Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Tipp Sicherheit

Meltdown und Spectre How To

Mitglied: sabines

sabines (Level 2) - Jetzt verbinden

10.01.2018, aktualisiert 18.01.2018, 1935 Aufrufe, 6 Kommentare, 5 Danke

Hi,

es sind hierzu schon zahlreiche Hinweise und Tips hier im Forum eingegangen, ich möchte diese hier bündeln und bedanke mich gleichzeitg bei den ganzen Erstellern.

Es handelt sich genau genommen um drei Lücken, die per Software Update geschlossen werden können, wobei bei einer der Lücken (Spectre) jedoch zusätzlich immer ein Firmware/Microcode/BIOS Update nötig ist. Hier sind wir von den Herstellern und deren Bereitschaft ein solches (auch für ältere) PCs bereitzustellen abhängig.

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ...

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Im Link ist auch ein Powershell Script enthalten, mit dem nach den Updates und dem Setzen der Reg Keys (und Neustarts) der Status geprüft werden kann.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...

Kommt es zur Meldung "Spectre: bti Mitigation disabled by absence of hardware support" dann fehlt noch das passende Firmware Update.
https://www.administrator.de/frage/spectre-bti-mitigation-disabled-by-ab ...

Das Powershell Script lässt sich mitunter nicht automatisch installieren (W7) dann einfach per copy paste ausführen und aufrufen.

Unter AMD kommt es bisweilen zu Problemen mit dem Update (BOSD), hier muss das Update dann deinstalliert werden.
Das Update wurde zwischenzeitlich für AMD zurückgezogen.
https://www.borncity.com/blog/2018/01/09/amd-gau-av-rger-neues-zu-window ...

18.01.2018
Für AMD CPU scheint es ein Update zu geben:
https://www.administrator.de/wissen/update-kb4073578-amd-cpu-spectre-mel ...

Hinweise zu Intels Update Politik finden sich hier
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patch ...

Das Durchführen dieser Maßnahmen kann zu unterschiedlich großen Performance Einbußen führen:
https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-M ...

In virtuellen Umgebungen muss zusätzlich das Host OS gepatched und auch hier die Firmware des Hosts aktualisiert werden.
Bspw für VMware https://www.administrator.de/wissen/vmware-updates-verf%C3%BCgbar-360546 ...

Ich hoffe es fehlt nichts?
Gruss

Hinweis auf Update für AMD hinzugefügt
Mitglied: VGem-e
10.01.2018 um 08:47 Uhr
Moin,

evtl. kann ja ein Forenadmin das Teil oben anpinnen, falls dies geht!!

Gruß
Bitte warten ..
Mitglied: C.R.S.
10.01.2018, aktualisiert um 22:52 Uhr
Zitat von sabines:

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.

Auf Clients mit Hyper-V muss zum Schutz der VMs auch der Wert MinVmVersionForCpuBasedMitigations gesetzt werden.

Die beiden anderen für Server empfohlenen Settings erzwingen nur das Standardverhalten der Clients. Man kann die Werte also einfach auf alle Maschinen ausrollen.

Grüße
Richard
Bitte warten ..
Mitglied: Philipp711
13.01.2018 um 15:23 Uhr
Vielen Dank für die Zusammenfassung!

Eine kurze Frage:


Zitat von sabines:

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

Auf unseren Hyper-V-Cluster-Nodes ist gar keine AV-Lösung installiert - folglich wurde der Key nicht gesetzt und die Updates stehen nicht zur Verfügung...kann man den Key in diesem Fall händisch setzen?
Bitte warten ..
Mitglied: FA-jka
14.01.2018 um 16:22 Uhr
Hallo,

Zitat von Philipp711:

kann man den Key in diesem Fall händisch setzen?

Genau diese Frage wird doch auf der oben verlinkten Seite https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ... beantwortet?

Gruß,
Jörg
Bitte warten ..
Mitglied: Philipp711
14.01.2018 um 18:18 Uhr
Richtig lesen hilft...danke!
Bitte warten ..
Mitglied: viragomann
18.01.2018, aktualisiert um 17:02 Uhr
Hallo,

interessant finde ich, dass ohne diesen Reg-Key es gar kein Sicherheitsupdate des Jänner Patch-Days gibt.
Weder eines für den IE11, noch eines für die Visual C++ Runtime.

Es gab allerdings ein .NET-Update, das nicht als "Sicherheitsupdate" deklariert war.

Was macht das für einen Sinn?

Grüße


Edit:

Schönen Dank noch an sabines für die übersichtlich, kompakte Zusammenstellung.
Bitte warten ..
Ähnliche Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit29 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Linux
Meltdown und Spectre: Linux Update
Information von FrankLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Sicherheit
Meltdown und Spectre: Realitätscheck
Information von FrankSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Erkennung und -Abwehr
Sicherheitslücke Spectre und Meltdown: Status prüfen
Anleitung von FrankErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen7 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...