Windows 7 - Update Black Liste

[Bolko]

Windows Update bietet mir unter anderem das "Windows-Tool zum Entfernen bösartiger Software x64 - Dezember 2016 (KB890830)" Sollte man die installieren?

ja

Und sind die Office 2010-Updates alle unbedenklich?

ja

Ergänzung (16. Dezember 2016)

Sind im Dezember wirklich keine (Einzel-)Sicherheits-Updates für Windows 7 enthalten

Seit einschließlich Oktober gibt es keine einzelne Updates mehr, sondern die ehemals einzelnen Updates sind zusammengefasst im monatlichen "security-only".
Das monatliche "Rollup" enthält dieses "security-only" und zusätzlich auch noch die "Security-only" des Vormonats.

KB3192391 - Oktober 2016, Security-only
KB3185330 - Oktober 2016, Rollup

KB3197867 - November 2016, security-only, enthält auch Telemetrie-Ausweitung
KB3197868 - November 2016, Rollup

KB3205394 - Dezember 2016, Security-only
KB3207752 - Dezember 2016, Rollup

 

[autoshot]

Dankeschön !

 

[Mr.joker]

... Seit einschließlich Oktober gibt es keine einzelne Updates mehr, sondern die ehemals einzelnen Updates sind zusammengefasst im monatlichen "security-only".
Das monatliche "Rollup" enthält dieses "security-only" und zusätzlich auch noch die "Security-only" des Vormonats.
...
KB3205394 - Dezember 2016, Security-only
KB3207752 - Dezember 2016, Rollup

Von der Theorie her war mir das so auch schon bekannt. Aber (s. mein Beitrag 499), wenn man sich das mal am Beispiel der Dezember-Rollups anschaut, verstehe ich es nicht.

Den Teil, bis man zum Security-only KB3205394 kommt, lasse ich jetzt mal weg.
MS schreibt aber zum genannten Update, es bestehe aus folgenden Komponenten (ich interpretiere das als "Einzel-Updates"):

This security update resolves the following vulnerabilities in Windows 7 and Windows Server 2008 R2:

MS16-153 Security update for common log file system driver
MS16-151 Security update for Windows kernel-mode drivers
MS16-149 Security update for Microsoft Windows
MS16-147 Security update for Microsoft Uniscribe
MS16-146 Security update for Microsoft graphics component
MS16-144 Cumulative security update for Internet Explorer

Exakt die selben MS16-Nummern sind aber auch im KB3207752 enthalten.
Und - kurz gefasst (ausführliche Version s. Beitrag 499) - nur das MS16-144 scheint wirklich für Windows 7 zu sein (alle anderen sind entweder für Vista, Windows Server 2008 etc.).
Wenn ich mir also das vermeintliche Einzel-Update MS16-144 im Microsoft Update Catalog runterladen will, erfahre ich dort, dass es sich dabei um das "monatliche Sicherheitsqualitätsrollup für Windows 7 ... (KB3207752)" handelt.


Heißt: KB3207752 = KB3205394 = MS16-144 = KB3207752 (könnte man sich jetzt schöner als kreisförmiges Flussdiagramm vorstellen, dass da endet, wo es anfängt!)
Und so verhält es sich auch mit den Oktober- und November-Rollups. Es ist also anscheinend egal, was man lädt/installiert, man kriegt immer das gleiche Paket, was zwar angeblich aus einzelnen MS16-Nummern ("Einzel-Updates") zu bestehen scheint, von denen aber bei näherer Betrachtung nur eins für Win 7 ist und das entspricht dann zufällig wieder dem kompletten Sicherheitsqualitätsrollup!

PS:
Wobei ich jetzt gerade nochmal die KBs im Microsoft Update Catalog eingegeben habe, und dabei ist mir folgendes aufgefallen:
KB3207752 = 142,7 MB
KB3205394 = 63 MB
Also gibt es wohl doch einen Unterschied?! Owohl doch beide das MS16-144 (=KB3207752) enthalten sollen?!

 

[Bolko]

Und - kurz gefasst (ausführliche Version s. Beitrag 499) - nur das MS16-144 scheint wirklich für Windows 7 zu sein (alle anderen sind entweder für Vista, Windows Server 2008 etc.).

falsch

Schau dir den KB-Artikel zum Rollup an:
https://support.microsoft.com/en-us/kb/3207752

Oben siehst du dann die 6 Links zu den MS16-Artikeln:
https://technet.microsoft.com/library/security/MS16-153
https://technet.microsoft.com/library/security/MS16-151
https://technet.microsoft.com/library/security/MS16-149
https://technet.microsoft.com/library/security/MS16-147
https://technet.microsoft.com/library/security/MS16-146
https://technet.microsoft.com/library/security/MS16-144

In jedem einzelnen dieser Artikel siehst du eine Tabelle, wo auch Windows 7 mit drin steht.
Also sind alle diese 6 Updates auch für Windows 7.

Man kann sie aber nicht mehr einzeln herunter laden, weil sie alle zusammengefasst sind im Security-Only-Update und im Rollup.

Wenn ich mir also das vermeintliche Einzel-Update MS16-144 im Microsoft Update Catalog runterladen will, erfahre ich dort, dass es sich dabei um das "monatliche Sicherheitsqualitätsrollup für Windows 7 ... (KB3207752)" handelt.

Da es für Windows 7 keine Einzelupdates mehr gibt, kann man sich natürlich auch keine Einzelupdates mehr im Update-Catalog herunterladen.
Wie sich das mit anderen Betriebssystem wie WinServer verhält ist dafür belanglos und hat auch nicht zu interessieren.

Heißt: KB3207752 = KB3205394 = MS16-144 = KB3207752

Nein.
MS16-144 ist eine Teilmenge von KB3205394.
KB3205394 ist eine Teilmenge von KB3207752.
Damit ist auch MS16-144 ist eine Teilmenge von KB3207752.

Wenn du MS16-144 haben möchtest, dann musst du KB3205394 oder KB3207752 installieren.

Es ist also anscheinend egal, was man lädt/installiert, man kriegt immer das gleiche Paket

Ja, genau das ist der Sinn der Rollups.

, was zwar angeblich aus einzelnen MS16-Nummern ("Einzel-Updates") zu bestehen scheint,

nicht nur "angeblich", sondern tatsächlich.

von denen aber bei näherer Betrachtung nur eins für Win 7 ist

falsch

und das entspricht dann zufällig wieder dem kompletten Sicherheitsqualitätsrollup!

Die MS16-Nummern ("Einzel-Updates") "entsprechen" nicht "dem kompletten Sicherheitsqualitätsrollup", sondern sie sind darin enthalten, als Teilmenge.
Von "zufällig" kann da auch keine Rede sein.

Wobei ich jetzt gerade nochmal die KBs im Microsoft Update Catalog eingegeben habe, und dabei ist mir folgendes aufgefallen:
KB3207752 = 142,7 MB
KB3205394 = 63 MB
Also gibt es wohl doch einen Unterschied?!

Das KB3205394 ist das monatliche "security-only" Update und dieses ist im KB3207752 (monatliches Rollup) enthalten.
Das Rollup enthält aber zusätzlich auch noch die Updates aus dem Vormonat.
Im Rollup ist mehr drin, also ist es auch größer.

Owohl doch beide das MS16-144 (=KB3207752) enthalten sollen?!

[/quote]

korrekt.
"enthalten" ist aber nicht das gleiche mit "identisch".

 

[seebear]

Was ist eigentlich mit dem Update kb:3086255 - Deaktiviert den Spielekopierschutztreiber: SecDRV ?
Bis jetzt habe ich mein Win 7 vor dem Update schützen können. Diese Update würde den größten Teil meiner Spielesammlung lahmlegen.
Eigentlich könnte man das Vorgehen von MS als verbrecherisches Vorgehen bezeichnen. Aber komme mal ein Verbraucher gegen MS an.
Aber trotzdem würde mich interessieren, ob MS durch kumulative Updates, in den letzten Monaten, nicht hinterfurztig den Usern dieses kriminelle Update untergeschoben hat.

 

[Mr.joker]

Boah! Ist ja echt zum Verzweifeln!!

Aber danke, Bolko, für's Aufdröseln!

Jetzt habe ich gedacht, ich könnte ganz schlau die "Einzel-Updates" (diese MS16-Nummern) runterladen - tja, denkste!

Jetzt weiß ich halt immer noch nicht, was ich machen soll ... von Oktober habe ich noch das normale Rollup installiert, weil ich da schon nach dem in Beitrag 499 erklärten System vorgegangen bin, hab mir also die vermeintlich einzige MS16-Nummer, die für mich infrage kam runtergeladen und gar nicht gemerkt, dass ich mir so doch das ganze monatl. Rollup einfange!
November bin ich dann stutzig geworden und hab's vorsichtshalber mal sein lassen! (Was ja im Nachhinein vielleicht nicht das Schlechteste war, weil - wie du geschrieben hast - da eine Telemetrieerweiterung drin war.

Hmm ... ich tendiere im Moment dazu, dann gar keine Updates/Rollups mehr zu installieren! Weil, man weiß ja dann nie, was man wirklich untergejubelt kriegt (also ich hätte das mit der Telemetrie im November-Update bspw. nicht gewusst!). Wie klug das ist, das bis 2020 (oder wer weiß, vielleicht sogar noch länger!) so zu machen ...

 

[Baddabumm]

Was ist eigentlich mit dem Update kb:3086255 - Deaktiviert den Spielekopierschutztreiber: SecDRV ?
Bis jetzt habe ich mein Win 7 vor dem Update schützen können. Diese Update würde den größten Teil meiner Spielesammlung lahmlegen.
Eigentlich könnte man das Vorgehen von MS als verbrecherisches Vorgehen bezeichnen. Aber komme mal ein Verbraucher gegen MS an.
Aber trotzdem würde mich interessieren, ob MS durch kumulative Updates, in den letzten Monaten, nicht hinterfurztig den Usern dieses kriminelle Update untergeschoben hat.

Nein, jedenfalls hier nicht, denn ich hatte KB3086255 schon in der Vergangenheit deinstalliert und ausgeblendet. Ein kurzer Test mit "Age of Mythologie" zeigte keine "Unstimmigkeiten".

 

[Edisan]

Den Meisten stört wohl das Telemetrie-Ding bei dem ganzen Update-Zirkus und es wird immer komplizierter, die Schüffelei vom Rechner fernzuhalten. Ich überlege mir da eine externe Firewall dazwischenzuschalten und mit Regeln die Telemetrie-Server zu blocken. Hat das schon mal jemand versucht und welche Server hat er da geblockt? Ich hätte hier noch eine alte Checkpoint FW EdgeX dafür.
Googelt man allerdings danach bleibt man ratlos. Die Server sind unterschiedlich und das https-Blocken führt wohl auch nicht zum Ziel.
Oder doch besser gleich auf Linux und eine Win-Daddelkiste aufsetzen?
MS ist ein wirklicher Nerv-Laden geworden

 

[Vindoriel]

Man kann die IP-Bereiche der Server blocken, nur bekommt der Flightsimulator dann keine Wetterdaten mehr...

 

[MiamXD]

In dem Fall würden mich die Ranges interessieren, finde dazu nicht wirklich etwas zuverlässiges. Sind die denn verschieden zu den Ranges fürs Windows Update, Skype oder sonstigen MS Diensten? Das würde mich dann doch etwas wundern

 

[DeusoftheWired]

Ich überlege mir da eine externe Firewall dazwischenzuschalten und mit Regeln die Telemetrie-Server zu blocken. Hat das schon mal jemand versucht und welche Server hat er da geblockt?

Für den Anfang:

apps.skype.com
cs1.wpc.v0cdn.net
choice.microsoft.com
choice.microsoft.com.nstac.net
corp.sts.microsoft.com
df.telemetry.microsoft.com
diagnostics.support.microsoft.com
feedback.search.microsoft.com
feedback.windows.com
g.msn.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
pre.footprintpredict.com
redir.metaservices.microsoft.com
reports.wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
settings-sandbox.data.microsoft.com
settings-win.data.microsoft.com
sqm.df.telemetry.microsoft.com
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
statsfe1.ws.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.microsoft.com
telemetry.urs.microsoft.com
vortex-bn2.metron.live.com.nsatc.net
vortex-cy2.metron.live.com.nsatc.net
vortex-sandbox.data.microsoft.com
vortex-win.data.microsoft.com
vortex.data.microsoft.com
watson.live.com
watson.microsoft.com
watson.ppe.telemetry.microsoft.com
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
wes.df.telemetry.microsoft.com

Wenn du eine der Adressen in eine Suchmaschine eingibst, wirst du weitere Listen von anderen Leuten finden, die ihre regelmäßig pflegen und aktualisieren.

 

[Edisan]

Hey, Prima. Danke Dir.
Werd ich die Tage testen. Vor allem ob das Skripting mit den Regeln bei der Checkpoint simpel genug ist...

 

[seebear]

@ Baddabumm

Danke!!!!!!!!

 

[DeusoftheWired]

Vielleicht nützt es ja jemandem aus dem Thread oder der durch eine Suchmaschine hier herkommt. Hatte eben bei der Installation von einem der neuen monatlichen Security-Rollups, die es seit Herbst 2016 gibt, das Problem, daß sich der Teil für den laufenden Betrieb normal installieren ließ, der Teil nach dem Neustart aber nur bis ~75 % durchlief, dann „Fehler beim Konfigurieren der Windows-Updates“ meldet und anschließend die Änderungen wieder rückgängig machte. Es war KB3212646. Im Updatelog der Systemsteuerung fand sich in den Fehlerdetails nur „Code 80004005“. Die MS-Seite davon und x Threads bei answers.microsoft.com mit ihren Vorschlägen brachten keine Lösung. Geholfen hat letzten Endes ein Hinweis aus einem Kommentar aus einer Meldung bei borncity.com.

Habe hier eine Dualboot-Umgebung mit 2 SSDs, auf einer ein Kubuntu, auf der anderen 7. Auf der Kubuntu-SSD ist ein GRUB-Bootmanager und von ihr wird standardmäßig gebootet. Lösen konnte ich das Problem, indem ich nicht wie sonst von der SSD mit GRUB bootete und dort 7 auswählte, sondern das Bootmenü während des Bootvorgangs auswählte und direkt die 7-SSD auswählte.

 

[autoshot]

Kennt jemand von euch zufällig eine Website, auf der sämtliche unbedenklichen Windows 8.1 Update 1-Updates aufgelistet sind bzw. idealerweise sogar zum Download bereitstehen?

 

[Nemo_G]

Abgesehen davon, dass Du Dich besser bei "Windows 8.1 - Update Black Liste" eingeklinkt hättest:

• Bei Windows-Unattended.org halbwegs aktuell ab HIER. Der gestrige Patchtag wird ja demnächst wohl nachgeholt.
• Anstatt die Patches einzeln herunterzuladen, gibt's Updatespacks von Winfuture und Dr. Windows. Wenn man die auseinandernimmt, kommt man an die einzelnen Patches.
• Außerdem WSUS-offline; entstanden aus einem Projekt der c't.

Gruß, Nemo

 

[autoshot]

Vielen Dank Nemo! Ja das mit dem Windows 8.1 Blacklist-Thread is mir heut Früh auch eingefallen, war da gestern iwie geistig nicht ganz auf der Höhe als ich hier gepostet hab Die WinFuture Update Packs hab ich ebenfalls bereits für mich entdeckt, allerdings enthalten die soweit ich weiß ja nur die Sicherheitsupdates, nicht aber die Optionalen? Mit WSUS-offline bin ich gerade am Experimentieren, wobei ich die Updates damit bis auf ganz wenige Ausnahmen nur in Form von irgendwelchen .cab-Dateien (z.B. "windows8.1-kb2904266-x64_72f9d068fa95ed79f6e8f1455ee698b151b8637c.cab") bekomme. Zum Slipstreamen brauch ich aber soweit ich weiß ja .msu-Dateien, weißt du zufällig was man beim WSUS Offline Generator einstellen muss um ausschließlich die zu bekommen?

 

[Nemo_G]

WSUS offline benutze ich nicht; daher kannst Du zu dem keine Tipps von mir bekommen.

Wenn Du die Patches ohnehin per DISM oder auch einem der bekannten Tools (NTLite, WTK, ...) integrieren willst, kannst Du genau so gut *.CAB an Stelle von *.MSU verwenden.

Ich kürze übrigens Namen wie

• "windows8.1-kb2904266-x64_72f9d068fa95ed79f6e8f1455ee698b151b8637c.cab"
• ---> "windows8.1-kb2904266-x64.cab"

und hatte bislang keine Nachteile bemerkt.

Gruß, Nemo

 

[autoshot]

Ich hab mich am Wochenende jetzt mal hingesetzt und mit meinem Windows 8-ISO-Projekt begonnen. Falls der eine oder andere von euch Lust hat, mir bei der Durchführung zu helfen, würde ich mich freuen: Klick

 

[Opa Hermie]

Hallo,

gibt es eine halbwegs aktuelle Aufstellung aller sinnvollen Updates ohne Schnüffelfunktion?
Mein letztes Update war KB4012212 und ich würde gerne aktuelle Sicherheitsupdates installieren.