[English]Wir haben nun glücklicherweise den (heißen) Juli 2018 hinter uns gelassen. Zeit für einen kurzen Rückblick auf die Juli 2018 Patches und was von denen zurückgeblieben ist. Zumindest Administratoren sollten nachfolgenden Überblick kennen.
Anzeige
Kleine Nachträge
Ein paar Infos zu Updates sind bei mir liegen geblieben. Falls ihr es nicht selbst schon mitbekommen habt, hier eine Kurzübersicht.
- Update KB4052623 (Windows Defender Antimalware-Plattform, für Windows 10) wurde aktualisiert. Hatte ich zuletzt im Januar 2018 im Blog (Windows Defender: Update KB4052623. Den Kollegen von deskmodder.de ist aufgefallen, dass es gestern erneut ein Update gab – hier finden sich die Informationen.
- Updates für Adobe-Produkte: Diesen Aspekt hatte ich bis auf den Flash-Player hier im Blog unberücksichtigt gelassen. Wer Adobe-Produkte wie PDF-Reader & Co. verwendet und keine Juli 2018-Updates installiert hat, kann sich bei heise.de über das Versäumte informieren.
Auch Oracle hat ein Oracle Critical Patch Update Advisory – July 2018 herausgegeben sowie die Blog-Beiträge hier, hier und hier veröffentlicht.
Probleme, die Microsofts Juli 2018-Patches verursachen
Blog-Leser Karl hat mir vor einigen Stunden eine Mail zukommen lassen, in der er die Probleme summiert, die im Microsoft-Umfeld durch die Juli 2018-Updates aufgetreten sind (danke dafür). Ich stelle die Informationen als Übersicht für Administratoren hier ein.
Updates vom 10. Juli 2018 alle fehlerhaft
Die Juli Updates vom 10.07.2018 sind allesamt fehlerhaft (wie im Blog hier berichtet). Bei Windows 2008 – 2012 R2 muss man also unüblicherweise die Preview installieren um fehlerfreie Updates für 07-2018 zu erhalten.
Anzeige
Die fehlerhaften Updates vom 10.07 wurden nicht neu released mit gleicher KB. Warum? Frag MS.
AD Connect Sync -Probleme mit .NET Framework 4.6.2
.Net 4.6.2 macht Probleme mit AD Connect Sync (die CPU Auslastung steigt auf 100%). Das ist ein bekanntes Problem, ein Fix soll kommen. Der Bug sorgte, laut Karl, für 7 GHz Auslastung auf dem ESX, obwohl die Maschine nur 2 Cores hat.
Windows Server 2016 patchen zäh
Windows 2016 Server brauchen Stunden-.lang zum Installieren der Patches (siehe auch). Das gilt selbst für neu aufgesetzte Systeme, trotz Service Stack Update (SSU) vom Mai 2018.
Auf das Problem hatte ich allgemein bereits im Blog-Beitrag Windows Server 2016 und die langsame Update-Installation hingewiesen.
Vorsicht vor den .NET Rollup Updates 7. Juli 2018
Die .NET-Framework Rollups (July 07-2018) sollten generell, wegen bekannter und hier im Blog berichteter, Probleme nicht installiert werden. Also muss das Rollup aus 05-2018 zugelassen werden, obwohl schon in WSUS als abgelaufen markiert.
Saumäßige Spectre-Dokumentation
Microsoft pflegt seine Spectre Dokumentation nicht. Daher hier meine Substitutionstabelle um Spectre 2,3 , 3a und 4 zu erhalten (für 2 und 4 sind noch BIOS Updates notwendig, wenn nicht Windows 10 / 2016 Server), sowie bei Client und Servern die Registry Keys
Spectre 1*, 2, 3, 3a*, 4*
Many links in the table have been superseded and should be replaced (die Links in der Tabelle sind veraltet und müssten aktualisiert werden).
Folgende Tabelle listet den ehemaligen Patch (falls existent) > neuer Patch + SSU + Spectre Patch (letzterer nicht im WSUS / via WU, muss manuell importiert oder installiert werden (anfangs fehlten auch die SSUs)
Windows 10 1803 | KB4338853 + KB4340917 + KB4100347-v2 + *Registry AMD / Intel |
Windows 10 1709 | KB4056892 > KB4131372 + KB4338817 + KB4090007_v4 + *Registry AMD / Intel |
Windows 10 1703 | KB4132649 + KB4338827 + KB4091663-v4 + *Registry AMD / Intel |
Windows 10 1607 LTSC | KB4056890 > KB4132216 + KB4338822 + KB4091664_v4 + *Registry AMD / Intel |
Windows 10 1511 | KB4035632 + KB4093109 no protection Spectre |
Windows 10 1507 LTSC | KB4345455 + KB4091666-v3 + *Registry AMD / Intel |
Server 2016 1709 Core | KB4056892 > KB4131372 + KB4338817 + KB4090007_v4 + *Registry AMD / Intel |
Server 2016 1607 | KB4056890 > KB4132216 + KB4338822 + KB4091664_v4 + *Registry AMD / Intel |
Server 2012 R2 | KB4056898 > KB4338831 + *Registry AMD / Intel |
Server 2012 | KB4088880 > KB4338816 + *Registry AMD / Intel |
Server 2008 R2 | KB4056897 > KB4338821 + *Registry AMD / Intel |
Server 2008 | KB4090450 > KB4093478 + *Registry AMD / Intel |
Beachtet die nachfolgenden Anpassungen an der Registrierung, die erforderlich sind, damit die Spectre-Patches wirksam werden. Die Änderungen an der Registry können, laut Karl, gut per GPO GPP verteilt werden (ohne Skript):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f
Vielleicht hilft euch die obige Übersicht etwas weiter. Einige weitere Hinweise zu bekannten Problemen in den Juli 2018-Updates finden sich ja auch in meinem Blog-Beitrag Rückblick: Microsofts Juli 2018-Patches und Sicherheitslücken.
Ähnliche Artikel
Adobe Flash Player: Update Version 30.0.0.134
Microsoft Office Patchday (3. Juli 2018)
Patchday: Windows 10-Updates 10. Juli 2018
Patchday: Updates für Windows 7/8.1/Server Juli 2018
Patchday Microsoft Office Updates (10. Juli 2018)
Microsoft Patchday: Weitere Updates zum 10. Juli 2018
Windows 7/8.1: Update-Revisionen zum 16. Juli 2018
Windows 7/8.1 Preview Rollup Updates (Juli 2018)
Windows 10: Update-Revisionen zum 16. Juli 2018
Microsoft und das Juli 2018-Patch-Desaster – Updates stoppen?
.Net Framework-Update KB4340558 fehlerhaft (Error 0x80092004)?
.NET Framework Update KB4340558 revidiert (19. Juli 2018)
.Net-Framework Update Juli 2018 zurückgezogen
.NET-Framework-Updates 30. Juli 2018 mit Fixes
Intel Microcode Updates KB4100347, KB4090007 (Juli 2018)
Windows: Stop Fehler 0xD1 im Juli 2018 Update erklärt
Zerschießt ein Juli 2018-Update die Outlook-Sofortsuche?
Windows Server 2016 und die langsame Update-Installation
Anzeige
Danke Günter. Laut deinem Blog wurde das Problem mit .Net 07-2018 am 30.07 behoben, Stand gestern gab es die gefixten Updates nicht im WSUS.
Schon komisch das wir hier bei fast 2000 Clients diesmal verschont geblieben sind. In den letzten Monaten davor waren wir meist auch von den Fehlern betroffen. Diesmal scheint alles ruhig zu sein.
Das Problem waren eher IIS Server, Exchange 2013 etc und andere .Net 4.6.x basierte Systeme.
Danke für die Info
Danke für die Zusammenfassung <3
Gerne!
abermals fordert microsoft die nutzer also auf, nicht vertrauenswürdigen code auszuführen (powershell) um zu überprüfen ob der client die in umlauf gebrachte schiere masse an zerstörerischen "abschwächungen" auch erhalten hat, aber einfach nicht sterben will. na wenn nicht heute dann morgen. absichtlich zu patchen ist seit den "windows-sicherheitsupdates vom januar 2018" nur noch mit der freiwilligen schweinegrippe-impfung zu vergleichen, ein "kombi-präparat" war das damals, alle probanden die ich kenne die sich das gegeben haben sind heute entweder tot oder haben schwere krankheiten hinter sich (und sind dann erst gestorben), zudem macht das konservierungsmittel quecksilber ziemlich blöd! ein derart geschädigter ist "solchen" "support-artikeln" dann wirklich endgültig ausgeliefert..
Warum genau ist der PS Code nicht vertrauenswürdig obwohl remote signiert?
Der Quelltext des Scripts und Moduls ist offen einsehbar.