Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Meltdown und Spectre How To

Mitglied: sabines

sabines (Level 3) - Jetzt verbinden

10.01.2018, aktualisiert 18.01.2018, 3243 Aufrufe, 6 Kommentare, 5 Danke

Hi,

es sind hierzu schon zahlreiche Hinweise und Tips hier im Forum eingegangen, ich möchte diese hier bündeln und bedanke mich gleichzeitg bei den ganzen Erstellern.

Es handelt sich genau genommen um drei Lücken, die per Software Update geschlossen werden können, wobei bei einer der Lücken (Spectre) jedoch zusätzlich immer ein Firmware/Microcode/BIOS Update nötig ist. Hier sind wir von den Herstellern und deren Bereitschaft ein solches (auch für ältere) PCs bereitzustellen abhängig.

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ...

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Im Link ist auch ein Powershell Script enthalten, mit dem nach den Updates und dem Setzen der Reg Keys (und Neustarts) der Status geprüft werden kann.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...

Kommt es zur Meldung "Spectre: bti Mitigation disabled by absence of hardware support" dann fehlt noch das passende Firmware Update.
https://www.administrator.de/forum/spectre-bti-mitigation-disabled-by-ab ...

Das Powershell Script lässt sich mitunter nicht automatisch installieren (W7) dann einfach per copy paste ausführen und aufrufen.

Unter AMD kommt es bisweilen zu Problemen mit dem Update (BOSD), hier muss das Update dann deinstalliert werden.
Das Update wurde zwischenzeitlich für AMD zurückgezogen.
https://www.borncity.com/blog/2018/01/09/amd-gau-av-rger-neues-zu-window ...

18.01.2018
Für AMD CPU scheint es ein Update zu geben:
https://www.administrator.de/wissen/update-kb4073578-amd-cpu-spectre-mel ...

Hinweise zu Intels Update Politik finden sich hier
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patch ...

Das Durchführen dieser Maßnahmen kann zu unterschiedlich großen Performance Einbußen führen:
https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-M ...

In virtuellen Umgebungen muss zusätzlich das Host OS gepatched und auch hier die Firmware des Hosts aktualisiert werden.
Bspw für VMware https://www.administrator.de/wissen/vmware-updates-verf%C3%BCgbar-360546 ...

Ich hoffe es fehlt nichts?
Gruss

Hinweis auf Update für AMD hinzugefügt
Mitglied: VGem-e
10.01.2018 um 08:47 Uhr
Moin,

evtl. kann ja ein Forenadmin das Teil oben anpinnen, falls dies geht!!

Gruß
Bitte warten ..
Mitglied: C.R.S.
10.01.2018, aktualisiert um 22:52 Uhr
Zitat von sabines:

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.

Auf Clients mit Hyper-V muss zum Schutz der VMs auch der Wert MinVmVersionForCpuBasedMitigations gesetzt werden.

Die beiden anderen für Server empfohlenen Settings erzwingen nur das Standardverhalten der Clients. Man kann die Werte also einfach auf alle Maschinen ausrollen.

Grüße
Richard
Bitte warten ..
Mitglied: Philipp711
13.01.2018 um 15:23 Uhr
Vielen Dank für die Zusammenfassung!

Eine kurze Frage:


Zitat von sabines:

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

Auf unseren Hyper-V-Cluster-Nodes ist gar keine AV-Lösung installiert - folglich wurde der Key nicht gesetzt und die Updates stehen nicht zur Verfügung...kann man den Key in diesem Fall händisch setzen?
Bitte warten ..
Mitglied: FA-jka
14.01.2018 um 16:22 Uhr
Hallo,

Zitat von Philipp711:

kann man den Key in diesem Fall händisch setzen?

Genau diese Frage wird doch auf der oben verlinkten Seite https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ... beantwortet?

Gruß,
Jörg
Bitte warten ..
Mitglied: Philipp711
14.01.2018 um 18:18 Uhr
Richtig lesen hilft...danke!
Bitte warten ..
Mitglied: viragomann
18.01.2018, aktualisiert um 17:02 Uhr
Hallo,

interessant finde ich, dass ohne diesen Reg-Key es gar kein Sicherheitsupdate des Jänner Patch-Days gibt.
Weder eines für den IE11, noch eines für die Visual C++ Runtime.

Es gab allerdings ein .NET-Update, das nicht als "Sicherheitsupdate" deklariert war.

Was macht das für einen Sinn?

Grüße


Edit:

Schönen Dank noch an sabines für die übersichtlich, kompakte Zusammenstellung.
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von FrankSicherheit36 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Linux

Meltdown und Spectre: Linux Update

Information von FrankLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Sicherheit

Meltdown und Spectre: Der Damm wird brechen

Information von FrankSicherheit33 Kommentare

Der aktuelle Verlauf beim Thema Meltdown und Spectre ist aus IT-Sicht besorgniserregend. Auch wenn viele User denken, dass Meltdown ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von FrankErkennung und -Abwehr3 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Neue Wissensbeiträge
iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 4 StundeniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 7 StundenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Apple

Apple aktualisiert MacBook Pro, mit bis zu sechs Kernen

Information von Vision2015 vor 2 TagenApple

Jawohlchen das Warten hat sich gelohnt :-) Apple aktualisiert MacBook Pro Frank

Verschlüsselung & Zertifikate

In-place Upgrade verschlüsselter Windows-Systeme mittels reflectdrivers

Tipp von DerWoWusste vor 4 TagenVerschlüsselung & Zertifikate1 Kommentar

Hinter diesem sperrigen Titel verbirgt sich die Info, dass offenbar seit Win10 v1607 im Windows-Setup (setup.exe der CD/des USB-Sticks) ...

Heiß diskutierte Inhalte
Microsoft
Dringend: Nach neustart kein zugriff mehr per RDP möglich - vermutlich wegen gelöschter SID in AD
gelöst Frage von sven784230Microsoft29 Kommentare

Hallo zusammen, gerade hat ein Server 2012 (terminalserver + Active directory) einen geplanten Neustart durchgeführt, wenn ich mich jetzt ...

Hardware
Alte Hardware verkaufen
Frage von Lebowski23Hardware21 Kommentare

Hallo, durch größere Umbauten haben einiges an Hardware "rumliegen", die wir vielleicht noch verkaufen wollen. Es sind so ca. ...

Exchange Server
Exchange 2013 - Update schlägt fehlt
gelöst Frage von chb1982Exchange Server20 Kommentare

Hallo zusammen, kann sich jemand einen Reim auf die unten stehenden Fehlermeldung machen? Sie tritt auf beim Update von ...

Windows Server
Active Directory Probleme DC sieht sich nicht selbst als DC DNS Fehler?
gelöst Frage von Cisco7971Windows Server15 Kommentare

Moin zusammen, Angefangen hat die Suche damit, dass der Anmeldedienst immer angehalten wird, bei einem Neustart des DC. nach ...