NorbertFe 2.155 Geschrieben 1. Februar Melden Geschrieben 1. Februar vor 59 Minuten schrieb Squire: Kommt schon mal vor, dass ne Steuerung mit Windows 10 kommt ... ja - aber lassen Sie um Gottes Willen keine Updates zu ...) Grad neulich erst mit shimadzu erlebt. Kommt zwar mit Möglichkeit von windows 11, aber nur 22h2 das ja gerade out of Support ging. Erst auf mehrfache Rückfrage: ja doch 24h2 ist seit wenigen Wochen freigegeben aber noch nicht in der installationsdoku erfasst. Von ltsc vermutlich noch nie gehört. Und das sind alles Dinge die ja auch unter Windows 10 schon seit 10 Jahren ähnlich laufen. Trotzdem sind die Hersteller nicht in der Lage oder willens das Problem im Sinne der Kunden (und deren Sicherheit) anzugehen. Zitieren
Gu4rdi4n 73 Geschrieben 3. Februar Autor Melden Geschrieben 3. Februar Oh ja. Updates. Man braucht die Hersteller gar nicht mehr danach fragen. (Hurco, Siemens, Trumpf, Hitachi) Man bekommt eh nur das hier: 1 Zitieren
zahni 566 Geschrieben 5. Februar Melden Geschrieben 5. Februar Was mit noch einfällt: Unterstützt Windows XP embedded WebDAV? Vielleicht ist da ja eine Alternative. Zitieren
Weingeist 165 Geschrieben 5. Februar Melden Geschrieben 5. Februar Am 1.2.2025 um 20:52 schrieb NorbertFe: Grad neulich erst mit shimadzu erlebt. Kommt zwar mit Möglichkeit von windows 11, aber nur 22h2 das ja gerade out of Support ging. Erst auf mehrfache Rückfrage: ja doch 24h2 ist seit wenigen Wochen freigegeben aber noch nicht in der installationsdoku erfasst. Von ltsc vermutlich noch nie gehört. Und das sind alles Dinge die ja auch unter Windows 10 schon seit 10 Jahren ähnlich laufen. Trotzdem sind die Hersteller nicht in der Lage oder willens das Problem im Sinne der Kunden (und deren Sicherheit) anzugehen. Nun so richtig will man W11 24H2 ja auf ner Steuerung eingentlich auch noch nicht auch wenn es dafür nen IoT LTSC Build gibt. Was anderes als LTSC will man aber sowieso nicht. Nur haben sie wie du schon sagst, keine Ahnung das es IoT LTSC gibt. Und selbst wenn, dann scheitert es bei der Beschaffung. Nicht weil es schwierig wäre, sondern weil man gleich abgeschreckt ist. Weiss nicht wie viele Stunden ich schon in das Überzeugen der Hersteller gesteckt habe. Inklusive Kurz-Anleitung + Firma wo sie beziehen könen. Müsste eigentlich Provisionen kriegen. Sicherheit des Kunden: So einfach ist es leider nicht. Windows und seinen Standardeinstellungen machen es selbst für Update-Willige unglaublich schwer. Insbesondere die für industriezwecke unbrauchbare Update-Steuerung ist ein Desaster. Eine Industriemaschine die z.B. in eine Produktionszelle oder sogar eine ganze Fertigungsstrasse eingebunden ist, darf nicht einfach nach Gutdünken einen Reboot machen. Das Abdrehen seitens der Zulieferer-Firmen ist daher reiner Selbstschutz und der ihrer Kunden. Schadcode is ein potentielles Risiko. Ein monatlich wiederkehrender Stillstand oder gar Maschinencrash kostet zuverlässig tausende von Euros. Es braucht da schon einen sehr hohen Effort seine ganzen Steuerungen up to date zu halten. Sehr viele geben es wieder auf weil einfach auch weil das notwendige Wissen fehlt und Overkill ist jemanden dafür einzustellen. Der ITler sollte die Netze dann möglichst abkapseln. Nur halt auch immer schwieriger fon Fernwartungen etc. Am 3.2.2025 um 09:59 schrieb Gu4rdi4n: Oh ja. Updates. Man braucht die Hersteller gar nicht mehr danach fragen. (Hurco, Siemens, Trumpf, Hitachi) Man bekommt eh nur das hier: Muss man auch gar nicht. Entweder man hat die Philosophie und die Möglichkeiten das gepatched wird oder nicht. Echtzeitsysteme verbieten sogar Backups von SQL-Datenbanken, weil das VSS im dümmsten moment eine Pause generiert. Z.B. weil dei Hardware zu langsam ist. Ist dann die Sache des Betriebes ob er es trotzdem macht. Die Steuerungen selbst juckt die Updaterei eigentlich schon lange nicht mehr. Solange es eben bei Sicherheitsupdates bleibt. Selbst unter XP waren Sicherheitsupdates eigentlich nie ein Problem. Nur will das kein Hersteller empfehlen weil eben die meisten das Management des Patchens nicht wirklich im Griff haben. Zitieren
NorbertFe 2.155 Geschrieben 5. Februar Melden Geschrieben 5. Februar vor 30 Minuten schrieb Weingeist: Industriemaschine die z.B. in eine Produktionszelle oder sogar eine ganze Fertigungsstrasse eingebunden ist, darf nicht einfach nach Gutdünken einen Reboot machen. Natürlich nicht. Aber 1. kann man das ja durch Isolation (richtung Internet) recht einfach erreichen und sollte normalerweise der Standard sein (wenn man wirklich Wert auf Sicherheit legt) und 2. lassen sich umständlich natürlich auch alle Updatestolpersteine die einem MS inzwischen hingelegt hat umgehen (natürlich mit dem Risiko, dass man jedesmal einmal drüber stolpert ;)) vor 32 Minuten schrieb Weingeist: Das Abdrehen seitens der Zulieferer-Firmen ist daher reiner Selbstschutz und der ihrer Kunden. Das glaube ich nicht, denn wenn die Zuliefer-Firmen wirklich Wert auf IHREN Schutz und den ihrer Kunden legen würden, würden sie das einfach dokumentieren und beschreiben. Wenns dann keiner liest, kann man das sogar zum Vertragsbestandteil machen. Ich denke, da gehen sie nur den für sie leichtesten Weg. Ob sie hinterher dann noch Kunden haben, ist ne andere Frage. Aber auch bei Verwendung anderer Systeme siehts doch nicht wirklich besser aus. Wie oft werden denn die embedded linux systeme oder ggf. auf irgendwelchen Appliance laufende OS und Komponenten (DB, Frameworks usw.) aktualisiert? Zitieren
Weingeist 165 Geschrieben 10. Februar Melden Geschrieben 10. Februar Am 5.2.2025 um 10:25 schrieb NorbertFe: Natürlich nicht. Aber 1. kann man das ja durch Isolation (richtung Internet) recht einfach erreichen und sollte normalerweise der Standard sein (wenn man wirklich Wert auf Sicherheit legt) und 2. lassen sich umständlich natürlich auch alle Updatestolpersteine die einem MS inzwischen hingelegt hat umgehen (natürlich mit dem Risiko, dass man jedesmal einmal drüber stolpert ;)) So einfach ist das ja eben nicht. Wenn z.B. eine Maschine eine Fernwartung aufgeschaltet bekommt, dann zieht sich Windows gleich die Updates und installiert diese. Dann folgt z.B. am nächsten Morgen der Crash. Du kannst das nicht ohne Weiteres mit Einstellungen verhindern sondern musst die Update-Dienste und die zugehörigen Tasks welche die Dienste wieder aktivieren, deaktivieren. Wenn Du dann installieren willst, das ganze wieder aktivieren und dann nicht vergessen wieder zu deaktivieren. Kann man alles mi Tasks und Scripts lösen, aber ist halt doch einiges an Aufwand. MS macht einem das nicht gerade leicht. Ein Ende alles ein ziemlich mühsames Prozedere mit viel Potential für "lassen wirs halt ganz". Am 5.2.2025 um 10:25 schrieb NorbertFe: Das glaube ich nicht, denn wenn die Zuliefer-Firmen wirklich Wert auf IHREN Schutz und den ihrer Kunden legen würden, würden sie das einfach dokumentieren und beschreiben. Wenns dann keiner liest, kann man das sogar zum Vertragsbestandteil machen. Ich denke, da gehen sie nur den für sie leichtesten Weg. Ob sie hinterher dann noch Kunden haben, ist ne andere Frage. Aber auch bei Verwendung anderer Systeme siehts doch nicht wirklich besser aus. Wie oft werden denn die embedded linux systeme oder ggf. auf irgendwelchen Appliance laufende OS und Komponenten (DB, Frameworks usw.) aktualisiert? Das Problem ist, dass diese "Dienstleistung" niemand bezahlt und die Hesteller auch gar nicht die Kapazität haben diesbezüglich alle Kunden oder ihre Techniker entsprechend zu schulen. Alleine deren Stundenansätze verhindern schon, dass man die zu oft bestellt. Dann haben die Techniker der Hersteller von Windows in der Regel soviel Ahnung wie der Bäcker von Wurstwaren herstellen. Daher lieber abdrehen, dann haben sie keinen Ärger. Und der Kunde auch nicht. Wenn der Kunde eine gewissenhafte IT hat, macht er das dann auf eigenens Risiko. Wie auch immer, der Aufwand den die Hersteller für eine vernünftige Update-Politik betreiben müssten ist jedenfalls enorm. Und der Kunde bräuchte das KnowHow das durchzuführen, Rollbacks zu machen etc. und benötigt auch noch das Wartungsfenster dafür. Am Ende ist es im Industrieumfeld eben einfacher gesagt als getan. Zitieren
Gu4rdi4n 73 Geschrieben 10. Februar Autor Melden Geschrieben 10. Februar Das Problem ist doch eher, dass die Hersteller auf biegen und brechen versuchen ihre Software und Hardware so proprietär wie möglich zu halten, damit man immer wieder bei denen einkaufen muss. Wäre ja zu viel verlangt, einfach die Software zu liefern, welche dann auf einem beliebigen PC installiert werden kann. Aber ne, man nimmt absichtlich Vorkriegshardware und berechnet dem Kunden dann jeden f***. Austausch einer HDD? Warte mal. Da ist eine Spezialfirmware drauf. Das darfst du nicht. 1 Zitieren
Weingeist 165 Geschrieben 10. Februar Melden Geschrieben 10. Februar vor 12 Minuten schrieb Gu4rdi4n: Das Problem ist doch eher, dass die Hersteller auf biegen und brechen versuchen ihre Software und Hardware so proprietär wie möglich zu halten, damit man immer wieder bei denen einkaufen muss. Wäre ja zu viel verlangt, einfach die Software zu liefern, welche dann auf einem beliebigen PC installiert werden kann. Aber ne, man nimmt absichtlich Vorkriegshardware und berechnet dem Kunden dann jeden f***. Austausch einer HDD? Warte mal. Da ist eine Spezialfirmware drauf. Das darfst du nicht. Och, so schlimm ist das gar nicht mehr. Seit 7 ist die wirklich proprietäre Software/Hardware extrem zurückgegangen. A weil Windows nich mehr so einfach direkte Hardwarezugriffe zulässt und B weil vieles mittlerweile über TCP/IP läuft. Es sind auch weniger die Maschinenhersteller selbst sondern die HMI-Hersteller das Problem. Deren Software ist an die Hardware gekoppelt und eine "freie" Lizenz welche auf jedem PC läuft, lassen die sich fürstlich bezahlen. Meist sind dann deren lahme HMI's und grottigen SD-Karten schuld an der zähen Bedienung. Willst das ändern ist der Aufwand beträchtlich. Aber klar, es gibt auch heute noch propritäre Hardware welche direkt in die PC's gesteckt wird. Insbesondere von Messsystemen. Die Hardware von z.B CNC-Maschinen hat in der Regel aber heute eine von der Bedienung abgekoppelte Steuerung. Die HMI's dienen quasi als Schnittstelle die manchmal leider doch mehr machen, als sie sollten. HDD tauschen: Nun, so verbreitet ist es noch nicht. Am Ende machen sie aber auch nur das, was in der IT auch eine richtige Seuche geworden ist. Da werden ja teilweise selbst Treiber so an einzelne OS gebunden, dass sich eine Netzwerkkarte z.B. nicht nutzen lässt (HPE). Das wirklich eine eigene Firmware drauf ist, habe ich noch nicht erlebt. Meist kriegst eine Kopie mit Sektor-Sektor Kopie hin sofern eben das HMI nicht die ID checkt. Zitieren
NorbertFe 2.155 Geschrieben 10. Februar Melden Geschrieben 10. Februar vor einer Stunde schrieb Weingeist: So einfach ist das ja eben nicht. Wenn z.B. eine Maschine eine Fernwartung aufgeschaltet bekommt, dann zieht sich Windows gleich die Updates und installiert diese. Was hat denn eine Fernwartung mit Windows Updates zu tun? Wenn ich natürlich sowas wie Teamviewer pauschal mit Internetzugang der Maschine gleichsetze, muss ich mich tatsächlich ggf. nicht wundern. Aber selbst dann kann man doch Windows Update den Zugang zu Internet Adressen verbieten. Aber ja, ich stimme dir zu, weder die Hersteller noch die Betreiber solcher Netze sind eigentlich an einem sicheren Betrieb interessiert, sonst würde sowas nämlich als Voraussetzung bei der Umsetzung im Pflichtenheft stehen. ;) Zitieren
Weingeist 165 Geschrieben 10. Februar Melden Geschrieben 10. Februar (bearbeitet) vor 4 Stunden schrieb NorbertFe: Was hat denn eine Fernwartung mit Windows Updates zu tun? Wenn ich natürlich sowas wie Teamviewer pauschal mit Internetzugang der Maschine gleichsetze, muss ich mich tatsächlich ggf. nicht wundern. Aber selbst dann kann man doch Windows Update den Zugang zu Internet Adressen verbieten. Aber ja, ich stimme dir zu, weder die Hersteller noch die Betreiber solcher Netze sind eigentlich an einem sicheren Betrieb interessiert, sonst würde sowas nämlich als Voraussetzung bei der Umsetzung im Pflichtenheft stehen. ;) Ganz einfach, Windows erkennt eine Internetverbindung und holt sich die Updates die er sonst nicht bekommen würde, da nicht am Internet. Je nach Fernwartungstyp zieht es die dann auch mal via dem Internet des Herstellers. Und schon machts Peng. Man muss schon recht viel Effort in das deaktivieren der Update-Dienste stecken damit Windows das nicht wieder selber aktiviert und sich das Zeug irgendwie zieht (Teredo, IPv6 etc). Früher war das kein Problem als man das einstellen konnte das Updates nur auf Verlangen eingespielt werden. Aber so ist das für die Industrie unbrauchbar. Aber nichtmal für IoT gibts vernünftige Einstellungen. Ist ein Heidenspass wenn z.B. das HMI des Materiallagers nen Reboot macht und der Roboter in die Material-Lagerzelle fährt und seine Ware ablegen möchte. Den ganzen Müll wieder reseten von PPS, Robo-Zelle, Materiallager, Messystem, CNC etc. dauert dann gerne mal einen halben Tag. Kostenpunkt viele tausend Euro für den Produktionsausfall und den Support von drei verschiedenen Firmen. Und das ist nur ein Beispiel einer Produktionszelle, keine ganze Strasse. Bei einer Strasse hast bei einem Problem auch mal 7-10 Leute auf Platz à jeweils 2'000 Euro pro Tag um einen Fehler zu finden. Zusätzlich zu Deinen eigenen 20 Mann die rumstehen und der Kunde der seine Ware nicht bekommt. Das geht enorm schnell ins grosse Geld selbst wenn das Update selbst nicht mal Probleme verursachen würde. Da willst solche "vermeidbaren Probleme" schlicht nicht verantworten. Das Problem ist heute, dass man Daten aus diesen Netzen im ERP etc. haben möchte, Fernwartungen braucht usw. Interessiert wären grundsätzlich schon alle. Nicht jedoch an dem damit verbundenen massiven Zusatzaufwand und den Risiken das die Anlage nachher steht und der Support der Hersteller genötigt werden muss und sie dann eh keine Ahnung haben. Die Betreiber haben zu viele schlechte Erfahrungen gemacht und die Hersteller haben keine Ahnung und konnten nicht helfen. Nur wenn der Betreiber selber IT mässig gut aufgestellt ist, hast da überhaupt eine Chance. Da hängen teilweise so viele Systeme drin, da willst eigentlich am liebsten gar nix dran machen. Update eines einzigen Programms kann wieder Änderungen seiner Schnittstelle bedeuten was wieder Einsätze verursacht usw. Auch wurde früher leider sehr (zu) viel Glas zerschlagen weil tatsächlich manchmal die Programme nicht mehr funktioniert haben nach WindowsUpdates. Sicherheitsupdates habe ich immer eingespielt und nie Ärger gehabt. Nur die Funktionsupdates wurden teilweise zum Problem als MS angefangen hat, das zu kombinieren und manchmal an den API's rumzuspielen. Mit den Halbjahresbuilds bei Pro (das meistens eingesetzt wird) wurde es zum Desaster. bearbeitet 10. Februar von Weingeist Zitieren
Gu4rdi4n 73 Geschrieben 10. Februar Autor Melden Geschrieben 10. Februar vor einer Stunde schrieb Weingeist: Man muss schon recht viel Effort in das deaktivieren der Update-Dienste stecken damit Windows das nicht wieder selber aktiviert und sich das Zeug irgendwie zieht nenn mich einfältig, aber kann man das nicht wirklich easy abstellen, wenn man Windows einfach einen nicht vorhandenen WSUS vorgibt? Sehe da wirklich kein Problem. Zitieren
NorbertFe 2.155 Geschrieben 10. Februar Melden Geschrieben 10. Februar vor 20 Minuten schrieb Gu4rdi4n: Sehe da wirklich kein Problem. Nee ganz so einfach ist es leider nicht mehr seit WIndows 10. Da musst du zusätzlich noch den Dual Scan deaktivieren und neuerdings in Windows 11 verhält sich das dann noch mal wieder anders, weswegen ich neuerdings am Notebook Treiberupdates bekomme, obwohl WSUS aktiv und Dual Scan deaktiv ist ;) 1 Zitieren
Weingeist 165 Geschrieben 10. Februar Melden Geschrieben 10. Februar (bearbeitet) vor einer Stunde schrieb NorbertFe: Nee ganz so einfach ist es leider nicht mehr seit WIndows 10. Da musst du zusätzlich noch den Dual Scan deaktivieren und neuerdings in Windows 11 verhält sich das dann noch mal wieder anders, weswegen ich neuerdings am Notebook Treiberupdates bekomme, obwohl WSUS aktiv und Dual Scan deaktiv ist ;) So siehts aus und auch wenn Du alles abgeschaltet hast, allenfalls sogar die Update-Services auf eigene svchost.exe umgebogen in der Firewall deaktiviert etc. gibts noch den Medic Service welcher Dir alles zurücksetzt. Der Medic Service wird wiederum per Taks aktiviert. Den man auch deaktivieren kann. Ein eingespieltes Windows-Update aktiviert dann wieder alles. Ich kann Dir sagen, Windows findet heute fast immer einen Weg um die Updates irgendwoher an den gewünschten Einstellungen vorbei zu ziehen. Das noch gefühlt jede zweite Build anders reagiert macht es nicht einfacher. Daher: Script und Gegenscript mit Totalblockade der Updatedienste per Windows-Firewall (z.B. eigene svchost bzw. eigene für alle anderen) und deaktivieren der Dienste sowie Tasks. Einzige Lösung die Nachhaltig funktioniert. Bis zum nächsten Funktionsupdate "würg". Irgendwann hast die Schnautze so voll, dass Du eben nichts mehr machst. Das ist das Ergebnis was MS erreich hat. bearbeitet 10. Februar von Weingeist 1 Zitieren
Gu4rdi4n 73 Geschrieben 10. Februar Autor Melden Geschrieben 10. Februar Alles klar, dann bin ich wohl wirklich einfältig Zitieren
NorbertFe 2.155 Geschrieben 10. Februar Melden Geschrieben 10. Februar vor 6 Minuten schrieb Weingeist: Irgendwann hast die Schnautze so voll, dass Du eben nichts mehr machst. Das ist das Ergebnis was MS erreich hat. Und trotzdem machen alle mit ;) Ist ja bei Exchange Online genauso. Und wenn wieder Probleme auftauchen, dann möglichst nicht an die große Glocke hängen: https://www.borncity.com/blog/2025/02/07/autsch-kontakte-werden-in-microsoft-365-geloescht/ Ja, hatte ich heute auch schon gesehen und dachte mir.... WTF. :) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.