Nul
Konfetti fra New År ‘ s Eve festlighederne var knapt nok blevet fejet op, før de første større sikkerhed hændelse i 2018 ankom. Nyheden om et alvorligt sikkerhedshul i moderne processorer brød on januar 2, efter ingeniører på alle de store teknologi-virksomhed havde brugt en febrilsk par uger og måneder dissekere problemet med “spekulative udførelse side-channel attacks” og bygning rettelser.
Nedsmeltning og Spectre er imponerende økumeniske i deres evne til at skabe kaos, der påvirker enheder, der kører næsten alle stationære og mobile operativsystem. (BleepingComputer har en fremragende liste af bulletiner, patches og opdateringer til både sårbarheder.)
Og mens software-patches kan afbøde virkningerne for nu, er den langsigtede løsning, der indebærer grundlæggende ændringer til CPU-design, der kan tage år at nå markedet.
En uge efter (for tidlig) offentliggørelse af oplysninger om disse angreb, vi nu kender nok til undersøgelsen trusselsbilledet og planlægge den langsigtede løsning.
Den første er: gå ikke i panik. Tech pressen elsker til behandling af sikkerhedsmæssige hændelser som denne som apokalyptisk, men virkeligheden er, at du har tid til at udarbejde en omfattende svar. “Klar, brand, formål” er sjældent en god strategi, især når der er ingen kendte exploits i naturen på denne tid.
Hvis du er ansvarlig for en eller flere Pc ‘ er i din virksomhed, resten af dit svar planen er ligetil. Her er fire vigtige ting at fokusere på lige med det samme.
1. Være parat til at installere firmware-opdateringer til PC-hardware.
Nogle af de værste fejl kan lindres med UEFI firmware og BIOS-opdateringer, ved hjælp af mikrokode, der leveres af producenten af den pågældende komponent, og tilpasset til hver enkelt PC-model. I tilfælde af Microsoft Surface-enheder og Apple-mærkevare hardware, disse opdateringer ankommer sammen med regelmæssig sikkerhed og pålidelighed opdateringer og dermed ikke kræver yderligere skridt ud over din normale lappe politik.
For tredje-parts hardware, du måske nødt til at gå gennem en betydelig ekstra arbejde at finde ud af, om dine enheder er berettiget til en opdatering af firmware, og hvis det er tilfældet, når denne opdatering vil være tilgængelig. Må ikke forvente, at firmware-opdateringer til at ankomme i de næste par dage eller endda uger. Denne type kode forandring kræver omfattende test, og alle PC-producent har en anden tilgang til problemet.
I store organisationer, du kan tjekke firmware versioner ved hjælp af asset management-software. For at kontrollere en Windows PC manuelt, skal du bruge værktøjet systemoplysninger (Msinfo32.exe). Systemet Resumé side indeholder oplysninger om den hardware model og nuværende/BIOS-firmware-version.
Brug værktøjet systemoplysninger for at kontrollere den aktuelle BIOS – /firmware-version.
Bevæbnet med disse oplysninger, kan du søge PC-maker ‘ s support-webstedet for at få oplysninger om tilgængelige opdateringer. Overveje bookmarking dem søgning-sider, og tilføjer dem til påmindelser, som du kan se mindst en gang om måneden.
2. Udskiftning af forældet hardware.
I den indledende rådgivning, under overskriften Løsning, CERT, der tilbydes på denne stump råd: “Udskift CPU hardware.” Denne henstilling, mens formentlig teknisk forsvarligt, er det ikke alle, der nyttige, da disse udskiftning af Cpu ‘ findes ikke endnu. Selv når næste generations Cpu ‘er ankommer, vil vi ikke have mulighed for at bytte dem til de milliarder af Pc’ er, Macs og smartphones, der allerede er i brug.
En opdatering til, at rådgivende tilbudt mere praktiske råd: “Anvend opdateringer. Styresystem, CPU-mikrokode opdateringer, og nogle opdateringer afbøde disse angreb.”
Nogle ældre enheder vil aldrig få den firmware-opdateringer, der er nødvendige for at få fuld beskyttelse mod disse svagheder. Selv hvis Intel frigiver mikrokode for disse Cpu ‘ er, er det stadig op til den enhed kaffefaciliteter at udvikle, teste og udgive en patch. Microsoft ‘ s liste af firmware-opdateringer, der har planer om at levere op til Overfladen og familie, rammende, omfatter ikke Surface Pro 2 eller den oprindelige Surface Pro.
Hertil kommer, at enheder, der bruger pre-Intel Haswell Cpu ‘ er (Ivy Bridge og tidligere designs) er mest tilbøjelige til at lide alvorlige problemer med ydeevnen, som følge af software-opdateringer.
I begge tilfælde, selv for en enhed, der er mindre end fire år gamle, er den rigtige strategi kan være at gå på pension det tidligt og erstatte den med en nyere, hurtigere, mere sikker model.
3. Udvikle en lappe-strategi.
Microsoft oprindeligt udgivet en serie af out-of-band-sikkerhedsopdateringer (detaljer om Windows klienten opdateringer af denne bulletin) ugen før sin normale Patch tirsdag indsættelse i januar.
Nogle gange er dem, der “nul-dag” patches kan være så ødelæggende som de mangler, de er beregnet til at lave. Der er en lektie nogle ejere af Pc ‘er med AMD Athlon Cpu’ er lært på den hårde måde, med nogle lider af nedbrud og ude af stand til at starte op efter installation af Microsoft ‘ s Windows-10 Nedsmeltning-Spectre patch. Det erkendes, at nogle AMD-enheder har fået ind i “en samling state” efter installation af denne opdatering, Microsoft pause Windows OS-opdateringer til enheder, som rammes af AMD-processorer, mens den arbejdede på en rettelse.
Enhver, der modstod trangen til at gå i panik og i stedet testet disse opdateringer første var nok sikkert. I virkeligheden, at alle, der konfigurerer Windows Update for at forsinke den normale installation af sikkerheds-og pålidelighedsopdateringer af en uge eller så vil sandsynligvis undgå de fleste update-relaterede problemer, som typisk er identificeret og rettet i løbet af få dage.
At udskyde disse såkaldte kvalitet opdateringer kræver, at du kører Windows 10 Pro (herunder Windows 10 S), Enterprise eller Uddannelse; du kan ikke administrere opdateringer til Windows-10 Hjem. I version 1709 eller senere, at indstillingen er tilgængelig i Indstillinger > Opdatering Og Sikkerhed > Windows Update – > Avancerede Indstillinger, som vist her.
Brug denne Windows version 10 1709 indstilling til at udskyde kvalitet opdateringer, før du kan teste dem.
For tidligere Windows-10 versioner, du bliver nødt til at foretage en justering af indstillinger for gruppepolitik. Detaljeret instruktioner er i “FAQ: Hvordan til at administrere Windows-10 opdateringer.”
Naturligvis forsinke opdateringer skal ikke bare være et spørgsmål om at sparke dåsen ned ad vejen. Brug denne tid til at teste.
4. Re-undersøge alle lag af din sikkerhed, infrastruktur
Ironisk nok, nogen kører tredjeparts antivirus-software på en Windows-PC, der var, i det mindste i første omgang, er forhindret i at installere Microsoft ‘ s out-of-band opdateringer. Det skyldes, at Microsoft ‘ s test viste, at nogle af disse tredjeparts produkter, der var årsag til den frygtede Blue Screen of Death (BSOD), ved at foretage opkald understøttes ikke i Windows-kernen hukommelse.