Jump to content
PrivatePrivateer

Wie kombiniere ich Registrierungsschlüssel richtig?

Recommended Posts

Hallo zusammen,

 

unter https://support.microsoft.com/de-de/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in hat Microsoft eine Liste von CPU-Fixes bzw. Workarounds sowie Registrierungseinstellungen angegeben, mit denen man diese einzeln aktivieren bzw. deaktivieren kann (runterscrollen zur 2. Hälfte des Knowledgebase-Artikels). Jedoch ändern all diese Einstellungen jeweils denselben Registrierungsschlüssel, so dass ich nach meinem Dafürhalten beim Deaktivieren des 2. Fixes die Deaktivierung des ersten wieder außer Kraft setze, da ich die dortige Einstellung überschreibe usw.

 

Daher würde ich gerne wissen, was ich tun muss, wenn ich sie alle gleichzeitig deaktivieren möchte. Sind die Werte für FeatureSettingsOverride Bit-Werte, die man einfach addieren und dann den Summenwert setzen kann? Muss ich dementsprechend darauf achten, wenn ich zwei Einstellungen deaktivieren möchte, ob in dem angegebenen  FeatureSettingsOverride-Wert von beiden dasselbe Bit gesetzt ist, damit ich dessen Dezimalwert nur einmal zur Gesamtsumme addiere?

 

Oder wie funktioniert das sonst?

 

Vielen Dank und schönen Gruß!

Share this post


Link to post
Share on other sites

Das Skript ist aber nur eine "Verification". Es mag nützlich sein zu sehen, was am Ende dabei herausgekommen ist, aber hilft mir nicht weiter, die richtigen Registrierungswerte (bzw. den richtigen Wert; letztlich scheint es ja nur einer zu sein) zu finden.

 

Der erste Link, den Du geboten hast, ist derselbe, den ich schon in meiner Frage geschrieben habe...

Share this post


Link to post
Share on other sites
vor 9 Minuten schrieb PrivatePrivateer:

Der erste Link, den Du geboten hast, ist derselbe, den ich schon in meiner Frage geschrieben habe...

Ah! Das muss ich auf dem Handy überlesen haben. 

 

Schau mal hier:

https://www.grc.com/inspectre.htm

 

Für mich stellt sich die Frage warum du das deaktivieren möchtest?

Share this post


Link to post
Share on other sites

Ja, dieses Tool habe ich auch schon gesehen. Aber anstatt auf irgendwelche automagischen Tools zu setzen, würde ich gerne einfach den richtigen Wert selber setzen und fertig.

 

Zitat

Für mich stellt sich die Frage warum du das deaktivieren möchtest?

Diese Fixes sind in aller Regel ein Tradeoff. Du gewinnst ein kleines bisschen mehr Sicherheit und bezahlst dafür mit Rechenleistung durch abgeschaltete oder mit aufwendigen Workarounds aufgeblähte Prozessorfunktionen. Nicht bei jedem Rechner ist das Nutzungsprofil so, dass ich bereit bin, dieses Opfer zu bringen.

 

Aber sorry, diese Diskussion gerade bläht den Thread auf und minimiert meine Chancen, die Antwort zu erhalten, wie man den richtigen kombinierten Registrierungswert ermittelt. Danach und nach nichts anderem hatte ich gefragt.

Edited by PrivatePrivateer

Share this post


Link to post
Share on other sites

Wer auf eine legitime einfache Frage gleich so patzig reagiert, dem wird sicherlich sehr gerne geholfen. Viel Erfolg ;-) 

 

Share this post


Link to post
Share on other sites

Ich bin der Meinung, dass ich sehr freundlich geantwortet habe, aber das Problem ist nicht von der Hand zu weisen, dass die Leute in Threads mit 1000 Antworten seltener reinschauen und Deine Antworten mich in meiner Frage keinen Deut weitergebracht haben, da Du nur über irgendwas anderes geredet und anfangs noch nicht mal die Frage richtig gelesen hast. Bitte lass Deine Überempfindlichkeit nicht an meinem Thread aus.

Share this post


Link to post
Share on other sites

Mit der Antwort von Murdoc kann man schon etwas anfangen, typischerweise können solche Werkzeuge helfen Werte auf einem Testsystem zu setzen.

Mittels A/B-Vergleich zwischen behandeltem Testsystem und einer frisch deployten Maschine kann weiter recherchiert und analysiert werden.

 

Ja, das ist Arbeit.

 

Bitte weiterhin freundlich und höflich bleiben, also in dem Fall: Freundlicher Bitte. Danke.

Share this post


Link to post
Share on other sites

Meine Hoffnung war, dass hier jemand die Antwort kennt, so dass ich nicht selber von vorne recherchieren muss. Die Alternative wäre, dass der Knowledgebase-Artikel so schlecht geschrieben ist, dass kein Admin ihn versteht, denn dass jemand, der an dieser Stelle Veränderungen vornehmen möchte, dies nicht nur bei einer einzigen der vielen gelisteten Mitigations tun will, schätze ich eher als Regelfall denn als Ausnahme ein.

Edited by PrivatePrivateer

Share this post


Link to post
Share on other sites

Hast du den KB Artikel einmal auf Englisch gelesen? Oft sind es Übersetzungsprobleme.

Share this post


Link to post
Share on other sites

Aber das steht doch alles im KB-Artikel. Daraus kann man sich auch eine GPO basteln.

Share this post


Link to post
Share on other sites

Nein, steht es eben nicht. Da stehen nur Beispiele für die Abschaltung einzelner Mitigations, aber die Beispiele drehen alle an derselben Stellschraube, so dass ich beim Abschalten einer Mitigation die nächste wieder anschalte.

Share this post


Link to post
Share on other sites

Auch wenn Du den Ton noch etwas üben solltest, ich tippe auf ein Binäres System.

 

Das heisst die verschiedenen Optionen kannst du summieren. Manche beschriebenen Szenarien sind dagegen bereits summiert, z.B. 72 = 64 + 8. Das heisst die Optionen 8 und 64 werden gesetzt.

Bei 8264 ist es wiederum 8192 + 64 + 8

 

Macht auch soweit eigentlich auch Sinn wenn man sich den Text zu Gemüte führt. Das OS kann dann sehr schnell einen binären Vergleich für die verschiedenen Optionen durchführen um die entsprechenden Massnahmen zu ergreifen. Das geht programmiertechnisch schneller und ist vor allem immer eindeutig und der Einstellungswert beschränkt sich auf eine Zahl mit der die Vergleiche durchgeführt werden.

--> Dies in eine eigene GPO zu packen dürfte dagegen schwieriger sein. Da müsste man die einzelnen, gewünschten Summen präsentieren.

 

Erklärung: Eine Summe von Zahlen welche ausschliesslich aus verdoppelten Zahlen bestehen als, 1, 2, 4, 8, 16, 32 etc. ist immer eindeutig und kann somit einfach per binärem Vergleich in die einzelnen Optionen zerlegt werden. Bis zu einem gewissen Grad macht das Sinn, irgendwann gibts nen Überlauf weil die Zahlen ausgehen. Werden die Zahlen binär aufgeschrieben also eine Verkettzung von 0 und 1 in einem String, dann wird vereinfacht gesagt einfach die 0 und 1 vergleichen.

 

Beispiel:

0000001 = 1

0000010 = 2

0000100 = 4

0001000 = 8

0010000 = 16

0100000 = 32

1000000 = 64

 

1000001 =65  besteht demzufolge aus 1 und 64

Edited by Weingeist
  • Like 1

Share this post


Link to post
Share on other sites

Bitmasken sind heutzutage nicht mehr sooo bekannt - man hat ja Speicher ohne Ende, da kann man doch alles auch individuell speichern :-)

  • Haha 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...