📩 Kategorie: Server   2022     4 Ergebnisse

Microsoft Windows Server, aktuelle Version und verwandte Backend-Produkte des Herstellers

Inhaltsverzeichnis
  1. Ende der Sicherheitsupdates Server 2012 R2 2 - 3
  2. Alte Windows-Server nicht mehr erreichbar 4 - 5
  3. Reboot Januar-Fehler gepatcht 6
  4. Reboot tut nicht gut - Januar-Fehler 7

Ende der Sicherheitsupdates Server 2012 R2

Der 10. Oktober 2023 ist der letzte "Patchday", an dem Microsoft #Sicherheitsupdates #endoflife fĂŒr sein Server-Betriebssystem "Windows Server 2012 R2" ausrollt. Danach ist mit mehr oder weniger kritischen SicherheitslĂŒcken zu rechnen, die nicht mehr geschlossen werden. Diese Server sind dann - nicht nur als Terminalserver - angreifbar und werden von Kriminellen genutzt werden, um Schadsoftware zu installieren und Daten- und IdentitĂ€tsdiebstahl zu betreiben.

[time_until date="10.10.2023"]

Bin ich betroffen?

Server 2012 R2 sind in der Regel erkennbar an der tĂŒrkisfarbenen Taskleiste mit Startknopf links:

Windows Server 2012 R2 Taskleiste

Was kann ich tun?

  • Neuinstallation der Server auf Server 2019 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 - also nur zwei Jahre spĂ€ter.
  • Bei Verwendung der Server On-Premises mĂŒssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. ZusĂ€tzlich mĂŒssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen - ansonsten neu angeschafft werden.
  • Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 R2 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal nur Dienstleistungs- und keine Lizenzkosten dafĂŒr anfallen.

FAQ

[faq]Woran erkenne ich Server 2012 R2|=|An der tĂŒrkisfarbenen Taskleiste mit Startknopf links oder nach Eingabe von Winver||
Sind Server in Azure betroffen|=|Nein, da fĂŒr die die ESU-Updates gelten. Trotzdem ist eine Migration auf Server empfohlen||
Kann ich ESU einzeln kaufen bei Microsoft?|=|Nein, ESU steht nur Enterprise-Kunden und Cloud-Kunden von Microsoft zur VerfĂŒgung. FĂŒr die Verwendung On-Premises ruft Microsoft sehr hohe monatliche GebĂŒhren pro Server bzw. EndgerĂ€t auf.||
Sind Windows EndgerÀte auch betroffen?|=|Sofern Sie noch Rechner mit Windows 8.1 (Pro) im Einsatz haben, sind bereits jetzt einige Softwareprodukte nicht mehr darauf lauffÀhig. Ein Upgrade auf Windows 10 Pro (ja, wir raten weiterhin von Windows 11 Pro ab!) ist empfehlenswert. Da solche Rechner meist 8-10 Jahre alt sind, am besten kombiniert mit Austausch der Hardware[/faq]

Alte Windows-Server nicht mehr erreichbar

Mit dem Juni 2022 kumulativen Update fĂŒr alle derzeit unterstĂŒtzten Windows Server ab Version 2012 R2 aktiviert Microsoft DCOM Server-Sicherheitsfeatures, die die Kommunikation mit Servern, die am Ende der Laufzeit (EOL) fĂŒr Sicherheitsupdates sind oder ein bereits im Juni 2021! veröffentlichtes Update NICHT installiert haben.

Betroffene Server können beispielsweise von der Datensicherungssoftware nicht mehr erreicht werden, sind also nicht mehr gesichert. Auch Monitoring-Programme können diese Server nicht mehr ĂŒberwachen. Mehrere andere Programme können die Server nicht mehr erreichen, weil nur eine gesicherte DCOM Kommunikation erlaubt ist.

Workaround wÀhrt nicht lange

Derzeit kann man ĂŒber eine Gruppenrichtlinie fĂŒr die Server ab 2012 R2 die Kommunikation zwar wieder einschalten, mit dem Patchday im MĂ€rz 2023 wird aber auch dieser Schalter abgestellt. Wie der Workaround funktioniert, ist im verknĂŒpften Microsoft Artikel beschrieben

Nachhaltige Lösung

Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken ĂŒber die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.

Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstĂŒtzten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 lĂ€nger als bis September 2023 einzusetzen, falls unbedingt notwendig.

Fazit

  • Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
  • Sorgen Sie bei allen Servern ab 2012 R2 fĂŒr monatlich aktuelle Updates. Versicherungen kĂŒrzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
  • Übergangsweise können Sie auf den Servern den Registry-SchlĂŒssel setzen. Das verschafft Ihnen Zeit, zu modernisieren

Microsoft-Artikel KB5004442 zu den SicherheitsÀnderungen

Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken ĂŒber die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.

Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstĂŒtzten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 lĂ€nger als bis September 2023 einzusetzen, falls unbedingt notwendig.

Fazit

  • Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
  • Sorgen Sie bei allen Servern ab 2012 R2 fĂŒr monatlich aktuelle Updates. Versicherungen kĂŒrzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
  • Übergangsweise können Sie auf den Servern den Registry-SchlĂŒssel setzen. Das verschafft Ihnen Zeit, zu modernisieren

Microsoft-Artikel KB5004442 zu den SicherheitsÀnderungen

https://support.microsoft.com/de-de/topic/kb5004442-verwalten-von-%C3%A4nderungen-f%C3%BCr-die-umgehung-von-windows-dcom-server-sicherheitsfeatures-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c
">https://support.microsoft.com/de-de/topic/kb5004442-verwalten-von-%C3%A4nderungen-f%C3%BCr-die-umgehung-von-windows-dcom-server-sicherheitsfeatures-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c

Reboot Januar-Fehler gepatcht

Mit dem Januar-Patch hatte Microsoft Reboot Schleifen in die DomĂ€nencontroller ab Server 2012 R2 eingebaut und auch L2TP-VPNs (die sehr selten sind) ließen sich nicht mehr aufbauen. Nun gibt es Patches fĂŒr die Patches, die ab sofort im Windows Update Katalog installiert werden können:

Die Patches liegen damit im Rahmen der Karenzzeit zum Installieren nach BSI-Grundschutz und sollten umgehend angewendet werden.

Reboot tut nicht gut - Januar-Fehler

Mit dem Patchday von Januar hat Microsoft einige SicherheitslĂŒcken zu gut geschlossen - das Installieren des kumulativen Patches fĂŒr bei allen Server-Betriebssystemen (2012 R2 bis 2022) zu erneuten Problemen.

Diesmal starten DomÀnen-Controller in einer Endlosschleife neu, sobald sich jemand anmeldet. Hyper-V-Hosts mögen nach dem Update in einigen Fallen gar nicht mehr starten.

Bei Windows (8.1 - 11) Clients wird, wenn man ein L2TP-VPN einsetzt (kommt eher selten vor) die Verbindung auch nicht aufbaubar sein.

Microsoft hat gestern den Patch zurĂŒckgerufen. Wer ihn aber schon auf den genannten Funktionstypen installiert hat, wird einigen Aufwand haben, ihn wieder los zu werden. (WU-Dienst stoppen, Softwaredistribution Ordner leeren, deinstallieren, Reboot). Auch wenn zu erwarten ist, dass Microsoft kurzfristig einen Patch zum Patch herausbringen wird, raten wir, den installieren Knopf auf DomĂ€nen-Controllern und HV-Hosts NICHT zu drĂŒcken.

Die Karenzzeit, in der Updates eingespielt werden mĂŒssen (Richtwert fĂŒr Versicherungen) liegt bei Patchday + 7 Tage. Dadurch, dass Microsoft in diesem Fall das Update komplett zurĂŒckgezogen hat, gehen wir davon aus, dass die Zeitrechnung, bis wann das installiert werden muss, mit dem erneuten Rollout des Patch vom Patch beginnen wird.

Fazit: Die Januar-Patches auf DomÀnen-Controllern und Hyper-V-Hosts solange nicht installieren, bis Microsoft einen Fix ausliefert.