自从我们推送了先前的文章，提到微软发布了修复Meltdown（熔断）和Specture（幽灵）CPU漏洞的带外补丁，我们不断受到请求，希望我们能介绍如何使用这些补丁。

对于安全事件，一篇资讯类型的文章并不足以提供充分的建议。因此我们通过本文，将逐步展示如何获取更新，和如何浏览微软复杂的安全公告。

为了编写本文，我们参考了四个微软的帮助文档，或许你也会对它们有兴趣：

1. Windows桌面用户指南

2. Windows服务器用户指南

3. 安全建议ADV180002（包含更新软件包的KB编号）

4. 更新第三方防病毒软件用户的兼容性警告

这几篇文档中最值得关注，也是被反复强调的一句话是：
  

为了防止不兼容的杀软导致系统崩溃，微软在1月3日提供的补丁，仅支持部分兼容本次安全更新的杀软厂商。

这意味着什么

这意味着，如果你打开Windows Update并点击“检查更新”的按钮，如果有安装提示出现，那么你可以安全的安装它；如果什么的没有出现，说明Widnows检查到你的系统上存在不兼容的防病毒（AV）程序。

Windows的更新软件包（KB编号）可以在这里获取外的更新。

杀毒软件导致的混乱

微软表示，在测试补丁的过程中，它检测到一些反病毒程序导致BSOD崩溃，从而在安装Meltdown和Spectre补丁后计算机无法启动。微软已经指示反病毒厂商修改它们的产品，并在客户的计算机上创建一个注册表项，已确保Windows不会在安装补丁后崩溃。

无论用户何时想安装Meltdown和Spectre的补丁，Windwos Update都会在用户的电脑上检查该注册表项。如果表项存在，Windows Update就认为防病毒软件已经收到兼容Meltdown和Spectre补丁的更新，并着手安装补丁。

但事情没有那么简单。一些AV公司表示，它们不打算创建该注册表项，还有一些AV厂商，表示不能在“技术上”创建该键，而另一些则会在接下来几天发布更新。这份Google Doc中包含一个AV厂商的回复列表。

简单来说，大多数AV产品的用户不得不等待，因为大多数AV公司已经承诺在近期更新它们的产品并自动添加注册表项。如果你是所用AV产品不打算添加该注册表项的不幸躺枪的无辜群众。这个.reg文件是Bleeping Computer为你准备，用以自动创建以下注册表项的：

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

这段文字以红色显示，以便突出。不要轻易运行.reg文件，除非你已经和你的AV供应商确认它们的产品与Meltdown和Spectre补丁兼容。

一旦你运行了这个文件或手动添加了注册表项，你将会收到Meltdown和Spectre漏洞的补丁。

如何检查补丁的状态

微软还发布了一套例程，可以用于检查更新是否被正确安装，或者是否需要额外的更新。

在Powershell启动之前，确保你使用管理员权限启动程序，保证你有足够的权限安装所需的模块。

下面的Powershell指令将安装一个Powershell模块，用于测试Meltdown和Spectre漏洞

Install-Module SpeculationControl

如果你运行上述命令后，得到一个执行错误，则可能需要调整Powershell的执行策略。运行以下命令：

Set-ExecutionPolicy Bypass

现在你可以运行第二个实际检查系统的Powershelli年命令：

Get-SpeculationControlSettings

Google表示，大部分的CPU都容易受到Metldown和Spectre漏洞的攻击。如果上述命令的输出结果中有很多红色的文字，说明你的系统受到威胁。

下一步是打开Windows Update并按下“检查更新”按钮，直到你收到Meltdown/Spectre补丁。根据上文所述，对于使用了“有问题”的AV程序的用户，可能需要等待几天时间。

更新之后，您需要再次运行Get-SpeculationControlSettings。有两种可能的情况。常见的情况是以下结果：

上图意味着你的系统已经修复了Meltdown漏洞，但未能完全修复Spectre程序。正如Google所说，这是意料之中的，Spectre很难利用，但也很难修补。

红色文本意味着你需要额外的芯片组固件更新。微软和谷歌表示，OEM厂商将需要为用户提供这些额外的更新，来完成Windows系统级别Spectre漏洞的完整修复。由于计算机的使用年限，某些OEM厂商可能无法提供这些固件更新，这意味着你将无法完整修复Spectre漏洞。

如果一些正常，所有的检查结果将显示为绿色文本，如下所示：

完成之后，请注意将Powershell的执行策略修改为限制模式，这可以缓解Powershell执行恶意命令。

Set-ExecutionPolicy Restricted