Meltdown-Spectre漏洞：Windows管理員需要做好四件事

當一個重大的安全事件發生時，自然會有一種反應過度的傾向。我們建議：不要驚慌。相反，遵循這四條準則建立一個應對Meltdown和Spectre漏洞的計劃，並為下一步做好準備。

至頂網安全頻道 01月10日 編譯：新年伊始，2018年的第一個重大安全事件就來了。在元月2日爆出計算機處理器存在嚴重安全漏洞的消息後，各大科技公司的工程師們花了幾個星期乃至幾個月的時間，旨在解決「投機執行副通道攻擊」的問題和打造修補程序。

Meltdown和Spectre兩個漏洞可在眾多處理器中造成破壞，亦可對幾乎所有台式機和移動操作系統的運行造成影響。BleepingComputer網站上的一張表格列出了有關的安全公告、修補程序和更新程序。

軟體補丁雖然現在可以減輕Meltdown和Spectre的影響，長期解決方案則與CPU設計的根本性改變有關，這可能需要幾年的時間才能進入市場。

Meltdown和Spectre攻擊事件的一些細節一個星期前曾被披露，到現在業界已經對有關威脅有了更足夠的了解，因而也對威脅的大場景有了更多了解，可以做出相應的長期反應計劃。

第一要務：別恐慌。科技新聞喜歡將這一類安全事件視為世界末日，而現實是，大家其實還是有時間做出一個全面的應對計劃。 「先開火再瞄準」 的策略見效的情況極為罕見，而在坊間尚未爆出各種已知漏洞時更是如此。

如果你只是負責公司里一台或多台個人電腦，那麼你的響應計劃就很簡單。以下是需要重視的四個關鍵策略：

一些很糟糕的漏洞通過UEFI固件和BIOS更新可以得到改善，在運行硬體製造商提供的微碼時應該針對每個特定的個人電腦機型進行調整。如果硬體是微軟Surface設備和Apple品牌，固件更新會隨安全更新和可靠性更新一起送至，因此無需要採取正常修補策略以外的步驟。

如果是第三方硬體，用戶可能需要花一些心思才能知道設備是否有資格進行固件更新，如果有資格進行固件更新，還需找出什麼時候可以使用固件更新。可別指望固件更新會在幾天內甚至幾周內到達。這一類的代碼更改需要廣泛的測試，而且，各個人電腦製造商用到的解決方法各不相同。

而一些大型機構的用戶則可以使用資產管理軟體檢查固件版本。如需手動查看Windows個人電腦的信息，可使用系統信息工具Msinfo32.exe。Msinfo32.exe生成的系統摘要頁面含有相應的硬體型號和當前BIOS/固件版本的詳細信息。

用系統信息工具Msinfo32.exe檢查當前的BIOS/固件版本。

拿到這些信息後，就可以搜索個人電腦製造商的支持網站及獲取有關更新的信息。可以考慮將這些搜索頁面存為瀏覽器書籤，並將搜索頁面添加到定時提醒程序里，至少每個月檢查一次。

CERT在最初的安全通報中將此解決方案直白地寫成：「更換CPU硬體「。該建議雖然可能在技術上無懈可擊，但該建議給出的幫助卻有限，因為用於替換的CPU尚不存在。即使下一代CPU已經來到，要更換處於使用中的數十億台的個人電腦、Mac電腦和智能手機里的CPU也不是一個可行的選項。

CERT後來更新了該安全通報，提出了更實用的建議：「運行更新程序。操作系統更新、CPU微碼更新和一些應用程序的更新可減緩各類攻擊。

一些較舊的設備或許永遠不能獲取完全對付這些漏洞所需的固件更新。即使英特爾發布這些老CPU的微碼，設備製造商會不會開發、測試和發布相應的補丁仍未可知。微軟計劃為Surface系列提供固件更新，固件更新表裡列出的硬體就不包括Surface Pro 2或原始Surface Pro硬體。

另外，使用Haswell以前的英特爾CPU（Ivy Bridge和更早版本的設計）的設備，其性能問題極有可能會受到軟體更新的嚴重影響。

無論是哪種情況，即便設備只有四年的歷史，正確的策略也許是儘早退役該設備，儘早買個更新、更快、更安全的設備取而代之。

微軟最初在正常補丁部署前的一個星期發布了一系列帶外安全更新（Windows客戶端更新的詳細信息可在此安全通報（https://portal.msrc.microsoft.com/en-US/security-guideguide/advisory/ADV180002）里找到）。

這些「零日」補丁有時可能會與補丁要修復的漏洞一樣具有破壞性。一些AMD Athlon處理器的個人電腦用戶曾有過慘痛的教訓，前一陣有些AMD設備用戶的系統在安裝了微軟Windows 10 Meltdown-Spectre補丁之後直接崩潰而且無法啟動。微軟後來承認某些AMD設備在安裝此更新之後會進入「無法啟動的狀態」。微軟還在構建修復程序，其間已暫停受AMD受影響的AMD處理器設備的Windows操作系統更新。

用戶要抵制恐慌的衝動，先要測試這些更新，這樣做可能就比較保險。實際上，有些用戶會將Windows Update for Business的安全性和可靠性更新配置成在正常安裝日期後的一周左右才執行，他們可能會避免大多數與更新相關的問題，這些問題通常在正常安裝日期後的幾天之內會被發現和解決。

要推遲這些所謂的質量更新，用戶需運行Windows 10專業版（包括Windows 10 S）、企業版或教育版。Windows 10 家庭版無法管理更新。在1709版或更高版本中，該選項在「設置>更新＆安全>Windows Update>高級選項」菜單下，如下圖所示：

使用Windows 10的1709版本的設置推遲質量更新，測試過才更新。

在較早的Windows 10版本里，用戶需要在組策略設置中進行調整。詳細說明請參看「常見問題：如何管理Windows 10更新」（http://www.zdnet.com/article/faq-how-to-manage-windows-10-updates/）。

當然，延遲更新不等於閑在那裡什麼也不做。要利用這段時間進行測試。

頗具諷刺意味的是，那些運行第三方防病毒軟體的Windows 個人電腦上至少在最初時不會安裝微軟的帶外更新。原因是，微軟的測試發現一些第三方產品在調用不受支持的Windows內核內存時會導致藍屏死機（BSOD）。

這些第三方程序本身必須經過測試，以驗證是否與Windows更新兼容，而這些產品的開發人員如宣布產品與Windows更新兼容就會在Windows註冊表裡將對應的比特位設為真。微軟的帶外更新發布一周後，大多數這一類的產品都提供了必要的兼容修補程序，但出於各種原因（某些原因涉及到與其他安全軟體的交互性的合理考慮），並非每個防病毒軟體供應商都能保證產品與Windows更新兼容。（安全研究員Kevin Beaumont整了一個這些第三方產品狀態的權威列表https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?usp=sharing&sle=true。）

安全軟體大有可能成為問題的一部分而不是解決方案的一部分，計算系統變得越來越複雜，而這種可能性也越來越大。第三方安全軟體本身也可能包含漏洞，還有，交付更新的基礎架構可能被破壞或被濫用。

鑒於這樣的背景，用戶有必要審視安全軟體供應商如何處理更新，而時下可能就是這樣做的好時機。如果你對他們的回應不滿意，或許就是時候換個供應商了。

還有一點，要重新檢查安全基礎架構的其餘部分，這樣做有其價值，要特別重新檢查允許用戶監視潛在違規和入侵的部分。正如Rendition Infosec的出色白皮書所說的：

簡言之，監視網路要假定網路已經被攻破。不讓攻擊者攻進來的想法是上世紀九十年代的東西。我們現在假定以及被人攻了進來，然後再設計與之相應的監測系統對不良行為進行檢測。2018年監控計劃的首要目標必須是盡量減少攻擊者在網路里的停留時間。

事實上，所有這些工作的最終結果就是建立一個例行程序，做到在下次發生重大安全事件時不會被搞的措手不及。而歷史告訴我們，下一個重大安全事件隨時都會發生。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！