derwowusste
Goto Top

Spectrepatch wird nicht detektiert, wenn kein AV vorhanden

Kurze Info für alle Serveradmins von Servern ohne Virenscanner bzw. mit abgeschaltetem Virenscanner (oder bei nicht funktionierendem Updating des AV):
(es gilt auch für Clients, wenn Ihr überhaupt Clients habt, die keinen Virenschutz haben)

Ich schreibe das hier, um dem Missverständnis vorzubeugen, dass sich der Patch nur dann nicht installiert, wenn ein inkompatibler AV vorgefunden wird - er wird im Gegenteil nur dann überhaupt installiert, wenn ein kompatibler gefunden wird - und dafür muss überhaupt erst einmal einer drauf sein!
Der Patch wird bei Euch also nur dann detektiert werden, wenn ihr tätig werdet und den Registryeintrag
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”  
Data="0x00000000”  
manuell setzt.

Er ist dann (auf Servern) natürlich immer noch nicht aktiv.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f  
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f  
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f  
ausführen und dann rebooten. Ob man den Patch haben will und ob er ohne ein Firmwareupdate viel wert ist, ist natürlich eine andere Frage.

Content-ID: 361071

Url: https://administrator.de/knowledge/spectrepatch-wird-nicht-detektiert-wenn-kein-av-vorhanden-361071.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Penny.Cilin
Penny.Cilin 15.01.2018 um 10:07:07 Uhr
Goto Top
Hallo @DerWoWusste

auch wenn die Frage evtl. komisch vorkommt:
Gilt dies NUR für Serverbetriebssysteme oder auch für Clientbestriebssysteme?
Ich frage deshalb, weil Spectre kann doch auch Cleintbestriebssysteme betreffen, nicht nur Meltdown.

Gruss Penny
DerWoWusste
DerWoWusste 15.01.2018 um 10:10:13 Uhr
Goto Top
Vollkommen richtig, es gilt für beide, ich werde das gleich anpassen.
Habe dies zunächst nicht erwähnt, da man kaum Clients findet, die keinen Virenscanner haben, jedoch durchaus Server.
Penny.Cilin
Penny.Cilin 15.01.2018 um 10:11:51 Uhr
Goto Top
OK, danke für die Information.

Einen schönen Tag noch und
Viele Grüsse Penny
emeriks
emeriks 15.01.2018 aktualisiert um 12:05:15 Uhr
Goto Top
Hi,
der Reg-Wert für die Installation gilt auch für Nicht-Server-Editionen.
Die Reg-Werte für das Aktivieren sind bei Server-Editionen im Standardwert auf "deaktiviert", bei Nicht-Server-Editionen im Standardwert auf "aktiviert".
Für Server muss man also explizit aktivieren, damit das Update wirkt. Für Workstations kann man auch explizit deaktivieren, falls das Ärger machen sollte.

Siehe auch:
Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
Windows Server guidance to protect against speculative execution side-channel vulnerabilities

E.