MurdocX 954 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;) Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren. Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann? In Schulungsräumen finde ich das nicht sinnvoll ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren. Kannst ja mal berichten. :) In Schulungsräumen finde ich das nicht sinnvoll ;) Da hast du nicht Unrecht. :p Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 (bearbeitet) So, nachdem ich mal testweise einen Server aktualisiert habe und mir den MSKB Artikel nochmal angeschaut habe, stelle ich fest, dass man ja noch einiges an Nacharbeit hat. https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution Customers have to enable mitigations to help protect against speculative execution side-channel vulnerabilities.Direkt nach der Installation des Updates (und des neuen BIOS) sieht das dann so aus: Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: True Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False Speculation control settings for CVE-2017-5754 [rogue data cache load]Hat jemand eine Idee, was "Windows OS support for branch target injection mitigation is disabled by system policy: True" bedeutet? Welche Policy sollte das denn sein? Oder ist damit was anderes gemeint? So ganz eindeutig steht das leider nirgends. Auch schön: Virtual machines will not see the updated firmware capabilities until they go through a cold boot. This means the running VMs must completely power off before starting again. Rebooting from inside the guest operating system is not sufficient. Danke. Norbert bearbeitet 7. Januar 2018 von NorbertFe Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Entschuldigung, aber was für eine Argumentation wird erwartet? Eine zielführende Argumentation. Dein Beitrag war nur Polemik, keine Argumentation. Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter. Siehst du, das wäre als Beitrag hilfreicher gewesen. ;-) Darf ich dich bitten zukünftig bevor du schreibst zu überlegen ob dein Beitrag dem Fragesteller hilft sein Problem zu lösen. Wenn das der Fall ist schreibe deine Argumente und erläutere dem Fragesteller warum deine Argumente zur Lösung des Problems beitragen können. Anderenfalls ist es IMHO besser nichts zu schreiben. ;-) Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Dr. Melzer, wirklich, bei allem notwendigen Respekt vor der als Person und deiner Leistung hier: Es wäre schön, wenn du diesen Maßstab bei ALLEN anlegen würdest. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Dr. Melzer, wirklich, bei allem notwendigen Respekt vor der als Person und deiner Leistung hier: Es wäre schön, wenn du diesen Maßstab bei ALLEN anlegen würdest. Das mache ich. Jetzt geht es aber um dich und dein verhalten und ich wäre dir dankbar, wenn du es hinterfragst und gegebenenfalls entsprechend anpasst. :-) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 7. Januar 2018 Autor Melden Teilen Geschrieben 7. Januar 2018 (bearbeitet) Wie handhabt ihr das mit bitlocker? Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht. Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert... bearbeitet 7. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Das könnte euch auch interessieren: Verifying Spectre / Meltdown protections remotely https://blogs.technet.microsoft.com/ralphkyttle/2018/01/05/verifying-spectre-meltdown-protections-remotely/ Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: True Lenovo hat das Bios-Update nicht wie gedacht über sein Utility "System Update" veröffentlicht, sondern NUR über die Webseite. Danach waren die Powershell-Abfragen sofort "grün". Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 System Update ist doch eh tot. Updates kommen AFAIK nur noch über die Vantage App. Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Glaub ich nicht. Die Software wird regelmäßig aktualisiert, im Support aktiv beworben und es kommen noch regelmäßig Software u. Treiberupdates darüber. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht. Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert... Ohne Bitlocker (Windows 7) hatte ich das damals bei Kunden so gelöst: https://www.wsus.de/veroeffentlichen_von_hardwareupdates_mit_hilfe_von_wsus_package_publisher Muß ich mal bei Gelegenheit testen, wie man das in einen Wrapper reinbekommt, der vorher noch Bitlocker pausiert. Falls jemand andere Lösungen hat, dann immer her damit. :) Meine obige Frage kann nicht eventuell jemand beantworten? http://www.mcseboard.de/topic/211979-meltdown-spectre-cpu-bugs-notfallpatches/page-3?do=findComment&comment=1346305 Danke Norbert Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Dieser Eintrag verschwindet automatisch, wenn das Firmware-Update erfolgreich war. Ich vermute es wird blockiert bis die CPU oder das BIOS die nötigen Voraussetzungen erfüllen. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 (bearbeitet) Würde ich nicht bestätigen können. Ich hab gestern die aktuelle Version 2.7 des Bios für M630er Server installiert und da oben ist der Auszug von einem Server der aktualisiert wurde. Die Registry-Änderungen konnte ich noch nicht machen, da ich dazu dann erstmal alle VMs ausschalten muss. Mal schauen, wie es danach aussieht. bearbeitet 7. Januar 2018 von NorbertFe Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 7. Januar 2018 Autor Melden Teilen Geschrieben 7. Januar 2018 (bearbeitet) Täusche ich mich oder sind da gerade noch Registry Einträge dazu gekommen bei den Server Patches? :( Das man alle VMs neustarten muss und ggf. die Live Migration zwischen gepatchten und nicht gepatchten Hosts scheitert ist irgendwie nervig. bearbeitet 7. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Interessant. Bei mir war nach dem BIOS-Update alles grün (vorherige Rote) und der zweite Abschnitt hat nur noch 3 Einträge, siehe oben, beinhaltet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.