本月初谷歌旗下安全研究人员披露英特尔处理器中的新瞬态执行漏洞 (以前被称作推测执行漏洞)，目前英特尔已经公布相关的微代码更新，和之前一样，这类漏洞无法彻底修复最多只能缓解。

同样和之前一样，新的 CVE-2022-40982 或 Downfall (覆没或垮台，英特尔给这个漏洞起的正式名称叫做 GDS 即收集数据采样漏洞) 也会对虚拟化、服务器和数据中心产生严重影响，因为借助漏洞攻击者可以跨安全边界窃取数据，例如用户内核数据、进程、虚拟化和可信执行环境等。

考虑到这类漏洞的潜在安全影响，微软已经发布 Windows 10/11 支持说明，覆盖 Windows 10/11 以及同分支版本的 Windows Server、Windows LTS 等版本。

对家庭用户来说，这个问题最重要的影响是启用缓解方案后可能会对 CPU 性能产生负面影响，基本是幽灵熔断系列漏洞都存在这种情况，所以微软甚至表示过如果觉得影响太大可以禁用缓解方案。

然而对于企业来说为了 CPU 性能就放弃缓解方案是不适合的，尤其是对于大型公司，这可能还会出现合规性问题，所以企业 IT 管理员还是老实部署缓解方案吧。

下面是一些说明：

1. 企业 IT 管理员应安装 Intel Platform Update 23.3 微代码更新来缓解该漏洞，该更新通常由设备原始制造商 (OEM) 提供，微软建议企业联系制造商获取相关信息，英特尔在其网站上也公布了各种 OEM 的驱动程序和软件支持列表。但请注意：暂时无法保证所有 OEM 都已经推出了更新。

2. 默认情况下，在安装 Windows 更新后系统是自动启用缓解方案的，正常情况来说是不建议禁用缓解方案的，但微软也提到如果该漏洞不是威胁模型的一部分，那可以禁用。也就是说如果企业确实不受此类威胁的影响，那可以禁用。虽然微软没再次说明，但我们都知道禁用后有助于发挥 CPU 的最佳性能。

3. 仅在安装以下更新后才可以禁用：

Windows 10/11：安装 2023 年 8 月 22 日及之后的更新，当前为可选更新，9 月 12 日将发布 B 类稳定版更新。

Windows Server：安装 2023 年 9 月 12 日及之后的更新，本文发布时这类更新尚未推出。

4. 可以通过管理员模式的 CMD 禁用缓解方案：

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f

你也可以自己按照上面的注册表路径去添加或修改值以达到禁用目的。

5. 一旦设置成功并重启系统后缓解方案便会失效，如果想要重新恢复缓解方案，只需要删除键值 DWORD 键值即可。

*** 蓝点网附手动注册表设置方法 ***

转到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

如果上面的路径有不存在的，你可以在上一级下手动新建项

右键点击最终路径右侧空白处新建 DWORD 32 位值，将其重命名为 FeatureSettingsOverride

双击这个值将其键值修改为 2000000 (即 33554432 的 16 进制值)，如果要重新启用缓解方案那直接删了这个 DWORD 重启系统就行。