Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Microsoft Patchday Juni 2018 - BSOD, obwohl noch kein Patch freigegeben

Mitglied: diemilz

diemilz (Level 2) - Jetzt verbinden

18.06.2018, aktualisiert 18:08 Uhr, 4797 Aufrufe, 8 Kommentare, 2 Danke

Hallo zusammen,

wir hatten hier letzte Woche ein massives Problem. Alles begann damit, dass ein Mitarbeiter kurz vor Feierabend anrief (wie immer), dass seine Maschine nicht hochfuhr aufgrund eines BlueScreens "KMODE_EXCEPTION_NOT_HANDLED". Wir dachten erst an defekte Hardware oder ein OS-Fehler und wollten die Maschine neu installieren, als der nächste Kollege anrief und das gleiche Problem schilderte.
Innerhalb von 30 Minuten waren wir mit einer wahren Epidemie konfrontiert. Der Fehler betraf nur die Kollegen, die ihren PC schon heruntergefahren/neu gestartet haben, also instruierten wir alle verbliebenen Kollegen, ihren PC eingeschaltet zu lassen und sich nur abzumelden.
Erste Reparaturversuche gelangen, indem ich einen Wiederherstellungspunkt auf allen betroffenen Systemen von zwei Tagen vorher aktivierte. Dann fuhren die PCs ganz normal wieder hoch. Allerdings gab es auch PCs, bei welchen die Systemwiederherstellung deaktiviert war und ich keinen Wiederherstellungspunkt zur Verfügung hatte. Diese Systeme galt es nun zu sezieren, wieso sie nicht mehr hochfuhren.
Da es schon zu später Stunde war und keine unmittelbare Gefahr bestand, dass weitere Systeme betroffen waren, ging es erstmal nach Hause und ab ins Bett. Natürlich war an Schlaf aber nicht zu denken, also mühte ich das Internet, um mögliche Ursachen für den Fehler zu finden. Am nächsten Tag ging es erstmal wieder darum, weitere Rechner wieder lauffähig zu bekommen, die an diesem Tag neu gestartet wurden. Von 140 Rechnern waren insgesamt nur 35 oder 40 Stück betroffen, von daher war der Aufwand vertretbar.
Abends konnte ich wieder nicht schlafen und habe wieder Tante Google bemüht. Nach stundenlanger Suche bin ich auf einen Registry-Eintrag bei Microsoft gestoßen.

Mit dem Juni 2018 Patchday wurde ja eine der "neuen" Spectre-NG-Lücken bearbeitet (Speculative Store Bypass). Wenn das Update installiert ist, muss der Schutz händisch in der Registry aktiviert sein. Müde wie ich dann war, bin ich doch ins Bett, aber wollte mir das dann am nächsten Tag nochmal näher anschauen.

Ich nahm also am nächsten Tag einen der Rechner, die keinen Restore-Point hatten und öffnete per WinPE die Registry des Systems. Tatsächlich waren die Registry-Werte vorhanden, obwohl sie bei uns weder per Skript noch GPO oder sonst wie verteilt werden und bei uns bis heute die Patches für Juni 2018 noch nicht freigegeben und auf den betroffenen Maschinen auch nicht so installiert wurden. Ich entfernte beide Werte und siehe da, der Rechner fuhr wieder hoch. Zuerst glaubte ich noch an einen dummen Zufall, aber nachdem ich vier weitere PCs auf die gleiche Art und Weise wieder zum Leben erwecken konnte, war der Fall klar. Etwas hat die Registry-Einträge bei uns gesetzt. Ich habe die GPO angepasst, dass die Einträge entfernt werden.

Falls jemand das gleiche Phänomen hat, sollte er das mal überprüfen, ob er den gleichen Fehler hat.

Viele Grüße

Stephan



Mitglied: Deepsys
18.06.2018 um 13:16 Uhr
Hi,

na prima, das hört sich ja super an

Welches OS haben die Rechner denn?

VG,
Deepsys
Bitte warten ..
Mitglied: diemilz
18.06.2018 um 13:46 Uhr
Windows 10 Pro 1607, 1703 und 1709 x64.

Wir können halt nicht nachvollziehen, was die Einträge deployed hat. In dem Link bei Microsoft steht ja auch explizit drin, dass die Einstellungen manuell gesetzt werden müssen. Ich habe bei mir zuhause mal alle Maschinen geprüft, dort ist der Eintrag bis heute nicht gesetzt und ich musste ihn manuell setzen. Die Update-Installation war schon letzten Dienstag Abend erfolgt.
Bitte warten ..
Mitglied: nEmEsIs
18.06.2018 um 14:16 Uhr
Hi

Welchen Virenschutz setzt ihr ein??

Das der vielleicht ...

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: diemilz
18.06.2018 um 14:21 Uhr
Trend Micro OfficeScan. Haben wir aber auch schon geprüft, Trend Micro weiß da von nichts.

Der Fehler war von der Sorte "Braucht kein Mensch". Man hat ihn, findet vielleicht noch den Fehler, aber kann nicht nachvollziehen, wie der Fehler zustande kam.
Bitte warten ..
Mitglied: kgborn
19.06.2018 um 17:36 Uhr
Ich hatte deinen Beitrag gesehen - und wegen des KMODE_EXCEPTION_NOT_HANDLED das Thema im Blog eingestellt.

Rückmeldung: Das Update KB4078130 setzt in der Registry die Schlüssel FeatureSettingsOverride und FeatureSettingsOverrideMask, um Spectre V2 abzuschalten. Habe dann in meinem Blog nach dem Beitrag für das Update gesucht und bin auf eine eigene Bemerkung gestoßen, dass das Tool InSpectre auch eine Option bietet, um Spectre V2 abzuschalten. Kann da was bei euren Systemen passiert sein?
Bitte warten ..
Mitglied: diemilz
20.06.2018, aktualisiert um 11:14 Uhr
Nein, wir setzen das Tool nicht ein, das Update KB4078130 haben wir auch nicht installiert.

Ich habe nach weitere interner Analyse auch nähere Informationen zum Fehler:

Der Fehler taucht nur dann auf, wenn der Wert FeatureSettingsOverride auf 00000008 (Hex) steht, wie von Microsoft für SpectreV2 und SpectreV4 vorgesehen und das Juni 2018 Update NICHT installiert ist. Steht der Wert auf 00000003 (Hex), dann fährt der Rechner einwandfrei hoch, es ist aber nur der SpectreV2-Schutz aktiv. Ich konnte das auf einem Testsystem mit Windows 10 1703 nachstellen, gehe aber auch davon aus, dass wie bei uns im Unternehmen 1607 und 1709 ebenfalls betroffen sind. Wenn das Juni 2018 Update installiert ist, kann man den Wert auf 00000008 setzen und alles läuft schick.

Der BlueScreen sieht wie folgt aus:
img-20180614-wa0000 - Klicke auf das Bild, um es zu vergrößern

Er taucht auf, sobald Windows gestartet wird. Man sieht nicht mal mehr den obligatorischen Punktekreis beim Start oder sonst irgendwelche Vorgänge. Windows startet und sofort fährt er vor die Pumpe.

Ich glaube, ich werde nie rauskriegen, wer oder was die Werte in der Registry gesetzt hat. Dass es ein Windows-Update war, halte ich für äußerst unwahrscheinlich, weil im Verlauf nichts drinsteht und die Eventlogs der Maschine nichts dergleichen anzeigen, dass an dem betroffenen Tag überhaupt ein Update installiert wurde.


Nachtrag: Was ich noch vergessen habe. Der Fehler tritt ja beim Start des PCs auf. Es gibt keinen Dump, keine Eventlogs oder sonstige Aufzeichnungen, aus denen man überhaupt etwas auslesen könnte. Man sucht also wirklich die Nadel im Heuhaufen.
Bitte warten ..
Mitglied: diemilz
20.06.2018 um 09:57 Uhr
Übrigens eine kleine Anmerkung zum Blog-Eintrag: Der Fehler tritt nicht beim Herunterfahren, sondern beim Boot der PCs auf.
Bitte warten ..
Mitglied: kgborn
20.06.2018 um 15:43 Uhr
Ok, danke für deine obigen Nachträge - ich habe es im Blog ergänzt. Ist natürlich übelst, wenn der BSOD auftritt, bevor das System soweit hochgefahren ist, dass ein Mini-Dump erzeugt werden kann.
Bitte warten ..
Ähnliche Inhalte
Microsoft

Infos zu Patchday-Problemen und CCleaner (10. u. 11. September 2018)

Information von kgbornMicrosoft

Ich schiebe die Kurzinformationen als Hinweis für Admins heraus. Update KB4457144 für Windows 7 SP1 wirft ggf. den Fehler ...

Humor (lol)

Antennagate 2018

Information von magicteddyHumor (lol)2 Kommentare

Da haut der angekaute Elektronikhersteller die teuersten Geräte auf den Markt und bekommt anscheinend die Basics mal wieder nicht ...

Windows 10

Powershell 5 BSOD

Tipp von agowa338Windows 108 Kommentare

Aktuell gibt es in PowerShell (Version 5.11.4393.206) einen sehr fiesen Bug. Wenn man die PowerShell "Als Administrator" startet und ...

Viren und Trojaner

Neues ct-desinfect 2018 erschienen

Information von LochkartenstanzerViren und Trojaner1 Kommentar

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 3 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 4 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement19 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Netzwerke
Instagram Fake Account
Frage von NurangnNetzwerke18 Kommentare

Hey Leute, Ich bin neu hier und hätte eine Frage. Und zwar werden mein Freund und ich von Mehreren ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke11 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...

Erkennung und -Abwehr
Außenstehenden (Fremden) Remote Zugriff via VM erlauben
gelöst Frage von Cyphy98Erkennung und -Abwehr11 Kommentare

Moin Liebe Community Schlagt mich nicht falls ich was falsch mache, ist mein erster Beitrag hier 🤪. Aber zum ...