В биосе моего ноутбука несколько функций связанных с безопасностью. Несколько технологий от Интел, Intel vdt, Intel ppt, от Microsoft, Device Guard и т.д. Вопрос, а нужно ли мне все это? Нужен ли этот модуль безопасности tmp, влияет ли включенная виртуализация на производительность, нужно ли шифрование и т.д?
Ещё странная функция Леново Natural File Guard, ты вроде ставишь пароль, но отключаешь чтобы он запрашивался при включении, как тогда происходит защита?
У меня в Биосе включен Secure Boot, на Биос поставлен многозначный пароль, пароль для пользователя имеет столько же символов, сколько и пароль админа. У большинства на ноутбуке вообще в Биосе нет пароля, поэтому любой может отключить все эти функции безопасности, тут конечно если выполнен вход в аккаунт винда заблокируется и надо будет доставать ключи из аккаунта и т.д, но никто ведь не отменял эффективнейший метод криптоанализа резиновым шлангом. Или все это от софтовой угрозы? Но при этом если запустить вирусный файл, он в итоге не только запустится, но его и его не остановить уже. Я пока не имею на этой машине ценных данных, и даже если каждый мой аккаунт за все время использования взломают, я ничего не потеряю. Везде под анонимками, соц сетей настоящих почти не имею, ценности не представляю. Хочу услышать ваше мнение, эти функции нормально ведь жрут...
AlexVWill, точно? А метод проктального криптоанализа как обойти? Можете подробнее объяснить почему именно мне нужна? На 5 процентов больше всех ресурсов потребляется
вся эта навязанная сложность в виде повышенной защиты нужна разве что 0.01%
можно конечно превратить свой дом в тюрьму, но рано или поздно всё равно нужно будет сходить за хлебом
Интел, Intel vdt, Intel ppt, от Microsoft, Device Guard и т.д. Вопрос, а нужно ли мне все это?
маркетологам нужно. вам - нет. под предлогом заплатки уязвимости/безопасности можно урезать процентов 30-40% производительности. Этим страдает и intel, и amd. Этакий лёгкий способ заставить юзера купить новое оборудование. Если вы думаете, что избавиться от этого можно лишь установить Windows без этих обновлений, то вы очень сильно ошибаетесь. Все процессорные обновления необратимы. Если взять два старых процессора: один из коробки, а второй из системы после обновления, то они покажут разную производительность на чистой старой системе.
если грубо говоря, производитель выпускает какой-нибудь tmp и говорит: новая windows работать без него не будет. Хочешь новую - покупай новый ПК. Тоже самое и с другими средствами защиты: хочешь защититься - покупай новый ПК, иначе всё будет лагать.
i9-13900kf, то есть патч системный мне проц ломает?
есть патч, который нам пришёл в мать, а есть патч, который пришёл в процессор. если ты о первом - в зависимости от матери можно откатиться. В случае, когда патч приходит в процессор - ситуация необратима.
а это не важно, абсолютно. сегодня так называется, завтра по другому. К примеру, новые 14900 оказались слишком мощные, поэтому их было решено урезать. 14900 урезали до 14600
ты будешь дятлом, если каждый раз новый процессор покупать будешь. А по поводу 7 - они (все) намеренно не выпускают софт не то что для 7 и 8.1, а даже для старых версий 10.
Что значит слишком мощные? - тепловыделение
тепловыделение. Здесь я привёл пример обновления матери, которое обратимое. А если такой микрокод прилетит в процессор, то всё.
А почему, люди без денег считаются или обратной совместимости нет?
перефразируй, не понял.
как узнать прилетел тебе этот микрокод или нет?
вот тут не подскажу. некоторые можно отслеживать через обновление windows, а некоторые минуя его обновляются. К примеру edge с выключенными обновлениями обновляется, если захочет.
Все процессорные обновления необратимы.
...
В случае, когда патч приходит в процессор - ситуация необратима.
...
увы-увы... Каким образом ставится патч CVE-2022-40982? Обновление микрокода называется.
какой-то испорченный телефон
по ссылкам там максимум это почистить TPM
в процессор ничего не прописывается, у него нет ПЗУ
в процессор при запуске могут временно загружаться тем или иным способом "патчи" в виде микрокода
если не брать в расчет биос, то когда и что прилетело трудно отслеживать особенно под виндой, под линукс это просто отдельный пакет который хочешь ставишь а хочешь не ставишь.
Но тут дело не в самом микрокоде, его ведь использовали задолго до пришествия всяких спектров, мельдаунов и другой нечисти, с его помощью порой исправляли всякого рода нестабильность работы процессора в системе, а с приходом больших уязвимостей туда напихали и разные заплатки которые порой критически влияют на производительность.
В общем, достаточно просто найти и отключить нужный рубильник отвечающий за удушливую заботу о вашей безопасности.
Под линем для этого достаточно при загрузке ядра передать параметр mitigations=off и наболевшее снимет как рукой (как например здесь)
для убедительности можно глянуть вывод утилиты lscpu, пример
до
$ lscpu
...
Vulnerabilities:
Gather data sampling: Not affected
Itlb multihit: Not affected
L1tf: Not affected
Mds: Not affected
Meltdown: Not affected
Mmio stale data: Not affected
Reg file data sampling: Not affected
Retbleed: Mitigation; untrained return thunk; SMT vulnerable
Spec rstack overflow: Mitigation; Safe RET
Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl
Spectre v1: Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Spectre v2: Mitigation; Retpolines; IBPB conditional; STIBP disabled; RSB filling; PBRSB-eIBRS N
ot affected; BHI Not affected
Srbds: Not affected
Tsx async abort: Not affected
после
$ lscpu
...
Vulnerabilities:
Gather data sampling: Not affected
Itlb multihit: Not affected
L1tf: Not affected
Mds: Not affected
Meltdown: Not affected
Mmio stale data: Not affected
Reg file data sampling: Not affected
Retbleed: Vulnerable
Spec rstack overflow: Vulnerable
Spec store bypass: Vulnerable
Spectre v1: Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers
Spectre v2: Vulnerable; IBPB: disabled; STIBP: disabled; PBRSB-eIBRS: Not affected; BHI: Not affected
Srbds: Not affected
Tsx async abort: Not affected
под виндой тоже присутствуют некоторые "переключатели", к счастью с этой темой я мало знаком, но при желании вы можете начать её изучение со статьи на хабре - Отключение фикса Meltdown и Spectre в Windows
в процессор ничего не прописывается, у него нет ПЗУ
ты как это понял? Apple каждый раз за руку ловят, samsung ловят, а в intel святые сидят. То, что они сокет меняют постоянно - так это техническая необходимость, да? А то, что отличие 1151 и 1151v2 было исключительно на программном уровне - это случайность? У тебя есть Intel ME, который мать его работает при отключенном компьютере, а его код обфусцирован. И для него есть отдельная прошивка. ПЗУ для прошивки IME есть, который хрен пойми что делает, а для остального нет. Нео, вейк ап ёпта
в процессор ничего не прописывается, у него нет ПЗУ
что именно ? что в процессорах Intel и AMD нету ПЗУ ? - странно, это вроде как довольно очевидно, но если у вас есть достоверная информация обратного то милости просим предоставьте её нам.
Apple каждый раз за руку ловят, samsung ловят, а в intel святые сидят. То, что они сокет меняют постоянно - так это техническая необходимость, да? А то, что отличие 1151 и 1151v2 было исключительно на программном уровне - это случайность? У тебя есть Intel ME, который мать его работает при отключенном компьютере, а его код обфусцирован. И для него есть отдельная прошивка. ПЗУ для прошивки IME есть, который хрен пойми что делает, а для остального нет. Нео, вейк ап ёпта
это всё хорошо, но это никак не относится к предполагаемому вами наличию ПЗУ в самих процессорах индел и амд
xotkot, ой госпади, ты только что обесценил всё, что писал до этого. прошивка не пишется в кэш процессора. что за сюр? То есть хочешь сказать, что мои L1,L2,L3 уже засраны всевозможными прошивками?
хорошо. в какой момент он это делает и откуда берётся?
вроде выше по тексту это всё упоминалось, да и гуглиться довольно просто, но да ладно
предполагаю что происходит примерно следующее
после запуска компа, если в биосе есть подходящий микрокод то он и обновляется в процессоре.
Далее идёт загрузка самой операционной системы, для линукса(у винды думаю происходит что-то похожее) микрокод(если он есть) может быть загружен на этапе загрузки ядра либо же после загрузки ОС, их так и называют, ранее обновление микрокода и позднее обновление микрокода.
Если не знаете, как ведет себя определенная секьюрная опция - просто ее не включайте. Для домашнего пользователя она никогда не пригодится. Если опция требует установки пароля, то скорее всего неопытный пользователь может нарваться на то, что не поймет, когда начинается ввод пароля, и в процессе ввода установит любой произвольный набор символов, пытаясь выйти из окна установки пароля. Хорошо, если в устройстве не будет лежать чего-то важного, и можно спокойно сбросить биос или форматировать диск после такой неудачи.
Если хотите экспериментов, то используйте чистое устройство, без важных данных.
Невозможно в рамках одного ответа ответить на все это сразу. Эти все технологии слишком разные
и слишком сложные по use-case.
Я соглашусь что скорее всего для домашнего пользователя они не нужны. Можете спокойно выключать.
По поводу Intel VD-t - это кажется опция виртуализации (улучшение работы Virtual Box)
Скорее всего это все нужно только крупным корпоративным сетям. Или особой категории граждан, именующих себя "правозащитники".
Если intel vt-d - это технология виртуализации данных, если ставите VB или подобное - лучше включить.
Это примерно так же, как нашумевшая в свое время "уязвимость" Spectre (и еще более ранний Rowhammer) - да, это уязвимость. Но она настолько специфичная и для ее эксплуатации нужны такие условия, что если удастся провести атаку, то удастся и сто тыщ других дыр, а "защита" от нее в определенных случаях дает замедление на треть :)
Разные технологии безопасности защищают от разных угроз. Необходимость применения конкретной технологии зависит прежде всего от актуальных для вас угроз. Например, шифрование диска через TPM без пароля защищает от кражи диска или утечки информации при продаже диска - если вы не собираетесь продавать диск (что я делать не рекомендую, диски нужно уничтожать физически), что включать такое шифрование нет смысла.
Про виртуализацию - выключение vt-d в биосе запрещает программам использовать виртуализацию. После этого некоторые программы могут не работать. На защиту это не влияет. Также включенную виртуализацию требует изоляция ядра windows (защищает от некоторых видов вирусов, но может приводить к проблемам с некоторым железом) - её можно включить по желанию.
Пароль на биос - самая бесполезная мера. Он сбрасывается за 1 минуту и по сути ничего не защищает. Только если как защита от детей (хотя мне кажется, что сейчас и ребенок сможет сбросить биос).
Защита от вирусов - это совсем другое направление. Сейчас поймать вирус стало гораздо сложнее, чем 10-15 лет назад (если не отключать встроенный антивирус и не качать пиратский софт с непонятных сайтов). Но если хотите - можете купить антивирус. Только бесплатные не ставьте, они сами хуже вирусов.
