PrivatePrivateer 0 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Hallo zusammen, unter https://support.microsoft.com/de-de/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in hat Microsoft eine Liste von CPU-Fixes bzw. Workarounds sowie Registrierungseinstellungen angegeben, mit denen man diese einzeln aktivieren bzw. deaktivieren kann (runterscrollen zur 2. Hälfte des Knowledgebase-Artikels). Jedoch ändern all diese Einstellungen jeweils denselben Registrierungsschlüssel, so dass ich nach meinem Dafürhalten beim Deaktivieren des 2. Fixes die Deaktivierung des ersten wieder außer Kraft setze, da ich die dortige Einstellung überschreibe usw. Daher würde ich gerne wissen, was ich tun muss, wenn ich sie alle gleichzeitig deaktivieren möchte. Sind die Werte für FeatureSettingsOverride Bit-Werte, die man einfach addieren und dann den Summenwert setzen kann? Muss ich dementsprechend darauf achten, wenn ich zwei Einstellungen deaktivieren möchte, ob in dem angegebenen FeatureSettingsOverride-Wert von beiden dasselbe Bit gesetzt ist, damit ich dessen Dezimalwert nur einmal zur Gesamtsumme addiere? Oder wie funktioniert das sonst? Vielen Dank und schönen Gruß! Zitieren Link zu diesem Kommentar
MurdocX 951 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Schau mal hier: https://support.microsoft.com/de-de/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in Es gibt ein PowerShell dafür: https://support.microsoft.com/en-us/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell Zitieren Link zu diesem Kommentar
PrivatePrivateer 0 Geschrieben 8. Mai 2020 Autor Melden Teilen Geschrieben 8. Mai 2020 Das Skript ist aber nur eine "Verification". Es mag nützlich sein zu sehen, was am Ende dabei herausgekommen ist, aber hilft mir nicht weiter, die richtigen Registrierungswerte (bzw. den richtigen Wert; letztlich scheint es ja nur einer zu sein) zu finden. Der erste Link, den Du geboten hast, ist derselbe, den ich schon in meiner Frage geschrieben habe... Zitieren Link zu diesem Kommentar
MurdocX 951 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 vor 9 Minuten schrieb PrivatePrivateer: Der erste Link, den Du geboten hast, ist derselbe, den ich schon in meiner Frage geschrieben habe... Ah! Das muss ich auf dem Handy überlesen haben. Schau mal hier: https://www.grc.com/inspectre.htm Für mich stellt sich die Frage warum du das deaktivieren möchtest? Zitieren Link zu diesem Kommentar
PrivatePrivateer 0 Geschrieben 8. Mai 2020 Autor Melden Teilen Geschrieben 8. Mai 2020 (bearbeitet) Ja, dieses Tool habe ich auch schon gesehen. Aber anstatt auf irgendwelche automagischen Tools zu setzen, würde ich gerne einfach den richtigen Wert selber setzen und fertig. Zitat Für mich stellt sich die Frage warum du das deaktivieren möchtest? Diese Fixes sind in aller Regel ein Tradeoff. Du gewinnst ein kleines bisschen mehr Sicherheit und bezahlst dafür mit Rechenleistung durch abgeschaltete oder mit aufwendigen Workarounds aufgeblähte Prozessorfunktionen. Nicht bei jedem Rechner ist das Nutzungsprofil so, dass ich bereit bin, dieses Opfer zu bringen. Aber sorry, diese Diskussion gerade bläht den Thread auf und minimiert meine Chancen, die Antwort zu erhalten, wie man den richtigen kombinierten Registrierungswert ermittelt. Danach und nach nichts anderem hatte ich gefragt. bearbeitet 8. Mai 2020 von PrivatePrivateer Zitieren Link zu diesem Kommentar
MurdocX 951 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Wer auf eine legitime einfache Frage gleich so patzig reagiert, dem wird sicherlich sehr gerne geholfen. Viel Erfolg Zitieren Link zu diesem Kommentar
PrivatePrivateer 0 Geschrieben 8. Mai 2020 Autor Melden Teilen Geschrieben 8. Mai 2020 Ich bin der Meinung, dass ich sehr freundlich geantwortet habe, aber das Problem ist nicht von der Hand zu weisen, dass die Leute in Threads mit 1000 Antworten seltener reinschauen und Deine Antworten mich in meiner Frage keinen Deut weitergebracht haben, da Du nur über irgendwas anderes geredet und anfangs noch nicht mal die Frage richtig gelesen hast. Bitte lass Deine Überempfindlichkeit nicht an meinem Thread aus. Zitieren Link zu diesem Kommentar
Lian 2.422 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Mit der Antwort von Murdoc kann man schon etwas anfangen, typischerweise können solche Werkzeuge helfen Werte auf einem Testsystem zu setzen. Mittels A/B-Vergleich zwischen behandeltem Testsystem und einer frisch deployten Maschine kann weiter recherchiert und analysiert werden. Ja, das ist Arbeit. Bitte weiterhin freundlich und höflich bleiben, also in dem Fall: Freundlicher Bitte. Danke. Zitieren Link zu diesem Kommentar
PrivatePrivateer 0 Geschrieben 8. Mai 2020 Autor Melden Teilen Geschrieben 8. Mai 2020 (bearbeitet) Meine Hoffnung war, dass hier jemand die Antwort kennt, so dass ich nicht selber von vorne recherchieren muss. Die Alternative wäre, dass der Knowledgebase-Artikel so schlecht geschrieben ist, dass kein Admin ihn versteht, denn dass jemand, der an dieser Stelle Veränderungen vornehmen möchte, dies nicht nur bei einer einzigen der vielen gelisteten Mitigations tun will, schätze ich eher als Regelfall denn als Ausnahme ein. bearbeitet 8. Mai 2020 von PrivatePrivateer Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Hast du den KB Artikel einmal auf Englisch gelesen? Oft sind es Übersetzungsprobleme. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Aber das steht doch alles im KB-Artikel. Daraus kann man sich auch eine GPO basteln. Zitieren Link zu diesem Kommentar
PrivatePrivateer 0 Geschrieben 8. Mai 2020 Autor Melden Teilen Geschrieben 8. Mai 2020 Nein, steht es eben nicht. Da stehen nur Beispiele für die Abschaltung einzelner Mitigations, aber die Beispiele drehen alle an derselben Stellschraube, so dass ich beim Abschalten einer Mitigation die nächste wieder anschalte. Zitieren Link zu diesem Kommentar
Beste Lösung Weingeist 159 Geschrieben 8. Mai 2020 Beste Lösung Melden Teilen Geschrieben 8. Mai 2020 (bearbeitet) Auch wenn Du den Ton noch etwas üben solltest, ich tippe auf ein Binäres System. Das heisst die verschiedenen Optionen kannst du summieren. Manche beschriebenen Szenarien sind dagegen bereits summiert, z.B. 72 = 64 + 8. Das heisst die Optionen 8 und 64 werden gesetzt. Bei 8264 ist es wiederum 8192 + 64 + 8 Macht auch soweit eigentlich auch Sinn wenn man sich den Text zu Gemüte führt. Das OS kann dann sehr schnell einen binären Vergleich für die verschiedenen Optionen durchführen um die entsprechenden Massnahmen zu ergreifen. Das geht programmiertechnisch schneller und ist vor allem immer eindeutig und der Einstellungswert beschränkt sich auf eine Zahl mit der die Vergleiche durchgeführt werden. --> Dies in eine eigene GPO zu packen dürfte dagegen schwieriger sein. Da müsste man die einzelnen, gewünschten Summen präsentieren. Erklärung: Eine Summe von Zahlen welche ausschliesslich aus verdoppelten Zahlen bestehen als, 1, 2, 4, 8, 16, 32 etc. ist immer eindeutig und kann somit einfach per binärem Vergleich in die einzelnen Optionen zerlegt werden. Bis zu einem gewissen Grad macht das Sinn, irgendwann gibts nen Überlauf weil die Zahlen ausgehen. Werden die Zahlen binär aufgeschrieben also eine Verkettzung von 0 und 1 in einem String, dann wird vereinfacht gesagt einfach die 0 und 1 vergleichen. Beispiel: 0000001 = 1 0000010 = 2 0000100 = 4 0001000 = 8 0010000 = 16 0100000 = 32 1000000 = 64 1000001 =65 besteht demzufolge aus 1 und 64 bearbeitet 8. Mai 2020 von Weingeist 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Bitmasken sind heutzutage nicht mehr sooo bekannt - man hat ja Speicher ohne Ende, da kann man doch alles auch individuell speichern 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Mai 2020 Melden Teilen Geschrieben 9. Mai 2020 Jetzt weiß ich wieder, was Grundkenntnisse sind ...;-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.