Cómo habilitar Retpoline manualmente en Windows 10

Estoy seguro de que conoce las vulnerabilidades de hardware Spectre y Meltdown que se revelaron el año pasado en enero. Estas vulnerabilidades de hardware permiten a los programas robar datos que se procesan en la computadora. ¡Luego vino el Spectre 2! Si bien esto se mitigó, la solución resultó en una degradación más sustancial del rendimiento. Retpoline fue una respuesta a esto! En esta publicación, veremos cómo puede habilitar Retpoline en Windows 10.

Habilitar Retpoline en Windows 10

Habilite manualmente Retpoline en Windows

Es interesante notar que Retpoline es una técnica de modificación binaria desarrollada por Google. Es para proteger contra la «inyección de objetivo de rama», también conocida como «espectro». Esta solución asegura que el rendimiento de la CPU mejore. Microsoft está implementando esto en fases. Y debido a la complejidad de su implementación, los beneficios de rendimiento son para Windows 10 v1809 y versiones posteriores.

Para habilitar manualmente Rerpoline en Windows, asegúrese de tener el KB4482887 Actualizar.

A continuación, agregue las siguientes actualizaciones de configuración del registro:

En SKU de cliente:

reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400

Reiniciar.

En SKU del servidor:

reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401

Reiniciar.

Cómo verificar el estado de Retpoline en Windows

Para confirmar si Retpoline está activo, puede usar el Get-SpeculationControlSettings Cmdlet de PowerShell. Este script de PowerShell revela el estado de las mitigaciones configurables de Windows para varias vulnerabilidades de canal lateral de ejecución especulativa. Incluye la variante 2 de Spectre y Meltdown. Una vez que descargue el script y lo ejecute, así es como se ve.

Speculation control settings for CVE-2017-5715 [branch target injection] 

Hardware support for branch target injection mitigation is present: True  
Windows OS support for branch target injection mitigation is present: True 
Windows OS support for branch target injection mitigation is enabled: True 
… 
BTIKernelRetpolineEnabled           : True 
BTIKernelImportOptimizationEnabled  : True 
...

Retpoline es una optimización del rendimiento para la variante 2 de Spectre. La clave es que requiere soporte tanto de hardware como de sistema operativo para que la inyección de destino de rama esté presente y habilitada. Tenga en cuenta que Skylake y las generaciones posteriores de procesadores Intel no son compatibles con Retpoline. Solo tendrán habilitada la Optimización de importación en estos procesadores.

En futuras actualizaciones, esta función vendrá habilitada de forma predeterminada. A partir de ahora, se permitirán a través de la configuración en la nube. Microsoft está trabajando en una solución que ya no requerirá Retpoline. La próxima generación de hardware debería poder arreglar eso, pero hasta entonces las actualizaciones parchearán las vulnerabilidades.

Habilitar Retpoline manualmente

Contenido relacionado

Deja un comentario