Как отключить hyper threading windows 10

Обновлено: 06.07.2024

Корпорация Майкрософт знает о новых вариантах класса атак, известных как спекулятивные уязвимости бокового каналавыполнения. Варианты называются L1 Терминал неисправности (L1TF) и микроархитектуры выборки данных (MDS). Злоумышленник, который может успешно использовать L1TF или MDS, может считывать привилегированные данные через границы доверия.

ОБНОВЛЕНИЕ 14 мая 2019 г.: 14 мая 2019 года корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения, известных как Microarchitectural Data Sampling. Им были назначены следующие CVEs:

ОБНОВЛЕНО 12 НОЯБРЯ 2019 Г.: 12 ноября 2019 года корпорация Intel опубликовала техническую рекомендацию по расширению транзакционной синхронизации Intel® (Intel® TSX) "Уязвимость asynchronous Abort", которая назначена CVE-2019-11135. Корпорация Майкрософт выпустила обновления, чтобы помочь смягчить эту уязвимость. Обратите внимание на следующее:

По умолчанию для некоторых выпусков Windows Server OS средства защиты включены для некоторых выпусков Windows Server OS. Для получения дополнительной информации смотрите статью базы знаний Корпорации Майкрософт 4072698.

По умолчанию защита операционных систем включена для всех выпусков ОС Windows Client. Дополнительную информацию можно узнать в статье 4073119 базы знаний корпорации Майкрософт.

Обзор уязвимости

В средах, в которых используются ресурсы, такие как узлы виртуализации, злоумышленник, который может запускать произвольный код на одной виртуальной машине, может получить доступ к информации из другой виртуальной машины или от самого виртуализации.

Рабочие нагрузки серверов, такие как службы удаленного рабочего стола Windows Server (RDS) и более выделенные роли, такие как контроллеры доменов Active Directory, также находятся под угрозой. Злоумышленники, которые могут запускать произвольный код (независимо от его уровня привилегий), могут получить доступ к операционной системе или секретам рабочей нагрузки, таким как ключи шифрования, пароли и другие конфиденциальные данные.

Операционные системы клиентов Windows также находятся под угрозой, особенно если они работают ненадежный код, использовать функции безопасности на основе виртуализации, такие как Windows Defender Credential Guard, или использовать Hyper-V для запуска виртуальных машин.

Примечание: Эти уязвимости влияют только на процессоры Intel Core и процессоры Intel Xeon.

Обзор смягчения последствий

Для решения этих проблем корпорация Майкрософт работает совместно с корпорацией Intel над разработкой программных мер по смягчению последствий и рекомендациями. Обновления программного обеспечения, чтобы помочь уменьшить уязвимости были освобождены. Для получения всех доступных средств защиты могут потребоваться обновления, которые могут также включать микрокод с устройств OEMs.

В этой статье описывается, как уменьшить следующие уязвимости:

CVE-2019-11135 - "Уязвимость раскрытия информации о ядрах Windows"

Чтобы узнать больше об уязвимостях, смотрите следующие рекомендации по безопасности:

Определение действий, необходимых для смягчения угрозы

Следующие разделы помогут вам определить системы, на которые влияют уязвимости L1TF и/или MDS, а также помочь вам понять и уменьшить риски.

Потенциальное влияние на производительность

При тестировании корпорация Майкрософт наблюдала некоторое влияние этих мер по снижению производительности в зависимости от конфигурации системы и того, какие меры по смягчению последствий необходимы.

Некоторым клиентам, возможно, придется отключить гипер-поток (также известный как одновременная многопоточность или SMT), чтобы полностью устранить риск от L1TF и MDS. Имейте в виду, что отключение гипер-потока может привести к снижению производительности. Эта ситуация распространяется на клиентов, которые используют следующее:

Версии Hyper-V, которые раньше, чем Windows Server 2016 или Windows 10 версия 1607 (юбилейное обновление)

Программное обеспечение, позволяющее выполнять недоверчивое код (например, сервер автоматизации сборки или общая среда хостинга IIS)

Воздействие может варьироваться в зависимости от оборудования и рабочих нагрузок, которые работают в системе. Наиболее распространенной конфигурацией системы является гипер-поток включен. Таким образом, влияние на производительность приспозна для пользователя или администратора, который принимает меры для отработки гипер-потока в системе.

Примечание: Чтобы определить, использует ли система защищенные VBS функции безопасности, выполните следующие действия:

В меню «Пуск» введите MSINFO32. Примечание: Открывается окно системной информации.

В поле «Найдите какую коробку» введите безопасность.

В правом стекле найдите два строки, выбранные в кадре экрана, и проверьте столбец Значение, чтобы увидеть, включена ли безопасность на основе виртуализации и какие виртуализированные службы безопасности работают.

Окна сведений о системе

Планировщик ядра Hyper-V смягчает векторы атак L1TF и MDS против виртуальных машин Hyper-V, при этом позволяя гиперпотоку оставаться включенными. Основной планировщик доступен начиная с Windows Server 2016 и Версии 1607 windows 1607. Это обеспечивает минимальное влияние на производительность виртуальных машин.

Планировщик ядра не смягчает векторы атак L1TF или MDS на функции безопасности, защищенные VBS. Для получения дополнительной информации, обратитесь к смягчению C и следующие виртуализации блог статьи:

Выявление затронутых систем и требуемых мер по смягчению последствий

Диаграмма потока на рисунке 1 может помочь определить затронутые системы и определить правильный набор действий.

Важно: Если вы используете виртуальные машины, вы должны рассмотреть и применить диаграмму потока для Hyper-V хостов и каждый пострадавший vM гость индивидуально, потому что смягчение может применяться к обоим. В частности, для хоста Hyper-V шаги диаграммы потока обеспечивают межvМ-защиту и внутрихоствую защиту. Однако применения этих мер к хостам Hyper-V недостаточно для обеспечения защиты внутри-VM. Чтобы обеспечить внутри-VM защиту, необходимо применить диаграмму потока к каждому Windows VM. В большинстве случаев это означает, что ключи реестра установлены в VM.

При навигации по диаграмме потока вы столкнетесь с синими кругами, которые отображают действие, или рядом действий, которые необходимы для смягчения векторов атак L1TF, которые характерны для конфигураций системы. Каждое действие, с которым вы сталкиваетесь, должно быть применено. Когда вы сталкиваетесь с зеленой линией, она указывает прямой путь к концу, и нет никаких дополнительных шагов по смягчению последствий.

Краткое объяснение каждой буквенной смягчения включено в легенду справа. Подробные разъяснения для каждого смягчения последствий, которые включают пошаговую установку и инструкции по конфигурации, приведены в разделе "Смягчение".

Блок-схема

Смягчения последствий

Важно: В следующем разделе описаны меры по смягчению последствий, которые должны применяться только при конкретных условиях, которые определяются диаграммой потока на рисунке 1 в предыдущем разделе. Не применяйте эти меры, если диаграмма потока не указывает на необходимость конкретного смягчения последствий.

В дополнение к обновлениям программного обеспечения и микрокода, для обеспечения определенных средств защиты также могут потребоваться изменения ручной конфигурации. Мы также рекомендуем клиентам Enterprise зарегистрироваться для отправки уведомлений о безопасности, чтобы получать уведомления об изменениях содержимого. (См. Уведомления о технической безопасности корпорации Майкрософт.)

Смягчение A

Получить и применить последние обновления Windows

Применяйте все доступные обновления операционной системы Windows, включая ежемесячные обновления безопасности Windows. Таблица затронутых продуктов можно увидеть в консультации по безопасности Майкрософт ADV 180018 для L1TF, Консультации по безопасности (ru) ADV 190013 для MDS и CVE-2019-11135 для уязвимости раскрытия информации о ядрах Windows.

Смягчение B

Получить и применить последние обновления микрокода или прошивки

В дополнение к установке последних обновлений безопасности Windows, обновление микрокода процессора также требуется. Установка этих обновлений обеспечивается устройством OEM.

Примечание: Если вы используете вложенную виртуализацию (включая запуск контейнеров Hyper-V в гостевом VM), вы должны предоставить новые просветления микрокода гостевому VM. Это может потребовать обновления конфигурации VM до версии 8. Версия 8 включает в себя микрокод просветления по умолчанию. Для получения дополнительной информации и необходимых шагов смотрите следующую статью Microsoft Docs:

Смягчение C

Должен ли я отключить гипер-потоки (HT)?

Уязвимости L1TF и MDS вводят риск того, что конфиденциальность виртуальных машин Hyper-V и секретов, которые поддерживаются Microsoft Virtualization Based Security (VBS), могут быть скомпрометированы с помощью боковой атаки. При включении Hyper-Threading (HT) границы безопасности, обеспечиваемые Hyper-V и VBS, ослабевают.

Планировщик ядра Hyper-V (доступен начиная с Windows Server 2016 и Windows 10 версия 1607) смягчает l1TF и MDS атаки векторы против Hyper-V виртуальных машин, в то же время позволяя Hyper-Threading оставаться включенным. Это обеспечивает минимальное влияние на производительность.

Планировщик ядра Hyper-V не смягчает векторы атак L1TF или MDS на функции безопасности, защищенные VBS. Уязвимости L1TF и MDS вводят риск того, что конфиденциальность секретов VBS может быть скомпрометирована с помощью боковой атаки, когда включена Hyper-Threading (HT), что ослабит границу безопасности, предоставляемую VBS. Даже при таком повышенном риске, VBS по-прежнему обеспечивает ценные преимущества безопасности и смягчает ряд атак с включенным HT. Поэтому мы рекомендуем, чтобы VBS продолжали использоваться в системах с поддержкой HT. Клиенты, которые хотят устранить потенциальный риск уязвимостей L1TF и MDS на конфиденциальность VBS следует рассмотреть возможность отключения HT для уменьшения этого дополнительного риска.

Клиенты, которые хотят устранить риск, что уязвимости L1TF и MDS представляют, будь то конфиденциальность Hyper-V версии, которые раньше, чем Windows Server 2016 или возможности безопасности VBS, должны взвесить решение и рассмотреть вопрос об отключении HT снизить риск. Как правило, это решение может основываться на следующих руководящих принципах:

Для Windows 10 версия 1607, Windows Server 2016 и более поздние системы, которые не работают Hyper-V и не используют VBS защищенных функций безопасности, клиенты не должны отключить HT.

Для Windows 10 версия 1607, Windows Server 2016 и более поздние системы, которые работают Hyper-V с Core Scheduler, но не используют VBS защищенных функций безопасности, клиенты не должны отключить HT.

Для Версии 1511 windows 1511, Windows Server 2012 R2 и более ранних систем, работающих под управлением Hyper-V, клиенты должны рассмотреть возможность отключения HT для снижения риска.

Шаги, необходимые для оттоговать HT, отличаются от OEM до OEM. Тем не менее, они, как правило, являются частью BIOS или прошивки настройки и настройки инструментов.

Корпорация Майкрософт также ввела возможность отключить технологию Hyper-Threading с помощью настройки программного обеспечения, если это трудно или невозможно отключить HT в вашем BIOS или прошивки установки и конфигурации инструментов. Настройка программного обеспечения для отключения HT является вторичной по отношению к вашей настройки BIOS или прошивки и отключена по умолчанию (имеется в виду HT будет следовать вашей BIOS или настройки прошивки). Чтобы узнать больше об этой настройке и как отключить HT, используя его, см.

4072698 Руководство Windows Server для защиты от спекулятивных уязвимостей бокового канала выполнения

По возможности рекомендуется отключить HT в ВАШЕМ BIOS или прошивке для самой сильной гарантии того, что HT отключена.

Примечание: Отключение гиперпотоков уменьшит ядра процессора. Это может повлиять на функции, которые требуют минимальных ядер процессора для работы. Например, Windows Defender Application Guard (WDAG).

Смягчение D

Включить планировщик ядра Hyper-V и установить количество нитей VM на ядро до 2

Примечание: Эти меры по смягчению последствий применяются только к версиям Windows Server 2016 и Windows 10 до версии 1809. Основной планировщик включен по умолчанию на Windows Server 2019 и Windows 10 версии 1809.

Использование основного планировщика представляет собой двухэтапный процесс, который требует, чтобы сначала включить планировщик на хосте Hyper-V, а затем настроить каждый VM, чтобы воспользоваться им, установив их количество аппаратных потоков на ядро до двух (2).

Планировщик ядра Hyper-V, который был представлен в Windows Server 2016 и версии Windows 10 1607, является новой альтернативой классической логике планировщика. Основной планировщик предлагает снижение изменчивости производительности для рабочих нагрузок внутри VMs, которые работают на хосте Hyper-V с поддержкой HT.

Подробное объяснение основного планировщика Hyper-V и шагов, позволяющих включить его, см.

Чтобы включить планировщик ядра Hyper-V на Windows Server 2016 или Windows 10, введите следующую команду:

bcdedit /set HypervisorSchedulerType core

Затем решите, следует ли настроить данный отсчет аппаратных потоков VM на ядро до двух (2). Если вы подвергаете действию факт что фактически обработчики гипер-threaded к гостевой виртуальной машине, то вы включаете планировщик в системе vM, и также нагрузки VM, использовать HT в их собственном планировании работы. Для этого введите следующую команду PowerShell,в которой есть название виртуальной машины:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

Смягчение E

Включить смягчение для рекомендаций CVE-2017-5715, CVE-2017-5754 и CVE-2019-11135

Примечание: Эти меры по умолчанию включены в операционные системы Windows Server 2019 и Windows.

Для смягчения последствий для рекомендаций CVE-2017-5715, CVE-2017-5754 и CVE-2019-11135 используйте рекомендации в следующих статьях:

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Заявление об отказе от ответственности за контактные данные сторонней организации

Корпорация Майкрософт предоставляет контактные данные сторонней организации для оказания помощи пользователям по вопросам, упомянутым в данной статье. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних организаций.

Как отключить Hyper-V в Windows 10

Компоненты Hyper-V в Windows 10 позволяют создавать виртуальные машины встроенными средствами системы (подробнее: Виртуальные машины Hyper-V в Windows 10), а также служит для работы таких компонентов как Песочница Windows 10. Однако в некоторых случаях включенные компоненты Hyper-V могут мешать: например, для запуска виртуальных машин VirtualBox или эмуляторов Android.

В этой инструкции подробно о том, как отключить Hyper-V в Windows 10 двумя способами: первый предполагает отключение соответствующих компонентов системы, второй — отключение гипервизора без удаления самих компонентов Hyper-V.

Отключение Hyper-V в компонентах Windows 10

Первый способ отключить Hyper-V предполагает использование соответствующего раздела «Программы и компоненты» в панели управления, шаги будут следующими:

  1. Откройте Панель управления, для этого можно использовать поиск в панели задач, либо нажать Win+R на клавиатуре, ввести control и нажать Enter.
  2. В панели управления перейдите в раздел «Программы и компоненты» или «Удаление программы».
  3. Слева нажмите по пункту «Включение или отключение компонентов Windows».
  4. Снимите отметку с пункта «Hyper-V» и примените настройки.
  5. При появлении запроса на перезагрузку, перезагрузите Windows 10 для вступления изменений в силу.

Обычно указанных действий достаточно, чтобы устранить проблемы, которые иногда могут быть вызваны наличием Hyper-V в системе.

Если указанные шаги не помогли, попробуйте там же в компонентах отключить пункт «Песочница Windows» и также перезагрузить компьютер при необходимости.

Как отключить Hyper-V без удаления компонентов

Предыдущий метод отключения Hyper-V предполагает удаление соответствующих компонентов из системы, однако можно обойтись и без этого:

  1. Запустите командную строку от имени Администратора, для этого можно использовать поиск в панели задач, а потом выбрать пункт «Запуск от имени администратора». Другие способы запуска командной строки от имени администратора.
  2. Введите командуи нажмите Enter.
  3. Перезагрузите компьютер.

После перезагрузки Hyper-V (гипервизор) будет выключен и не будет влиять на запуск каких-либо других виртуальных машин, при этом сам компонент останется включенным.

Чтобы снова включить Hyper-V, используйте ту же команду, но измените off на auto и перезагрузите компьютер. Также есть возможность создания меню загрузки для выбора режима, в котором будет запускаться система — с включенным или отключенным Hyper-V, об этом в инструкции Как запускать виртуальные машины Hyper-V и VirtualBox на одном компьютере.

Отключение Hyper-V в меню загрузки Windows 10

Видео

Дополнительные способы удалить Hyper-V

Помимо описанных способов, вы можете удалить компоненты Hyper-V в PowerShell с помощью команды

Или, при использовании командной строки, с помощью команды:

Надеюсь, материал помог разобраться. Если же остаются вопросы — задавайте в комментариях. Также помните, что для работы виртуальных машин и эмуляторов следует включить аппаратную виртуализацию.

Как отключить Hyper-V в Windows 10

Отключение Hyper-V в Windows 10

Есть сразу несколько вариантов отключения технологии, и пользователь в любом случае может без труда включить ее обратно тогда, когда это нужно. И хотя по умолчанию Hyper-V обычно отключен, он мог быть активирован пользователем ранее, в том числе и случайно, либо при установке модифицированных сборок ОС, после настройки Виндовс другим человеком. Далее мы приведем 2 удобных способа отключения Hyper-V.

Способ 1: Компоненты Windows

Так как рассматриваемый элемент является частью системных компонентов, отключить его можно в соответствующем окне.

Установка и удаление программ в Панели управления Windows 10

Включение и отключение компонентов в Панели управления Windows 10

В последних версиях Виндовс 10 не требует перезагрузки, однако вы можете сделать это при необходимости.

Способ 2: PowerShell/Командная строка

PowerShell

    Откройте приложение с правами администратора.

Запуск Windows PowerShell с правами администратора в Windows 10

Отключение Hyper-V в PowerShell в Windows 10

Процесс отключения Hyper-V в PowerShell в Windows 10

CMD

    Запускаем ее с правами администратора.

Запуск Командной строки с правами администратора в Windows 10

Отключение Hyper-V в CMD в Windows 10

Hyper-V не отключается

Как правило, после этого проблема отключения исчезает, если же нет, то причины следует искать уже в стабильности работы ОС, но поскольку спектр ошибок может быть огромным и это не укладывается в рамки и тему статьи.

Мы рассмотрели способы отключения гипервизора Hyper-V, а также основную причину, по которой его не удается деактивировать. Если у вас все равно возникли проблемы, напишите об этом в комментариях.

Закрыть

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Закрыть

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

В операционной системе Windows 10 имеется встроенный компонент виртуализации — гипервизор Hyper-V, с помощью которого на компьютере можно запускать виртуальные машины. Внутри текущей операционной системы на виртуальной машине установлены другие ОС: Windows, Linux или FreeBSD для тестирования или проведения экспериментов с программным обеспечением.

Помимо встроенного средства Windows на компьютере могут использоваться другие виртуальные машины от сторонних производителей, и между ними могут происходить конфликты. Поэтому некоторых пользователей интересует вопрос о том, как отключить Hyper-V на ПК.

Среда виртуализации Hyper-V используется на компьютерах в операционных системах Windows 10, Windows 8.1, Windows 8, а также в серверных операционных системах Microsoft. Технология виртуализации применяется не на всех компьютерах, а только на тех, которые отвечают определенным системным требованиям по аппаратному и программному обеспечению.

Сначала вам нужно разобраться используется на данном ПК технология Hyper-V, можно ли отключить гипервизор. Вполне может так случится, что на вашем компьютере отключена поддержка виртуализации Hyper-V, и вам не нужно проводить работы по отключению этого системного компонента.

Виртуализация Hyper-V предъявляет следующие требования к аппаратному обеспечению компьютера:

  • На компьютере используется 64-битный процессор.
  • Заявлена поддержка процессором аппаратной виртуализации.
  • На ПК установлено не менее 4 ГБ оперативной памяти (ОЗУ).
  • На устройстве включена технология виртуализации в BIOS или UEFI.

Гипервизор работает только на версиях ОС Windows 10:

  • На 64-битных операционных системах Windows 10 Корпоративная, Windows 10 Профессиональная и Windows 10 для образовательных учреждений.

Hyper-V используется для запуска Песочницы Windows — изолированной безопасной среды, запускаемой в работающей операционной системе Windows 10.

Пользователи домашних версий Windows лишены возможности использования средства виртуализации на своих компьютерах. В Майкрософт считают, что обычным пользователям, которые составляют большинство среди юзеров Windows 10 Home, подобная возможность не нужна.

Чтобы предотвратить возникновение конфликтов и проблем, например, с виртуальными машинами VMware Workstations или VirtualBox, нам необходимо отключить Hyper-V в Windows.

В этом руководстве мы рассмотрим, как отключить виртуализацию Hyper-V Windows 10 разными методами. Эти варианты предполагают решение проблемы двумя способами:

  • Отключение и удаление компонентов Hyper-V с ПК.
  • Отключение средства виртуализации без удаления компонентов.

В инструкциях мы покажем, как полностью отключить Hyper-V на ноутбуке или стационарном ПК, а также как отключить запуск гипервизора, не затрагивая всю платформу виртуализации.

Как отключить Hyper-V в Windows 10 — 1 способ

Сначала рассмотрим, как отключить Hyper-V в Виндовс, используя метод удаления компонента из операционной системы. Управление включением или отключением системного инструмента виртуализации находится в компонентах Windows.

Пройдите последовательные шаги:

  1. Нажмите на клавиши «Win» + «R».
  2. В диалоговое окно «Выполнить» введите команду: «optionalfeatures» (без кавычек).
  3. Нажмите на кнопку «ОК».

команда выполнить

  1. В окне «Включение или отключение компонентов Windows» найдите гипервизор.
  2. Снимите флажок напротив пункта «Hyper-V» для деактивации этого компонента.
  3. Нажмите на кнопку «ОК».

снять флажок

  1. После завершения процесса удаления компонента платформы виртуализации из системы, в окне «Windows применила требуемые действия» нажмите на кнопку «Перезагрузить сейчас».

компонент установлен

Как отключить виртуализацию Hyper-V в Windows PowerShell — 2 способ

При помощи системного инструмента Windows PowerShell мы можем полностью отключить компонент Hyper-V на компьютере.

Выполните следующие действия:

    от имени администратора.
  1. В окне оболочки введите команду, а затем нажмите на клавишу «Enter»:

powershell

  1. После завершения процесса удаления нажмите на клавишу «Y», чтобы дать согласие на перезагрузку компьютера.

Чтобы отключить только Hypervisor (гипервизор), без отключения всей платформы, выполните команду:

Как отключить компонент Microsoft Hyper-V в командной строке — 3 способ

Эту операцию можно выполнить с помощью другого встроенного средства операционной системы — командной строки Windows. Мы используем утилиту DISM — системный инструмент для обслуживания и подготовки образов.

  1. Запустите командную строку от имени администратора.
  2. В окне интерпретатора командной строки введите команду:

командная строка

  1. Нажмите на клавишу «Enter».
  2. Перезагрузите ПК после выполнения данной команды.

Как отключить компонент Hyper-V — 4 способ

Данный вариант предполагает использование следующего метода: отключение запуска гипервизора на компьютере, без удаления из системы всей платформы Hyper-V. После применения данного способа, гипервизор будет выключен и не будет влиять на запуск других виртуальных машин.

  1. На своем ПК запустите командную строку от имени администратора.
  2. Введите в окно консоли команду, а после этого нажмите на «Enter».

отключение hyper-v

В некоторых случаях может потребоваться отключение аппаратной виртуализации в UEFI или BIOS. Для этого необходимо войти в БИОС, а затем отключить виртуализацию оборудования Intel VT-x или AMD-V.

Выводы статьи

В некоторых ситуациях, пользователю может потребоваться отключить виртуальную платформу Hyper-V — гипервизор для запуска на компьютере виртуальных машин. Нередко бывает, что на одном ПК кроме системного средства установлены виртуальные машины сторонних разработчиков.

В подобных ситуациях, между системным инструментом и сторонним программным обеспечением могут возникать конфликты. Чтобы продолжить использовать сторонний софт для виртуализации, пользователю нужно отключить Hyper-V на своем компьютере.

Читайте также: