微軟不再建議忽視Intel 7、8、9、10、11代CPU的“沒落”

上個月，即 2023 年 8 月，多個現代英特爾處理器系​​列（從第 7 代 Kaby Lake 一直到第 11 代 Rocket Lake CPU）被發現容易受到新處理器漏洞的影響。該安全漏洞的代號為“Downfall”，是一種稱為收集數據採樣（GDS）漏洞的瞬態執行或推測執行側通道攻擊。

最新的芯片，即英特爾第 12 代 Alder Lake 和第 13 代 Raptor Lake 部件配備了英特爾TDX，可防止過時數據被利用。Microsoft 和 Intel 正在相互合作，通過固件微碼更新 (MCU)緩解了這一問題。

在微軟發布的有關此問題的安全公告中，這家科技巨頭有一個部分指導用戶，如果用戶認為自己沒有受到影響，則可以禁用為 Downfall 提供的緩解措施。然而有趣的是，微軟此後刪除了此提供的緩解措施刪除以及從其網站上描述它的部分，並更新了更改日誌，並用以下消息解釋了原因：“刪除了內容以禁用GDS 緩解措施，因為該選項不可用”。更長時間可用。”

消除此緩解措施需要對註冊表進行調整。這是它的存檔版本：

禁用緩解措施

如果您不認為 GDS 是威脅模型的一部分，您可以選擇在裸機環境中關閉（禁用）緩解措施。

注意在啟用 Hyper-V（虛擬化）時禁用緩解措施不屬於當前實施的範圍。

要在 Windows 中禁用 GDS 緩解措施，您必鬚根據您的環境安裝以下軟件：

• 在受支持的 Windows 10 和 Windows 11 環境中，您必須安裝 2023 年 8 月 22 日或之後的 Windows 更新。
• 在支持的 Windows Server 環境中，您必須安裝 2023 年 9 月 12 日或之後的 Windows 更新。

安裝適當的 Windows 更新後，您必須在註冊表中設置以下功能標誌：


Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management


Value name: FeatureSettingsOverride


Value type: REG_DWORD




Value data: 0x2000000 (hex)

如果此註冊表值尚不存在，請運行以下命令以禁用 GDS 緩解措施：


reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f

您可以在 Microsoft 官方網站的支持頁面( KB5029778 )上找到有關 Intel’s Downfall (GDS) 的安全公告。