wuurian
Goto Top

Update Dilemma - Was ist zu tun?!

Hallo zusammen,

ich stehe seit heute früh etwas auf dem Schlauch, bitte klärt mich auf!

Folgende Information von @DerWoWusste:
Microsoft detailliert Patches und Leistungsschwund

Auf Servern muss man zum "Aktivieren" des Patches einen Registryeintrag setzen, auf Clients nicht. überlegt euch doch mal, warum wohl

Allerdings werden bei mir im WSUS nur 5 Sicherheitsupdates für Office angezeigt, sowie 2 für Win10.
Im WSUS Statusbericht heute früh stehen aber auch folgende Updates drin(ausgegraut):

2018-01 Security Only Update for .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 on Windows 7 and Server 2008 R2 for x64 (KB4055269)

2018-01 Security and Quality Rollup for .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 on Windows 7 and Server 2008 R2 for x64
(KB4055532)

Diese erreichen meinen WSUS allerdings nicht, daher nehme ich an, das der Key auch auf meinen Clients gesetzt werden muss?
Passt aber dann leider nicht ganz zur obenstehenden Aussage von DerWoWusste.

Weiterhin wird mir auch das KB4011610(Microsoft Office) ca. 40mal angezeigt, das scheint aber nur ein Anzeigefehler zu sein, da wurde im Forum erst drüber berichtet.

Was ist nun zu tun? Werde mit den Informationen nicht ganz schlau!
Sehe ich grad den Wald vor lauter Bäumen nicht?!

Vielen Dank

Content-ID: 360563

Url: https://administrator.de/forum/update-dilemma-was-ist-zu-tun-360563.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

sabines
sabines 10.01.2018 um 11:09:25 Uhr
Goto Top
Moin,

der reg key bezieht sich auf die Patches von letzter Woche KB 4056897 und 4056894 und 4056568, diese schließen die Meltdown und Spectre Lücken.

Siehe hier
Meltdown und Spectre How To

Gruss
Looser27
Looser27 10.01.2018 um 11:09:41 Uhr
Goto Top
Moin,

der Update-Key wird bei Verwenden der TM WFBS mit gesetzt (auch auf den Clients). vgl. hier.

Ich hatte den Key vorher schon per GPO auch auf die Clients ausgerollt und die Updates erscheinen wie erwartet.

Die Server habe ich gestern Abend mit dem 2018-01 Update betankt. Hier ist jedoch Vorsicht bei AMD Prozessoren geboten vgl. hier.

Die Bios Updates hast Du schon durchgeführt?

Gruß

Looser
sabines
sabines 10.01.2018 um 11:10:34 Uhr
Goto Top
Zu KB KB4055269 und KB4055532.
Kann es sein, dass Du AMD Prozessoren hast?
Die werden mir bei AMD CPUs nicht angeboten.
VGem-e
VGem-e 10.01.2018 aktualisiert um 13:18:44 Uhr
Goto Top
Servus,

für die Windows-Server gilt doch, wenn @dww richtig mitgeteilt hatte (wovon ich ausgehe), dass eine Installation (inkl. Neustart) nicht ausreicht, um den Patch zu aktivieren und damit auch die o.g. Sicherheitslücken zu schließen?!
Ich denke, die Installation dieser o.g. Patches ermöglicht mir für die Server erst, dass die weiteren MS-Updates auch zukünftig installiert werden können.

Gruß
VGem-e
wuurian
wuurian 10.01.2018 um 11:40:21 Uhr
Goto Top
Also, das mit den .reg Key setzen, um für Spextre und Meltdown die Updates zu bekommen habe ich schon verstanden.

Die Server habe ich gestern Abend mit dem 2018-01 Update betankt.
Da liegt ja mein Problem, dieses Update wird mir nirgends angezeigt!
Weder für die Clients, noch für die Server.

Mir wurde allerdings am 05.01 per Statusbericht vom WSUS mitgeteilt, das 4 neue Updates verfügbar sind:
2018-01 – Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte Systeme (KB4056894)

Diese sind allerdings auch nie bis zum WSUS gekommen.

Mein Statusbericht vom WSUS von heute früh zeigt mir die oben genannten Updates an, sowie für Office.
Weit und breit aber nix zu sehen von dem Monatliches Sicherheitsqualitätsrollup für meine Server sowie Clients!

Die Bios Updates hast Du schon durchgeführt?

Nein, noch nicht.
Da wir TM einsetzen, und ein Forumsmitglied Probleme mit dem neuen Patch hatte, wollte ich die Woche erstmal abwarten mit der ganzen Updaterei.


Kann es sein, dass Du AMD Prozessoren hast?
Nein, nur Intel.

für die Windows-Server gilt doch, wenn @dww richtig mitgeteilt hatte (wovon ich ausgehe), dass eine Installation (inkl. Neustart) nicht ausreicht, um den Patch zu aktivieren und damit auch die o.g. Sicherheitslücken zu schließen?!

Das weiß ich eben nicht genau, wäre schön wenn er sich bei Gelegenheit mal dazu äußert!

@Looser27
TM WFBS, hattest du dort Probleme mit dem neuen Patch?
Looser27
Looser27 10.01.2018 um 11:48:45 Uhr
Goto Top
Nein, das Patch ist sauber installiert worden und läuft.
wuurian
wuurian 10.01.2018 um 11:55:21 Uhr
Goto Top
Kann es den sein, das ich erst die Spectre und Meltdown Updates installieren muss, um das

2018-01 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2008 R2 für Itanium-basierte Systeme (KB4056894)

zu erhalten?!
VGem-e
VGem-e 10.01.2018 um 11:59:58 Uhr
Goto Top
Servus,

hast Du denn tatsächlich einen Intel Itanium?

Waren dies nicht relativ seltene CPUs?

Gruß
Looser27
Lösung Looser27 10.01.2018 um 12:04:31 Uhr
Goto Top
Ich habe in der Reihenfolge installiert:

Reg-Key für AntiVirus verteilt (Clients und Server)
Updates installiert
restliche Reg.Keys nach o.g. Anleitung verteilt

Der WSUS hat alle erwarteten 2018-01 Updates runter geladen und verteilt.
wuurian
wuurian 10.01.2018 um 12:50:27 Uhr
Goto Top
Servus,

hast Du denn tatsächlich einen Intel Itanium?

Nein, scheint ein Anzeigefehler zu sein.


2018-01 – Monatliches Sicherheitsqualitätsrollup für Windows Server 2008 R2 für x64-basierte Systeme (KB4056894)
2018-01 – Monatliches Sicherheitsqualitätsrollup für Windows 7 für x86-basierte Systeme (KB4056894)
2018-01 – Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte Systeme (KB4056894)

wird mir auch angezeigt, sind wie gesagt nie im WSUS angekommen.

Folgendes Update wird mir auch ca. 40 mal angezeigt im WSUS:
Sicherheitsupdate für Microsoft Office 2010 (KB4011610) 32-Bit-Edition

Danke @Looser27, dann werde ich es in der gleichen Reihenfolge händeln, macht ja Sinn.
DerWoWusste
Lösung DerWoWusste 10.01.2018 um 13:10:15 Uhr
Goto Top
Hi.

für die Windows-Server gilt doch, wenn @dww richtig mitgeteilt hatte (wovon ich ausgehe), dass eine Installation (inkl. Neustart) nicht ausreicht, um den Patch zu aktivieren und damit auch die o.g. Sicherheitslücken zu schließen?!
Das weiß ich eben nicht genau, wäre schön wenn er sich bei Gelegenheit mal dazu äußert!
Alles steht im Artikel, den ich im von dir genannten Thread verlinkt habe in meiner Antwort an meier-jo. Microsoft schreibt das doch eindeutig. Man muss auf Servern diesen Registrykey setzen. Warum Microsoft ihn nicht von sich aus setzt?
A Damit es abschaltbar bleibt
B Damit sich Admins darüber Gedanken machen, bevor sie es aktivieren und sich bewusst werden, was sie da tun, nämlich ggf. die Serverleistung runter drücken.

Das hat nun jedoch nichts mit Deinem Thread hier und WSUS zu tun.
wuurian
wuurian 10.01.2018 um 13:16:05 Uhr
Goto Top
Stand tatsächlich voll aufm Schlauch, habs jetzt kapiert, danke dir!