xexex schrieb:
Man kann die Maske auch auf 2 setzen, dann ist nur der Spectre Fix aktiv.
Das ist nirgends dokumentiert, hast du eine Quelle? Hast du das mal probiert, ob das auch so funktioniert und mit Get-SpeculationControlSettings verifiziert? Der von dir verlinkte Artikel ist auch meine Quelle und dort steht nichts von 2.
Blueeye_x schrieb:
Ich frag mich gerade wieso Microsoft Microcodeupdates herausgibt, welche auch den Microcode der CPU aktualisieren und man dann einfach mit 2 Registryeinträgen den Spectre Schutz trotzdem ( de ) und aktivieren kann
.
Man kann mit diesen Registry Einträgen nur hinterlegen, dass der jeweilige Schutz verwendet oder nicht verwendet wird, sofern er überhaupt unterstützt ist. Allein mit den Reg-Keys und ohne ein Microcode Update über UEFI oder Windows-Update funktioniert der Patch natürlich nicht, weil dann die Unterstützung des Prozessors für IBRS fehlt, auf dessen Basis der Spectre-Fix überhaupt funktioniert.
Das man mit diesen Registry-Einträgen den Schutz aktivieren oder deaktivieren kann (sofern vom System / Hardware unterstützt), ist absolut zwingend notwendig. Server Betriebssysteme haben per Default beide Schutzmaßnahmen deaktiviert, erst wenn man die beiden Keys anlegt (den ersten mit 0), sind die Maßnahmen aktiv. Client Betriebssysteme dagegen haben per Default beide Schutzmaßnahmen aktiviert, erst wenn man die beiden Keys mit anderen Werten anlegt (den ersten 1 oder 3), sind die Maßnahmen inaktiv. Der Grund hierfür ist, dass Serversysteme unter Umständen Betriebskritisch sind und dort nicht einfach ein Update die Performance von heute auf morgen ohne Kontrolle ins bodenlose sinken lassen kann.
Bei uns auf der Arbeit waren wir übrigens gezwungen die Reg-Keys nach einer Testphase mit 1 (Meltdown aktiv, Spectre inaktiv) wieder auf 3 (beide inaktiv) zu setzen, weil die Performance von unserem Citrix Image, welches über Provisioning Services auf über 200 Server verteilt wird, nach dem Patch unter aller Kanone war und die User massive Einbußen hatten. Vom RegKey 0 ist man ohnehin Meilenweit entfernt, weil es für einige unserer Terminalserver (noch) keine UEFI-Updates gibt. (Schein-)Sicherheit hin oder her, wenn die Anwender nicht mehr anständig arbeiten können und Umsatz flöten geht, hört der Spaß auf - und eine massive Erweiterung seitens Storage und Terminalserver können wir nicht von heute auf Morgen umsetzen, dass muss in der Umsatz-Kosten Planung Mitte/Ende dieses Jahres dann für das nächste Jahr geplant und budgetiert werden, um dann nächstes Jahr entsprechend (stärker als sonst üblich) aufzurüsten.
Bei meinem eigenen PC habe ich beide Patches deaktiviert, bei dem PC von meiner Frau mit einem Xeon E3 1231-v3 (Haswell 4C8T) ist Meltdown aktiviert und Spectre deaktiviert, weil sie doch recht regelmäßig auf irgendwelchen Streaming-Seiten ist, um Serien anzuschauen und die Performance des CPUs bei der GTX 1050 Ti ohnehin keine große Einschränkung ist. Sollte irgendwann eine stärkere GPU reinkommen, wird auch bei ihr der Meltdown Fix abgeschaltet.
