ComputerBase Menü
Aktuelles

Windows Patch - Sicherheitsanfälligkeit in Remotedesktopdiensten bezüglich Remotecodeausführung

KCX

KCX

Commodore
Registriert
Aug. 2007
Beiträge
4.504
Moin Leute !

Bei uns wurde heute das Sicherheits-Update für die Remotedesktop-Verbindungen auf dem Server (Win Server 2008 R2) installiert. Dieser soll das Update an alle unsere Clients (Win7 x64) ausrollen. Unser EDV Dienstleister weiß aber nicht, ob das funktioniert bzw. sagte er mir, das es sein kann, dass ich morgen auf allen Rechnern das Update manuell installieren muss, weil es ggf. nicht funktioniert. Er hat in dem Atemzug auch auf MS geschimpft, da es angeblich keine genaueren Infos von MS zu dem Update gibt.

Wenn ich jetzt bei 30 Rechnern das Update manuell installieren darf, habe ich morgen gut was zutun. Dementsprechend würde ich eher zu Arbeit fahren. Hat jemand hier Erfahrung ob das Update automatisch an die Clients ohne Probleme ausgerollt wird!?

Hier der Link zum Update:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Der Hinweis von ihm:
Patch z.B. 4499164 für Windows 7 x64 als Monthly Rollup oder 4499180 als einzelnes Security Only Update herunterladen und installieren.
 
Was meinst du mit "auf dem Server installiert"? Ist es ein WSUS, und dort wurde das Update freigegeben?

Oder holen sich die Clients im Internet ihre Updates?
Denn dann sollten die das schon lange haben, wenn da regelmäßig Updates installiert werden.
 
  • Gefällt mir
Reaktionen: KCX
Necareor schrieb:
Was meinst du mit "auf dem Server installiert"? Ist es ein WSUS, und dort wurde das Update freigegeben?

Oder holen sich die Clients im Internet ihre Updates?
Denn dann sollten die das schon lange haben, wenn da regelmäßig Updates installiert werden.
Zum Vergrößern anklicken....
Nein nicht aus dem Netz, sondern vom Server - also denke WSUS
 
? Das CVE-2019-0708 ist doch im Mai-2019 Monthly für Win7 und 2008R2 enthalten. Solang die PC's normal Windows Updates bekommen ist doch alles in Butter.
 
  • Gefällt mir
Reaktionen: KCX
Und ihr genehmigt dort zuerst manuell alle Updates, bevor sie freigegeben werden? Sonst wüsste ich nicht, was der Dienstleister da installiert haben soll.

Sicherheits-Updates werden normalerweise automatisch genehmigt und somit verteilt. Kein kleines bis mittleres Unternehmen schafft es, Windows-Updates einzeln zu testen, bevor man sie für die Clients freigibt, mal von Service Packs oder Upgrades abgesehen.

Also bei einer Standard-WSUS-Konfiguration sollte das Update eigentlich schon seit Wochen die Clients erreicht haben, ohne dass da jemand etwas aktiv tun muss.
 
  • Gefällt mir
Reaktionen: KCX
Necareor schrieb:
Und ihr genehmigt dort zuerst manuell alle Updates, bevor sie freigegeben werden? Sonst wüsste ich nicht, was der Dienstleister da installiert haben soll.
Zum Vergrößern anklicken....
Ja er hat offenbar schlechte Erfahrung gemacht und ist auf MS nicht gut zu sprechen. Die Updates werden manuell von Ihm freigegeben, nachdem er geprüft hat, ob es Probleme damit gibt.
Ergänzung ()

Necareor schrieb:
Sicherheits-Updates werden normalerweise automatisch genehmigt und somit verteilt. Kein kleines bis mittleres Unternehmen schafft es, Windows-Updates einzeln zu testen, bevor man sie für die Clients freigibt, mal von Service Packs oder Upgrades abgesehen.
Zum Vergrößern anklicken....
Naja denke nicht das er das groß testet, sondern im Netz bzw. bei MS schaut, ob es allgemeine Probleme gibt.
 
Okay, jeder wie er mag :p.

Also theoretisch sollte das Update dann an die Clients verteilt werden. Es dauert beim WSUS öfter mal ein-zwei Tage, bis der Client das auch mitbekommt.

Warum er aber meint, dass es nicht funktionieren soll und du das manuell installieren musst, ist mir ein Rätsel. Ist aber auch schwer zu analysieren, ohne euer Netz, die WSUS-Konfiguration, GPOs und ähnliches zu kennen.
 
  • Gefällt mir
Reaktionen: FranzvonAssisi und KCX
Wenn du die Updates auf den Clients automatisch installieren lässt (was meistens der Fall ist) solltest du dir überlegen, ob du die Updates automatisch freigibst oder aber auf manuelles freigeben erzielst bzw. zumindest ein paar Tage wartest, bevor die Updates freigegeben werden.

Denn es kann schon mal passieren, dass ein Update Probleme verursacht und sich der PC z.B. nicht mehr starten lässt. Wenn das jetzt bei 200 Rechnern der Fall ist, dann... :hammer_alt:

Meist ist es auch gut, eine Gruppe "TEST" dir einreichtest, darin befindet sich für gewöhnlich die IT und/oder ein paar ausgewählte Clients. Die können die Updates sofort bekommen. Dann wartet man ein paar Tage und wenn alles ok ist, kann man die Updates für alle freigeben.

PS: Zu deiner eigentlichen Frage, das Update installiert sich automatisch.
 
  • Gefällt mir
Reaktionen: KCX
Hallo,

Konkret zur Frage: 4499164 für Windows 7 x64 als Monthly Rollup installiert sich bei unseren Win 7 Systemen ohne Probleme automatisch.

Grüße,
Znep
 
  • Gefällt mir
Reaktionen: KCX
Danke für eure Infos und die schnelle Hilfe ! 😎👍
 
Also wo ich dieses Thema gerade gelesen habe, hat es mich auch interessiert wie es bei uns aussieht.

Tatsächlich haben ca. die Hälfte der unserer Windows 7 Clients Probleme mit der Installation des Updates.

Im WSUS sieht man, dass die PCs ein Fehlerhaftes Update haben, als Ursache: 0x80242016

selbst das manuelle Installieren schlägt fehl, mit Meldung, dass das Update nicht für den PC geeignet sei.
 
  • Gefällt mir
Reaktionen: KCX
@Cinderella22 das sind traurige News und bestätigt ja ein wenig die Befürchtung unseres EDV Boys.
 
Für mich stellt sich aber nun die Frage, warum

1. das nicht bei allen Clients so ist
2. wieso die Installation mit so einem Fehler fehlschlägt
3. man diese nicht einmal manuell installieren kann

Sind alle baugleiche Rechner, mit Windows 7 x64, gleicher Software. Das einzige was sich unterscheidet sind die Office Versionen.

Ich werde das nun erst einmal 1-2 Tage beobachten ggf. installiert sich das ja noch..
 
  • Gefällt mir
Reaktionen: KCX
Ich werde auch berichten...
 
OT/ das muss ein ganz mieser EDV anbieter sein, der Geld verlangt und dir die arbeit lässt.
 
chrigu schrieb:
OT/ das muss ein ganz mieser EDV anbieter sein, der Geld verlangt und dir die arbeit lässt.
Zum Vergrößern anklicken....
Hat er nicht bzw. würde er nicht, da ich ja die Arbeit mache ;) Versteh aber deinen Gedanken...
Ergänzung ()

konkretor schrieb:
Hier gibt es einen Scanner um das Netz zu durch suchen
https://github.com/robertdavidgraham/rdpscan
Zum Vergrößern anklicken....
Bin gerade zu blöd, das richtig auszuführen 😒 mir fehlt eine .exe
Ergänzung ()

Update scheint aber ohne Probleme auf allen Systemen zu laufen... hat sich keiner beschwert :D
 
Zuletzt bearbeitet:
Joar die Exe gibts direkt auf der Startseite am Anfang der Readme und nennt sich binary



789131


und dann so ausführen mit dem Netz was man scannen will

789132
 
  • Gefällt mir
Reaktionen: KCX
konkretor schrieb:
Hier gibt es einen Scanner um das Netz zu durch suchen
https://github.com/robertdavidgraham/rdpscan
Zum Vergrößern anklicken....
Also das ich das via cmd machem muss ist mir klar aber wie genau leider nicht.

Bin in den Order mit "cd" und habe dann rdpscan 192.168.1.1-192.168.1.255 eingegeben
Ergänzung ()

konkretor schrieb:
Joar die Exe gibts direkt auf der Startseite am Anfang der Readme und nennt sich binary



Anhang anzeigen 789131

und dann so ausführen mit dem Netz was man scannen will

Anhang anzeigen 789132
Zum Vergrößern anklicken....
Danke! :cool_alt:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz