Я уверен, что вы знаете об аппаратных уязвимостях Spectre и Meltdown, которые были обнаружены в прошлом году в январе.

Эти аппаратные уязвимости позволяют программам украсть данные, которые обрабатываются на компьютере.

Затем прибыл Spectre 2!

Хотя это было пофикшено, решение привело к более существенному снижению производительности.

Retpoline стал новым решением!

В этом руководстве мы увидим, как вы можете настроить Retpoline в Windows 10.

Настроить Retpoline в Windows 10

Интересно отметить, что Retpoline – это метод бинарной модификации, разработанный Google.

Он предназначен для защиты от «Branch target injection», также называемого «Spectre».

Это решение обеспечивает повышение производительности ЦП.

Microsoft разворачивает его поэтапно.

А из-за сложности его реализации, преимущество в производительности у Windows 10 v1809 и более поздних выпусков.

Чтобы вручную включить Rerpoline в Windows, убедитесь, что у вас есть обновление KB4482887.

Затем добавьте следующие обновления конфигурации реестра:

На клиентских SKU:

reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400

reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400

Перезагрузитесь

На серверных SKU :

reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400

reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401

Перезагрузитесь

Как проверить статус Retpoline в Windows

Чтобы подтвердить, активен ли Retpoline, вы можете использовать командлет Get-SpeculationControlSettings PowerShell.

Этот скрипт PowerShell покажет состояние настраиваемых обновлений Windows для различных уязвимостей.

Включает в себя Spectre 2 и Meltdown.

Как только вы загрузите скрипт и выполните его, вот как это выглядит.

Speculation control settings for CVE-2017-5715 [branch target injection] 



Hardware support for branch target injection mitigation is present: True  

Windows OS support for branch target injection mitigation is present: True 

Windows OS support for branch target injection mitigation is enabled: True 

… 

BTIKernelRetpolineEnabled           : True 

BTIKernelImportOptimizationEnabled  : True 

...

В будущих обновлениях эта функция будет включена по умолчанию.

На данный момент она будет разрешена через облачную конфигурацию.

Microsoft работает над решением, которое больше не требует Retpoline.

Следующее поколение оборудования должно быть способно это исправить, но до обновления они будут исправлять эту уязвимость.