bl0cks1z3
Goto Top

Nach KB4103718 RDP auf Windows 2003 Server

Hallo Admins,

im KB4103718 ist ja der Patch für den RDP-Server und Client enthalten.

Wir haben aber noch Windows 2003 Server, auf denen ein Leitsystem mit InTouch usw. läuft.

Die Herstellerfirma des Leitsystems hat uns darauf hingewiesen, dass sich nach der Installation von KB4103718 niemand mehr mit dem Windows 2003 Server per RDP verbinden kann.

Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.

Gibt es vielleicht für diesen Problem einen Workarround?

Vielen Dank!

Content-Key: 375054

Url: https://administrator.de/contentid/375054

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 25.05.2018 um 10:53:36 Uhr
Goto Top
Mitglied: Hubert.N
Lösung Hubert.N 25.05.2018 um 11:42:33 Uhr
Goto Top
Moin face-smile

Die Frage ist ein wenig fragwürdig ;)

Die Antwort ist aber ganz einfach: "Pest oder Cholera". Das Beste aus zwei Welten wirst du nicht bekommen. Für den Server wird es kein Update mehr geben und die Clients werden nach der Installation erst einmal keine Verbindung mehr aufbauen können.

Über eine GPO (Computer\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation -> vulnarable) lässt sich das Problem quasi per Richtlinie erste einmal deaktivieren. Aber das ist ja auch nicht wirklich die Lösung und dafür gedacht, kurzfristig wieder eine Kommunikation zu ermöglichen (unter Inkaufnahme des Sicherheitsproblems).

Gruß
Mitglied: Bl0ckS1z3
Bl0ckS1z3 25.05.2018 um 11:45:17 Uhr
Goto Top
Und?

Ich kenne den Artikel!
Der beantwortet meine Frage aber auch nicht. Ich fürchte Du hast die nicht mal richtig durchgelesen.

...
Mitglied: Bl0ckS1z3
Bl0ckS1z3 25.05.2018 aktualisiert um 11:49:44 Uhr
Goto Top
Zitat von @Hubert.N:

Moin face-smile

Die Frage ist ein wenig fragwürdig ;)

Die Antwort ist aber ganz einfach: "Pest oder Cholera". Das Beste aus zwei Welten wirst du nicht bekommen. Für den Server wird es kein Update mehr geben und die Clients werden nach der Installation erst einmal keine Verbindung mehr aufbauen können.

Über eine GPO (Computer\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation -> vulnarable) lässt sich das Problem quasi per Richtlinie erste einmal deaktivieren. Aber das ist ja auch nicht wirklich die Lösung und dafür gedacht, kurzfristig wieder eine Kommunikation zu ermöglichen (unter Inkaufnahme des Sicherheitsproblems).

Gruß

Naja, man könnte wenigstens die paar Clients die noch auf den Server zugreifen müssen damit wieder funktionsfähig schalten und das Groh mit Patches versehen.
Das ist doch schon mal eine Lösung für den Übergang

Vielen Dank!
Mitglied: Bl0ckS1z3
Bl0ckS1z3 25.05.2018 um 12:04:42 Uhr
Goto Top
Weiß jemand noch den entsprechenden Registryeintrag, falls man das nicht über GPO einstellen möchte?
Mitglied: Hubert.N
Hubert.N 25.05.2018 um 12:11:18 Uhr
Goto Top
Ja...

Ein wenig mehr Eigeninitiative könne aber nun wirklich nicht schaden...

Aber fall Du gerade ein problem mit dem Tippen hast: https://www.google.com/search?q=encryption+oracle+remediation+registry&a ...
Mitglied: Spirit-of-Eli
Spirit-of-Eli 25.05.2018 um 12:12:58 Uhr
Goto Top
Zitat von @Bl0ckS1z3:

Und?

Ich kenne den Artikel!
Der beantwortet meine Frage aber auch nicht. Ich fürchte Du hast die nicht mal richtig durchgelesen.

...

Bitte? Der Artikel beschreibt genau das gleich wie die anderen Kollegen..
Mitglied: em-pie
em-pie 25.05.2018 um 13:12:22 Uhr
Goto Top
Moin,

mal so eine andere Frage und ohne eure genaue Infrastruktur zu kennen:
Muss es zwingend RDP sein?

Kann man nicht auf so Dinge wie VNC/ Radmin o.Ä. zurückgreifen?

Gruß

em-pie
Mitglied: Dani
Dani 26.05.2018, aktualisiert am 28.05.2018 um 21:59:28 Uhr
Goto Top
Moin,
Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.
ist aber auch nicht so, dass Windows Server 2003 gestern abgekündigt wurde. face-confused Manchmal versteh ich es nicht...


Gruß,
Dani
Mitglied: Bl0ckS1z3
Bl0ckS1z3 28.05.2018 aktualisiert um 06:59:13 Uhr
Goto Top
Zitat von @Dani:

Moin,
Ich habe den Patch deshalb bis jetzt noch zurück gehalten, aber das kann natürlich kein Dauerzustand bleiben.
Die 2003er bekommen wir aber auch nicht von Heute auf Morgen hochgezogen und wir brauchen aber den RDP-Zugang.
ist aber auch nicht so, dass Windows Server 2003 gestern abgekündigt wurde. face-confused Manchmal versteh ich es nicht...


Gruß,
Dani
Es ist vollkommen richtig, dass genug Zeit war alle Systeme vom 2003er Server zu befreien. Hier handelt es sich aber um eine Leitsystem-Lösung. Das Upgraden ist eine sehr kostspielige Angelegenheit, ohne das man in irgend einer Weise den Funktionsumfang erweitert.
Das Patchen und Upgraden von solchen Systemen gleicht schon immer einem Paradoxon.

Aus Sicht der Automatisierungs-Leute soll das System auf dem Stand bleiben, für das die Automatisierungs-Software vom Hersteller freigegeben ist. Hier soll möglichst garnicht gepatcht werden und die Systeme vom öffentlichen Netz isoliert bleiben.

Die Anwender wollen ein funktionierendes Leitsystem, auf das man von überall drauf zugreifen kann.

Wir Admins wollen sichere gepatchte Systeme immer auf dem neuesten Stand.

Und da liegt der Hase im Pfeffer. Das lässt sich nicht unter einen Hut bringen.

Je nach dem mit Wem von diesen Leuten gerade spricht, dreht man sich nur im Kreis.

Wie Hubert schon schrieb, "Pest oder Cholera".

Ich habe schon auf beiden Seiten gearbeitet, sowohl als Programmierer für Steuerungssysteme (Aprol von B&R) als auch als Admin.
Und ich kann sogar beide Seiten verstehen.
Das Problem ist eigentlich, dass die Industrie z.B. Siemens überhaupt nicht auf den erhöhten Sicherheitsbedarf der Steuerungsgeräte reagiert.
Hier wird einzig und alleine die funktionierende Steuerung in den Vordergrund gestellt.
Und das verkauft sich auch noch wie geschnitten Brot.
Bei Aktualisierungen werden Lizenzgebühren jenseits von Gut und Böse fällig.
Da sind mal Ruck Zuck 200.000 € verbrannt und wie gesagt ohne nur eine Funktion mehr zu haben.
Das lässt sich bei den Kaufleuten nicht so gut darstellen, wie z.B. ein neuer Firmenwagen face-wink.