Наверх

База знаний
Try 2 Fix
beta

Инструкция по защите Windows от уязвимостей Meltdown и Spectre

Meltdown Spectre

Статья обновлена 9 января 2018 в 22:22.  Добавлено видео.

Год начался с отличных новостей об уязвимостях Meltdown и Spectre. Вот их список

  • CVE-2017-5753 — Bounds check bypass
  • CVE-2017-5715 — Branch target injection
  • CVE-2017-5754 — Rogue data cache load

Полностью защитить себя от них не получится, так как нет средств, которые полностью закрывают их, но IT гиганты уже начали латать эти дыры. Подавлюяющее большинство наших клиентов работают на Windows, поэтому мы подготовили инструкцию по защите Windows от уязвимостей Meltdown и Spectre.

Это не исчерпывающее руководство, так как механизмов полного закрытия уязвимостей ещё не существует!

Инструкция по обновлению Windows и Windows Server

Рекомендуем отключить Ваш антивирус на время выполнения всех процедур!

  1. Для проверки текущего статуса уязвимостей в Вашей системе, необходим модуль PowerShell SpeculativeControl. Чтобы им воспользоваться вам потребуется минимум Powershell 5.0. Если у Вас не Windows 10 и не Windows Server 2016, Вам необходимо его скачать отсюда: Windows Management Framework 5.1. Установите его. Перезагрузите ПК или сервер.
  2. После перезагрузки запускаем Powershell от имени администратора и введите
    host

    В строке Version Вы должны увидеть мажорную цифру 5, то есть

    Version          : 5.1.14409.1012

    Meltdown Spectre

    Можно двигаться дальше.

  3. Установим модуль:
    Install-Module SpeculationControl

    После нескольких секунд ожидания подтвердите операцию, введя Y и нажав Enter. Возможно, потребуется установка NuGet. Powershell предложит Вам это сделать — соглашайтесь.

  4. Далее необходимо разрешить выполнение скриптов Powershell, если это ещё не сделано
    Set-ExecutionPolicy RemoteSigned
  5. Импортируем модуль
    Import-Module SpeculationControl
  6. Теперь проверим текущее состояние дел:
    Get-SpeculationControlSettings

    Всё должно быть «красным».

    Meltdown Spectre

  7. Идём по ссылке ADV180002 и выбираем четыре обновления для Вашей системы: куммулятивное и Monthly Rollup для Internet Explorer, и Monthly Rollup и обновление безопасности для Вашей системы (в нижней части таблицы).
    Из таблицы переходим на статью на support.microsoft.com, в самой статье переходим на сайт Каталог Центра обновления Майкрософт (внизу страницы ссылка на Microsoft Update Catalog). И уже здесь в таблице (в соответствии с Вашей ОС) выбираем обновление и нажимаем «Загрузить».
    Устанавливаем все обновления, если они не повторяются!
  8. Включаем защиту в командной строке от имени администратора
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Перезагружаемся!

  9. Снова проверяем статус в Powershell от имени администратора.
    Несколько (а может и все, но у нас только некоторые) из ранее горевших пунктов станут зелёными. Это значит, что обновления заработали! (пример в заголовке этой статьи).Meltdown Spectre

    Обновлено 1: на англоязычных сайтах «красные» пункты связывают с тем, что нужно установить обновления драйверов для чипсета и обновлением прошивки BIOS или UEFI, если они уже выпущены Вашим вендором.

  10. Выключаем назад выполнение скриптов в Powershell
    Set-ExecutionPolicy Default
    

На этом пока всё! Информация будет пополняться по мере выхода новых обновлений.

 

Если обновления не устанавливаются

Скорее всего виноват Ваш антивирус. Для того, чтобы он пропустил обновления, необходимо в командной строке, запущенной от имени администратора сделать следующее:

Добавить следующий ключ в реестр

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

Полный список антивирусов, которые поддерживают обновления можно найти здесь: Windows antivirus patch compatibility : Sheet1


Дополнительная информация об уязвимостях

Для того, чтобы подробнее ознакомиться с рекомендациями Microsoft по закрытию уязвимостей, вы можете посетить следующие ресурсы:

Здесь можно найти информацию по совместимости антивирусного ПО и январских обновлений Windows (некоторые АВ блокируют получение обновлений):

Остались вопросы?

Лоджик Флоу


Аутсорсинг / Системное администрирование / Техническая поддержка / Сопровождение 1С:Предприятие

+7 (8634) 383-490 / +7 (906) 430-7000
mail@logicflow.ru

Что-то пошло не так? Специалисты нашей компании помогут Вам разобраться с возникшими проблемами! Обращайтесь! →

Также Ваши вопросы Вы можете задать в нашей группе ВК или на нашем YouTube канале!

Эти статьи будут Вам интересны

Создание, просмотр и распаковка архивов TAR, ZIP, RAR в Linux (tar.gz, tar.bz2, zip, rar)

Рассказываем как в терминале ОС Linux проводить обыденные операции по архивированию и разархивированию файлов и директорий с помощью TAR, ZIP и RAR.

Вход в сетевую папку без ввода пары логина и пароля

По какой-то абсолютно необъяснимой причине пользователи Windows 10 в последнее время столкнулись со следующей проблемой: при входе в сетевую папку в каждой сессии предлагается ввести логин и пароль, даже если в прошлый раз пользователь ставил галочку "Запомнить пароль". В предыдущих версиях ОС такая проблема тоже встречалась, но не носила массовый характер. В Windows XP Home Edition вообще запомнить пароль к сетевому ресурсу нельзя. Делаем себе хорошо!

Zimbra 8.6 OSE: Произошла неизвестная ошибка (mail.TRY_AGAIN). Ошибка сети. postfix/postqueue fatal: Queue report unavailable — mail system is down

На корпоративном почтовом сервере Zimbra OSE пользователи при отправке внутренней почты стали получать сообщение "Произошла неизвестная ошибка (mail.TRY_AGAIN)", другие пользователи увидели "Ошибка сети". А мы во всех логах (/var/log/zimbra.log, /var/log/mail.log и /var/log/mail.err)  увидели это волшебное сообщение "postfix/postqueue fatal: Queue report unavailable - mail system is down". Работа была парализовано, но решение оказалось простым.