En los Estados Unidos, nos acercamos rápidamente al inicio de la temporada navideña, lo que significa que es hora de, bueno, tomarnos nuestro tiempo libre. Por lo general, agrego tareas de mantenimiento de tecnología a la combinación mensual de arreglos y mantenimiento de servidores y estaciones de trabajo. Este mes también me estoy tomando el tiempo para comprender mejor el impacto de un boletín de seguridad específico; honestamente, no puedo entender exactamente qué se supone que debo hacer para mantener mi red segura.
Die gute Nachricht: Für die meisten Leser trifft keine dieser Bedenken auf Sie zu. Ich bin bereit, grünes Licht für die Installation der November-Updates von Microsoft auf Laptops, Desktops und Workstations zu geben, insbesondere wenn Sie Windows 10 Version 1909 verwenden. Veranstalten Sie vor diesem Hintergrund zunächst Ihr Thanksgiving-Zoom-Meeting und installieren Sie dann alle Updates. Ich würde es hassen, wenn Sie statt Ihrer Familie und Freunde nichts anderes als Windows Update Spinner sehen würden.
Stellen Sie wie immer vor Beginn der Installation sicher, dass Sie ein Backup Ihres Systems haben, für den Fall, dass etwas schief geht.
2004 und 20H2: ständige Installationsfehler?
Der erste aktuelle Patch betrifft Benutzer- und Systemzertifikate, die verloren gehen, nachdem ein Enterprise-Patch-Tool wie WSUS, SCCM oder andere verwendet wurde, um eine frühere Version der Funktion auf Win 10 2004 oder 20H2 zu aktualisieren. (Wenn Sie den normalen Windows-Update-Prozess für das Upgrade auf 2004 oder 20H2 verwendet haben, sind Sie davon nicht betroffen.) Wie im Windows Health-Versionskontrollfeld angezeigt, ist dieses Problem nun behoben. Sie können diese Versionen daher mit diesen Reparaturtools sicher bereitstellen.
Das andere behobene Problem ist ein Fehler, der Benutzer daran hinderte, eine Reparaturinstallation auf Windows 10 durchzuführen, wenn sie auf Windows 10 20H2 aktualisiert hatten. Das zugrunde liegende Problem war ein Problem mit von Microsoft gehosteten ISO-Images. Laut Windowslatest wird dies in den nächsten Dezember-Updates behoben.
Wenn Sie 2004 oder 20H2 noch nicht installiert haben, stellen Sie sicher, dass Ihr Antivirenanbieter beide Versionen vollständig unterstützt. Persönlich habe ich nach der Installation einer Funktion festgestellt, dass es besser ist, Antivirensoftware von Drittanbietern zu deinstallieren und sie dann erneut zu installieren. (Wenn Sie Windows 10 Home verwenden und keine Kontrolle über die Installation von Funktionsversionen haben, ist die Verwendung des nativen Windows Defender besser geeignet. Da Microsoft sein eigenes Antivirenprogramm auf seiner eigenen Plattform testet, eignet es sich besser für die zwei Mal pro Jahr stattfindende Aktualisierungsrate, die häufig bei Home-Versionen von Windows 10 auftritt.) Für eine bessere Kontrolle über Updates im Allgemeinen und Feature-Versionen von Windows 10 im Besonderen Ich empfehle immer ein Upgrade auf Windows 10 Professional.
Für den allgemeinen Gebrauch empfehle ich derzeit die Ausführung von Windows 10 1909 oder höher. Sein Vorgänger, 1903, wird am 8. Dezember außer Dienst gestellt. Ich habe keine Probleme mit der 2004-Version von Windows 10 festgestellt, aber das gilt nicht für alle Benutzer, insbesondere für diejenigen, die Antivirenprogramme von Drittanbietern verwenden. Denken Sie daran, dass Sie den Parameter „aimtreleaseversion“ verwenden können, um sicherzustellen, dass Sie auf einer bestimmten Version von Windows 10 bleiben.
Auch wenn es immer noch Probleme gibt, sehe ich zum jetzigen Zeitpunkt keine größeren Probleme, die mich dazu veranlassen würden, Sie dringend zu bitten, mit Aktualisierungen zurückzuhalten. Wenn ein Problem auftritt, wenden Sie sich wie immer an Askwoody.com.
KB4023057 schon?
Jedes Mal, wenn Microsoft eine neue Funktion veröffentlicht, muss es auch das alte braune KB4023057 neu herausgeben. Es stellt sicher, dass Ihr Computer betriebsbereit ist, indem es sicherstellt, dass Sie über genügend Festplattenspeicher verfügen und überprüft, ob Ihr Windows-Update zur Verarbeitung bereit ist. Wenn Sie es nicht sehen, ist das ein Zeichen dafür, dass Ihre Maschine für 20H2 bereit ist.
Sie können Ihren Netzwerkspeicher nicht sehen?
Wenn Sie ein Malwarebytes-Benutzer sind und Probleme haben, Ihren Netzwerkspeicher oder Ihre NAS-Geräte zu „sehen“, stellen Sie sicher, dass Sie die neueste Version von Malwarebytes verwenden. Sie haben kürzlich ein Problem behoben, bei dem Benutzer nach dem Upgrade auf CU19 die Verbindung (Sichtbarkeit) zum LAS oder zur Netzwerkumgebung verlieren.
Proaktive Office-Empfehlungen
Für diejenigen unter Ihnen, die Office 2010 immer noch verwenden, empfehle ich, nachdem wir glauben, dass es nicht mehr unterstützt wird, eine wichtige Änderung vorzunehmen, die einen großen Beitrag zu Ihrer Sicherheit leistet, wenn Sie es nach seiner Fertigstellung weiterhin verwenden. . Deaktivieren Sie Office-Makros vollständig. Klicken Sie auf die Registerkarte „Datei“, klicken Sie auf „Optionen“, dann auf „Trust Center“ und anschließend auf „Trust Center-Einstellungen“. Klicken Sie im Trust Center auf Makroeinstellungen. Wählen Sie die Einstellung „Alle Makros ohne Benachrichtigung deaktivieren“ oder stellen Sie sie zumindest auf „Alle Makros mit Benachrichtigung deaktivieren“ ein, sofern diese Werte nicht bereits festgelegt sind. Das Deaktivieren von Makros in Office 2010 und natürlich auch in allen anderen Office-Versionen trägt erheblich dazu bei, Angreifer daran zu hindern, auf Ihrem Computer Fuß zu fassen. Aktivieren Sie Makros nur, wenn Sie tatsächlich Office-Makros verwenden. Wenn nicht, lassen Sie sie am besten ausgeschaltet, insbesondere in Office 2010.
Kerberos-Probleme verwirren Unternehmensprüfer immer noch
Für diejenigen, die Unternehmensupdates in einer Domäne installieren und bereitstellen, in der ein Windows-Server als Domänencontroller fungiert, sind die November-Updates und ihre Auswirkungen auf Domänen für mich verwirrend. Windows-Domänen verwenden ein Protokoll namens „Kerberos“, um die Authentifizierung zwischen Arbeitsstationen und Servern, sogenannten Domänencontrollern, bereitzustellen. Die November-Updates enthielten einen Fix für CVE-2020-17049. Aufgrund dieser Sicherheitslücke frage ich mich, was ich tun soll, um sicherzustellen, dass ich geschützt bin. Die Sicherheitslücke hängt mit einer eingeschränkten Delegation zusammen, die in einer einzelnen Domäne oder Gesamtstruktur vorhanden sein kann. Wenn Sie den Federated Authentication Service in einer Citrix-Umgebung verwenden, gibt es ein bekanntes Problem, das nach der Installation des November-Patches zu Problemen führte. Aus diesem Grund hat Microsoft mehrere Out-of-Band-Updates veröffentlicht, um dieses Problem speziell für Server zu beheben. Aus diesem Grund hat Microsoft mehrere Out-of-Band-Updates veröffentlicht, um dieses Problem für Server zu beheben: Alle diese Updates beheben Kerberos-Authentifizierungsprobleme im Zusammenhang mit dem Registrierungsunterschlüsselwert PerformTicketSignature in CVE-2020-17049, der Teil von Windows 10 war November-Update. Sie alle müssen manuell auf Ihren Domänencontrollern installiert werden, wenn Sie von diesem Problem betroffen sind. Der verwirrende Teil für mich sind die Anweisungen im ursprünglichen Sicherheitsbulletin. Sie geben an, dass Sie zusätzlich zur Installation des Hotfixes den Registrierungsschlüssel PerformTicketSignature überprüfen sollten, der sich unter HKEY_LOCAL_MACHINE System CurrentControlSet Services Kdc befindet. (Auf meinem Domänencontroller war dieser Registrierungsschlüssel nicht vorhanden.) Das Bulletin fügt dann hinzu, dass der Registrierungsschlüsselwert standardmäßig 1 ist, wenn er nicht festgelegt ist, und fügt hinzu: „Wenn der Registrierungsschlüssel auf 1 gesetzt ist, stellen gepatchte Domänencontroller Diensttickets aus und gewähren Tickets (TGT), die nicht erneuerbar sind, und verweigern dies.“ zum Erneuern vorhandener Diensttickets und TGTs. Windows-Clients sind hiervon nicht betroffen, da sie Diensttickets oder TGTs nie erneuern. Kerberos-Clients dürfen von Drittanbieter-Clients Diensttickets oder TGTs, die von nicht gepatchten Domänencontrollern gekauft wurden, nicht erneuern. Wenn alle Domänencontroller gepatcht sind und die Registrierung auf 1 gesetzt ist „Drittanbieter-Clients erhalten keine verlängerbaren Tickets mehr.“ Bisher habe ich nur Updates installiert, ohne einen Registrierungsschlüssel hinzuzufügen. Ich freue mich auf eine bessere Beratung und werde Sie auf dem Laufenden halten, sobald ich die Problematik besser verstanden habe. Wenn Sie Probleme beim Aktualisieren haben, finden Sie uns wie immer unter Askwoody.com.
<p>Copyright © 2020 IDG Communications, Inc.</p>