针对Meltdown Spectre CPU漏洞的安全Windows系统
这周我一直在忙着了解Meltdown和Spectre漏洞。你应该知道熔解和幽灵释放了现代处理器的关键漏洞。事实上,研究人员已经记录了所有关于这些漏洞的信息在这里.如果你真的需要了解熔解和幽灵党是什么,请访问那个链接。这个链接帮助我理解了很多漏洞。这篇文章包含了关于如何保护windows系统免受崩溃幽灵CPU缺陷的信息。
熔解和幽灵是什么?
Meltdown和Spectre漏洞会影响现代电脑,导致密码和敏感数据泄露。Meltdown打破了用户应用程序和操作系统之间的隔离。Spectre打破了不同应用程序之间的隔离。熔断更容易修补,因为我们有补丁,但幽灵更难找到和修补。
所以如果你的问题是我应该关心这个东西吗?可能是的,因为这些是CPU缺陷,你的系统很有可能被利用。最重要的是,您无法找到这些漏洞是否已针对您的计算机运行。这是因为攻击不会在日志文件中留下任何痕迹。当你明白这是多么重要,每个组织都必须保护windows系统免受Meltdown Spectre CPU缺陷。我还想补充一点,这些漏洞会影响您的PC、移动设备和云中的机器。欢迎您~
我在哪里可以找到更多关于修补熔断和幽灵的信息
下面是一些可以帮助你的链接。这些漏洞也被称为推测性执行侧通道攻击。
如何保护Windows系统免受Meltdown Spectre CPU漏洞
在你计划保护windows系统不受Meltdown和Spectre CPU漏洞的影响之前,我想强调几件事。
- 杀毒-微软报告了一些杀毒软件产品的兼容性问题。华体会体育系列MS正在与AV提供商合作,通过安全更新来解决这个问题。更多信息是在这里.在安装任何补丁之前,都应该考虑防病毒问题。我建议您与您的AV提供商检查,看看他们是否有任何更新。
- 处理器-到目前为止,微软发布的补丁在英特尔处理器的系统上运行良好。似乎AMD处理器的情况并非如此。微软已经为一些较老的AMD机器进行了Meltdown和Spectre安全更新。这些更新阻塞了AMD机器,导致pc无法启动。AMD已经意识到这个问题,他们中的任何一个更新应该很快就会到来。
- 应用程序-当您计划在整个组织中部署这些补丁时,请确保您的业务应用程序在安装补丁后正常工作。在推出补丁之前,您必须测试应用程序的工作情况。例如,我将KB4056891扩展到组织中的一些机器。就在接下来的一个小时,我收到了用户无法使用脉冲安全客户端连接VPN的电子邮件。经过研究,我发现最新版本的脉冲安全被发布来解决这个问题。在你的情况下,可能是其他应用,所以先进行全面测试。
如果您准备在您的组织中推出补丁,最简单的方法是检查Windows更新。大多数需要的补丁应该通过windows更新下载。但是,您可以访问微软更新目录网站,搜索KB号并下载补丁。然后你可以使用SCCM或者其他工具将这些更新推送到电脑上。
检查补丁状态
我将向您展示一些步骤,帮助您检查这些补丁的状态。为了验证是否启用了保护,微软发布了一个PowerShell脚本.通过这个脚本,我们将确定计算机对这些漏洞的安全性。
以管理员身份运行PowerShell并运行以下命令。此命令安装投机控制模块。
Install-Module SpeculationControl
输入Y继续安装。
安装模块后,键入下面的命令。这个命令检查您的系统并显示投机控制结果。
Get-SpeculationControlSettings
不用担心绿色的线。这些都是通过Windows更新安装的补丁来修复的。所以我建议你执行一次windows更新。红线是需要注意的部分。安装任何软件更新都无法解决这些问题。华体会体育系列
如果你仔细观察,红色的可以通过联系设备制造商来修复。虽然不是所有的设备制造商都准备好了更新,但更新应该很快就会发布。在我的情况下,我去了戴尔支持网站,并检查了最新的BIOS更新。是的,有一个空位。所以我下载了它,升级了BIOS,重新启动了笔记本电脑。运行了投机设置,都打了补丁。我现在正在跨组织使用SCCM升级其他笔记本电脑上的BIOS。
嗨
我等不及你写的bios更新我不能让它工作
嗨
等不及你写的bios更新使用sccm我有各种各样的问题
谢谢praji,我相信bios更新或固件更新不是我们通常做的。它背后有很多原因,它破坏了驱动器加密,也破坏了安全产品无论是ms或其他如设备保护,凭据保护。特别是对Access保护的挑战。不确定sccm在升级企业环境时是否具有交互性。对于将要新建的机器,我们可以进行bios更新,然后安装bios更新,然后安装os。对于现有系统,应在更新前关闭访问保护和其他安全控制。分享你过去如何实现企业bios更新的经验。
感谢Prajwal的精彩帖子。非常感谢。
你能帮忙或者分享一下通过SCCM升级bios的步骤吗?
嗨,Rajneesh,我还在努力。通过SCCM升级BIOS似乎具有挑战性,特别是当你启用bitlocker时,它需要暂停它,更新BIOS,然后启用它。