在 Windows 下如何屏蔽或启用 Meltdown/Spectre 的系统补丁功能,不是卸载补丁,而是关闭该功能。确实影响 IO 性能。提供 Windows Server 启用禁止补丁功能的方法。

2018-01-22 23:33:14 +08:00
 cchange

Meltdown/Spectre 确实会带来严重的安全问题,可惜是芯片设计的漏洞,所以 OS 级别的修复是将 CPU 的底层工作让 OS 执行和判断是否越界读取,这样导致在内核程序和前台程序切换时会变得很慢。对于 Win10 这样的新系统会好一些,而 Win7 由于字体渲染等都在内核中完成,所以会切换更频繁,性能损失更多。

对于某些应用场合,如高 IO (例如运行虚拟机)和数据库等,这个操作是性能损失很严重,对于 windows server 系统好像默认不会开启该功能,也就是说可以通过注册表可启用或禁止修正。

现在请问大家对于 Win7 等桌面系统是否有禁止该补丁功能的办法,用老系统和老 CPU 如果开启 Meltdown/Spectre 的 OS 修正,虚拟机跑起来很慢,经常卡死。有时候为了测试目的或其他目的(系统兼容、不想掏钱升级硬件软件)这种用安全换性能还是没办法的,也是一种妥协。不是卸载补丁,卸载补丁会导致之后的安全更新不被安装。

Linux 貌似也有相关设置,由于是开源系统,可能更容易切换。

以下是参考。

谢谢大家

https://social.technet.microsoft.com/Forums/windowsserver/en-US/fd9f2f4f-2534-4d61-86cd-fa5f38ac1557/meltdown-and-spectre-must-registry-value-featuresettingsoverride-manually-set-after-patch?forum=winserver8gen

对于服务器的注册表修改见: 重启生效 Windows Server guidance to protect against speculative execution side-channel vulnerabilities

https://support.microsoft.com/en-hk/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Important: Windows security updates released January 3, 2018, and antivirus software

https://support.microsoft.com/en-hk/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities

https://support.microsoft.com/en-hk/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

5900 次点击
所在节点    问与答
2 条回复
HandSonic
2018-02-08 12:25:26 +08:00
感谢分享
acess
2018-09-07 23:46:42 +08:00
https://www.grc.com/inspectre.htm
这里有一个一键工具

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/425065

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX