zahni 554 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Interessanter Thread bei Reddit https://www.reddit.com/r/vmware/comments/7nvc7s/re_intel_vulnerability_anyone_know_if_vmware_is/ Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 6. Januar 2018 Autor Melden Teilen Geschrieben 6. Januar 2018 Es gibt wohl auch Fixes im CPU Microcode, Intel will da für viele CPUs entsprechende Updates veröffentlichen. Diese müssen dann von den Herstellern über BIOS/Firmware Updates verteilt werden. Bin mir noch nicht ganz schlüssig ob man letztlich beides braucht, also die Patches (mit Registry Eintrag) und die BIOS Updates oder ob eines davon schon reicht. Wir wollen relativ zeitnah sowohl Server (alle! auch VMs) und Clients über SCCM patchen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Der MicroCode kann auch per Software-Update verteilt werden. Wurde auch schon in der Vergangenheit gemacht. 80% der "normalen" PC-User werden eher selten das BIOS updaten. Es sei denn, der Hersteller hier irgendeinen Automatismus implementiert. Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert? Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert? Das Bios zu patchen? Ich mache das regelmäßig mit Powershell u. den integrierten Tools von Fujitsu bei ca. 120 Computern. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Wie handhabt ihr das mit bitlocker? Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Lizenztechnisch könnten wir, nutzen ihn aber nicht. Interessante Frage, ich werde das in der Kombination mal prüfen. Habt Ihr Probleme wenn Bitlocker aktiviert wurde? Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 (bearbeitet) Na probier’s aus ein bios Update zu verteilen mit aktiviertem bitlocker. Muss man halt dran denken bitlocker vorher abzuhalten und dafür hab ich noch keine verlässliche Lösung gefunden. Bye Norbert Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann? bearbeitet 6. Januar 2018 von NorbertFe Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 (bearbeitet) Ohne es selbst getestet zu haben: manage-bde -off Diesen Befehl *VORHER* laufen zu lassen geht nicht? Evtl. in einer Batch oder PS, anschließend dann das BIOS aktualisieren. bearbeitet 6. Januar 2018 von Sunny61 Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;) Zitieren Link zu diesem Kommentar
coomooro 1 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Hallo zusammen, wir messen derzeit ca. 10% Performance "Verlust" in unserer Cloud. Grundlegend sollte man Meltdown und Spectre mal in zwei saubere "Probleme" aufspalten. Bitte auch mal klar schreiben das es bisher keine "Patches" gibt - es gibt lediglich "Workarounds" die die aktive Ausnutzung unwahrscheinlicher machen.Betroffen sind aus meiner Sicht alle Systeme auf denen jemand eigenen Code ausführen kann -> Klopt doch mal bei euren Hostern und Cloud Anbietern an, was die so gemacht haben (Shared Webhosting / VMs etc.)Meltdown: - betrifft alle Intel-CPUs und einzelne ARMs (Link von Intel)- AMD ist nach meiner Info bisher nicht betroffen- betrifft Standardfeatures, die für jedes Multitasking-System essentiell sind- extrem leicht auszunutzen (hohe Erfolgswahrscheinlichkeit, hoher Durchsatz des Datenlecks)- Betriebssysteme leicht abzusichern (durch getrennte Speichertabellen für Kernel und Prozesse)- extreme Performanceprobleme durch die Workarounds (Context Switch bei jedem Syscall, betrifft I/O, Netzwerk, Platten usw.)Spectre: - betrifft qausi alle CPU Hersteller- nur in bestimmten Grenzfällen anwendbar - daher schwer ausnutzbar- Absicherung kompliziert (jede einzelne Anwendung muss abgesichert werden)- Performanceprobleme durch Workarounds sind sicherlich überschaubar Weil Hersteller das Problem so beheben wollen / müssen dass die Performance nicht völlig kaputt geht, wird es wiederum kompliziert. Bei den KPTI-Patches zum Beispiel macht jetzt das Betriebssystem manuell das Caching einzelner Speicherseiten. Hier sind also ganz sicher noch Bugs zu erwarten. Gundlegend sind ja auch von MS schon PS Tests raus. Denkt dran eure AV Lösung auf den aktuellen Stand zu bringen - die setzten dannKey="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"Type="REG_DWORD”Data="0x00000000” Und dann kommen auch die Updates von MS - sofern verfügbar (siehe Server 2016) Tipp am Rande: Falls jemand Chrome nutzt (Terminalserver) -> Site Isolation auf den Browsern einschalten! Grüße! 1 Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Leider brauch' ich eine Argumentation warum ich auch die Notfallpatches auch auf den VMs installiere. Hast du da eine qualitative Begründung? WTF? Weil die sc*** IT-Welt in Flammen steht? Reicht das? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 WTF? Weil die sc*** IT-Welt in Flammen steht? Reicht das? Inwiefern ist dein Beitrag hilfreich? Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Entschuldigung, aber was für eine Argumentation wird erwartet? Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;) Alle nicht, nur die, dessen BIOS ich aktualisieren möchte. Danke für den Hinweis auf -Pause. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 6. Januar 2018 Melden Teilen Geschrieben 6. Januar 2018 Naja im allgemeinen sollten das ja im Laufe ihres Lebenszyklus alle sein. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.