вашей системы: куммулятивное и Monthly Rollup для Internet Explorer, и Monthly Rollup и обновление безопасности для Вашей системы (в нижней части таблицы).
    Из таблицы переходим на статью на support.microsoft.com, в самой статье переходим на сайт Каталог Центра обновления Майкрософт (внизу страницы ссылка на Microsoft Update Catalog). И уже здесь в таблице (в соответствии с Вашей ОС) выбираем обновление и нажимаем «Загрузить».
    Устанавливаем все обновления, если они не повторяются!
  8. Включаем защиту в командной строке от имени администратора
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Перезагружаемся!

  9. Снова проверяем статус в Powershell от имени администратора.
    Несколько (а может и все, но у нас только некоторые) из ранее горевших пунктов станут зелёными. Это значит, что обновления заработали! (пример в заголовке этой статьи).Meltdown Spectre

    Обновлено 1: на англоязычных сайтах «красные» пункты связывают с тем, что нужно установить обновления драйверов для чипсета и обновлением прошивки BIOS или UEFI, если они уже выпущены Вашим вендором.

  10. Выключаем назад выполнение скриптов в Powershell
    Set-ExecutionPolicy Default
    

На этом пока всё! Информация будет пополняться по мере выхода новых обновлений.

 

Если обновления не устанавливаются

Скорее всего виноват Ваш антивирус. Для того, чтобы он пропустил обновления, необходимо в командной строке, запущенной от имени администратора сделать следующее:

Добавить следующий ключ в реестр

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

Полный список антивирусов, которые поддерживают обновления можно найти здесь: Windows antivirus patch compatibility : Sheet1


Дополнительная информация об уязвимостях

Для того, чтобы подробнее ознакомиться с рекомендациями Microsoft по закрытию уязвимостей, вы можете посетить следующие ресурсы:

Здесь можно найти информацию по совместимости антивирусного ПО и январских обновлений Windows (некоторые АВ блокируют получение обновлений):

Эти статьи будут Вам интересны

Honeywell Metrologic MS3780 не считывает штрих-код EAN13 + EAN5

У одного нашего клиента множество похожего товара, но всё-таки разного. Поэтому производитель печатает на товаре не привычный штрих-код EAN13, а EAN13 с дополнительными 5 символами, то есть EAN13 + EAN5. И так случилось, что сканер не считывает эти дополнительные символы. Решаем эту проблему.

Декларант-Алко: пароль для базы данных в SDF Viewer

SDF-Viewer - отличная программа для управления сырым файлом базы данных Декларант-Алко. Сценариев использования этой программы много. Мы используем её для обрезки разросшейся алкогольной базы данных. Так случилось, что удаляя какую-либо декларацию из интерфейса самого Декларант-Алко, удаляется только строка в списке деклараций, а все данные по ней остаются в БД. Это не круто, особенно когда накопилось деклараций за несколько лет, и все кроме предыдущей лежат мёртвым грузом, замедляя работу с программой. Но при открытии файла .sdf  из Вашей папки с БД, Вас ожидает неприятный сюрприз: программа запрашивает пароль. К счастью, он уже давно не является секретом. 

Создание, просмотр и распаковка архивов TAR, ZIP, RAR в Linux (tar.gz, tar.bz2, zip, rar)

Рассказываем как в терминале ОС Linux проводить обыденные операции по архивированию и разархивированию файлов и директорий с помощью TAR, ZIP и RAR.