Können auf dem Windows-System keine Spectre- und Meltdown-Betriebssystempatches angewendet werden, können dann andere neue Microsoft-Patches angewendet werden?

Wenn der Hauptnachteil auf die Leistungseinschränkung abzielt, scheint es nicht erforderlich zu sein, die Installation dieser Updates zu verhindern. Der Teil der Maßnahmen zum Schutz vor Meltdown / Spectre, von dem angenommen wird, dass er den Großteil der Strafe verursacht, könnte später deaktiviert werden (oder wieder eingeschaltet werden) ) mit einem Registrierungsschlüssel, der sicherstellt, dass Sie keine Leistungseinbußen erhalten, wenn Sie nicht betroffen sind:

So aktivieren Sie den Fix

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie den Fix

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

(Es ist nicht erforderlich, MinVmVersionForCpuBasedMitigations zu ändern.)

• Hinweis Die Einstellung von 3 ist aufgrund von Maskierung für beide Einstellungen zum Aktivieren / Deaktivieren genau.

Nicht nur das, aber da der größte Teil der Strafe auf Benutzer-Kernel-Übergänge zurückzuführen ist, die jetzt aufgrund der Milderungen mehr kosten, ist sie für Linux und andere Betriebssysteme, die auf monolithischen Kerneln basieren, schlechter als für Windows. In bestimmten Windows-Konfigurationen ist die Auswirkung auf die Leistung vernachlässigbar. Wenn Sie also mit diesen Einstellungen übereinstimmen, müssen Sie sich nicht allzu viele Sorgen machen.

Beachten Sie jedoch auch, dass die Auswirkungen auf die Leistung nicht das einzige Problem mit den Meltdown / Specter-Patches für Windows sind. Es ist bekannt, dass einige Antivirenprodukte weitere Probleme verursachen, darunter Blue Screen-Fehler und das Booten.

Das Überspringen von Sicherheitsupdates ist zwar die ultimative Maßnahme (und Sie sollten dies nur tun, wenn Sie zu hundert Prozent sicher sind, dass Sie wissen, was Sie tun und bereit sind, die Konsequenzen zu tragen). Am besten wenden Sie sich an den offiziellen Antivirus-Ratgeber Hersteller (und möglicherweise auch Anbieter von anderer systembezogener Software, falls sich in Ihrer Installation Software befindet), wenn Sie Specter / Meltdown-Updates bereits zusammen mit ihren Produkten verwenden möchten.

Beachten Sie, dass Sie am Ende des Tages nicht in der Lage sein werden, Sicherheitsupdates in Zukunft zu installieren, ohne dass diese Meltdown / Specter-Patches installiert werden. Auf diese Weise ist es besser, nicht zu überspringen, sondern zu verwalten .

Gibt es für Windows 7-Boxen, für die die Patches nicht erwünscht sind (aufgrund bekannter Probleme, einschließlich einer negativen Auswirkung auf die Leistung), eine Möglichkeit, diese spezifischen Patches nicht zu installieren, und dennoch weitere von Microsoft veröffentlichte Betriebssystem-Patches installieren?

Das wird nicht möglich sein. Der aktuelle (kumulative und Sicherheits-) monatliche Patch für Windows 7, Windows 8.x und Windows 10 enthält die Sicherheitsupdates für CVE-2017-5753und CVE-2017-5754. Das heißt, wenn der nächste monatliche Patch (kumulativ und sicher) im nächsten Monat veröffentlicht wird, werden auch die vorherigen Patches hinzugefügt, wenn auf Ihrem System der kumulative Patch für diesen Monat nicht installiert ist.

Es ist darauf hinzuweisen, dass meines Erachtens die mit einem Performance-Erfolg einhergehende Minderung der Verwundbarkeit besteht CVE-2017-5715. Die einzigen Änderungen innerhalb von Windows in Bezug auf diese Vulerability-Minimierung sind die Änderungen am Kernel, die die CPU-Anweisung aufrufen, mit der die Variante 2 der Spectre-Vulerability gemindert wird. Um vor dieser Sicherheitsanfälligkeit geschützt zu sein, muss der Mikrocode Ihres Prozessors ebenfalls aktualisiert werden (andernfalls bleibt Ihr System anfällig für Variante 2).

Oder ist es so, dass auf einem System keine Patches auf Spectre- und Meltdown-Ebene auf Betriebssystemebene gewünscht werden und keine Microsoft Windows 7-Patches mehr auf dieses System angewendet werden können?

Windows 7 und Windows 8.1 wurden vor über eineinhalb Jahren (Mitte 2016) vor monatlichen Patches (kumulativ und sicher) veröffentlicht. Frühere Sicherheitspatches, die in einem bestimmten Monat bereitgestellt wurden, sind im kumulativen und Sicherheitspatch des nächsten Monats enthalten.

Im Allgemeinen haben wir die Erfahrung gemacht, dass die Minderungen von Variante 1 und Variante 3 nur minimale Auswirkungen auf die Leistung haben, während die Korrektur von Variante 2, einschließlich Betriebssystem und Mikrocode, Auswirkungen auf die Leistung hat.

Verstehen der Auswirkungen von Specter und Meltdown auf Windows-Systeme auf die Leistung