Windows 10: Spectre- und Meltdown-Patch abschalten wegen Paritätsfehler

An einem meiner Rechner kam es seit dem bei Windows 10 der Spectre- und Meltdown-Patch installiert wurde zu unzähligen Einträgen in dieser Form:

Protokollname: System
Quelle: Microsoft-Windows-WHEA-Logger
Datum: 27.04.2018 10:25:05
Ereignis-ID: 19
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: Lokaler Dienst
Behobener Hardwarefehler.

Gemeldet von Komponente: Prozessorkern
Fehlerquelle: Behobene Computerüberprüfung
Fehlertyp: Interner Paritätsfehler
Prozessor-APIC-ID: 0

Mein Problem waren aber eigentlich nicht die Einträge im Ereignislog, sondern die Tatsache das es seit dem Patch zu zahlreichen Bluescreens und Stabilitätsproblemen in Anwendungen kam.

Seit dem Deaktivieren der Patches ist dieses Problem behoben. Allerdings ist klar, das diese Patche nicht ohne Grund gemacht wurden und durchaus sicherheitsrelevant sind. Ohne wirklich guten Grund sollte man die also auch nicht deaktivieren.

Mit diesen beiden Befehlen kann man unter Windows 10 die Registry so ändern, das die Spectre- und Meltdown-Patche CVE-2017-5715 und CVE-2017-5754 deaktiviert sind:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

 

Mit diesen beiden Befehlen kann man unter Windows 10 die Registry so ändern, das nur der Spectre-Patch CVE-2017-5715 deaktiviert ist. Microsoft empfielt das bei Stabitlitätsproblemen:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

 

Falls man die Patche wieder aktivieren will (also den Urzustand wieder herstellen möchte), so helfen diese beiden Befehle (die 3 im zweiten Befehl ist Absicht und korrekt!):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

An der Stelle die deutliche Warnung: Es gibt einen Grund für die Spectre- und Meltdown-Patche. Diese zu deaktivieren, ohne zu wissen was man tut ist ausdrücklich keine gute Idee.

Schön erklärt ist das ganze auch noch bei Microsoft in diesem Artikel.

Java-Update unter Windows verhindern

Java führt im Hintergrund immer wieder eigenständig Software-Updates von sich selbst aus. Auf einem Client-Betriebssystem ist das aus Sicherheitsgründen ein durchaus erwünschtes Verhalten. Auf Servern hingegen kann es zum Fluch werden, wenn eine installierte Server-Anwendung nach einem Update einfach nicht mehr funktioniert, oder nicht mehr das tut, was sie soll.

Ein deaktivieren der automatischen Updates funktioniert leider nicht immer zuverlässig. Aber es gibt einen Weg: man kann den Java-Updater unter Windows einfach deinstallieren. Java bleibt damit weiterhin auf dem Rechner, nur die Update-Komponente wird deinstalliert.

Hier hilft dieser Befehl weiter, den man als Administrator eingibt:

msiexec.exe /x {4A03706F-666A-4037-7777-5F2748764D10}

Den Erfolg kann man prüfen, indem man in der Systemsteuerung das Java Control Panel öffnet. Die hier gezeigte Registerkarte „Update“ sollte nun verschwunden sein.

An der Stelle der deutliche Hinweis: Sicherheitsupdates sind sinnvoll! Man sollte die Updates von Java nur dann verhindern, wenn man einen guten Grund dafür hat und weiß was man tut. Einige Serveranwendungen erfordern aber eine feste Java-Version und reagieren auf automatische Updates sehr gereizt. Das ist der Einsatzzweck obiger Lösung.