上个月(2023 年 8 月),从第 7 代 Kaby Lake 一直到第 11 代 Rocket Lake CPU 的多个现代英特尔处理器系列被发现易受新处理器漏洞的影响。该安全漏洞代号为"倒塌",是一种瞬态执行或投机执行侧通道攻击,称为数据采样(GDS)漏洞。
最新的芯片,即英特尔的第 12 代 Alder Lake 和第 13 代 Raptor Lake 部件,配备了英特尔的 TDX,可以防止利用陈旧数据。微软和英特尔正在相互合作,通过固件微码更新(MCU)来缓解这一问题。
在微软发布的有关该问题的安全公告中,这家科技巨头有一部分指导用户,如果用户认为自己不受影响,可以禁用为"倒塌"提供的缓解措施。但有趣的是,微软后来从其网站上删除了这一提供的缓解--移除以及描述它的部分,并更新了更新日志,并解释了原因,给出了如下信息:"移除了禁用 GDS 缓解的内容,因为该选项已不再可用。"
移除该缓解措施需要对注册表进行调整。下面是存档版本:
禁用缓解
如果您不认为 GDS 是威胁模型的一部分,您可以选择在裸机环境中关闭(禁用)缓解功能。
注意 在启用 Hyper-V(虚拟化)时禁用缓解功能不在当前实施范围内。
要在 Windows 中禁用 GDS 缓解,您必须根据环境安装以下内容:
- 在受支持的 Windows 10 和 Windows 11 环境中,您必须安装日期为 2023 年 8 月 22 日或之后的 Windows 更新。
- 在受支持的 Windows Server 环境中,必须安装日期为 2023 年 9 月 12 日或之后的 Windows 更新。
安装相应的 Windows 更新后,必须在注册表中设置以下功能标志:
注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
值名称:FeatureSettingsOverride
值类型:REG_DWORD
值数据:0x2000000(十六进制)
如果该注册表值不存在,请运行以下命令禁用 GDS 缓解功能:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f
您可以在微软官方网站的支持页面(KB5029778)上找到有关英特尔"倒塌"(GDS)的安全公告。