Если исправления Spectre и Meltdown OS не применяются в системе Windows, могут ли быть применены другие новые исправления Microsoft?

Если основным возражением является снижение производительности, то вам, по-видимому, нет необходимости препятствовать установке этих обновлений: та часть мер защиты Meltdown / Spectre, которая, как считается, является причиной большей части штрафа, может быть впоследствии отключена (или снова включена). ) с ключом реестра, гарантирующим, что вы не получите снижение производительности, если на вас это не влияет:

Чтобы включить исправление

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

Чтобы отключить исправление

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезагрузите компьютер, чтобы изменения вступили в силу.

(Нет необходимости изменять MinVmVersionForCpuBasedMitigations.)

• Примечание: настройка 3 является точной как для включения, так и для отключения настроек из-за маскировки.

Мало того, но так как большая часть штрафа вызвана переходами между ядром пользователя, которые в настоящее время стоят дороже из-за смягчения, это хуже для Linux и других операционных систем, основанных на монолитных ядрах, чем для Windows. В некоторых конфигурациях Windows влияние на производительность незначительно, поэтому, если они совпадают, вам не о чем беспокоиться.

Тем не менее, обратите внимание, что влияние на производительность - не единственная проблема с исправлениями Meltdown / Spectre для Windows. Известно, что некоторые антивирусные продукты вызывают дополнительные проблемы, в том числе ошибки «синего экрана» и невозможность загрузки.

Хотя пропуск обновлений безопасности является окончательной мерой (и вы должны делать это только в том случае, если вы на сто процентов уверены, что знаете, что делаете, и готовы столкнуться с последствиями), лучше сначала обратиться к официальному консультанту вашего антивируса. vendor (и, возможно, производители любого другого программного обеспечения, связанного с системой, если таковое имеется на вашей установке), если уже нормально использовать обновления Spectre / Meltdown вместе с их продуктами.

Обратите внимание, что в конце концов не похоже, что вы сможете установить какие-либо обновления безопасности в будущем без установки исправлений Meltdown / Spectre. Таким образом, лучше не пропускать, а управлять .

Для блоков Windows 7, для которых исправления нежелательны (из-за известных проблем, в том числе из-за негативного влияния на производительность), есть ли способ не устанавливать эти специальные исправления, но продолжать устанавливать другие исправления ОС, выпущенные Microsoft?

Это не будет возможно. Текущий (накопительный и защитный) ежемесячный патч, выпущенный для Windows 7, Windows 8.x и Windows 10, содержит исправления безопасности для CVE-2017-5753и CVE-2017-5754. Это означает, что когда в следующем месяце будет выпущено следующее ежемесячное (накопительное и защитное) исправление, оно также будет включать в себя предыдущие исправления, если в вашей системе не установлено накопительное исправление этого месяца.

Стоит отметить, что, насколько я понимаю, снижение уязвимости, которое сопровождается падением производительности CVE-2017-5715. Единственными изменениями в Windows, касающимися этого уменьшения уязвимости, являются изменения в ядре, которые вызывают инструкцию CPU, используемую для смягчения варианта 2 уязвимости Spectre. Для защиты от этой уязвимости микрокод вашего процессора также должен быть обновлен (в противном случае ваша система останется уязвимой для варианта 2).

Или, если в системе нежелательны исправления на уровне ОС Spectre и Meltdown, исправления Microsoft Windows 7 не могут быть применены к этой конкретной системе?

Windows 7 и Windows 8.1 вышли на ежемесячный выпуск исправлений (накопительный и для обеспечения безопасности) более полутора лет назад (середина 2016 года). Предыдущие исправления безопасности, предоставленные в данном месяце, включены в накопительное исправление следующего года и исправление безопасности.

В целом, наш опыт показывает, что смягчение последствий Варианта 1 и Варианта 3 оказывает минимальное влияние на производительность, а исправление Варианта 2, включая ОС и микрокод, оказывает влияние на производительность.

Понимание влияния снижения производительности на Spectre и Meltdown на системы Windows