NorbertFe 2.034 Geschrieben 7. Januar 2018 Melden Teilen Geschrieben 7. Januar 2018 Das ist nicht nur „nervig“, sondern der Grund, warum das auch wieder alles länger dauert. ;) ein reboot reicht ja nicht. Sonst wärs im nächsten patchzyklus ja automatisch erledigt. Und ja die Ergänzungen kamen erst später dazu. Ich würde auch erwarten, dass demnächst dafür entsprechende policy Vorlagen geliefert werden. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Ich werfe mal den Link in die Diskussion: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 8. Januar 2018 Autor Melden Teilen Geschrieben 8. Januar 2018 (bearbeitet) Auf meinem Arbeitsplatzrechner mit Windows 10 konnte ich den Patch einfach so online per Windows Update installieren. Ich habe eine VM mit Server 2012R2 manuell mit Patch aus dem Update Katalog aktualisiert und dann die Registry Einstellungen gesetzt. Soweit alles wie erwartet. Ich versuche nun einen physischen Server mit Windows Server 2012R2 und Hyper-V den Patch über Windows Update zu installieren. Leider wird mir der Patch dann nicht angeboten. Auf dem Server gibt es keinen Virenscanner, entsprechend habe ich wie hier angegeben den Registry Schlüssel manuell gesetzt: https://support.microsoft.com/en-us/help/4072699 Leider wird mir das Update immer noch nicht angeboten. Ich vermute daher die Patches kommen erst regulär am Patch Tuesday in das normale Windows Update rein. Krass finde ich folgende Aussage. Letztlich werden dadurch Geräte ohne Virenscanner wo der Admin nicht eingreift schlicht keine Windows Updates mehr erhalten. Note: Customers will not receive the January 2018 security updates (or any subsequent security updates) and will not be protected from security vulnerabilities unless their antivirus software vendor sets the following registry key. bearbeitet 8. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
Revan 14 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 (bearbeitet) Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe: Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: False Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: True Windows OS support for kernel VA shadow is enabled: True Windows OS support for PCID performance optimization is enabled: True [not required for security] Es fehlt mir noch das UEFI Update für die Hosts. Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder? bearbeitet 8. Januar 2018 von Revan Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Es fehlt mir noch das UEFI Update für die Hosts. Danach sind die Einträge grün Zitieren Link zu diesem Kommentar
Revan 14 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Top, danke :thumb1: Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Kann ich bestätigen, heute morgen nen Dell R330 mit Windows Update gepatcht, Registry-Einträge gesetzt und das BIOS-Update gemacht. Danach alles grün bei der PS-Abfrage :) Weiß schon jemand was bei Client-Rechnern zu tun sein wird außer Windows Update? Zumindest bei Dell habe ich noch kein diesbezügliches Bios-Update gefunden... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 OK, nach setzen der Registry Werte sieht das jetzt auf einem R530 so aus: Get-SpeculationControlSettings Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: True Windows OS support for kernel VA shadow is enabled: True Windows OS support for PCID performance optimization is enabled: True [not required for security] BTIHardwarePresent : True BTIWindowsSupportPresent : True BTIWindowsSupportEnabled : True BTIDisabledBySystemPolicy : False BTIDisabledByNoHardwareSupport : False KVAShadowRequired : True KVAShadowWindowsSupportPresent : True KVAShadowWindowsSupportEnabled : True KVAShadowPcidEnabled : True Damit hat sich die Frage bzgl. Systempolicy auch erledigt, damit ist dann wohl was anderes gemeint als eine "Policy" im Sinne von Sicherheitsrichtlinie oder GPO. Bye Norbert Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Weiß schon jemand was bei Client-Rechnern zu tun sein wird außer Windows Update? Genau das Gleiche ;) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 8. Januar 2018 Autor Melden Teilen Geschrieben 8. Januar 2018 (bearbeitet) Stellt sich eher die Frage wann bzw. ob überhaupt man seine Gerätschaften aktualisieren kann mit den nötigen Firmware/BIOS Updates die die Microcode Updates mitbringen. Ich habe mal bei unseren Servern (Fujitsu) und unseren üblichen Client Gerätschaften (Lenovo Laptop, HP und Fujitsu Desktop) geschaut. Bisher keine Updates zu finden. Letztlich wird auch ein Teil der Geräte gar keine Updates bekommen, weil aus dem Support raus. bearbeitet 8. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Also Dell hat zumindest angefangen die Server zu versorgen. Bei PCs meine ich auch schon einige Updates bei Dell gesehen zu haben, aber ich vermute, da werden bei den Herstellern aktuell die Server Vorrang haben. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 8. Januar 2018 Melden Teilen Geschrieben 8. Januar 2018 Apple hat soeben IOS und Macos Updates veröffentlicht... Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 8. Januar 2018 Autor Melden Teilen Geschrieben 8. Januar 2018 Der eigentliche Embargo Termin war ja wohl erst der 9.1.2018. Daher kann ich mir vorstellen das viele Hersteller erst etwas später dran sind als diese Woche. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. Januar 2018 Melden Teilen Geschrieben 9. Januar 2018 Sieht wohl ganz so aus: http://www.dell.com/support/article/de/de/debsdt1/sln308587/mikroprozessor-seitenkanalattacken--ve-2017-5715--cve-2017-5753--cve-2017-5754---auswirkungen-auf-dell-produkte?lang=de http://www.dell.com/support/article/de/de/debsdt1/sln308588/microprocessor-side-channel-vulnerabilities--cve-2017-5715--cve-2017-5753--cve-2017-5754---impact-on-dell-emc-products--dell-enterprise-servers--storage-and-networking-?lang=en Bye Norbert Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 9. Januar 2018 Melden Teilen Geschrieben 9. Januar 2018 Ich habe hier ein etwas älteres ThinkPad X250 rumstehen. Da kam letzte Woche ein BIOS Update. Windows 10 (1607) mit KB4056890: Alles grün. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.