No estoy listo para dar una respuesta clara a los parches de seguridad lanzados el 12 de enero, y quiero alertarle sobre una actualización específica que afecta a los servidores HyperV y algunas estaciones de trabajo para consumidores.
KB4535680, auch bekannt als Sicherheitsupdate für Secure Boot DBX vom 12. Januar 2021, bietet Verbesserungen für Secure Boot DBX für mehrere unterstützte Versionen von Windows. Dazu gehört Windows Server 2012 x64 Bit; Windows Server 2012 R2 x64-Bit; Windows 8.1 x64 Bit; Windows Server 2016 x64 Bit; Windows Server 2019 x64 Bit; Windows 10, Version 1607 x64 Bit; Windows 10; Version 1803 x64 Bit; Windows 10, Version 1809 x64 Bit; und Windows 10, Version 1909 x64 Bit. Die wichtigsten Änderungen betreffen Windows-Firmware-Geräte, die auf dem Unified Extensible Firmware Interface (UEFI) basieren und mit aktiviertem Secure Boot funktionieren können. » Secure Boot Banned Signature Database (DBX) verhindert das Laden schädlicher UEFI-Module; Dieses Update fügt zusätzliche Module hinzu, um böswillige Angreifer zu blockieren, die die Schwachstelle erfolgreich ausnutzen, Secure Boot umgehen und nicht vertrauenswürdige Software laden könnten.
In der Patch-Beschreibung heißt es: „Wenn Windows Defender Credential Guard (Virtual Safe Mode) aktiviert ist, wird Ihr Gerät zweimal neu gestartet.“ Obwohl dies kein bekanntes Problem zu sein scheint, habe ich festgestellt, dass ein Server mit aktiviertem HyperV die Integrität meiner VMs beeinträchtigt. In meinem Fall wurden die VMs durch einen Neustart des Hostservers zweimal in einem gespeicherten Zustand hochgefahren.
Als allgemeine Faustregel gilt: Beim Patchen eines HyperV-Hostservers ist es in Ordnung, die zugrunde liegenden gehosteten VMs „ihr Ding machen“ zu lassen. Wenn der HyperV-Host neu gestartet wird, kann die virtuelle Maschine standardmäßig so konfiguriert werden, dass sie wieder online geht; Das System unterbricht den Hyper-V-Verwaltungsserver vorübergehend, startet die Hostmaschine neu und startet nach dem Neustart die virtuellen Maschinen neu. Es ist normal, dass ich meine virtuellen Maschinen laufen lasse, während ich den Hostserver neu starte. In diesem Fall kehrten die virtuellen Maschinen beim Neustart des HyperV-Hosts nicht in den Betriebszustand zurück. Ich musste den HyperV-Host ein drittes Mal neu starten, ihn vollständig ausschalten und ihn dann manuell wieder einschalten, um meine VMs wieder einzuschalten.
Wenn Sie dieses Update auf HyperV-Servern installieren, planen Sie zunächst, die virtuelle Maschine manuell auszuschalten. Dadurch wird sichergestellt, dass sich die virtuellen Maschinen in einem stabilen Zustand befinden und vor der Installation des Patches ausgeschaltet werden.
Historisch gesehen haben diese DBX-Updates selbst auf Verbrauchermaschinen nicht gut funktioniert. Frühere Updates verursachten Probleme auf HP-Systemen, auf denen nicht die neuesten BIOS-Updates installiert waren. In einem im Februar 2020 veröffentlichten Dokument erläuterte HP das Problem detailliert. (HP und Microsoft weisen darauf hin, dass „Wenn das neueste unterstützte BIOS nicht auf dem System installiert ist, die Installation von Windows 2004, Windows 2004 Update oder KB4524244 oder KB4535680 für das System blockiert sein kann.“ „Installation oder Download“).
Was kann ein Geek oder sogar ein Nicht-Geek tun? Denken Sie daran, dass Sie KB4535680 sorgfältig prüfen sollten, bevor Sie es auf Ihren HyperV-Servern installieren, wenn Sie ein Enterprise-Patcher mit Tools wie WSUS sind, mit denen Sie Updates steuern und genehmigen können. Wenn Sie der Meinung sind, dass Sie dies aufgrund Ihrer Sicherheitspraktiken implementieren müssen, empfehle ich Ihnen, alle virtuellen Maschinen auf Ihrem HyperV-Server manuell auszuschalten, bevor Sie fortfahren.
Bitte bedenken Sie für Heimanwender, Verbraucher und andere unabhängige Patcher, dass BIOS-Updates insbesondere auf der Windows 10-Plattform äußerst wichtig sind. Vor Jahren habe ich Systeme installiert und nach der Ersteinrichtung niemals das BIOS aktualisiert. Jetzt gehe ich vor jeder Funktionsveröffentlichung auf die Website meines Computerherstellers und lade das neueste BIOS-Update herunter. Wenn Sie noch Windows 10 1909 verwenden und es vorerst überspringen möchten, verwenden Sie das Wushowhide-Tool, um das Update auszublenden. Wenn Sie Version 2004 oder höher verwenden, ist der Code bereits enthalten; Daher wird Ihnen dieses Update nicht angeboten.
Fazit, insbesondere für Serveradministratoren: Dies ist ein Update, das ich Ihnen empfehle, zu ignorieren, es sei denn, Sie benötigen es eindeutig. Das Risiko für Ihre virtuellen Maschinen ist meiner Meinung nach viel größer als das Risiko eines Angriffs.
<p>Copyright © 2021 IDG Communications, Inc.</p>