Наверх

База знаний
Try 2 Fix
beta

Инструкция по защите Windows от уязвимостей Meltdown и Spectre

Meltdown Spectre

Статья обновлена 9 января 2018 в 22:22.  Добавлено видео.

Год начался с отличных новостей об уязвимостях Meltdown и Spectre. Вот их список

  • CVE-2017-5753 — Bounds check bypass
  • CVE-2017-5715 — Branch target injection
  • CVE-2017-5754 — Rogue data cache load

Полностью защитить себя от них не получится, так как нет средств, которые полностью закрывают их, но IT гиганты уже начали латать эти дыры. Подавлюяющее большинство наших клиентов работают на Windows, поэтому мы подготовили инструкцию по защите Windows от уязвимостей Meltdown и Spectre.

Это не исчерпывающее руководство, так как механизмов полного закрытия уязвимостей ещё не существует!

Инструкция по обновлению Windows и Windows Server

Рекомендуем отключить Ваш антивирус на время выполнения всех процедур!

  1. Для проверки текущего статуса уязвимостей в Вашей системе, необходим модуль PowerShell SpeculativeControl. Чтобы им воспользоваться вам потребуется минимум Powershell 5.0. Если у Вас не Windows 10 и не Windows Server 2016, Вам необходимо его скачать отсюда: Windows Management Framework 5.1. Установите его. Перезагрузите ПК или сервер.
  2. После перезагрузки запускаем Powershell от имени администратора и введите
    host

    В строке Version Вы должны увидеть мажорную цифру 5, то есть

    Version          : 5.1.14409.1012

    Meltdown Spectre

    Можно двигаться дальше.

  3. Установим модуль:
    Install-Module SpeculationControl

    После нескольких секунд ожидания подтвердите операцию, введя Y и нажав Enter. Возможно, потребуется установка NuGet. Powershell предложит Вам это сделать — соглашайтесь.

  4. Далее необходимо разрешить выполнение скриптов Powershell, если это ещё не сделано
    Set-ExecutionPolicy RemoteSigned
  5. Импортируем модуль
    Import-Module SpeculationControl
  6. Теперь проверим текущее состояние дел:
    Get-SpeculationControlSettings

    Всё должно быть «красным».

    Meltdown Spectre

  7. Идём по ссылке ADV180002 и выбираем четыре обновления для Вашей системы: куммулятивное и Monthly Rollup для Internet Explorer, и Monthly Rollup и обновление безопасности для Вашей системы (в нижней части таблицы).
    Из таблицы переходим на статью на support.microsoft.com, в самой статье переходим на сайт Каталог Центра обновления Майкрософт (внизу страницы ссылка на Microsoft Update Catalog). И уже здесь в таблице (в соответствии с Вашей ОС) выбираем обновление и нажимаем «Загрузить».
    Устанавливаем все обновления, если они не повторяются!
  8. Включаем защиту в командной строке от имени администратора
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Перезагружаемся!

  9. Снова проверяем статус в Powershell от имени администратора.
    Несколько (а может и все, но у нас только некоторые) из ранее горевших пунктов станут зелёными. Это значит, что обновления заработали! (пример в заголовке этой статьи).Meltdown Spectre

    Обновлено 1: на англоязычных сайтах «красные» пункты связывают с тем, что нужно установить обновления драйверов для чипсета и обновлением прошивки BIOS или UEFI, если они уже выпущены Вашим вендором.

  10. Выключаем назад выполнение скриптов в Powershell
    Set-ExecutionPolicy Default
    

На этом пока всё! Информация будет пополняться по мере выхода новых обновлений.

 

Если обновления не устанавливаются

Скорее всего виноват Ваш антивирус. Для того, чтобы он пропустил обновления, необходимо в командной строке, запущенной от имени администратора сделать следующее:

Добавить следующий ключ в реестр

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

Полный список антивирусов, которые поддерживают обновления можно найти здесь: Windows antivirus patch compatibility : Sheet1


Дополнительная информация об уязвимостях

Для того, чтобы подробнее ознакомиться с рекомендациями Microsoft по закрытию уязвимостей, вы можете посетить следующие ресурсы:

Здесь можно найти информацию по совместимости антивирусного ПО и январских обновлений Windows (некоторые АВ блокируют получение обновлений):

Эти статьи будут Вам интересны

PostgreSQL 9.4.2-1.1C: Резервное копирование SQL баз данных 1С самым простым путём

Резервное копирование баз данных 1С:Предприятие (да и любых других) - очень важная вещь, если вы не хотите потерять работу и клиентов. Для файловых версий баз данных есть замечательные средства резервного копирования. С SQL версиями немного сложнее. Сейчас расскажем как просто делать бэкапы баз данных 1С:Предприятие с помощью простейшего скрипта без каких либо программ или сложных манипуляций.

Проверка согласованности разделов реестра SQL Server — Ошибка при установке MS SQL Express

На одном из ПК наших клиентов для работы программы Альта-Софт ГТД потребовалось установить Microsoft SQL Server. При установке Express версии указанного сервера (и 2008, и 2012, и 2014) при проверке глобальных правил, появлялось неинформативное слово "Ошибка" напротив пункта "Проверка согласованности разделов реестра SQL Server". Чистка реестра CCleaner, откат системы и прочие ухищрения не помогали. Не помог даже пропуск проверки глобальных правил. но мы нашли выход. Го!

Установка МФУ HP MFP132nw на Windows Server 2008R2

Как ни странно, стандартными способами в стиле "Скачал драйверы - установил - забыл" такую связку не настроить. После загрузки "Полнофункционального ПО и драйверов для HP LaserJet Pro MFP M130nw-M132nw" программа установки выдаёт сообщение о том, что у нас неподходящая ОС. Через "Устройства и принтеры → Добавить сетевой принтер..." тоже ничего не сделать: драйверов для этой свежей модели МФУ нет на серверах Microsoft. Используем джедайские методы!