Der Patch-Dienstag-Fokus für April: Windows und Exchange (wieder)
Microsoft hat diese Woche eine breite Reihe von Updates für die Windows-Ökosysteme bereitgestellt. Inzwischen sind vier Sicherheitslücken bekannt geworden, die Windows betreffen, und eine angeblich ausgenutzte Sicherheitslücke betrifft den Windows-Kernel.
Am Dienstag hat Microsoft eine weitere breite Reihe von Updates in seinen Windows-Ökosystemen eingeführt, darunter vier öffentlich bekannt gewordene Sicherheitslücken in Windows und eine angeblich bereits ausgenutzte Sicherheitslücke, die den Windows-Kernel betrifft. Das bedeutet, dass die Windows-Updates unsere höchste Bewertung „Jetzt patchen“ erhalten, und wenn Sie Exchange-Server verwalten müssen, beachten Sie, dass das Update zusätzliche Berechtigungen und zusätzliche Schritte erfordert.
Es sieht auch so aus, als ob Microsoft mit dem Windows Update for Business Service eine neue Möglichkeit angekündigt hat, Updates auf jedem Gerät bereitzustellen, egal wo es sich befindet. Weitere Informationen zu diesem Cloud-basierten Verwaltungsdienst finden Sie in diesem Microsoft-Video oder in diesen Computerworld-FAQ. Ich habe eine hilfreiche Infografik beigefügt, die diesen Monat (wieder) etwas schief aussieht, da die gesamte Aufmerksamkeit auf die Windows- und Exchange-Komponenten gerichtet werden sollte.
Wichtige Testszenarien
Aufgrund der großen Aktualisierung des Dienstprogramms Datenträgerverwaltung in diesem Monat (die wir als hochriskant einstufen) empfehlen wir, die Partitionsformatierung und Partitionserweiterungen zu testen. Das Update dieses Monats enthält auch Änderungen an den folgenden Windows-Komponenten mit geringerem Risiko:
[Verwandt: So ersetzen Sie Edge als Standardbrowser in Windows 10 – und warum Sie es nicht tun sollten]
Überprüfen Sie, ob TIFF-, RAW- und EMF-Dateien aufgrund von Änderungen in den Windows-Codecs korrekt gerendert werden.
Testen Sie Ihre VPN-Verbindungen.
Testen Sie das Erstellen von virtuellen Maschinen (VMs) und das Anwenden von Snapshots.
Testen Sie das Erstellen und Verwenden von VHD-Dateien.
Stellen Sie sicher, dass alle Anwendungen, die auf die Microsoft Speech API angewiesen sind, wie erwartet funktionieren.
Der Windows Servicing Stack (einschließlich Windows Update und MSI Installer) wurde diesen Monat mit CVE-2021-28437 aktualisiert, sodass größere Bereitstellungen möglicherweise einen Test der Installations-, Aktualisierungs-, Selbstreparatur- und Reparaturfunktionen in ihr Anwendungsportfolio aufnehmen möchten.
Bekannte Probleme
Jeden Monat stellt Microsoft eine Liste bekannter Probleme bereit, die sich auf das Betriebssystem und die Plattformen dieses Aktualisierungszyklus beziehen. Ich habe auf einige wichtige Probleme verwiesen, die sich auf die neuesten Builds von Microsoft beziehen, darunter:
Wenn Sie den Microsoft Japanese Input Method Editor (IME) verwenden, um Kanji-Zeichen in eine App einzugeben, die automatisch die Eingabe von Furigana-Zeichen zulässt, erhalten Sie möglicherweise nicht die richtigen Furigana-Zeichen. Möglicherweise müssen Sie die Furigana-Zeichen manuell eingeben. Darüber hinaus erhalten Geräte mit einigen installierten asiatischen Sprachpaketen nach der Installation von KB4493509 möglicherweise den Fehler „0x800f0982 - PSFX_E_MATCHING_COMPONENT_NOT_FOUND“. Microsoft arbeitet an einer Lösung und wird in einer kommenden Version ein Update bereitstellen.
Bei Geräten mit Windows-Installationen, die aus benutzerdefinierten Offlinemedien oder benutzerdefinierten ISO-Images erstellt wurden, wird Microsoft Edge Legacy möglicherweise durch dieses Update entfernt, jedoch nicht automatisch durch das neue Microsoft Edge ersetzt. Wenn Sie den neuen Edge für Unternehmen umfassend bereitstellen müssen, lesen Sie Herunterladen und Bereitstellen von Microsoft Edge für Unternehmen.
Nach der Installation von KB4467684 kann der Clusterdienst möglicherweise nicht mit dem Fehler „2245 (NERR_PasswordTooShort)“ gestartet werden, wenn die Gruppenrichtlinie „Mindestkennwortlänge“ mit mehr als 14 Zeichen konfiguriert ist.
Sie finden die Zusammenfassung bekannter Probleme von Microsoft für diese Version auf einer einzigen Seite.
Wichtige Überarbeitungen
Für diesen April-Update-Zyklus hat Microsoft eine einzige große Überarbeitung veröffentlicht:
EMPFOHLENE WHITEPAPER
Verbesserung des Oberflächenmanagements für menschliche Angriffe
Vereinfachte Cloud-Migration: Eine Schritt-für-Schritt-Anleitung für den Weg in die Cloud!
Sich entwickelndes Team-Management: Verlagerung des Fokus vom Tagesgeschäft auf die Microsoft-Teams
CVE-2020-17049 – Sicherheitsanfälligkeit in Kerberos KDC-Sicherheitsfunktion umgehen: Microsoft veröffentlicht Sicherheitsupdates für die zweite Bereitstellungsphase für diese Sicherheitsanfälligkeit. Microsoft hat einen Artikel (KB4598347) zum Verwalten dieser zusätzlichen Änderungen an Ihren Domänencontrollern veröffentlicht.
Abschwächungen und Problemumgehungen
Derzeit scheint Microsoft keine Abschwächungen oder Problemumgehungen für diese April-Version veröffentlicht zu haben.
Jeden Monat unterteilen wir den Update-Zyklus in Produktfamilien (wie von Microsoft definiert) mit den folgenden grundlegenden Gruppierungen:
Browser (Microsoft IE und Edge);
Microsoft Windows (sowohl Desktop als auch Server);
Microsoft Office (einschließlich Web-Apps und Exchange);
Microsoft-Entwicklungsplattformen ( ASP.NET Core, .NET Core und Chakra Core);
und Adobe Flash Player (im Ruhestand),
Browser
In den letzten 10 Jahren haben wir potenzielle Auswirkungen von Änderungen an Microsoft-Browsern (Internet Explorer und Edge) aufgrund der Art der voneinander abhängigen Bibliotheken auf Windows-Systemen (sowohl Desktop als auch Server) überprüft. Internet Explorer (IE) hatte früher eine direkte (manche würden sagen zu direkte) Integration mit dem Betriebssystem, was bedeutete, dass jede Änderung im Betriebssystem verwaltet werden musste (am problematischsten für Server). Ab diesem Monat ist dies nicht mehr der Fall; Chromium-Updates sind jetzt eine separate Codebasis und Anwendungsentität und Microsoft Edge (Legacy) wird jetzt automatisch entfernt und durch die Chromium-Codebasis ersetzt. Sie können mehr über diesen Aktualisierungs- (und Entfernungs-) Vorgang online lesen.
Ich denke, das ist eine willkommene Nachricht, da die ständigen Neukompilierungen des IE und das anschließende Testprofil für die meisten IT-Administratoren eine schwere Belastung waren. Es ist auch schön zu sehen, dass der Chromium-Update-Zyklus im Einklang mit der Microsoft-Update-Kadenz von einem sechswöchigen auf einen vierwöchigen Zyklus übergeht. Angesichts der Art dieser Änderungen am Chromium-Browser fügen Sie dieses Update Ihrem Standardzeitplan für Patch-Veröffentlichungen hinzu.
Microsoft Windows
In diesem Monat arbeitete Microsoft daran, 14 kritische Sicherheitslücken in Windows und 68 verbleibende Sicherheitsprobleme zu beheben, die als wichtig eingestuft wurden. Zwei der kritischen Probleme beziehen sich auf den Media Player; die restlichen 12 beziehen sich auf Probleme in der Windows-Remoteprozeduraufruf (RPC)-Funktion. Die verbleibenden Updates (einschließlich wichtiger und mittlerer Bewertungen) haben wir in folgende Funktionsbereiche unterteilt:
Sicherer Windows-Kernelmodus (Win32K);
Windows-Ereignisverfolgung;
Windows Installer;
Microsoft-Grafikkomponente;
Windows-TCP/IP, DNS, SMB-Server.
Lesen Sie zum Testen dieser Funktionsgruppen die oben aufgeführten Empfehlungen. Für die kritischen Patches: Das Testen von Windows Media Player ist einfach, während das Testen von RPC-Aufrufen sowohl innerhalb als auch zwischen Anwendungen eine andere Sache ist. Erschwerend kommt hinzu, dass diese RPC-Probleme, obwohl sie nicht wurmfähig sind, einzeln schwerwiegend und als Gruppe gefährlich sind. Aufgrund dieser Bedenken empfehlen wir einen "Jetzt Patchen"-Veröffentlichungsplan für die Updates dieses Monats.
Microsoft Office (und natürlich Exchange)
Wenn wir die Office-Updates für jede monatliche Sicherheitsversion bewerten, stelle ich mir normalerweise die ersten Fragen zu den Office-Updates von Microsoft:
Handelt es sich bei den Schwachstellen um geringe Komplexität und Probleme beim Remotezugriff?
Führt die Sicherheitsanfälligkeit zu einem Szenario mit Remotecodeausführung?
Ist das Vorschaufenster diesmal ein Vektor?
Glücklicherweise werden in diesem Monat alle vier von Microsoft in diesem Monat angesprochenen Probleme als wichtig eingestuft und sind in keiner der drei oben genannten "Sorgenkörbe" gelandet. Zusätzlich zu diesen Sicherheitsgrundlagen habe ich folgende Fragen zu diesem Office-Update vom April:
Führen Sie ActiveX-Steuerelemente aus?
Führen Sie Office 2007 aus?
Treten nach dem Update dieses Monats sprachbedingte Nebenwirkungen auf?
Wenn Sie ActiveX-Steuerelemente ausführen, tun Sie dies bitte nicht. Wenn Sie Office 2007 ausführen, ist jetzt ein wirklich guter Zeitpunkt, um zu etwas zu wechseln, das unterstützt wird (wie Office 365). Wenn Sie Sprachprobleme haben, lesen Sie bitte diesen Support-Hinweis (KB5003251) von Microsoft, wie Sie Ihre Spracheinstellungen nach dem Update zurücksetzen können. Die Office-, Word- und Excel-Updates sind wichtige Updates und erfordern einen standardmäßigen Test-/Veröffentlichungszyklus. Angesichts der geringeren Dringlichkeit dieser Sicherheitsanfälligkeiten empfehlen wir Ihnen, diese Office-Updates zu Ihrem Standard-Veröffentlichungszeitplan hinzuzufügen.
Leider hat Microsoft Exchange vier kritische Updates, die Aufmerksamkeit erfordern. Es ist nicht so dringend wie letzten Monat, aber wir haben ihnen die Bewertung "Jetzt Patchen" gegeben. Diesmal ist beim Aktualisieren Ihrer Server einige Aufmerksamkeit erforderlich. Es gab eine Reihe von gemeldeten Problemen mit diesen Updates, wenn sie auf Server mit UAC-Steuerelementen angewendet wurden.
Wenn Sie versuchen, dieses Sicherheitsupdate manuell zu installieren, indem Sie auf die Updatedatei (.MSP) doppelklicken, um es im normalen Modus (d. h. nicht als Administrator) auszuführen, werden einige Dateien nicht korrekt aktualisiert. Stellen Sie sicher, dass Sie dieses Update als Administrator ausführen. Andernfalls kann Ihr Server zwischen den Updates in einem Zustand oder noch schlimmer in einem deaktivierten Zustand belassen werden. Wenn dieses Problem auftritt, erhalten Sie keine Fehlermeldung oder einen Hinweis darauf, dass das Sicherheitsupdate nicht ordnungsgemäß installiert wurde. Outlook im Web (OWA) und die Exchange-Systemsteuerung (ECP) funktionieren jedoch möglicherweise nicht mehr.
In diesem Monat ist definitiv ein Neustart für Ihre Exchange Server erforderlich.
Microsoft-Entwicklungsplattformen
Microsoft hat für April 12 Updates veröffentlicht, die alle als wichtig eingestuft wurden. Alle adressierten Schwachstellen haben ein hohes CVSS-Rating von 7 oder höher und decken die folgenden Microsoft-Produktbereiche ab:
Visual Studio-Code – Kubernetes-Tools;
Visual Studio Code – GitHub Pull Requests and Issues Extension;
Visual Studio Code - Maven für Java-Erweiterung.
Wenn ich mir diese Updates und ihre Implementierung in diesem Monat ansehe, fällt es mir schwer zu erkennen, welche Auswirkungen über die sehr kleinen Änderungen an jeder Anwendung hinausgehen könnten. Microsoft hat für keines dieser Updates kritische Tests oder Risikominderungen veröffentlicht, daher empfehlen wir einen standardmäßigen Veröffentlichungszeitplan für "Entwickler".
Adobe Flash Player
Ich kann es nicht glauben. Kein weiteres Wort zu Adobe-Updates. Diesen Monat gibt es keine verrückten Flash-Schwachstellen, die Ihren Zeitplan kapern könnten. Also, in den Worten meines Lieblingsnachrichtenlesers, No Gnus ist guter Gnus.
Wir werden diesen Abschnitt nächsten Monat einstellen und die Office- und Exchange-Updates zur besseren Lesbarkeit in separate Abschnitte unterteilen.
