10
Nach KB4103718 RDP auf Windows 2003 Server
Hallo Admins,
im KB4103718 ist ja der Patch für den RDP-Server und Client enthalten.
Wir haben aber noch Windows 2003 Server, auf denen ein Leitsystem mit InTouch usw. läuft.
Die Herstellerfirma des Leitsystems hat uns darauf hingewiesen, dass sich nach der Installation von KB4103718 niemand mehr mit dem Windows 2003 Server per RDP verbinden kann.
Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.
Gibt es vielleicht für diesen Problem einen Workarround?
Vielen Dank!
im KB4103718 ist ja der Patch für den RDP-Server und Client enthalten.
Wir haben aber noch Windows 2003 Server, auf denen ein Leitsystem mit InTouch usw. läuft.
Die Herstellerfirma des Leitsystems hat uns darauf hingewiesen, dass sich nach der Installation von KB4103718 niemand mehr mit dem Windows 2003 Server per RDP verbinden kann.
Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.
Gibt es vielleicht für diesen Problem einen Workarround?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375054
Url: https://administrator.de/forum/nach-kb4103718-rdp-auf-windows-2003-server-375054.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
10 Kommentare
Neuester Kommentar
Hmm hier im Forum zu suchen ist out? :/
https://m.heise.de/security/meldung/Windows-Remote-Desktop-CredSSP-Updat ...
https://m.heise.de/security/meldung/Windows-Remote-Desktop-CredSSP-Updat ...
Moin 
Die Frage ist ein wenig fragwürdig ;)
Die Antwort ist aber ganz einfach: "Pest oder Cholera". Das Beste aus zwei Welten wirst du nicht bekommen. Für den Server wird es kein Update mehr geben und die Clients werden nach der Installation erst einmal keine Verbindung mehr aufbauen können.
Über eine GPO (Computer\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation -> vulnarable) lässt sich das Problem quasi per Richtlinie erste einmal deaktivieren. Aber das ist ja auch nicht wirklich die Lösung und dafür gedacht, kurzfristig wieder eine Kommunikation zu ermöglichen (unter Inkaufnahme des Sicherheitsproblems).
Gruß
Die Frage ist ein wenig fragwürdig ;)
Die Antwort ist aber ganz einfach: "Pest oder Cholera". Das Beste aus zwei Welten wirst du nicht bekommen. Für den Server wird es kein Update mehr geben und die Clients werden nach der Installation erst einmal keine Verbindung mehr aufbauen können.
Über eine GPO (Computer\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation -> vulnarable) lässt sich das Problem quasi per Richtlinie erste einmal deaktivieren. Aber das ist ja auch nicht wirklich die Lösung und dafür gedacht, kurzfristig wieder eine Kommunikation zu ermöglichen (unter Inkaufnahme des Sicherheitsproblems).
Gruß
Und?
Ich kenne den Artikel!
Der beantwortet meine Frage aber auch nicht. Ich fürchte Du hast die nicht mal richtig durchgelesen.
...
Ich kenne den Artikel!
Der beantwortet meine Frage aber auch nicht. Ich fürchte Du hast die nicht mal richtig durchgelesen.
...
Zitat von @Hubert.N:
Moin
Die Frage ist ein wenig fragwürdig ;)
Die Antwort ist aber ganz einfach: "Pest oder Cholera". Das Beste aus zwei Welten wirst du nicht bekommen. Für den Server wird es kein Update mehr geben und die Clients werden nach der Installation erst einmal keine Verbindung mehr aufbauen können.
Über eine GPO (Computer\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation -> vulnarable) lässt sich das Problem quasi per Richtlinie erste einmal deaktivieren. Aber das ist ja auch nicht wirklich die Lösung und dafür gedacht, kurzfristig wieder eine Kommunikation zu ermöglichen (unter Inkaufnahme des Sicherheitsproblems).
Gruß
Moin
Die Frage ist ein wenig fragwürdig ;)
Die Antwort ist aber ganz einfach: "Pest oder Cholera". Das Beste aus zwei Welten wirst du nicht bekommen. Für den Server wird es kein Update mehr geben und die Clients werden nach der Installation erst einmal keine Verbindung mehr aufbauen können.
Über eine GPO (Computer\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation -> vulnarable) lässt sich das Problem quasi per Richtlinie erste einmal deaktivieren. Aber das ist ja auch nicht wirklich die Lösung und dafür gedacht, kurzfristig wieder eine Kommunikation zu ermöglichen (unter Inkaufnahme des Sicherheitsproblems).
Gruß
Naja, man könnte wenigstens die paar Clients die noch auf den Server zugreifen müssen damit wieder funktionsfähig schalten und das Groh mit Patches versehen.
Das ist doch schon mal eine Lösung für den Übergang
Vielen Dank!
Weiß jemand noch den entsprechenden Registryeintrag, falls man das nicht über GPO einstellen möchte?
Ja...
Ein wenig mehr Eigeninitiative könne aber nun wirklich nicht schaden...
Aber fall Du gerade ein problem mit dem Tippen hast: https://www.google.com/search?q=encryption+oracle+remediation+registry&a ...
Ein wenig mehr Eigeninitiative könne aber nun wirklich nicht schaden...
Aber fall Du gerade ein problem mit dem Tippen hast: https://www.google.com/search?q=encryption+oracle+remediation+registry&a ...
Zitat von @Bl0ckS1z3:
Und?
Ich kenne den Artikel!
Der beantwortet meine Frage aber auch nicht. Ich fürchte Du hast die nicht mal richtig durchgelesen.
...
Und?
Ich kenne den Artikel!
Der beantwortet meine Frage aber auch nicht. Ich fürchte Du hast die nicht mal richtig durchgelesen.
...
Bitte? Der Artikel beschreibt genau das gleich wie die anderen Kollegen..
Moin,
mal so eine andere Frage und ohne eure genaue Infrastruktur zu kennen:
Muss es zwingend RDP sein?
Kann man nicht auf so Dinge wie VNC/ Radmin o.Ä. zurückgreifen?
Gruß
em-pie
mal so eine andere Frage und ohne eure genaue Infrastruktur zu kennen:
Muss es zwingend RDP sein?
Kann man nicht auf so Dinge wie VNC/ Radmin o.Ä. zurückgreifen?
Gruß
em-pie
Moin,
Manchmal versteh ich es nicht...
Gruß,
Dani
Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.
ist aber auch nicht so, dass Windows Server 2003 gestern abgekündigt wurde. Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.
Manchmal versteh ich es nicht...Gruß,
Dani
Zitat von @Dani:
Moin,
ist aber auch nicht so, dass Windows Server 2003 gestern abgekündigt wurde. Manchmal versteh ich es nicht...
Gruß,
Dani
Es ist vollkommen richtig, dass genug Zeit war alle Systeme vom 2003er Server zu befreien. Hier handelt es sich aber um eine Leitsystem-Lösung. Das Upgraden ist eine sehr kostspielige Angelegenheit, ohne das man in irgend einer Weise den Funktionsumfang erweitert.Moin,
Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.ist aber auch nicht so, dass Windows Server 2003 gestern abgekündigt wurde.
Manchmal versteh ich es nicht...Gruß,
Dani
Das Patchen und Upgraden von solchen Systemen gleicht schon immer einem Paradoxon.
Aus Sicht der Automatisierungs-Leute soll das System auf dem Stand bleiben, für das die Automatisierungs-Software vom Hersteller freigegeben ist. Hier soll möglichst garnicht gepatcht werden und die Systeme vom öffentlichen Netz isoliert bleiben.
Die Anwender wollen ein funktionierendes Leitsystem, auf das man von überall drauf zugreifen kann.
Wir Admins wollen sichere gepatchte Systeme immer auf dem neuesten Stand.
Und da liegt der Hase im Pfeffer. Das lässt sich nicht unter einen Hut bringen.
Je nach dem mit Wem von diesen Leuten gerade spricht, dreht man sich nur im Kreis.
Wie Hubert schon schrieb, "Pest oder Cholera".
Ich habe schon auf beiden Seiten gearbeitet, sowohl als Programmierer für Steuerungssysteme (Aprol von B&R) als auch als Admin.
Und ich kann sogar beide Seiten verstehen.
Das Problem ist eigentlich, dass die Industrie z.B. Siemens überhaupt nicht auf den erhöhten Sicherheitsbedarf der Steuerungsgeräte reagiert.
Hier wird einzig und alleine die funktionierende Steuerung in den Vordergrund gestellt.
Und das verkauft sich auch noch wie geschnitten Brot.
Bei Aktualisierungen werden Lizenzgebühren jenseits von Gut und Böse fällig.
Da sind mal Ruck Zuck 200.000 € verbrannt und wie gesagt ohne nur eine Funktion mehr zu haben.
Das lässt sich bei den Kaufleuten nicht so gut darstellen, wie z.B. ein neuer Firmenwagen
.
