Jump to content
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Empfohlene Beiträge

Das ist nicht nur „nervig“, sondern der Grund, warum das auch wieder alles länger dauert. ;) ein reboot reicht ja nicht. Sonst wärs im nächsten patchzyklus ja automatisch erledigt. Und ja die Ergänzungen kamen erst später dazu. Ich würde auch erwarten, dass demnächst dafür entsprechende policy Vorlagen geliefert werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Auf meinem Arbeitsplatzrechner mit Windows 10 konnte ich den Patch einfach so online per Windows Update installieren. Ich habe eine VM mit Server 2012R2 manuell mit Patch aus dem Update Katalog aktualisiert und dann die Registry Einstellungen gesetzt. Soweit alles wie erwartet.

 

Ich versuche nun einen physischen Server mit Windows Server 2012R2 und Hyper-V den Patch über Windows Update zu installieren. Leider wird mir der Patch dann nicht angeboten. Auf dem Server gibt es keinen Virenscanner, entsprechend habe ich wie hier angegeben den Registry Schlüssel manuell gesetzt: https://support.microsoft.com/en-us/help/4072699

 

Leider wird mir das Update immer noch nicht angeboten. Ich vermute daher die Patches kommen erst regulär am Patch Tuesday in das normale Windows Update rein.

 

Krass finde ich folgende Aussage. Letztlich werden dadurch Geräte ohne Virenscanner wo der Admin nicht eingreift schlicht keine Windows Updates mehr erhalten.

 

Note: Customers will not receive the January 2018 security updates (or any subsequent security updates) and will not be protected from security vulnerabilities unless their antivirus software vendor sets the following registry key.
bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Es fehlt mir noch das UEFI Update für die Hosts.

 

Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder?

bearbeitet von Revan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Kann ich bestätigen, heute morgen nen Dell R330 mit Windows Update gepatcht, Registry-Einträge gesetzt und das BIOS-Update gemacht. Danach alles grün bei der PS-Abfrage :)

 

Weiß schon jemand was bei Client-Rechnern zu tun sein wird außer Windows Update? Zumindest bei Dell habe ich noch kein diesbezügliches Bios-Update gefunden...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

OK, nach setzen der Registry Werte sieht das jetzt auf einem R530 so aus:
 



Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]



Hardware support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is enabled: True



Speculation control settings for CVE-2017-5754 [rogue data cache load]



Hardware requires kernel VA shadowing: True

Windows OS support for kernel VA shadow is present: True

Windows OS support for kernel VA shadow is enabled: True

Windows OS support for PCID performance optimization is enabled: True [not required for security]





BTIHardwarePresent : True

BTIWindowsSupportPresent : True

BTIWindowsSupportEnabled : True

BTIDisabledBySystemPolicy : False

BTIDisabledByNoHardwareSupport : False

KVAShadowRequired : True

KVAShadowWindowsSupportPresent : True

KVAShadowWindowsSupportEnabled : True

KVAShadowPcidEnabled : True

Damit hat sich die Frage bzgl. Systempolicy auch erledigt, damit ist dann wohl was anderes gemeint als eine "Policy" im Sinne von Sicherheitsrichtlinie oder GPO.

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Stellt sich eher die Frage wann bzw. ob überhaupt man seine Gerätschaften aktualisieren kann mit den nötigen Firmware/BIOS Updates die die Microcode Updates mitbringen. Ich habe mal bei unseren Servern (Fujitsu) und unseren üblichen Client Gerätschaften (Lenovo Laptop, HP und Fujitsu Desktop) geschaut. Bisher keine Updates zu finden.

 

Letztlich wird auch ein Teil der Geräte gar keine Updates bekommen, weil aus dem Support raus.

bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also Dell hat zumindest angefangen die Server zu versorgen. Bei PCs meine ich auch schon einige Updates bei Dell gesehen zu haben, aber ich vermute, da werden bei den Herstellern aktuell die Server Vorrang haben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der eigentliche Embargo Termin war ja wohl erst der 9.1.2018. Daher kann ich mir vorstellen das viele Hersteller erst etwas später dran sind als diese Woche.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×