【讨论】最新BIOS补丁对虚拟机性能影响，附补丁检测工具和关闭补丁方法

stopyan - X62-3004

首先放出个人自测：t440p，virtualbox5.2.8 hyper-v半虚拟化接口下的XP（32bit）,象棋性能下降60%。从7000步下降到3000步。
——————————————————————————————————————
一月份微软的windows补丁已经系统级封堵了Meltdown（编号CVE-2017-5754）和Spectre（第一类，编号CVE-2017-5753）的漏洞，并提供了Spectre（第二类，编号CVE-2017-5715）封堵的系统级支持（仍需要结合BIOS微码更新）
而英特尔第一次发布的BIOS微码有缺陷，容易导致机器异常重启，所以很快撤回了。
二月底三月初，英特尔修复重启问题的的BIOS微码补丁重新发布。
截至目前，thinkpad近五年的机型都发布了BIOS更新，5年前的，比如T420，也有补丁bios发布。上述是前提，废话。
——————————————————————————————————————
漏洞是啥不谈了，不是CPU架构师，不懂。
给出黑友们的一些讨论：
这次处理器大漏洞原理科普！！！！！！！！！！！！！！！！！！！！！！
https://www.ibmnb.com/forum.php?mod=viewthread&tid=1818747
(出处: 专门网论坛)

——————————————————————————————————————
首先给出补丁是否生效的检测工具
微软：为了帮助客户确认保护是否已启用，Microsoft 已发布了一个 PowerShell 脚本，客户可以在自己的系统上运行该脚本。 下面这个主题将介绍如何运行脚本以及输出的含义。
https://support.microsoft.com/zh-cn/help/4074629/understanding-the-output-of-get-speculationcontrolsettings-powershell


以我打完全部补丁的T440P为例，检测全绿即为补丁全部生效

————————————————————————————————————————————
下面是关于性能方面的讨论，结合网络新闻坛内黑友的部分反馈，
之前微软打的补丁，运算性能基本没影响，高端硬盘的随机读取性能打折；
`````````````
现在BIOS的补丁，对于P51那种又新又强的本本，原机系统性能根本不变；
我的四核心T440p以及黑友四核心t430,原机性能也基本不变。（R15 ，AIDA64,CPU-Z）
受伤的是一台i3-4005u的e450c，原机降的有点多。
`````````````
但是，当我运行虚拟机的XP系统时候，问题出来了

跑象棋一直以来被认为是最初级的最无法体现新型CPU实力的古董级小程序，在虚拟XP里分数跌了60%。
··········
目前我的疑问:
是补丁使虚拟化的整体性能下降？
是补丁使老CPU（haswell）的虚拟化性能下降？
是XP系统太老了跟补丁不兼容导致性能下降？
是virtualbox（已更新最新发布版）对补丁兼容的不好？
——————————————————————————————————

我还需要用XP运行一些老程序，所以检索了微软发布的暂停补丁方法
原文：https://support.microsoft.com/zh ... -vulnerabilities-in
如果想停用bios补丁，注册表如下编辑：

QUOTE:

如果你已安装了微码，但由于意外重启或系统稳定性问题要禁用 CVE-2017-5715（分支目标注入）缓解措施，请按照以下说明操作。

禁用变体 2： CVE 2017-5715“分支目标注入”：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


启用变体 2： CVE 2017-5715“分支目标注入”：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

注意 通过注册表设置更改禁用和启用变体 2 将需要管理权限和重启。

如果想停用windows的补丁，代码如下：

QUOTE:

注意 在默认情况下，此更新已启用。 无需客户操作即可启用修复程序。 如果客户希望禁用与 Windows 客户端的 CVE-2017-5715 和 CVE-2017-5754 相关的安全修复程序，我们将提供以下注册表信息以确保完整性。

启用修补程序 *

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启计算机，以使更改生效。

禁用修补程序 *

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重启计算机，以使更改生效。

（无需更改 MinVmVersionForCpuBasedMitigations。）

* 注意 由于发生屏蔽，将值设置为 3 对于“启用”和“禁用”设置都是准确的。

变更之后，检测工具的报告变为：



表明补丁已经存在，但是由于系统设定而停用

good8

学习了

xy3655

楼主，没停用或禁用并检验下性能恢复情况？

stopyan - X62-3004

QUOTE:

xy3655 发表于 2018-3-18 11:19
楼主，没停用或禁用并检验下性能恢复情况？

原机win10开关补丁没变化，R15就在550附近波动，影响主体是  机器散热和后台应用的占用。
虚拟机winXP开关补丁前后，象棋的成绩7000比3000，影响主体是  补丁

xy3655

QUOTE:

stopyan 发表于 2018-3-18 12:54
原机win10开关补丁没变化，R15就在550附近波动，影响主体是  机器散热和后台应用的占用。
虚拟机winXP开 ...

谢谢！已拜读你的另一论坛文

stopyan - X62-3004

有没有虚拟机用户最近也更新了BIOS呢？