如果 Windows 系统未应用 Spectre 和 Meltdown OS 补丁，是否可以应用其他新的 Microsoft 补丁？

Question 1

如果性能损失是您的主要反对意见，那么您似乎不需要阻止安装这些更新：被认为造成大部分损失的那部分 Meltdown/Spectre 保护措施可以稍后关闭（或重新打开）使用注册表项，确保如果你不受影响，就不会受到性能损失：

启用修复

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新启动计算机以使更改生效。

禁用修复

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新启动计算机以使更改生效。

（无需更改 MinVmVersionForCpuBasedMitigations。）

由于掩蔽，请注意，设置 3 对于启用/禁用设置都是准确的。

不仅如此，由于大多数惩罚是由用户内核转换引起的，而这些转换现在由于缓解措施而花费更多，因此对于 Linux 和其他基于单片内核的操作系统来说，情况比 Windows 更糟糕。在某些 Windows 配置性能影响可以忽略不计，所以如果您的符合这些要求，那么您就不需要担心那么多。

尽管如此，还请注意性能影响并不是唯一的问题使用适用于 Windows 的 Meltdown/Spectre 补丁。一些防病毒产品可能导致进一步的问题，包括蓝屏错误并且无法启动。

虽然跳过安全更新是最终措施（并且只有当您百分之百确定自己知道自己在做什么并且准备好承担后果时才应该这样做），但最好先查看防病毒供应商（以及可能还有其他系统相关软件的供应商，如果您的安装中有的话）的官方公告，看看是否可以将 Spectre/Meltdown 更新与其产品一起使用。

请注意，如果不安装 Meltdown/Spectre 补丁，您似乎无法在未来安装任何安全更新。这样一来，最好不要跳过但管理。

Answer

如果性能损失是您的主要反对意见，那么您似乎不需要阻止安装这些更新：被认为造成大部分损失的那部分 Meltdown/Spectre 保护措施可以稍后关闭（或重新打开）使用注册表项，确保如果你不受影响，就不会受到性能损失：

启用修复

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新启动计算机以使更改生效。

禁用修复

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

重新启动计算机以使更改生效。

（无需更改 MinVmVersionForCpuBasedMitigations。）

由于掩蔽，请注意，设置 3 对于启用/禁用设置都是准确的。

不仅如此，由于大多数惩罚是由用户内核转换引起的，而这些转换现在由于缓解措施而花费更多，因此对于 Linux 和其他基于单片内核的操作系统来说，情况比 Windows 更糟糕。在某些 Windows 配置性能影响可以忽略不计，所以如果您的符合这些要求，那么您就不需要担心那么多。

尽管如此，还请注意性能影响并不是唯一的问题使用适用于 Windows 的 Meltdown/Spectre 补丁。一些防病毒产品可能导致进一步的问题，包括蓝屏错误并且无法启动。

虽然跳过安全更新是最终措施（并且只有当您百分之百确定自己知道自己在做什么并且准备好承担后果时才应该这样做），但最好先查看防病毒供应商（以及可能还有其他系统相关软件的供应商，如果您的安装中有的话）的官方公告，看看是否可以将 Spectre/Meltdown 更新与其产品一起使用。

请注意，如果不安装 Meltdown/Spectre 补丁，您似乎无法在未来安装任何安全更新。这样一来，最好不要跳过但管理。

Question 2

对于不需要补丁的 Windows 7 系统（由于已知问题，包括对性能的负面影响），有没有办法不安装这些特定补丁，但继续安装 Microsoft 发布的其他操作系统补丁？

这是不可能的。当前针对 Windows 7、Windows 8.x 和 Windows 10 发布的（累积和安全）月度补丁包含针对CVE-2017-5753和的安全修复CVE-2017-5754。这意味着，当下一个月度（累积和安全）补丁于下个月发布时，如果您的系统未安装本月的累积补丁，它还将包含之前的补丁。

值得指出的是，据我了解，伴随性能损失而来的漏洞缓解措施是CVE-2017-5715。Windows 中与此漏洞缓解措施相关的唯一变化是对内核的更改，该更改调用了用于缓解 Spectre 漏洞变体 2 的 CPU 指令。为了免受此漏洞的影响，还必须更新处理器的微代码（否则您的系统仍然容易受到变体 2 的攻击）。

或者，如果系统不需要 Spectre 和 Meltdown 操作系统级补丁，那么就无法再将 Microsoft Windows 7 补丁应用于该特定系统？

一年半前（2016 年中），Windows 7 和 Windows 8.1 开始每月发布（累积和安全）补丁。在特定月份提供的安全补丁将包含在下个月的累积和安全补丁中。

总体而言，根据我们的经验，变体 1 和变体 3 的缓解措施对性能的影响很小，而变体 2 的补救措施（包括操作系统和微码）会对性能产生影响。

了解 Spectre 和 Meltdown 缓解措施对 Windows 系统的性能影响

Answer