coreknabe
Goto Top

Mal wieder Risiko-Patchday für Domänencontroller

Moin,

nach dem letzten Mai-Patchday kann es wieder zu Problemen mit Domänencontrollern kommen:
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-windows-up ...

Auch der geschätzte Kollege Born hat bereits berichtet:
https://www.borncity.com/blog/2022/05/11/windows-office-mai-2022-patchda ...

Bei uns trotz NPS-Einsatz bisher keine Probleme, viel Glück allen anderen!

Gruß

Content-Key: 2756780140

Url: https://administrator.de/contentid/2756780140

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.05.2022 um 10:51:45 Uhr
Goto Top
Moin,

Ich zitiere mal von Heises Artikel Patchday Microsoft: Windows-Schwachstelle attackiert - Domain-Controller updaten:


An diesem Patchday sollten Admins vor allem Domain Controller auf Windows-Basis zügig aktualisieren. Derzeit haben es Angreifer auf Systeme abgesehen und belauschen Netzwerkverbindungen.

Teufel & Beelzebub? oder Regen & Traufe? Weiß nicht, was es besser trifft. face-sad

lks
Mitglied: Coreknabe
Coreknabe 12.05.2022 um 11:19:55 Uhr
Goto Top
Moin lks,

das ist ja die Crux seit geraumer Zeit: Sicherheit <--> Betrieb

Aber rudern wir doch ein Stückchen in Richtung Cloud, da haben wir all diese Probleme nicht mehr face-wink

Gruß
Mitglied: goscho
goscho 12.05.2022 um 15:00:07 Uhr
Goto Top
Mahlzeit,
ich habe meine Windows-Server gestern Mittag alle aktualisiert.
Läuft alles ohne Probleme, nutze aber weder NPS noch EAP, PEAP und auch nicht RRAS.

das ist ja die Crux seit geraumer Zeit: Sicherheit <--> Betrieb
Das Abwägen zwischen Sicherheit und Komfort gibt es schon immer. Den Betrieb ganz einzustellen ist ja jetzt auch nicht die Lösung. face-wink
Mitglied: Coreknabe
Coreknabe 12.05.2022 um 15:07:29 Uhr
Goto Top
Zitat von @goscho:

Mahlzeit,
ich habe meine Windows-Server gestern Mittag alle aktualisiert.
Läuft alles ohne Probleme, nutze aber weder NPS noch EAP, PEAP und auch nicht RRAS.

das ist ja die Crux seit geraumer Zeit: Sicherheit <--> Betrieb
Das Abwägen zwischen Sicherheit und Komfort gibt es schon immer. Den Betrieb ganz einzustellen ist ja jetzt auch nicht die Lösung. face-wink

Definitv. Aber MS hat das auf ein neues Level gehoben. Abwarten ist aus Sicherheitsgründen nicht drin. Und wenn das dann noch unter "Dringend einspielen" läuft...
Mitglied: goscho
goscho 12.05.2022 aktualisiert um 15:14:37 Uhr
Goto Top
Definitv. Aber MS hat das auf ein neues Level gehoben. Abwarten ist aus Sicherheitsgründen nicht drin. Und wenn das dann noch unter "Dringend einspielen" läuft...

Bis letztes Jahr habe ich mit den Windows-Updates für Server auch immer mindestens 4 Wochen gewartet, um nicht als Proband die Fehler zu bekommen.
Mittlerweile ist das keine Option mehr, da die Alternative ein zu großes Sicherheitsrisiko ist.
Seither spiele ich die Updates bei mir zuerst auf den Servern ein und, so ich keine Probleme habe, bei meinen Kunden in den folgenden Tagen, außer es gibt Meldungen über gravierende Probleme (wie bspw. im Februar 2022 mit W2012R2-DCs).
Mitglied: lcer00
lcer00 18.05.2022 um 16:40:20 Uhr
Goto Top
Hallo zusammen,

Ich habe bis gestern geglaubt, dass wir nicht betroffen sind. Die NPS-DCs hatten vor ein paar Tagen die Updates eingespielt. Jetzt sind aber aber doch einige Clients bei der WLAN-Authentifizierung betroffen. Nicht betroffen sind alle iPhones und ein Teil der Clients. Also ein durchwachsenes Fehlerbild.

Nach der Lektüre von @kgborn s Blog: https://www.borncity.com/blog/2022/05/17/cisa-warnt-vor-installation-der ... werden ich wohl die Updates auf den NPS-DCs wieder deinstallieren.

Grüße

lcer
Mitglied: Coreknabe
Coreknabe 19.05.2022 um 09:21:20 Uhr
Goto Top
Moin lcer,

danke für Deinen Hinweis. Bei uns bisher keine Probleme, allerdings ist auch ein Radsecproxy zwischengeschaltet, evtl. macht das noch einen Unterschied.

Gruß
Mitglied: colinardo
colinardo 20.05.2022 aktualisiert um 11:37:05 Uhr
Goto Top
Patch ist seit gestern verfügbar.
https://docs.microsoft.com/en-us/windows/release-health/resolved-issues- ...
Resolution: This issue was resolved in out-of-band updates released May 19, 2022 for installation on Domain Controllers in your environment. There is no action needed on the client side to resolve this authentication issue. If you used any workaround or mitigations for this issue, they are no longer needed, and we recommend you remove them.
Mitglied: Coreknabe
Coreknabe 23.05.2022 um 09:02:01 Uhr
Goto Top
@colinardo
Danke für den Hinweis. Wäre interessant, ob die Änderungen beim nächsten Patchday für alle mit einfließen. Die Tatsache, dass man die Updates im WSUS importieren muss, macht mich mal wieder etwas ... unsicher.

Gruß