sabines
Goto Top

Meltdown und Spectre How To

Hi,

es sind hierzu schon zahlreiche Hinweise und Tips hier im Forum eingegangen, ich möchte diese hier bündeln und bedanke mich gleichzeitg bei den ganzen Erstellern.

Es handelt sich genau genommen um drei Lücken, die per Software Update geschlossen werden können, wobei bei einer der Lücken (Spectre) jedoch zusätzlich immer ein Firmware/Microcode/BIOS Update nötig ist. Hier sind wir von den Herstellern und deren Bereitschaft ein solches (auch für ältere) PCs bereitzustellen abhängig.

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ...

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Im Link ist auch ein Powershell Script enthalten, mit dem nach den Updates und dem Setzen der Reg Keys (und Neustarts) der Status geprüft werden kann.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...

Kommt es zur Meldung "Spectre: bti Mitigation disabled by absence of hardware support" dann fehlt noch das passende Firmware Update.
https://www.administrator.de/forum/spectre-bti-mitigation-disabled-by-ab ...

Das Powershell Script lässt sich mitunter nicht automatisch installieren (W7) dann einfach per copy paste ausführen und aufrufen.

Unter AMD kommt es bisweilen zu Problemen mit dem Update (BOSD), hier muss das Update dann deinstalliert werden.
Das Update wurde zwischenzeitlich für AMD zurückgezogen.
https://www.borncity.com/blog/2018/01/09/amd-gau-av-rger-neues-zu-window ...

18.01.2018
Für AMD CPU scheint es ein Update zu geben:
https://www.administrator.de/wissen/update-kb4073578-amd-cpu-spectre-mel ...

Hinweise zu Intels Update Politik finden sich hier
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patch ...

Das Durchführen dieser Maßnahmen kann zu unterschiedlich großen Performance Einbußen führen:
https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-M ...

In virtuellen Umgebungen muss zusätzlich das Host OS gepatched und auch hier die Firmware des Hosts aktualisiert werden.
Bspw für VMware https://www.administrator.de/wissen/vmware-updates-verf%C3%BCgbar-360546 ...

Ich hoffe es fehlt nichts?
Gruss

Hinweis auf Update für AMD hinzugefügt

Content-Key: 360547

Url: https://administrator.de/contentid/360547

Ausgedruckt am: 05.10.2022 um 04:10 Uhr

Mitglied: VGem-e
VGem-e 10.01.2018 um 08:47:22 Uhr
Goto Top
Moin,

evtl. kann ja ein Forenadmin das Teil oben anpinnen, falls dies geht!!

Gruß
Mitglied: C.R.S.
C.R.S. 10.01.2018 aktualisiert um 22:52:41 Uhr
Goto Top
Zitat von @sabines:

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.

Auf Clients mit Hyper-V muss zum Schutz der VMs auch der Wert MinVmVersionForCpuBasedMitigations gesetzt werden.

Die beiden anderen für Server empfohlenen Settings erzwingen nur das Standardverhalten der Clients. Man kann die Werte also einfach auf alle Maschinen ausrollen.

Grüße
Richard
Mitglied: Philipp711
Philipp711 13.01.2018 um 15:23:25 Uhr
Goto Top
Vielen Dank für die Zusammenfassung!

Eine kurze Frage:


Zitat von @sabines:

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

Auf unseren Hyper-V-Cluster-Nodes ist gar keine AV-Lösung installiert - folglich wurde der Key nicht gesetzt und die Updates stehen nicht zur Verfügung...kann man den Key in diesem Fall händisch setzen?
Mitglied: altmetaller
altmetaller 14.01.2018 um 16:22:57 Uhr
Goto Top
Hallo,

Zitat von @Philipp711:

kann man den Key in diesem Fall händisch setzen?

Genau diese Frage wird doch auf der oben verlinkten Seite https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ... beantwortet?

Gruß,
Jörg
Mitglied: Philipp711
Philipp711 14.01.2018 um 18:18:13 Uhr
Goto Top
Richtig lesen hilft...danke!
Mitglied: viragomann
viragomann 18.01.2018 aktualisiert um 17:02:18 Uhr
Goto Top
Hallo,

interessant finde ich, dass ohne diesen Reg-Key es gar kein Sicherheitsupdate des Jänner Patch-Days gibt.
Weder eines für den IE11, noch eines für die Visual C++ Runtime.

Es gab allerdings ein .NET-Update, das nicht als "Sicherheitsupdate" deklariert war.

Was macht das für einen Sinn?

Grüße


Edit:

Schönen Dank noch an sabines für die übersichtlich, kompakte Zusammenstellung.