Наверх

База знаний
Try 2 Fix
beta

Инструкция по защите Windows от уязвимостей Meltdown и Spectre

Meltdown Spectre

Статья обновлена 9 января 2018 в 22:22.  Добавлено видео.

Год начался с отличных новостей об уязвимостях Meltdown и Spectre. Вот их список

  • CVE-2017-5753 — Bounds check bypass
  • CVE-2017-5715 — Branch target injection
  • CVE-2017-5754 — Rogue data cache load

Полностью защитить себя от них не получится, так как нет средств, которые полностью закрывают их, но IT гиганты уже начали латать эти дыры. Подавлюяющее большинство наших клиентов работают на Windows, поэтому мы подготовили инструкцию по защите Windows от уязвимостей Meltdown и Spectre.

Это не исчерпывающее руководство, так как механизмов полного закрытия уязвимостей ещё не существует!

Инструкция по обновлению Windows и Windows Server

Рекомендуем отключить Ваш антивирус на время выполнения всех процедур!

  1. Для проверки текущего статуса уязвимостей в Вашей системе, необходим модуль PowerShell SpeculativeControl. Чтобы им воспользоваться вам потребуется минимум Powershell 5.0. Если у Вас не Windows 10 и не Windows Server 2016, Вам необходимо его скачать отсюда: Windows Management Framework 5.1. Установите его. Перезагрузите ПК или сервер.
  2. После перезагрузки запускаем Powershell от имени администратора и введите
    host

    В строке Version Вы должны увидеть мажорную цифру 5, то есть

    Version          : 5.1.14409.1012

    Meltdown Spectre

    Можно двигаться дальше.

  3. Установим модуль:
    Install-Module SpeculationControl

    После нескольких секунд ожидания подтвердите операцию, введя Y и нажав Enter. Возможно, потребуется установка NuGet. Powershell предложит Вам это сделать — соглашайтесь.

  4. Далее необходимо разрешить выполнение скриптов Powershell, если это ещё не сделано
    Set-ExecutionPolicy RemoteSigned
  5. Импортируем модуль
    Import-Module SpeculationControl
  6. Теперь проверим текущее состояние дел:
    Get-SpeculationControlSettings

    Всё должно быть «красным».

    Meltdown Spectre

  7. Идём по ссылке ADV180002 и выбираем четыре обновления для Вашей системы: куммулятивное и Monthly Rollup для Internet Explorer, и Monthly Rollup и обновление безопасности для Вашей системы (в нижней части таблицы).
    Из таблицы переходим на статью на support.microsoft.com, в самой статье переходим на сайт Каталог Центра обновления Майкрософт (внизу страницы ссылка на Microsoft Update Catalog). И уже здесь в таблице (в соответствии с Вашей ОС) выбираем обновление и нажимаем «Загрузить».
    Устанавливаем все обновления, если они не повторяются!
  8. Включаем защиту в командной строке от имени администратора
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Перезагружаемся!

  9. Снова проверяем статус в Powershell от имени администратора.
    Несколько (а может и все, но у нас только некоторые) из ранее горевших пунктов станут зелёными. Это значит, что обновления заработали! (пример в заголовке этой статьи).Meltdown Spectre

    Обновлено 1: на англоязычных сайтах «красные» пункты связывают с тем, что нужно установить обновления драйверов для чипсета и обновлением прошивки BIOS или UEFI, если они уже выпущены Вашим вендором.

  10. Выключаем назад выполнение скриптов в Powershell
    Set-ExecutionPolicy Default
    

На этом пока всё! Информация будет пополняться по мере выхода новых обновлений.

 

Если обновления не устанавливаются

Скорее всего виноват Ваш антивирус. Для того, чтобы он пропустил обновления, необходимо в командной строке, запущенной от имени администратора сделать следующее:

Добавить следующий ключ в реестр

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

Полный список антивирусов, которые поддерживают обновления можно найти здесь: Windows antivirus patch compatibility : Sheet1


Дополнительная информация об уязвимостях

Для того, чтобы подробнее ознакомиться с рекомендациями Microsoft по закрытию уязвимостей, вы можете посетить следующие ресурсы:

Здесь можно найти информацию по совместимости антивирусного ПО и январских обновлений Windows (некоторые АВ блокируют получение обновлений):

Остались вопросы?

Лоджик Флоу


Аутсорсинг / Системное администрирование / Техническая поддержка / Сопровождение 1С:Предприятие

+7 (8634) 383-490 / +7 (906) 430-7000
mail@logicflow.ru

Что-то пошло не так? Специалисты нашей компании помогут Вам разобраться с возникшими проблемами! Обращайтесь! →

Также Ваши вопросы Вы можете задать в нашей группе ВК или на нашем YouTube канале!

Эти статьи будут Вам интересны

Ошибка проводника: каждая папка открывается в новом окне

Почему же ошибка, спросите Вы? Если бы в Параметры папок > Общие переключатель в пункте "Обзор папок" стоял в таком режиме, то действительно всё хорошо. А что если все настройки верны, а каждая папка при работе с проводником всё равно открывается в новом окне? Уже интереснее. Решаем эту проблему.

Mercury MPrint LP58 EVA: печатает непонятные символы («иероглифы», «кракозябры»)

Клиент приобрёл указанный в заголовке принтер этикеток, потребовалось настроить его для 1С. Драйверы установлены, настройки принтера сделаны (размер бумаги, отступы). Ничто не предвещало беды. Пускаем на печать любой документ *.txt и вместо содержимого файла видим то, что можно увидеть на картинке, прикреплённой к этой записи. Разбираемся, почему это происходит.

Тюнинг PostgreSQL 9.4.2-1.1C для 1С:Предприятия 8.3: рельаный опыт настройки

Как только размер файловой базы данных 1С:Предприятие одного из наших клиентов достиг размера в 32Гб (да, 32Гб), в следствии чего всё постепенно начало тормозить, а потом и встало намертво, наши клиенты попросили нас решить эту проблемы. SSD Enterprise класса ненадолго подсластил пилюлю, но через некоторое время всё вернулось в исходную точку. Ну что ж, тут и к бабке не ходи – переходим на SQL версию БД. Поскольку мы ярые пользователи Windows, доступно нам только два варианта СУБД – это MSSql и PostgreSQL. Первый хорош до безумия, но стоимость не порадовала. А ещё больше не порадовала новость о дополнительных лицензиях 1С для работы с MSSQL. Поэтому PostgreSQL. Подробная инструкция с видео доступна здесь. В этой статье мы пройдёмся по ключевым моментам. Не забываем про резервное копирование баз данных 1С! Исходные данные: ОС Windows Server 2008R2, Intel Core i7-2600K 3.40GHz, 32Gb RAM, Intel SSD DC3700 100Gb (только под БД, ОС на отдельном SSD), от 10 до 20 пользователей в БД ежедневно, обмен с 5 узлами распределённой БД в фоне. Зловеще, не правда ли? Приступим.