Fix für das Windows 7-Netzwerkproblem mit Update KB4480970/KB4480960

win7[English]Microsoft hat zum 12. Januar 2019 einen Fix für betroffene Windows 7-Systeme herausgebracht, um die vom Januar 2019-Update verursachten Probleme beim Zugriff auf Netzwerkfreigaben zu beheben.


Anzeige

Worum geht es?

Für Microsoft für Windows 7 SP1 und Windows Server 2008 R2 SP1 hat Microsoft am 8. Januar 2018 die Sicherheits-Updates KB4480970 (Monthly Rollup) und KB4480960 (Security only) freigegeben. Das Ganze hatte einige Kollateralschäden.

  • In Folge konnten zahlreiche Nutzer nach der Installation des Updates nicht mehr auf Netzwerkfreigaben zugreifen.
  • Das Netzwerkproblem betrifft auch SMBv1-Shares, die von Scannern oder Fax-Geräten genutzt werden. Blog-Leser Markus W. hat das in seinem compeff-blog aufbereitet (siehe diesen Kommentar).
  • DATEV-Anwender litten auch darunter, dass die Zugriffe auf Netzwerkfreigaben nicht mehr funktionierten. Blog-Leser Dekre wies in seinem Kommentar auf einen Support-Beitrag von DATEV zum Problem hin.

Ich hatte das Problem bezüglich der Netzwerkzugriffe näher im Blog-Beitrag Netzwerkprobleme mit KB4480970 (Monthly Rollup)/KB4480960 beschrieben. In diesem Zusammenhang enthält der Artikel auch einen Workaround (außer Update deinstallieren), um durch Änderung der LocalAccountTokenFilterPolicy in der Registrierung die Zugriffe wieder zu ermöglichen.

Das Problem trat nur bei solchen Nutzern auf, die auf dem Rechner, der die Freigabe im Netzwerk bereitstellt, zur Gruppe der Administratoren gehören. Sollte man eigentlich nicht machen – aber auf den meisten Windows-Rechnern arbeiten Leute mit Administratorkonto.

Das wäre auch der Grund, warum mir der Bug nicht aufgefallen wäre, so ich denn den Patch installiert hätte. Denn seit Windows Vista arbeite ich grundsätzlich mit Standardkonten. Nur die Verwendung des Media Creation Tools erfordert die Anmeldung am Administratorkonto (Als Administrator ausführen reicht m.w. nicht). Unter Windows 10 wird diese Arbeitsweise mit Standardkonten für Admins kritischer. Der Grund: In der Einstellungen-Seite sind administrative Optionen nur sichtbar, wenn der Benutzer zur Gruppe der Administratoren gehört. Eine Benutzerkontensteuerung um Administratorfunktionen für Standardbenutzer freizugeben, wie dies die Systemsteuerung hat, ist in der Einstellungen-App nicht vorgesehen.

Microsoft hat inzwischen das Problem im KB-Artikel bestätigt und schlägt als Workaround vor, den Nutzer aus der Gruppe der Administratoren herauszunehmen. Keine schlechte Lösung – wird aber nicht jeder können oder wollen.


Anzeige

Microsoft liefert einen Fix

Blog-Leser riedenthied wies in diesem Kommentar darauf hin, dass Microsoft einen Fix anbietet (danke dafür). Im KB-Artikel Description of the update for Windows 7 SP1 and Windows Server 2008 R2: January 11, 2019 stellt Microsoft einen Fix für das Problem bereit.

This update resolves the issue where local users who are part of the local "Administrators" group may not be able to remotely access shares on Windows 7 SP1 and Windows Server 2008 R2 machines after installing the January 8th, 2019 security updates. This does not affect domain accounts in the local "Administrators" group.

Der Fix lässt sich als Standalone-Update aus dem Microsoft Update Catalog herunterladen und muss manuell installiert werden. Der Fix dürfte für die betroffenen DATEV-Anwender ganz hilfreich sein. Der Fix ist in den know issues der Updates (siehe hier auch vermerkt).

Wichtig: Registry-Fix wieder zurücknehmen

Im Blog-Beitrag Netzwerkprobleme mit KB4480970 (Monthly Rollup)/KB4480960 hatte ich einen Workaround beschrieben, der die LocalAccountTokenFilterPolicy in der Registrierung so manipuliert, dass Zugriffe auf Netzwerkfreigaben auch für Nutzer der Gruppe der Administratoren zulässig sind.

Als kurzfristiger Workaround machbar, aber mit dem Nachteil behaftet, dass die Zugriffe auf die Netzwerkfreigaben ein administratives Token mitbekommen. Sicherheitstechnisch ist dies ungeschickt (Stichwort: Ransomware-Zugriffe auf Freigaben). Wer den obigen Fix installiert oder die Nutzer aus der Administratorengruppe entfernt, sollte daher eine vorgenommene Änderung der LocalAccountTokenFilterPolicy zurücknehmen.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 0 /f

Dazu ist der obige Befehl in einer administrativen Eingabeaufforderung auszuführen. Dieser deaktiviert die betreffende Richtlinie wieder.

Kein SMB-, sondern ein NTLM-Problem

Übrigens, Susan Bradley hat bei askwoody.com diesen Artikel mit weiteren Hinweisen veröffentlich. Ned Pyle von Microsoft führt hier aus, dass das Problem nichts mit SMB zu tun habe, sondern im NTLM verursacht werde. Dort gibt Pyle auch Hinweise, was man tunlichst nicht machen sollte, um sein Netzwerk ans Laufen zu bringen.

Ergänzung: Fixt auch Exchange Server-Verbindungsprobleme

Mir ist noch eine Mail von Blog-Leser Michael W. zugegangen, der mir folgendes zu einem Problem schrieb.

eine kleine Ergänzung zum Thema Netzwerkprobleme mit KB4480970.
Auf meinem Testsystem mit einem SBS2011 hat das Update dazu geführt, dass die Exchange Management Shell keine Verbindung mehr zum Exchange Server herstellen konnte. Der Fix von Microsoft (KB4487345) hat dieses Problem auch behoben.

Vielleicht hilft es jemandem aus der Patche. Ergänzung: Nach den Kommentaren weiter unten habe ich den Artikel Versagt der Fix KB4487345 bei Windows Server 2008 R2? mit weitergehenden Fragen veröffentlicht.

Ähnliche Artikel:
Patchday Windows 10-Updates (8. Januar 2019)
Patchday: Updates für Windows 7/8.1/Server 8. Jan. 2019
Netzwerkprobleme mit KB4480970 (Monthly Rollup)/KB4480960
Windows 10: Netzwerkbug, Fix soll später kommen


Anzeige

Dieser Beitrag wurde unter Netzwerk, Sicherheit, Update abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Fix für das Windows 7-Netzwerkproblem mit Update KB4480970/KB4480960

  1. Hans van Aken sagt:

    Und DAS soll ein Normaluser ohne Zweitcomputer hinkriegen?
    Vor allem kriegt er wegen unterbrochener Netzwerkverbindung
    ja garnichts von der Möglichkeit mit, mit einem neuen Standalone-
    Patch das Problem mit dem vermurksten Patch zu lösen.
    Bravo, Microsoft! Ihr seid die Größten (aber nicht mehr lange).
    Kann doch nicht so schwer sein, seinen eigenen Kram mal auf
    einer Reihe von Testcomputern unter verschiedenen Szenarien
    laufen zu lassen, bevor man ihn auf die Menschheit losläßt.
    GELD habt ihr ja genug, und woher kommt es? Von den Usern,
    die haben pro Nase und PC 120 € berappt, nicht um euch zu
    mästen, sondern damit ihr anständige Produkte abliefert.
    Linux Mint ist kostenlos und kann alles, was Windows kann, da
    habe ich von solch katastrophalen Updates, wie bei Windows
    in den letzten 4 Jahren üblich, noch nie gehört.

    • Günter Born sagt:

      Langsam – erst mal sortieren. Ein Normalnutzer ohne Zweitcomputer hat keine Netzwerkshares – und wenn ein Multifunktionsgerät beim Scannen auf Netzwerkfreigabe per SMBv1 auf den Bauch fällt, ist die Lösung einfach. Schlicht ein normales Benutzerkonto einrichten, dort eine Freigabe erstellen und den Scanner so einrichten, dass er auf diese Freigabe speichern kann. Problem gelöst.

      Zum Testen bei Microsoft: Ich postuliere, dass die dort ihre Testumgebung so einrichten, wie es sicherheitstechnisch einer Good Practice entspricht – sprich keine administrativen Netzwerkfreigaben. Also fällt das Problem in dieser Geschichte nicht auf. Gut, es wäre besser gewesen, wenn es eine QS-Abteilung bei MS gäbe, die auch 'Standard-Installationen' mit einem Administratorkonto und Netzwerkfreigaben testen. Aber da könnten die Ressource fehlen.

      Zu den 120 €, die pro Nase und PC berappt werden: Erstens wären das Peanuts und zweitens berappt ein Endanwender keine 120 Euro pro Windows 10-Lizenz. Die Lizenzkosten liegen bei den typischen OEM-Geräten für Endanwender i.d.R. weit unter 25 Euro pro Gerät. Das Geld macht Microsoft im Business-Umfeld mit Abo-Modellen.

      PS: Ich denke, ich stehe nicht im Ruf, hier Microsoft verteidigen zu müssen. Aber es sollte von der Sachlage schon glatt gezogen sein ;-). Nix für ungut.

      • Hans van Aken sagt:

        Ob nun 120€ oder 25€ (man liest's mal so, mal so): Kleinvieh macht auch Mist,
        und ein Haufen von einer Milliarde Peanuts sind auch keine Kleinigkeit, und
        damit ist die Bill-Gates-Firma schließlich zu dem geworden, was sie heute
        ist: eine der reichsten Firmen der Welt.
        Bevor ich vor zwei Jahren auf Linux Mint umgestiegen bin war Windows 7
        mein System, und ich halte es immer noch für das beste Windows ever.
        Das Drama fing an, nachdem MS Win10 herausgebracht hatte und versuchte,
        win7-Nutzer zum "kostenlosen" Umstieg zu bewegen. Nachdem das nicht
        fruchtete, verlegte man sich darauf, per patches z.B. diese ganzen
        Telemetrie-Geschichten, die in win10 eingerichtet worden waren, rückwirkend
        und ohne Genehmigung in win7 zu installieren und legte dabei eine
        Penetranz an den Tag durch ständig wiederholte (aber ungewollte) Patches.
        Seit der Zeit häufen sich die Probleme mit Updates. Der Mensch, der einen
        Umbau seines Systems zu einem Spionagesystem (das man auch nicht
        abschalten konnte) nicht wollte, verlor das Vertrauen in Microsoft, man
        fühlte sich genötigt. Mag ja sein, daß viele Youngster heutzutage
        bewußtlos sind und durch Smartphones sich verlocken lassen auf privacy
        und security zu verzichten, das womöglich noch schick finden (Zuckerberg
        gibt sich ja alle Mühe, das so erscheinen zu lassen, lebt aber ganz gut
        von den peanuts…).
        Lieber Günter, es war nicht gegen Dich gerichtet, lese Deine Sachen gern
        und regelmäßig. Momentan ärgert mich diese Hirnrissigkeit bei Firefox,
        die RSS wegfallen zu lassen, mache es bei Waterfox mit dem alten Addon
        NewsFox). Das ist auch so ein Ding: die Firefox-Leute behaupten einfach,
        RSS würde so gut wie garnicht genutzt, sie bedenken aber wohl nicht,
        daß die bewußteren User alles, was nach Telemetrie riecht abgeschaltet
        haben und sie das daher vielleicht garnicht bemerken (Waterfox hat gar
        keine Telemetrie, und Clement Lefebvre, der Pariser Maintainer von Mint,
        hat auch schon angedeutet, daß er, falls Ubuntu (auf dem Mint beruht)
        nicht zulassen würde, daß es in Mint nicht verwendet wird, ein anderes
        System zur Grundlage nehmen würde.
        Aber, es ist (mit Fontane zu sprechen) ein weites Feld…

        • Günter Born sagt:

          Ich verstehe dich. Und ich hatte es auch nicht 'gegen mich gerichtet' verstanden.

          Eigentlich wollte ich heute einen Artikel mit einer Analyse schreiben, warum die Entwicklung bei Windows und Updates bei Microsoft gefühlt den Bach runter gehen. Bin vor lauter anderen Themen nicht dazu gekommen – aber Montag ist auch noch ein Tag. Wenn das Zeug in trockenen Tüchern ist, werde ich das hier verlauten lassen.

  2. der_Puritaner sagt:

    Also ich weiß nicht ob das der Normal User um die Ecke gebacken bekommt, ich würde mal sagen wers verbockt hat soll es selbst auch wieder richten!

    Ich habe mittlerweile eine andere Lösung gefunden die für mich mehr als Zufriedenstellend ist, die drei Windows 2008 SMB R2 Server gibts bei uns nicht mehr wir sind letztendlich zu Linux gewechselt, ich hab die Schnauze so voll gehabt das mit jedem Patch von Microsoft wieder irgendwas nicht mehr ging oder der Server aus der Netzwerkverbindung verschwunden ist.

    • bellarume sagt:

      für otto normal eig. weitgehend uninteressant, weil idR keine netzwerk shares vorhanden, sondern standalone-Gerät, steht ja u.a. auch weiter oben. Lesen ist schon schwer…
      ;)

  3. Info sagt:

    Dieses Update ersetzt die folgenden Updates:
    Update für Windows 7 (KB3121255)
    Update für Windows 7 (KB3156417)

    Fragt sich was das Update KB4487345 angesichts Telemetrie und "Security-Only" Update Strategie noch unerwähnt auf das System bringt?

    KB3156417 war ein Rollup auf das man während der versuchten (Zwangs)Win10-Migration eigentlich verzichtet hat.

  4. Bernhard Diener sagt:

    Ich lese und staune: "In der Einstellungen-Seite sind administrative Optionen nur sichtbar, wenn der Benutzer zur Gruppe der Administratoren gehört" – könntest Du ein oder zwei Beispiele nennen, bitte?

    • Günter Born sagt:

      Versuche unter einem Standardkonto unter Windows 10 die Uhrzeit oder das Datum in der Einstellungenseite zu verändern und staune (siehe auch meine Ausführungen im Beitrag Windows 10 V1809: Zeitsynchronisation fehlt (vermeintlich) in Einstellungen, wo ich genau in diese Situation gelaufen bin).

      Oder versuche die Konteneinstellungen anderer Benutzer unter Windows 10 in den Einstellungen anzupassen. Alles, was administrative Berechtigungen braucht, fehlt in den Einstellungen des Standardbenutzers. Denn es gibt den UAC-Aufruf dort nicht mehr (erkennbar daran, dass das UAC-Schild als Symbol, was bei der Systemsteuerung vorhanden ist, in der Einstellungen-App nicht mehr existiert). Man muss in die Systemsteuerung wechseln, um die betreffenden Befehle anwählen und per Benutzerkontensteuerung bestätigen zu können.

      • Bernhard Diener sagt:

        Die Einstellungs-App arbeitet nicht mehr mit dem Schild, soweit richtig, dennoch kommt die UAC in ihr zum Einsatz, zum Beispiel, wenn man aus der Einstellungs-App heraus den Defender-Echtzeitschutz als normaler Nutzer ausschalten möchte. Diese Option ist also sehr wohl sichtbar und generell zu schreiben "Eine Benutzerkontensteuerung um Administratorfunktionen für Standardbenutzer freizugeben, wie dies die Systemsteuerung hat, ist in der Einstellungen-App nicht vorgesehen." ist schlicht falsch.
        Die Uhrzeiteinstellungen jedoch führen schnurstracks zur alten Systemsteuerung, wo ich als non-Admin das Schild sehe – und da gebe ich dir recht, es gibt ein paar Dinge, die nur in der klassischen Systemsteuerung sichtbar sind, wenn man Nicht-Admin ist. Aber das ist nicht schlimm, solange es die klassische gibt. Das bringt nun zwingt zumindest niemanden dazu, als Admin zu arbeiten.

        Danke.

  5. rhoenbauer sagt:

    Als Otto-Normalnutzer habe ich da folgende Frage . Aus leidvoller Erfahrung mit win7 früher mache ich manuelle Updates mit 2- 3 Wochen Verzögerung. Trotz neuer Suche wird mir immer noch das Update KB4480970 mit Ausgabedatum vom 8. Januar angeboten. Ist da nun noch der Fehler vorhanden oder soll ich es nun ausblenden.

  6. Sebastian sagt:

    Hallo zusammen,

    wir haben zwei Rechner in einer externen Verwaltung die hatten das Problem.

    Leider hatte der Patch von MS keine Abhilfe geschaffen?
    Istalliert wurde er, "Client" und "Server" wurden neu gestartet aber Zugriff war nicht möglich. – hat sonst wer das auch erlebt?

    Erst nach Setzen des RegKeys – ging nicht anders.

    Mal sehen was beim nächsten Patchday passiert.

    Schöne Grüße

    Sebastian

  7. Rainer sagt:

    Toller Beitrag! Dankeschön!
    Muss ich nun das manuelle Update installieren und den Registry Eintrag ändern?
    Oder eines von beiden?

    Woher weis ich welches Update bzw Unterscheid zwischen: Windows Embedded Standard 7 und Windows 7? Welches betrifft Home und welches Professional?

  8. LOL sagt:

    Im übrigen kann ich nicht nachvollziehen, weshalb das angeblich nur bei
    Administratoren auftreten soll.

    Wir haben hier einen einzigen Rechner, der zwingend Win7 x32 ausführen muss,
    weil die Software auf neueren Versionen nicht läuft und es nichts neueres gibt.

    Der dort verwendete und stets angemeldete Benutzer (für automatiseirte Aufgaben) ist
    – Netzwerkkonfigurations-Benutzer
    – Hauptbenutzer
    … selbes Problem, man kann mit diesen credentials nicht via Netzwerkfreigabe zugreifen.
    Andere (Domain-) Anmeldedaten funktionieren.

    Weitere vom betroffene Software, da u.U. NTLM genutzt wird:
    – UltraVNC, wenn man die dortige NTLM-Auth einsetzt, um z.B. VNC gegen eine Domäne zu authenifizieren.
    – sämtliche Linux/Samba-Clients die hier rumfliegen und standardmäßig per NTLM authentifizieren

    Doh!

  9. Bananensoftware sagt:

    KB4487345 behebt entgegen der KB-Artikel-Beschreibung das Problem des Share-Zugriffs nicht. Dazu bedarf es des Registry-Eintrages. Getestet hier auf mehreren 2008R2-Servern.

    Ein nicht mehr endendes Patch-Fiasko, siehe die heutigen Meldungen für alle Windows10-Versionen. Mittlerweile hat man als Windows-Admin analog der "eingebauten Vorfahrt" bei Mercedes die "eingebaute Schuld":

    – Installiert man die Updates, hat man Schuld am Produktionsausfall.
    – Installiert man die Updates nicht, hat man Schuld an der nicht geschlossenen Sicherheitslücke.

    • Günter Born sagt:

      Danke für die Info – Windows Server 2008 R2 wird eher seltener getestet – daher ist die Rückmeldung möglicherweise interessant für andere Betroffene.

      Ich hatte die Rückmeldung von div. Lesern, dass der Fix KB4487345 zumindest bei Windows 7-Clients das Problem löst. Gibt es da noch andere Erfahrungen aus der Leserschaft?

  10. Daniel sagt:

    Ich habe ein Problem was sich wahrscheinlich mit hier einreiht, allerdings ist dies nicht auf Win7 Basis. Ich habe einen Netzwerk-MediaPlayer von Dune, dieser hat seit mindestens 5 Jahren 2 Netzwerkmappings auf meinen Windows 10 "Server". Filme und Serien. Freigabeebene: Everyone Full Control, NTFS Ebene die Berechtigung auf ein lokales Konto.
    Vor ca. einem Jahr gabs Stress, weil Microsoft an SMB herumgeschraubt hat. Ich musste über Features SMB1 wieder anschalten. Soweit, so gut/oder schlecht.

    Vor 7 Tagen habe ich auf meinem Windows 10 Client das Funktionsupdate eingespielt, seitdem sind die Netzwerkpfade kaputt. Kein Zugriff mehr. User gewechselt, Freigaben neu aufgesetzt, SMB1 deaktiviert, neugestartet und wieder aktiviert. Firewall ausgeschaltet, alles ohne jeglichen Effekt. Eine Netzwerkverbindung besteht aber, die tuts auch, über UPNP sehen sich die beiden Geräte. Bringt mir aber nix.

    Ich bin langsam echt ratlos, ohne Netzwerkmapping ist das Gerät unbrauchbar geworden. Unter Windows PCs funktionieren die Freigaben ganz normal. Ich kann auch unter HyperV auf dem Win10 PC einenen neuen Win10PC aufsetzen, solange der sein Funktionsupdate nicht zieht funktioniert alles, der Fehler ist also reproduzierbar.

    • mike sagt:

      Wieso unbrauchbar, Mediaplayer haben USB-Anschlüsse, da kannst Du Festplatten oder USB-Sticks anschliessen.

      Kannsts ja mal beim Dune Support probieren, falls es ein Forum gibt wäre das eine Möglichkeit oder sonst http://www.hifi-forum.de oder http://www.avsforum.com oder http://www.android-mediaplayer.de

      • Daniel sagt:

        @Wieso unbrauchbar, Mediaplayer haben USB-Anschlüsse, da kannst Du Festplatten oder USB-Sticks anschliessen.: Dumm nur, dass der Player in Stockwerk 2 und die Daten im Keller sind. Die Lösung soll also sein, dass ich dann jedesmal durchs Haus renne um mir im Keller mit einem Kleinen Stick die Daten zu holen die ich vorher bequem über einen Share abgreifen konnte? Das wäre in etwa so als ob ich fortan nur noch mit 5 Liter Benzinkanistern Auto fahren könnte die ich im Supermarkt kaufen kann statt an einer Tankstelle zu tanken wie es ursprünglich vom Erfinder gedacht war.

  11. Michael Probst sagt:

    Guten Morgen Herr Born
    Ich habe seit den letzten ungefragten Updates vom 14.2.19 (4023057 4100347 4487017) dieses Problem aber auf einem Windows 10 Rechner. Wir nutzen WSUS aber dennoch installiert MS immer wieder nebenbei solche Updates.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.