Meltdown und Spectre How To
Hi,
es sind hierzu schon zahlreiche Hinweise und Tips hier im Forum eingegangen, ich möchte diese hier bündeln und bedanke mich gleichzeitg bei den ganzen Erstellern.
Es handelt sich genau genommen um drei Lücken, die per Software Update geschlossen werden können, wobei bei einer der Lücken (Spectre) jedoch zusätzlich immer ein Firmware/Microcode/BIOS Update nötig ist. Hier sind wir von den Herstellern und deren Bereitschaft ein solches (auch für ältere) PCs bereitzustellen abhängig.
Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ...
Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Im Link ist auch ein Powershell Script enthalten, mit dem nach den Updates und dem Setzen der Reg Keys (und Neustarts) der Status geprüft werden kann.
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...
Kommt es zur Meldung "Spectre: bti Mitigation disabled by absence of hardware support" dann fehlt noch das passende Firmware Update.
Spectre: bti Mitigation disabled by absence of hardware support
Das Powershell Script lässt sich mitunter nicht automatisch installieren (W7) dann einfach per copy paste ausführen und aufrufen.
Unter AMD kommt es bisweilen zu Problemen mit dem Update (BOSD), hier muss das Update dann deinstalliert werden.
Das Update wurde zwischenzeitlich für AMD zurückgezogen.
https://www.borncity.com/blog/2018/01/09/amd-gau-av-rger-neues-zu-window ...
18.01.2018
Für AMD CPU scheint es ein Update zu geben:
Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)
Hinweise zu Intels Update Politik finden sich hier
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patch ...
Das Durchführen dieser Maßnahmen kann zu unterschiedlich großen Performance Einbußen führen:
https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-M ...
In virtuellen Umgebungen muss zusätzlich das Host OS gepatched und auch hier die Firmware des Hosts aktualisiert werden.
Bspw für VMware VMware Updates verfügbar
Ich hoffe es fehlt nichts?
Gruss
Hinweis auf Update für AMD hinzugefügt
es sind hierzu schon zahlreiche Hinweise und Tips hier im Forum eingegangen, ich möchte diese hier bündeln und bedanke mich gleichzeitg bei den ganzen Erstellern.
Es handelt sich genau genommen um drei Lücken, die per Software Update geschlossen werden können, wobei bei einer der Lücken (Spectre) jedoch zusätzlich immer ein Firmware/Microcode/BIOS Update nötig ist. Hier sind wir von den Herstellern und deren Bereitschaft ein solches (auch für ältere) PCs bereitzustellen abhängig.
Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ...
Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Im Link ist auch ein Powershell Script enthalten, mit dem nach den Updates und dem Setzen der Reg Keys (und Neustarts) der Status geprüft werden kann.
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...
Kommt es zur Meldung "Spectre: bti Mitigation disabled by absence of hardware support" dann fehlt noch das passende Firmware Update.
Spectre: bti Mitigation disabled by absence of hardware support
Das Powershell Script lässt sich mitunter nicht automatisch installieren (W7) dann einfach per copy paste ausführen und aufrufen.
Unter AMD kommt es bisweilen zu Problemen mit dem Update (BOSD), hier muss das Update dann deinstalliert werden.
Das Update wurde zwischenzeitlich für AMD zurückgezogen.
https://www.borncity.com/blog/2018/01/09/amd-gau-av-rger-neues-zu-window ...
18.01.2018
Für AMD CPU scheint es ein Update zu geben:
Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)
Hinweise zu Intels Update Politik finden sich hier
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patch ...
Das Durchführen dieser Maßnahmen kann zu unterschiedlich großen Performance Einbußen führen:
https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-M ...
In virtuellen Umgebungen muss zusätzlich das Host OS gepatched und auch hier die Firmware des Hosts aktualisiert werden.
Bspw für VMware VMware Updates verfügbar
Ich hoffe es fehlt nichts?
Gruss
Hinweis auf Update für AMD hinzugefügt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 360547
Url: https://administrator.de/contentid/360547
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @sabines:
Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Auf Clients mit Hyper-V muss zum Schutz der VMs auch der Wert MinVmVersionForCpuBasedMitigations gesetzt werden.
Die beiden anderen für Server empfohlenen Settings erzwingen nur das Standardverhalten der Clients. Man kann die Werte also einfach auf alle Maschinen ausrollen.
Grüße
Richard
Vielen Dank für die Zusammenfassung!
Eine kurze Frage:
Auf unseren Hyper-V-Cluster-Nodes ist gar keine AV-Lösung installiert - folglich wurde der Key nicht gesetzt und die Updates stehen nicht zur Verfügung...kann man den Key in diesem Fall händisch setzen?
Eine kurze Frage:
Zitat von @sabines:
Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
Auf unseren Hyper-V-Cluster-Nodes ist gar keine AV-Lösung installiert - folglich wurde der Key nicht gesetzt und die Updates stehen nicht zur Verfügung...kann man den Key in diesem Fall händisch setzen?
Hallo,
Genau diese Frage wird doch auf der oben verlinkten Seite https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ... beantwortet?
Gruß,
Jörg
Genau diese Frage wird doch auf der oben verlinkten Seite https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ... beantwortet?
Gruß,
Jörg
Hallo,
interessant finde ich, dass ohne diesen Reg-Key es gar kein Sicherheitsupdate des Jänner Patch-Days gibt.
Weder eines für den IE11, noch eines für die Visual C++ Runtime.
Es gab allerdings ein .NET-Update, das nicht als "Sicherheitsupdate" deklariert war.
Was macht das für einen Sinn?
Grüße
Edit:
Schönen Dank noch an sabines für die übersichtlich, kompakte Zusammenstellung.
interessant finde ich, dass ohne diesen Reg-Key es gar kein Sicherheitsupdate des Jänner Patch-Days gibt.
Weder eines für den IE11, noch eines für die Visual C++ Runtime.
Es gab allerdings ein .NET-Update, das nicht als "Sicherheitsupdate" deklariert war.
Was macht das für einen Sinn?
Grüße
Edit:
Schönen Dank noch an sabines für die übersichtlich, kompakte Zusammenstellung.