Retpoline Spectre V2 Schutz bei win 10 manuell aktivieren / Skylake nicht kompatibel

[MK one]

Retpoline ist ein Spectre V2 Schutz der kaum Ressourcen verschlingt und im kommenden 19H1 Update kommen soll
Man kann ihn jedoch schon jetzt manuell aktivieren allerdings sind Skylake und spätere Generationen von Intel-Prozessoren nicht mit Retpoline kompatibel . Dort bleibt man auf die Intel Patches angewiesen .

https://www.borncity.com/blog/2019/03/05/windows-10-retpoline-spectre-2-schutz-manuell-aktivieren/

In einem Nachtrag zum 5. März 2019 gibt Microsofts Mehmet Iyigun vom Windows/Azure Kernel Team nun Hinweise, wie Nutzer Retpoline durch einen Registrierungseingriff während der Rollout-Phase gezielt manuell freigeben können.

Auf Windows 10 V1809-Clients sind folgende Befehle in einer administrativen Eingabeaufforderung auszuführen, um Retpoline zu aktivieren.

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400

Danach ist die Maschine neu zu starten. Auf Windows Server 2019 sind dagegen folgende folgende Befehle einzugeben:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401

Auch hier ist die Maschine im Anschluss neu zu starten. Ob Retpoline aktiviert ist, lässt sich mit dem PowerShell-Befehl:

Get-SpeculationControlSettings

Der Grund warum man das machen sollte ist , wie gesagt , es braucht so gut wie keine Ressourcen und kostet keine Performance

Gegenüber Microcode-Updates, die zu einer Leistungseinbuße führen und nur prozessorspezifisch angeboten werden können, vermeidet Retpoline als Compiler-Technologie diese Leistungseinbußen. Ich hatte bereits im Januar 2018 den Artikel Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust zu diesem Thema veröffentlicht.

sollte dann so aussehen bei AMD CPUs

PS: BTIKernelRetpolineEnabled : True , ist hier das entscheidende

 

[inge70]

So hat nun auch AMD den Schutz bzw. erhält ihn durch Retpoline ohne größere Leistungseinbußen.

Das Intel Skylake und Nachfolger nicht kompatible mit Retpoline sind, hab ich auch schon gelesen. Aber Intel hat da mittels Microcode und über die Hersteller per Bios-Update schon dagegen gearbeitet (zumindest bis zu einem bestimmten Baujahr zurück), dass Schutz gegen CVE-2017-5715 - Spectre V2 - Branch Target Injection (BTI) da ist.
So ist das, wenn man das eine oder andere Hardwarelager (AMD oder intel) nutzt.

Wie in deinem Screenshot sind die entsprechenden Einträge zu CVE-2017-5715 auf "true", wenn man das Bios-Update bzw. Microcode-Update per Windows-Update erhalten hat. Insofern ist dann Retpoline nicht mehr zwangsläufig notwendig (unabhängig vom etwaigen Leistungsverlust) bzw. muss man damit leben, dass es ab Skylake nicht kompatible ist.
Ältere Intel dagegen sollten da aber mit Retpoline geschützt werden. Prüfe ich später mal am Rechner meiner frau. Die hat noch einen alten Core2Quad drin.

 

[iGameKudan]

Da bin ich doch glatt mal gespannt, wie der Retpoline-Patch meinem Sandy Bridge-E noch auf die Beine hilft. Gerade Sandy Bridge hat ja unter den Microcode-Updates vergleichsweise stark gelitten... Und meine 970 EVO performt mit dem SB-E auch ziemlich schlecht, was die Zufallszugriffe mit kleinen Daten angeht.

 

[Fragger911]

Na dann ein HOCH auf unsere Alteisen á la Haswell-E & Co.