41

Как проверить защищён ли компьютер от Spectre и Meltdown

Spectre Meltdown

Уязвимости Spectre и Meltdown уже успели наделать много шума. Microsoft, как крупнейший в мире поставщик ПО, уже успела выпустить накопительные обновления для Windows, закрывающие эту уязвимость на уровне ОС. Редмондская корпорация одной из первых выпустила новые версии UEFI для Surface. Тем не менее, не все пользователи следят за каждым апдейтом и не все знают, что их устройства уязвимы. Специально для таких случаев Microsoft выпустила инструмент проверки компьютера на защищённость от Spectre и Meltdown. В этой статье мы покажем, как им воспользоваться.

Что такое Spectre и Meltdown

В начале января команда исследователей Google объявила о найденных во всех современных процессорах уязвимостях, которые получили названия Spectre и Meltdown. Эти дыры безопасности позволяют хакерам украсть из памяти компьютера важную информацию буквально с помощью скрипта в браузере. Вы и не заметите, как данные ваших учётных записей станут известны злоумышленникам. На данный момент известно о 4 уязвимостях: двух вариантах Spectre и двух вариантах Meltdown.

  • Variant 1 (Bounds Check Bypass или Spectre v1) - уязвимы абсолютно все современные процессоры от Intel и AMD, а также более новые ARM-чипы для мобильных устройств. Полноценной заплатки для этой дыры пока не существует. Эксперты предполагают, что разработать решение вовсе невозможно, а единственный способ избавиться от уязвимости - выпустить новые процессоры с изменённой архитектурой.
  • Variant 2 (Branch Target Injection или Spectre v2) - также уязвимы все современные процессоры Intel, AMD и ARM. Тем не менее, использовать эту уязвимость в чипах AMD и ARM не так просто, так что чипы Intel находятся под большей угрозой. Возможно программное решение проблемы, чем и занимаются разработчики софта и производители процессоров.
  • Variant 3 (Rogue Data Cache Load или Meltdown) - уязвимы только процессоры Intel. Ошибку можно исправить программно, Intel и разработчики ПО уже разрабатывают соответствующие решения.
  • Variant 3a (разновидность Variant 3 или Meltdown) - немного изменённая уязвимость Meltdown, которая присутствует в новых процессорах ARM. Также исправляется программно.

Инструменты Microsoft, доступные в Windows 7 и выше, проверяют статус защиты от уязвимостей Variant 2 (Spectre v2) и Variant 3 (Meltdown). Уязвимость Variant 1 (Spectre v1) пока исправить невозможно, а Variant 3a встречается на данный момент только в мобильных устройствах, так что их проверка бессмысленна.

Как узнать, защищён ли компьютер от Spectre и Meltdown

При проверке используется консоль Powershell, встроенная в Windows 7 и выше. Тем не менее, в Windows 7 по умолчанию установлена устаревшая версия PowerShell, которая не сможет выполнить проверку защиты от Spectre и Meltdown. Если вы используете Windows 7, загрузите обновление Powershell и установите его.

  1. Убедитесь, что ПК подключен к интернету.
  2. Запустите Powershell от имени администратора. Для этого наберите запрос Powershell в панели поиска, кликните по нему правой клавишей мыши и выберите соответствующий пункт.
    windowspowershell
  3. Введите следующую команду и нажмите Enter: Set-ExecutionPolicy -ExecutionPolicy Unrestricted
  4. Введите букву Y и нажмите Enter.
    speculationcontrol1
  5. Наберите следующую команду, нажмите Enter и подождите, пока консоль выведет результат: Install-Module SpeculationControl
  6. Опять введите букву Y и нажмите Enter. Подождите, пока Powershell выведет следующий вопрос, и снова введите Y.
    speculationcontrol2
  7. Введите следующую команду и нажмите Enter: Import-Module SpeculationControl
  8. Запустите проверку защиты этой командой и немного подождите: Get-SpeculationControlSettingsspeculationcontrol3
  9. В консоли появится результат проверки и рекомендации.
  10. Введите следующую команду и нажмите Enter: Set-ExecutionPolicy -ExecutionPolicy Restricted
  11. Подтвердите действие вводом Y.
    speculationcontrol4

Для будущих проверок защиты этого же ПК достаточно будет ввести команды лишь из пунктов 3-4, 7-8 и 11. Остальные инструкции выше нужно выполнять лишь один раз на конкретном компьютере - они отвечают за установку модуля проверки Spectre и Meltdown от Microsoft.

Что обозначают результаты проверки

В результате вы увидите 9 строчек с параметрами, значение которых True или False (да или нет). Эти ключи связаны между собой, и значение одного может влиять на значение другого. Первые 5 параметров (BTI) отвечают за статус уязвимости Variant 2 (Spectre v2), а следующие 4 (KVAShadow) - за Variant 3 (Meltdown).

  • BTIHardwarePresent: параметр показывает, установлено ли у вас обновление прошивки процессора, которое закрывает уязвимость Spectre v2. Если апдейт не установлен, вы не защищены от Spectre даже, если вы поставили патч для Windows. Обновление прошивки процессора входит в состав новых версий BIOS / UEFI, которые рассылают производители компьютеров и материнских плат. Более подробная информация об этом должна быть размещена на сайте изготовителя.
  • BTIWindowsSupportPresent: ключ показывает, установлен ли у вас патч для Windows. Если он не установлен, вы не защищены. Проверьте наличие апдейтов в центре обновления Windows или установите патч вручную.
  • BTIWindowsSupportEnabled: параметр отображает, защищён ли ваш ПК от Spectre v2. Значение этого ключа строится на основе двух предыдущих. Ваш ПК защищён, если у вас установлена и новая версия BIOS / UEFI, и патч для Windows, то есть значение обоих предыдущих параметров - True.
  • BTIDisabledBySystemPolicy: параметр показывает, отключена ли защита от Spectre v2 системными политиками.
  • BTIDisabledByNoHardwareSupport: ключ отображает, отключена ли защита из-за отсутствия обновления прошивки процессора.
  • KVAShadowRequired: параметр показывает, необходима ли вашему процессору заплатка от уязвимости Meltdown. У всех владельцев чипов AMD в этой строке будет стоять False, и на ключи ниже они могут не обращать внимания. Почти на всех Intel в этой строке будет установлено значение True.
  • KVAShadowWindowsSupportPresent: параметр отображает, установлен ли у вас патч Windows для Meltdown. Если патч  не установлен, вы не защищены. Проверьте наличие апдейтов в центре обновления Windows или установите патч вручную.
  • KVAShadowWindowsSupportEnabled: ключ показывает, включена ли защита от Meltdown в вашей системе.
  • KVAShadowPcidEnabled: параметр отображает, активирован ли режим PCID, который позволяет снизить потери производительности из-за патча. Он поддерживается не всеми процессорами (в основном только более дорогими чипами Intel 4 поколения и выше) и не влияет на безопасность компьютера.

Как отключить патчи Spectre и Meltdown

Возможно, вы захотите выключить заплатки для Spectre и Meltdown, например, чтобы не допустить снижения производительности компьютера или ноутбука.

  1. Запустите командную строку от имени администратора. Для этого в поле поиска введите запрос Командная строка, кликните по ней правой клавишей мыши и выберите соответствующий пункт.
  2. Выполните две следующие команды:
    reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
  3. Перезагрузите компьютер.
  4. Чтобы включить патчи обратно, нужно выполнить в командной строке от имени администратора немного иную команду и перезагрузить компьютер:
    reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

И хотя таким образом вы избежите просадки производительности, ваш компьютер будет уязвим перед потенциальными атаками.

НравитсяНе нравится
+2
Loading ... Loading ...

Комментарии (41)

    13.01.2018 в 21:07
    +5
    Android

    Защищён полностью. :D

    13.01.2018 в 21:17
    +1
    Nokia Lumia 820

    Береженного , бог бережет!))

    14.01.2018 в 0:38
    0
    Microsoft Lumia 950
    14.01.2018 в 9:25
    0
    Android

    Да, видел уже)

    14.01.2018 в 10:56
    0
    Microsoft Lumia 640 XL

    Спасибо за информацию, однако не могу упустить из виду, что "true & false" это не "да и нет", это "верно и неверно". Уж простите за дотошность))

    14.01.2018 в 10:57
    0
    Android

    Это да, тут просто для того, чтобы легче людям, не знающим английский, понять было)

    14.01.2018 в 15:12
    0
    Microsoft Lumia 650

    И что? В разных интерпритациях это и "да или нет" тоже...просто ваша придирка означает только - "дословный перевод"

    13.01.2018 в 22:29
    0
    Nokia Lumia 1520

    Ребят мой камера снимает фото по 3 шт иногда 4 одно фото получается 3,4 что делать чтобы 1 фото был? Спасибо

    13.01.2018 в 22:31
    0
    Microsoft Lumia 950

    не зажимай кнопку снимка

    13.01.2018 в 22:41
    0
    Nokia Lumia 1520

    И ?

    13.01.2018 в 23:38
    0
    Android

    Он хотел сказать, кнопку нужно нажимать (короткое нажатие), а не зажимать (долгое). По этому и получается серия. В настройках это можно отключить (настройки камеры)

    14.01.2018 в 8:22
    0
    Nokia Lumia 1520

    Нету такой функции

    14.01.2018 в 9:44
    0
    Android

    Уверяю еся)))

    14.01.2018 в 10:18
    0
    Nokia Lumia 1520

    )) не помогло

    14.01.2018 в 12:19
    0
    Android

    Еще ниже есть переключатель. Отключи его. Называется "Замедленная сьёмка"

    14.01.2018 в 16:50
    0
    Nokia Lumia 1520

    Отключен

    13.01.2018 в 22:35
    0
    Microsoft Lumia 640

    Оффтоп.
    Нужна помощь. Расскажите как настроить подключение LTE на 640. В настройках пропал выбор, осталось 3g, 2g, 3g-2g. Как вручную настроить ?
    Нашёл на нашем сайте настройки через intertop tools. Удалось настроить только 4g (предпочтительней использовать 3G).

    13.01.2018 в 23:31
    0
    Nokia Lumia 735

    Погугли

    14.01.2018 в 0:16
    0
    Microsoft Lumia 640

    Гуглил, но решил воспользоваться советами, которые могли дать здесь.

    14.01.2018 в 2:40
    0
    Microsoft Lumia 950

    Через field test попробуй сделать.
    В звонилке набираешь ##3282# и в band locking оставляешь то, что тебе нужно.
    Я так себе 2g отключил

    14.01.2018 в 8:39
    0
    Microsoft Lumia 550

    О, круто, тоже отключил 2G

    14.01.2018 в 6:35
    0
    Android

    На 640 нет 4g

    14.01.2018 в 9:01
    +1
    Microsoft Lumia 640

    Есть версии 640-й и с LTE

    14.01.2018 в 6:36
    0
    Android

    А как воспользоваться этими уязвимостями будет инструкция?

    14.01.2018 в 9:15
    0
    Android

    Насколько я видел, и так в открытом доступе это есть)

    14.01.2018 в 9:53
    0
    Android

    Как по мне - простому юзеру опасаться нечего, если он не лазить по левым сайтам и не качает всякое. Кому вы нужны? Да и самая поганая уязвимость Spectre - она направленная,(не знаю точно, но можно ли "подхватить" через сайт) и для взлома надо какое-то время. Хоть у меня старый процессор AMD Phenom 9850 - падения производительности я в играх не заметил, но есть небольшие тормоза, когда пк - фтп сервер. Да и если украдут пароли, логины и т и. У меня ~6 нужных аккаунта в инете - соц сети, Steam, gmail и учетка Майкрософт. Все они имеют так сказать "мобильный аунтификатор" - даже если и получить логины и пароли, то все ровно не войти, а в Steam вообще ещё стоит семейный просмотр...

    14.01.2018 в 9:59
    0
    Android

    Могут украсть не пароль, а, скажем, cookie-файлы, тогда аутентификаторы не спасут.
    Да, это направленная атака, надо сначала разработать ее под конкректный софт. Ну а после - можно применять)

    14.01.2018 в 10:04
    0
    Android

    Куки.. это да, но робит это только с соц сетями. Тот же Steam - как только поменялся ИП адрес, при этом ещё и старый в сети, сбрасывает все активные соединения, со учеткой Майкрософт точно так же. Gmail - веровать куки не пробовал, а от с соц сетями робит на ура. Да и на Steam стоит семейный просмотр, в браузере он им так иметь, извините за выражение

    14.01.2018 в 15:05
    0
    Android

    С вк сделайте привязку к устройству и кража кукисов вам будет не страшна.
    На других хз, но возможно тоже есть подобное.

    14.01.2018 в 15:56
    0
    Android

    Каким макаром? Если я ворую целую сессию?

    14.01.2018 в 16:13
    0
    Android

    ? устройства будет не то

    14.01.2018 в 16:18
    0
    Android

    Это не влияет никак.
    Я сам с ВК баловался, вообще без проблем тырятся cookies и запускается сессия на другом устройстве.

    14.01.2018 в 17:18
    0
    Android

    Да, при условии, что не использована привязка к устройству. Тоже пробовал, если использована привязка, то вход есть, но требует подтверждения

    14.01.2018 в 21:57
    0
    Android

    О чем вы говорите? Какая привязка? Айди вашего сетевого устройства? Узнать его не проблема, если он в одной сети, а он будет... Я вам так скажу! Мак-адрес, ид, маску подсети вашей сетевой карты знает только ЛОКАЛЬНАЯ СЕТЬ, и обитатели этой сети. Сайт или программа максимум знает вашь внутренний локальный адрес.

    14.01.2018 в 22:09
    0
    Android

    Какая сетевая карта? Идентифицируется устройство, а не адрес и параметры сети.

    14.01.2018 в 22:14
    0
    Android

    Я до сих пор не могу понять! О каком индентификации вы говорите? То что основанная на вашем оборудовании? Это что-ли?

    14.01.2018 в 13:39
    +1
    Microsoft Lumia 950 XL

    Фигасе проверка. Я сломаю себе мозг проверять. Пусть будет как будет

    14.01.2018 в 16:37
    0
    Microsoft Lumia 950 XL

    Стоп, подождите, получается иногда необходимо обновлять bios/uefi для закрытия уязвимости?!!!!!

    14.01.2018 в 16:38
    0
    Android

    Угу, для закрытия как минимум Spectre v2 нужно обновление BIOS / UEFI (включающее обновление микрокода процессора).

    15.01.2018 в 13:55
    0
    Microsoft Lumia 650

    Незнаю как давно куки помогали востоновить сесию,но после переустановки винды когда запускаешь оперу портабл, вк заново приходиться регится, хотя куки и все кишки храниться с программы на отдельном диски и не как не изменяются

    16.03.2018 в 22:56
    0
    ZTE Tania

    "Для будущих проверок защиты этого же ПК достаточно будет ввести команды лишь из пунктов 3-4, 7-8 и 11."
    Забыли про 10 пункт. То есть должно быть так: 10-11. ?

Вы должны быть для написания комментариев.