监控Meltdown和Spectre漏洞使用SCCM - vembu.com

2018年初，我们迎来了一个非常坏的消息。几位独立研究人员再次发现了一个重大的安全问题。被称为熔毁和幽灵的CPU漏洞于2018年1月被发现。这些漏洞允许程序通过从其他程序读取数据来窃取数据。这意味着恶意程序可以利用Meldown和Spectre获取存储在其他运行程序内存中的秘密。在本文中，我们将讨论系统管理员面临的这一新挑战。

谁受到影响？

受影响的芯片包括由英特尔，AMD和ARM制造的芯片。最重要的是，运行其他操作系统（如Android，Chrome，IOS和MacOS）的设备也受到影响。

好消息是英特尔发布了一个修复，但坏消息是性能影响。英特尔揭示了“熔点”处理器修复中可能的放缓。因此，在修补机器之前，熔化修复可以使一些机器更慢，检查测试环境中的性能影响，尤其是您的SQL服务器。

为了安全，不要忘记应用固件更新。因此，您必须检查硬件供应商是否有新的版本可用。

微软表示什么?

“应该首先安装防病毒更新。然后确保Windows自动更新已经打开。如果启用了自动更新，更新将自动安装。”

以下文章讨论了这些漏洞的影响，并提供资源，以帮助保留保护设备：https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown

如何监控Meltdown和Spectre?

第一选择:您可以使用称为“的PowerShell模块”SpeculationControl"检查保护状态。为了帮助客户验证是否启用了保护，微软发布了一个PowerShell脚本，客户可以在自己的系统上运行该脚本。这个模块可以通过以下命令轻松安装:

此模块至少需要Windows PowerShell 5.1。此PowerShell cmdlet的输出看起来如下：

注意:不要忘记以管理员的身份右键单击并运行PowerShell控制台。

您还可以从TechNet Gallery下载该模块：https://aka.ms/SpeculationControlPS

PS> CD C：\ Temp \ SpeculationControl

PS > Import-Module \ SpeculationControl.psd1

ps> get-spreetcontrolsettings

第二选择:您可以使用SCCM监控这些漏洞。

多亏了SCCM和合规模块，你可以确定你的工作站和服务器是否收到了微软的操作系统补丁，以缓解Spectre和Meltdown。配置管理团队发布了一个配置基线，可以帮助您监控Meltdown和Spectre。所以首先要做的就是从TechNet Gallery下载。cab文件:https://gallery.technet.microsoft.com/Speculation-Execution-Side-1483f621

为什么你必须使用这个SCCM基线？

此合规设置配置基准用于确认系统是否启用了保护防止的保护，以防止推测执行侧通道漏洞。此基线基于PowerShell模块“授课控制”的功能。

如何导入这个SCCM基线?

我将在本文中描述如何导入基线。下载CAB文件后，您可以打开SCCM控制台并导航到: