Comments 58
А еще есть те, кто откатывает всякие глючные поделия, которые то сетевые принтеры уронят, то еще что-то сделают :)
Вот если б вы ещё известные проблемы в этих постах перечисляли с комментариями, что с ними предлагается делать простому админу, у которого внезапно на новый год почта отъехала, а при выходе на работу после праздников половина народу не смогла по удаленке зайти, цены бы вам не было. А просто постить об очередном patch thuesday... "ну, такое", как принято сейчас говорить. :)
По идее, этим должен сам разработчик заниматься, у них даже блог под это заведен: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center
Но делают они это, кхм, небрежно
Из-за того, что текущая модель поддержки жизненного цикла ОС Microsoft подразумевает накопительные пакеты обновлений, для того, чтобы закрыть одну из уязвимостей нужно установить кумулятивный пакет обновлений за текущий месяц. Так что нужный апдейт практически всегда это накопительный пакет или пакет со всеми обновлениями безопасности за текущий месяц. Иногда еще нужно установить внеочередные обновлений, как, например, в январе сего года.
Информация о выявленных потенциальных проблемах с установкой обновлений по своей природе динамична и постоянно изменяется. Я всегда даю ссылку на актуальный список обновлений KB из текущего релиза, с которыми связаны потенциальные проблемы. После релиза можно следить за обновленной информацией на портале Windows Release Health (он для этого и был создан) https://aka.ms/wri.
Это им вы уронили VPN?
Безопасно!
Как сделать компьютер безопасным? Работать через Линукс!
Разумеется, только под root :D
НО я говорю про другое... Работая в Линукс ты контролируешь свой компьютер. У тебя не возникает ощущения что "твой компьютер тебе не принадлежит".
Недавний кейс, который я поймал по поводу "уважения" к пользователю от MS. Я работаю в школе и к сожалению вынужден работать в Windows. Начинается урок, включаются компьютеры и один компьютер заявляет "Установлено обновление. Введите аккаунт". Я захожу в аккаунт - " Возможно, вы считаете, что это лишнее......но мы должны убедиться, что вы сможете получить код безопасности даже при утрате доступа к этой учетной записи. "
Да, чёрт побери!, я считаю это лишним. Я не считаю нужным доказывать, что я не верблюд особенно на системе, которая раз в четверть сносится на ноль. Я не хочу тратить время урока на ваши обновления безопасности. Я вообще хочу обходиться локальными учетными записями, но "Нельзя!". От того что MS собирает на меня досье, чтобы потом торговать данными на право и на лево, я должен терпеть такие унижения? Извините, но у вас система не бесплатная! Бесплатные системы ведут себя ГОРАЗДО приличнее.
Это тот баттхёрт который я поймал сейчас утром и пишу по горячим следам.
Довелось как-то работать в школе. Обновления ставились вручную, системы посреди урока никогда не просились перезагрузиться, винды не сносились (даже сделанные образы системы не пригодились). Что я делал не так?
И зачем мне "контроллировать свой компьютер", если я банально в НОРМАЛЬНЫЕ игрушки (а не гонки на пингвинах и кучу аналогов кваки) поиграть не могу? В те же AAA проекты, в WoW тот же?
Зачем взрослому человеку играть в игрушки? Нет, безусловно это ваше право, но не понимаю.
На линуксе так-то отлично работают AAA, лично играл в киберпанк2077 на манжаро.
А старые игры под Вайн часто идут лучше, чем на современных окнах.
Однако достаточно небольшая часть игра портируется и вайн не всегда является панацеей
https://www.protondb.com/ говорит, что 77% из топ-1000 игр по популярности имеют уровень поддержки gold (работают после небольших твиков), platinum (поддерживаются из коробки) или native (запускаются нативно, без wine/proton). Я бы не стал категорично заявлять, что отсутствие поддержки 23% игр на линуксе является блокером на переход туда.
Есть нюанс, что многие игроки на самом деле играют всегда в ОДНУ и ту же игру, а в остальные достаточно мало. И если её нет - то это блок. Самое печальное, что это чаще всего касается онлайн игр и срабатывания античита при запуске через вайн. Ну и есть разница между "ткнул в стиме установить, попил чай и играю" и потвикал в вайн. Хотите Вы или нет, но порог вхождения решает (понятно, что не в случае аудитории этого сайта)
Статистика из стим говорит, что на винде играют 81,74%. И каждый год доля линукса растёт :)
К вопросу об организации компьютеров общего пользования в школах есть возможностей автоматически откатывать все изменения, сделанные в течении рабочего сеанса, после перезагрузки ОС. То есть Вы делаете "золотой" образ ОС, настраиваете всё, что нужно, запускаете школьных "хакеров" на урок, после урока перезагружаете ОС и все изменения откатываются к "золотому" состоянию, настроенному администратору. Реализуется это за счет функции Unified Write Filer, которая есть в поставке Windows 10 Education, но не включена по умолчанию. Подробнее можно почитать в нашей статье Unified Write Filter (UWF) feature (unified-write-filter) | Microsoft Docs.
И пример подобной настройки Windows 10 Unified Write Filter с описанием процесса создания исключений для конкретных папок и файлов в системе общего пользования (киоске) Set up a kiosk environment using Unified Write Filter (UWF) in Windows 10 | by Jason Corchuelo | Tulpep | Medium.
Закрытые важные уязвимости:
CVE-2022-21849 — Windows IKE Extension Remote Code Execution Vulnerability (CVSS 9.8)
Поломался IPsec.
CVE-2022-21901 — Windows Hyper-V Elevation of Privilege Vulnerability (CVSS 9.0)
Поломался Hyper-V.
CVE-2022-21893 — Remote Desktop Protocol Remote Code Execution Vulnerability (CVSS 8.8)
CVE-2022-21850 — Remote Desktop Client Remote Code Execution Vulnerability (CVSS 8.8)
Поломался RDP (см. Known issues)
При изучении остального списка возникают мысли о потенциальных проблемах с Active Directory и еще бог знает с чем. Печально.
КД с Windows Server 2012 R2 перезагружаются раз в 3 минуты после установки KB5009624. Плюс потеря данных на ReFS.
Потенциальные проблемы с перезагрузкой КД после установки обновлений задокументированы здесь:
Windows Server 2022 | Microsoft Docs
Windows 10, version 20H2 and Windows Server, version 20H2 | Microsoft Docs
Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs
Стоит отметить, что проблема проявляется далеко не всегда. Например, на КД WS2016 и более новых версия проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей (shadow principals), которые в свою очередь используются в редких сценариях PIM/PAM (Red Forest/ESAE).
В любом случае, подобные риски можно адресовать стандартной процедурой тестирования и верификации обновлений ПО перед их установкой на сисетмы производственной среды. Тем на контроллеры домена AD и другие системы Tier 0.
"... на нашем портале Security Update Guide " - 404
Такое ощущение, что Windows - это не целостный продукт, а карточный домик скрепленный скотчем и костылями: починка одного бага рушит все вокруг. В какой-то момент в погоне за скоростью разработки был нарушен принцип "Low coupling and high cohesion".
Пожалуйста, мистер "CISSP, CCSP, MCSE, Certified Azure Security Engineerстарший руководитель программ ИБ в странах Центральной и Восточной ЕвропыMicrosoft", передайте вашим мистерам разработчикам, чтобы они ответственнее относились к работе. И наймите обратно тестировщиков. Качество трещащих по швам продуктов вашей компании становится притчей во языцех.
Народ пишет что KB5009624 ломает Hyper-V на некоторых OS
Потенциальная проблема с Hyper-V ВМ на системах с UEFI, работающих на Windows Server 2012/2012 R2 задокументирована здесь: Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs
Её задокументировали только вчера (?) вечером, а сами патчи до сих пор не отозвали.
Задокументировали после тщательного анализа и верификации через сутки. Почему патчи вдруг должны быть отозваны?
Первые жалобы появились 11 числа почти сразу выхода обновления. В патчах критический баг, который ломает контроллеры домена.
Тут нужно понимать, что старт подробного анализа проблемы начинается не с поста на реддит, а с нескольких кейсов, заказчиков в службе поддержки вендора. Также на анализ, воспроизведение и triage также нужно время.
Потенциальная проблема проявляется далеко нге во всех случаях. В частности на КД WS2016+ проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей, которые в свою очереднь использовать в редких сценариях PIM (Red forest/ESAE).
Не могу не упоминуть, что обновления для КД должны всесторонне тестироваться и верифицироваться в тестовой и staging средах ПЕРЕД установкой на КД в производственной среде.
Меня больше интересует 2012 R2, а про поддержку совсем несерьёзно - какой процент заказчиков имеет контракт с премьер-саппортом? 0.02%?
С тестированием тоже не всё так просто - каждый второй вторник месяца в новостях рассказывают про СТРАШНЫЕ уязвимости, которые надо НЕМЕДЛЕННО закрывать. И после HAFNIUM Attack воспринимаешь это всерьёз, так как иногда счёт идёт на часы пока хакеры реверсят патчи.
Судя по нашим данным, для 2012 R2 проблема с LSASS проявляется реже. Также считаю необходимым напомнить, что для Windows Server 2012 R2 закончилась основная фаза поддержки и стоит планировать минрацию на более новые версии.
Любые изменения, вносимые в инфраструктуру должны быть предварительно протестированы и верифицированы перед внесением в производственную среду. Тем более для КД и других систем уровня Tier 0. В данном случае, задача приоритезации уязвимостей и установки закрывающих их обновлений безопасности реализуется на стыке дисциплин patch management + vulnerability management.
А декабрьские, которые рдп роняют и черные экраны вызывают?
Не совсем понятен Ваш вопрос (если это вопрос).
Так же и по проблеме с Hyper-V интересует. Не знаю правда насколько она массовая. Но вот по IPsec'у в этом точно сомневаться не приходится.
Потенциальная проблема с некоторыми подключениями IPSec VPN задокументирована в соответствующих статьях базы знаний.
Проблема проявляется далеко не всегда и не для всех VPN-подключений: "After installing KB5009566, IP Security (IPSEC) connections which contain a Vendor ID might fail". Также присутствует информация о workaround на время разрешения проблемы.
Windows 11 known issues and notifications | Microsoft Docs
Windows 10, version 21H2 | Microsoft Docs
Windows 10, version 21H1 | Microsoft Docs
Потенциальная проблема с Hyper-V ВМ на системах с UEFI, работающих на Windows Server 2012/2012 R2 задокументирована здесь: Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs
За что так обделили пользователей Win 10 LTSC 1809 и 2019-го сервера? Я понимаю, что это вероятно ошибка и просто забыли. Но номера-то нам надо где-то взять.
В каталоге тоже пока пусто, может 2019 не затронуло или наоборот проблема оказалсь сложнее?
Сразу не заметил исправлений для 7 и 2008 (не R2, а Vista), значит баг есть везде и надо ещё подождать.
Внеочередные фиксы потенциальных проблем с перезагрузкой серверов 2008/2008 R2 (только для заказчиков с действующим контрактом Extended Security Updates, ESU):
KB5010798: Out-of-band update for Windows 7 SP1 and Server 2008 R2 SP1: January 17, 2022 (microsoft.com)
KB5010799: Out-of-band update for Windows Server 2008 SP2: January 17, 2022 (microsoft.com)
Ссылка на KB5010791 уже появилась в known issues, значит скоро файл расползётся по CDN и перестанет выдавать 404.
Для Windows 10, version 1809/Windows Server 2019 обновления пока не доступны. Как только будет информация - опубликую, так что следите за комментариями.
Важно! Доступны внеочередные обновления для решения потенциальных проблем с Windows 10 Enterprise 2019 LTSC, Windows 10 IoT Enterprise 2019 LTSC, Windows Server 2019 January 18, 2022—KB5010791 (OS Build 17763.2458) Out-of-band (microsoft.com)
В данный момент обе проблемы в указанной статье имеют статус "Разрешена":
Patch Tuesday: Microsoft выпустила январские обновления безопасности