Windows10でRetpolineを手動で有効にする方法

昨年1月に明らかになったハードウェアの脆弱性(January)SpectreとMeltdownをご存知だと思います。これらのハードウェアの脆弱性により、プログラムはコンピューターで処理されているデータを盗むことができます。それからスペクター2(Spectre 2)が来ました!これは軽減されましたが、ソリューションによってパフォーマンスが大幅に低下しました。レトポリン(Retpoline)はこれに対する答えでした!この投稿では、Windows10でRetpolineを有効にする方法を説明(Windows 10)(Retpoline)ます。

Windows10でRetpolineを有効にする

WindowsでRetpolineを手動で有効にする

Retpolineは(Retpoline)Googleによって開発されたバイナリ修正手法であることに注意してください。これは、「スペクター」とも呼ばれる「分岐ターゲットインジェクション」から保護するためのものです。このソリューションにより、 CPU(CPU)パフォーマンスが確実に向上します。Microsoftはこれを段階的に展開しています。また、実装が複雑なため、パフォーマンス上の利点はWindows10v1809(Windows 10)以降のリリースにあります。

Windowsで(Windows)Rerpolineを手動で有効にするには、 KB4482887アップデート(KB4482887 Update)があることを確認してください。

次に、次のレジストリ構成の更新を追加します。

クライアントSKUの場合:(On Client SKUs:)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400

リブート。

サーバーSKUの場合:(On Server SKUs:)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401

リブート。

WindowsでRetpoline(Retpoline)ステータスを確認する方法

Retpolineがアクティブかどうかを確認するには、 Get-SpeculationControlSettingsPowerShell(Get-SpeculationControlSettings)コマンドレットを使用できます。このPowerShellスクリプト(This PowerShell script)は、さまざまな投機的実行サイドチャネルの脆弱性に対する構成可能なWindowsの緩和策の状態を明らかにします。Spectreバリアント2とMeltdownが含まれています。スクリプトをダウンロードして実行すると、次のようになります。

Speculation control settings for CVE-2017-5715 [branch target injection] 

Hardware support for branch target injection mitigation is present: True  
Windows OS support for branch target injection mitigation is present: True 
Windows OS support for branch target injection mitigation is enabled: True 
… 
BTIKernelRetpolineEnabled           : True 
BTIKernelImportOptimizationEnabled  : True 
...

Retpolineは、 (Retpoline)SpectreVariant2のパフォーマンスの最適化です。重要なのは、分岐ターゲットインジェクションが存在し、有効になっているためには、ハードウェアとOSの両方のサポートが必要であるということです。Skylake以降の世代のIntelプロセッサはRetpolineと互換性がないことに注意してください。これらのプロセッサでは、インポートの最適化(Import Optimization)のみが有効になります。

将来のアップデートでは、この機能はデフォルトで有効になります。現在のところ、クラウド構成を介して許可されます。Microsoftは、 (Microsoft)Retpolineを必要としないソリューションに取り組んでいます。次世代のハードウェアはそれを修正できるはずですが、それまではアップデートによって脆弱性にパッチが適用されます。


Related posts