Ende der Sicherheitsupdates Server 2012 R2

Der 10. Oktober 2023 ist der letzte "Patchday", an dem Microsoft #Sicherheitsupdates #endoflife für sein Server-Betriebssystem "Windows Server 2012 R2" ausrollt. Danach ist mit mehr oder weniger kritischen Sicherheitslücken zu rechnen, die nicht mehr geschlossen werden. Diese Server sind dann - nicht nur als Terminalserver - angreifbar und werden von Kriminellen genutzt werden, um Schadsoftware zu installieren und Daten- und Identitätsdiebstahl zu betreiben.

[time_until date="10.10.2023"]

Bin ich betroffen?

Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links:

Was kann ich tun?

• Neuinstallation der Server auf Server 2019 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 - also nur zwei Jahre später.
• Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen - ansonsten neu angeschafft werden.
• Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 R2 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal nur Dienstleistungs- und keine Lizenzkosten dafür anfallen.

FAQ

[faq]Woran erkenne ich Server 2012 R2|=|An der türkisfarbenen Taskleiste mit Startknopf links oder nach Eingabe von Winver||
Sind Server in Azure betroffen|=|Nein, da für die die ESU-Updates gelten. Trotzdem ist eine Migration auf Server empfohlen||
Kann ich ESU einzeln kaufen bei Microsoft?|=|Nein, ESU steht nur Enterprise-Kunden und Cloud-Kunden von Microsoft zur Verfügung. Für die Verwendung On-Premises ruft Microsoft sehr hohe monatliche Gebühren pro Server bzw. Endgerät auf.||
Sind Windows Endgeräte auch betroffen?|=|Sofern Sie noch Rechner mit Windows 8.1 (Pro) im Einsatz haben, sind bereits jetzt einige Softwareprodukte nicht mehr darauf lauffähig. Ein Upgrade auf Windows 10 Pro (ja, wir raten weiterhin von Windows 11 Pro ab!) ist empfehlenswert. Da solche Rechner meist 8-10 Jahre alt sind, am besten kombiniert mit Austausch der Hardware[/faq]

Alte Windows-Server nicht mehr erreichbar

Mit dem Juni 2022 kumulativen Update für alle derzeit unterstützten Windows Server ab Version 2012 R2 aktiviert Microsoft DCOM Server-Sicherheitsfeatures, die die Kommunikation mit Servern, die am Ende der Laufzeit (EOL) für Sicherheitsupdates sind oder ein bereits im Juni 2021! veröffentlichtes Update NICHT installiert haben.

Betroffene Server können beispielsweise von der Datensicherungssoftware nicht mehr erreicht werden, sind also nicht mehr gesichert. Auch Monitoring-Programme können diese Server nicht mehr überwachen. Mehrere andere Programme können die Server nicht mehr erreichen, weil nur eine gesicherte DCOM Kommunikation erlaubt ist.

Workaround währt nicht lange

Derzeit kann man über eine Gruppenrichtlinie für die Server ab 2012 R2 die Kommunikation zwar wieder einschalten, mit dem Patchday im März 2023 wird aber auch dieser Schalter abgestellt. Wie der Workaround funktioniert, ist im verknüpften Microsoft Artikel beschrieben

Nachhaltige Lösung

Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken über die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.

Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstützten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 länger als bis September 2023 einzusetzen, falls unbedingt notwendig.

Fazit

• Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
• Sorgen Sie bei allen Servern ab 2012 R2 für monatlich aktuelle Updates. Versicherungen kürzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
• Übergangsweise können Sie auf den Servern den Registry-Schlüssel setzen. Das verschafft Ihnen Zeit, zu modernisieren

Microsoft-Artikel KB5004442 zu den Sicherheitsänderungen

Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken über die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.

Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstützten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 länger als bis September 2023 einzusetzen, falls unbedingt notwendig.

Fazit

• Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
• Sorgen Sie bei allen Servern ab 2012 R2 für monatlich aktuelle Updates. Versicherungen kürzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
• Übergangsweise können Sie auf den Servern den Registry-Schlüssel setzen. Das verschafft Ihnen Zeit, zu modernisieren

Microsoft-Artikel KB5004442 zu den Sicherheitsänderungen

https://support.microsoft.com/de-de/topic/kb5004442-verwalten-von-%C3%A4nderungen-f%C3%BCr-die-umgehung-von-windows-dcom-server-sicherheitsfeatures-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c

">https://support.microsoft.com/de-de/topic/kb5004442-verwalten-von-%C3%A4nderungen-f%C3%BCr-die-umgehung-von-windows-dcom-server-sicherheitsfeatures-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c

Reboot Januar-Fehler gepatcht

Mit dem Januar-Patch hatte Microsoft Reboot Schleifen in die Domänencontroller ab Server 2012 R2 eingebaut und auch L2TP-VPNs (die sehr selten sind) ließen sich nicht mehr aufbauen. Nun gibt es Patches für die Patches, die ab sofort im Windows Update Katalog installiert werden können:

• KB5010796: Windows Server 2022
• KB5010793: Windows 10 Version 20H2 bis 21H2
• KB5010794: Windows 8.1, Windows Server 2012 R2

Die Patches liegen damit im Rahmen der Karenzzeit zum Installieren nach BSI-Grundschutz und sollten umgehend angewendet werden.

Reboot tut nicht gut - Januar-Fehler

Mit dem Patchday von Januar hat Microsoft einige Sicherheitslücken zu gut geschlossen - das Installieren des kumulativen Patches für bei allen Server-Betriebssystemen (2012 R2 bis 2022) zu erneuten Problemen.

Diesmal starten Domänen-Controller in einer Endlosschleife neu, sobald sich jemand anmeldet. Hyper-V-Hosts mögen nach dem Update in einigen Fallen gar nicht mehr starten.

Bei Windows (8.1 - 11) Clients wird, wenn man ein L2TP-VPN einsetzt (kommt eher selten vor) die Verbindung auch nicht aufbaubar sein.

Microsoft hat gestern den Patch zurückgerufen. Wer ihn aber schon auf den genannten Funktionstypen installiert hat, wird einigen Aufwand haben, ihn wieder los zu werden. (WU-Dienst stoppen, Softwaredistribution Ordner leeren, deinstallieren, Reboot). Auch wenn zu erwarten ist, dass Microsoft kurzfristig einen Patch zum Patch herausbringen wird, raten wir, den installieren Knopf auf Domänen-Controllern und HV-Hosts NICHT zu drücken.

Die Karenzzeit, in der Updates eingespielt werden müssen (Richtwert für Versicherungen) liegt bei Patchday + 7 Tage. Dadurch, dass Microsoft in diesem Fall das Update komplett zurückgezogen hat, gehen wir davon aus, dass die Zeitrechnung, bis wann das installiert werden muss, mit dem erneuten Rollout des Patch vom Patch beginnen wird.

Fazit: Die Januar-Patches auf Domänen-Controllern und Hyper-V-Hosts solange nicht installieren, bis Microsoft einen Fix ausliefert.

Windows Server 2022 veröffentlicht

#Microsoft gab heute den Supportbeginn für Windows #Server 2022 #LTSC bekannt. Damit bekommt sollte man, wenn man einen Server kauft, vom Hersteller auch eine passende OEM-Lizenz bekommen (Standard enthält auch hierbei Lizenzen für die Windows Betriebssysteme von 2 virtuellen Maschinen, Datacenter für beliebige viele VMs, die auf dem Host laufen.

Server 2022 ist besser in die Azure Cloud integriert, so dass beispielsweise Hybrid-Szenarien (einige Server lokal, der Rest in der Cloud) vereinfacht wurden.

Zudem setzt die Server GUI etwa auf dem Stand auf, wie Windows 10 Version 21H2. Es steht aber ein neuerer Kernel-Build zur Verfügung (20348). Das für Windows 10 geplante, aber wegen Windows 11 nie veröffentlichte Ferrum Release trägt beim Server noch diesen Namen.

Wenn Volumenlizenzen mit einer Software-Assurance vorliegen, ist ein Inplace Upgrade technisch möglich. Bei dem OEM-Versionen nur dann, wenn man innerhalb von 90 Tage nach Kauf eine SA dazugebucht hat, die aktiv bleiben muss für das Upgrade.

Es ist zu erwarten, dass Microsoft die Installations-Images auch für das Deployment von Servern in Microsoft Azure bereitstellt. Somit können Admins entscheiden, ob Sie in Azure einen neuen Server 2019 oder einen Server 2022 aufsetzen (im IaaS-Betrieb).

Fakten-Überblick:

LTSC-Version (Long Term Service Channel), Sicherheitsupdates 1x pro Monat, Start-build: 20348.169 (ferrum Release). Neue Funktionen, GUI aktualisiert, entspricht etwa Windows 10 21H2. Lizenzmodell wird beibehalten (OEM oder Volumenlizenzen, alles aber nur als LTSC Versionen), Supportzeit auf 5 Jahre verkürzt, Sicherheitsupdates nach wie vor 10 Jahre). Supportende ist: 13.10.2026, Updates bis 14.10.2031

Warum Exchange Server nicht mehr zeitgemäß sind

Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe auf Server weltweit machten Schlagzeilen und sorgten für zahlreiche Schäden und Ausfälle.

Exchange 201x versus Exchange online

Bei Einsatz und Betrieb eines Exchange Servers im eigenen Hause ist der IT-Administrator für das manuelle Installieren der Sicherheitsupdates auf den Servern verantwortlich. Im Gegensatz zu den halbautomatisch (nur installieren und neu starten) durchführbaren Windows Updates erfordert die Installation von Exchange Patches größere Wartungsfenster und sie müssen komplett von Hand heruntergeladen und installiert werden. Vielfach sind mehrere Updates und Neustarts des Exchange Servers erforderlich.

Mit dem Online Dienst "Exchange online" kümmert sich Microsoft um alle Updates der Plattform. Die Erfahrung hat gezeigt, dass erkannte Sicherheitslücken dort 2-3 Wochen eher geschlossen sind, bevor sie in den Medien publik werden.

Mit Skykick Backup lassen sich auch Langzeit-Sicherungs- und Aufbewahrungs-Szenarien abbilden, so dass auch die Datenmengen in der Bandsicherung von veeam signifikant reduziert werden und die Nachtsicherung schneller fertig ist.

Kritische Sicherheitslücken auch im Mai 2021 geschlossen

Am Dienstag (gestern) um 1900 Uhr war wieder Patchday. Wieder wurden kritische Lücken geschlossen. Wie auch im April gab es KEINE Updates mehr für den Exchange Server 2010. Wer ein solch altes Produkt noch im Einsatz hat, handelt vorsätzlich und Versicherungen kürzen die Leistungen im Schadenfall rigoros.

Die aktuellen Mai-Updates setzen wieder voraus, dass der Exchange Server den Update-Stand von April bereits hat, ansonsten müssen auch die Updates von April zuvor installiert werden. Das sind:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

Quelle: Microsoft Security Blog

Fazit

Das Risiko, Opfer eines Angriffs mit einem Exchange Server im Hause zu werden ist, mit allen Konsequenzen auch im Datenschutz- und strafrechtlichen Bereichs kritisch. Unternehmen sollten umgehend auf Exchange online in Verbindung mit Skykick Langzeitsicherung umstellen. Auch im Mai gilt wieder: Alle Exchange online Kunden sind nicht betroffen. Stellen Sie auf Exchange online um, um die Sicherheit zu erhöhen.

Exchange DSGVO Meldung?

Am 04. März berichteten wir über die von #Microsoft am 03. März für alle #Exchange Server geschlossene, kritische #Hafnium #Sicherheitslücken. Die Lücke ist sehr gefährlich und wird weltweit massenhaft von Hackern ausgenutzt. Wir hatten darüber auch in einem Sondernewsletter zeitnah informiert.

Betroffen sind alle Betreiber von Exchange Servern im eigenen Hause und Kunden, die Ihren Mailserver in einem Rechenzentrum untergestellt haben (Housing). Leider haben immer noch viele Administratoren nicht reagiert und es gibt weiterhin ungepatchte Server. Nur Kunden mit Exchange online sind nicht betroffen.

Q: Wie finde ich heraus, ob ich schon Exchange online habe?
A: Rufen Sie unten stehende Seite auf und geben Ihren E-Mail-Domainnamen ein. Kommt als Antwort beim Domainnamen mail.protection.outlook.com oder bei der IP-Adresse Microsoft Corporation vor, nutzen Sie den Microsoft Online-Dienst Exchange online. Zusätzlich müssen Sie noch herausfinden, dass bei Ihren Servern im Hause kein Exchange Server in Betrieb ist (möglicher Hybridbetrieb).

https://mxtoolbox.com/SuperTool.aspx

Nun schalten sich die Datenschutzbehörden ein. Nach der Datenschutz-Grundverordnung besteht in vielen Fällen eine Meldepflicht gemäß Art. 33 #DSGVO. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.

In der Praxis bedeutet das im Falle Exchange Server 2010/2013/2016/2019:

• Wenn festgestellt wurde, dass eine Kompromittierung und Zugriffe auf die Mailboxen erfolgt ist
• oder wenn die notwendigen Patches nach dem 09. März 2021 installiert wurden
• und wenn nicht dokumentiert werden kann, dass kein erfolgreicher Zugriff erfolgt ist

besteht Meldepflicht und Unternehmen müssen sich quasi selbst anzeigen.

Erste Indizien und Unterstützung zur Dokumentation liefert dieses Microsoft Powershell Script in diesem Zusammenhang. Zusätzlich muss das Microsoft Support Emergency Response Tool heruntergeladen, installiert und ausgeführt werden. Ein aktueller Kaspersky Virenscanner meldet auch einen stattgefundenen Befall. Ob die Werkzeuge ausreichen, um hinreichend gegenüber den Datenschutz-Behörden zu dokumentieren, lässt sich nur von Juristen und Datenschutzbeauftragten beantworten.

Für weitere Details zu den Datenschutz-Themen wenden Sie sich bitte an Ihren verantwortlichen Datenschutz-Beauftragten.

Exchange Server kritische Sicherheitslücke

Akute #Sicherheitslücken in #Exchange Servern 2010, 2013, 2016 und 2019 ermöglicht es Angreifern, Kontrolle über das System zu bekommen und Schadsoftware einzuschleusen. Die Lücke ist nach einer chinesischen Hackergruppe #Hafnium benannt.

Microsoft hat für die Lücke einen Patch bereit gestellt, der unbedingt zeitnah installiert werden muss.

Die Microsoft Cloud-Dienste (Exchange online) sind nicht von der Lücke betroffen bzw. wurde der Patch dort schon von Microsoft installiert.

Aktionen / Maßnahmen

Wenn Sie noch einen Exchange Server im eigenen Hause in Betrieb haben, installieren Sie unbedingt den Patch mit Stand vom 03. März 2021. Die gepatchten Versionen tragen folgende Nummern:

• Exchange Server 2010 (RU 31 for Service Pack 3)
• Exchange Server 2013 (CU 23)
• Exchange Server 2016 (CU 19, CU 18)
• Exchange Server 2019 (CU 8, CU 7)

Quelle: Microsoft Security Update Guide

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

Ein Microsoft-Mitarbeiter hat auf GitHub ein Powershell Script öffentlich zur Verfügung gestellt, um den Verwundbarkeits-Status zu prüfen. Exchange 2010 wird vom Script allerdings nicht unterstützt. Gleichwohl gibt es für diesen Server ohne Support auch einen Notfallpatch.

Microsoft Exchange Prüfscript auf Github

https://github.com/dpaulson45/HealthChecker#download

Exchange-Lücke: 40.000 Server ungepatcht

Bereits im Februar 2020 hat Microsoft kritische #Sicherheitslücken im #Exchange Server geschlossen. Sie ermöglicht es Angreifern, das System über das Internet (per Web App bzw. die Push-E-Mail-Schnittstelle) komplett zu übernehmen. Die Lücke betrifft alle Exchange Server ab 2003. Patches stehen jedoch nur für die noch unterstützten Exchange Versionen: 2013, 2016 und 2019 zur Verfügung. Außerhalb der Reihe auch noch ein Notfallpatch für Exchange 2010 (hier war der offizielle Support bereits im Februar 2020 beendet).

Weil die Sicherheitsforscher immer 90 Tage nach einem Patch die Funktionsweise von Sicherheitslücken veröffentlichen, besteht ein hohes Risiko. Internet-Analysen haben bestätigt, dass (Stand gestern) über 40.000 Server weltweit nicht gepatcht sind.

Handlungsbedarf

Im Dokument zur CVE-2020-0688 ist beschrieben, was zu tun ist. Wer noch Exchange 2010 im Einsatz hat, sollte sich zusätzlich zeitnah überlegen, nach Exchange online zu migrieren (Listenpreis pro User/Postfach/Monat rund 4,20 €). Die Miete von Exchange ist unter Betrachtung der Leistungsmerkmale und Sicherhit/Verfügbarkeit haushoch überlegen gegenüber dem Neukauf aller Lizenzen und der Aufrüstung der Server. Zudem entfällt der hohe Migrationsaufwand dann nach vollendeter Exchange Online-Migration für die Zukunft.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

Admins, die neuere Versionen einsetzen, haben neben dem Installieren des Sicherheitspatches erst wieder Handlungsbedarf, wenn die Hardware Garantie abläuft. Dann wird die Online Migration auch für diese Szenarien wirtschaftlich und interessant.

Remote Desktop Connection Manager eingestellt - Alternativen

Microsoft hat den Download für seinen #Remote Desktop Connection Manager #RDCMAN entfernt. Die Weiterentwicklung ist eingestellt. Hinter der Einstellung steckt eine Sicherheitslücke im Programm, die es Angreifern ermöglicht, mit manipulierten RDP-Dateien auf Dateien auf dem Admin-PC zuzugreifen. Damit sie genutzt werden kann, muss der Admin diese RDG-Datei aber erstmal ausführen. Normalerweise sind RDG-Dateien aber selbst erstellt vom Admin und gelangen nicht in Hände Dritter. Auch werden keine RDG-Dateien aus dem Internet ausgeführt:

- RDCMan is vulnerable to CVE-2020-0765 (opening malicious RDG files lets attackers retrieve files from your system)

Die ferngewarteten Server sind davon nicht betroffen, da RDCMan lediglich den RDP-Client vom Betriebssystem fernsteuert.

Alternativen

Auch wenn die Lücke im Programm keine nennenswerten Sicherheits-Risiken darstellt, gibt es leistungsfähigere Alternativen, die ebenfalls kostenlos sind.

mRemote NG - Open Source

mRemote NG ist ein Open Source Projekt, dass die Oberfläche für RDP, VNC, Putty, Telnet und HTTP(s) Seiten bildet. So lassen sich aus einer Oberfläche heraus bedienen. Importieren lassen sich .rdg Dateien, Active Directory Objekte und ein IP-Scann kann auch die Server einsammeln. Leider gibt es keine Thumbnails, die auf einer Seite alle geöffneten Serverbildschirme anzeigen.

RDP-Manager - Freeware

Dann gibt es noch den RDP-Manager. Zwar ist er wesentlich größer (Installationspaket 64 MB, installiert 200 MB), kann aber sowohl Voransichten der fernzuwartenden Server anzeigen (Live Thumbnails), als auch VNC-Sitzungen verwalten und Telnet-Sitzungen. Die Software ist also eine Kombination aus RDCMan und MRemote NG. Im Lizenzvertrag stehen keine Einschränkungen seitens der geschäftlichen Nutzung

RDP-Dateien können im Stapel importiert werden, RDG-Dateien leider nicht. Eine SQLite Datenbank verwaltet die Einträge. Schön ist, dass ein Zertifikat für die RDP-Sitzungen installiert werden kann und die lästigen gelben Meldungen entfallen.

Fazit

Auch wenn die neuste Version im Development Channel von September 2019 ist, bietet bietet mRemote NG mit dieser Version mittlerweile die meisten Leistungsmerkmale. Dadurch, dass der Quellcode offen liegt auf Github, könnten Fehler und Sicherheitslücken schnell behoben werden (vorausgesetzt, dort schaut jemand rein). Die entscheidende Neuerung ab Version 1.77 ist, dass nun die RDP DLL von Microsoft aus der Anwendung aufgerufen wird, was die alten Versionen nicht machten.

Wer die Voransichten haben möchte und auf IP-Scan oder RDG Import verzichten möchte, kann den RDP-Manager von cinspiration.de nehmen.

Microsoft Produkte ohne Sicherheits-Updates

#Microsoft wird keine Sicherheits-Updates mehr für die folgenden Betriebssysteme und Produkte liefern:

• Alle Produkte, die die Jahreszahl 2010 im Namen haben (#Exchange 2010, #Office 2010)
• Produkte mit 2008 R2 im Namen: #Windows Server 2008 R2
• Windows 7

Wie bereits im Detail-Artikel beschrieben, besteht kurzfristig Handlungsbedarf und diese Software und Betriebssysteme müssen ersetzt werden.

(Post ID:1423)

Windows Updates mit neuer Verschlüsselung

Alle Server und Arbeitsplätze mit #Windows 7 Service Pack 1 und Windows #Server 2008 R2 SP1 müssen bis zum 13. August die „Servicing Stack Updates“ KB4474419 und KB4490628 installiert bekommen, ansonsten erhalten diese beiden Betriebs-Systeme bereits im September 2019 keine Sicherheits-Updates mehr.

Bekanntlich ist für diese beiden Betriebs-Systeme das Ende des erweiterten Supports und damit der Sicherheits-Patches ohnehin für Januar 2020 festgelegt. Ohne das oben genannte Update verkürzt sich die Zeit, in der Sie auf Windows 10 Pro/Enterprise bzw. Windows Server 2016 oder 2019 umstellen können, um weitere vier Monate.

Zusätzlich sind auch Windows Software Update Services (WSUS 3.0) betroffen. Die Software stellt keine Updates mehr bereit, wenn sie nicht auch auf den aktuellen Stand gebracht wird. Für WSUS 3.0 ist das Update KB4484071 am 12.03.2019 erschienen. Dieses Update muss manuell aus dem Windows Update-Katalog heruntergeladen und installiert und genehmigt werden.

Handlungsbedarf

Prüfen Sie bitte, ob oben genannte Updates installiert sind. Wenn nicht, oder Sie uns mit der Prüfung und Installation beauftragen möchten, nehmen Sie bitte Kontakt über einen Vorgang mit Bezug auf diesen Artikel mit uns auf.

Hintergrundinformation

Microsoft stellt ihren Update-Mechanismus auf SHA-2 verschlüsselte Pakete um. Dies ist bereits im Vorfeld bei neueren Betriebs-Systemen wie Windows 10 und Windows Server 2016/19 geschehen. Da darüber hinaus lediglich Windows 7 und Server 2008 R2 noch kein Support-Ende haben, müssen diese Plattformen aktualisiert werden.

Für Windows Server 2008 und Windows Vista ist das Update zwar auch erhältlich, beide bekommen aber bereits seit 2018 keine Sicherheits-Updates mehr. Wer also noch „Vista-Server“ Windows Server 2008 im Einsatz hat, kann das Update zwar installieren, sollte aber lieber auf die oben genannten neuen Betriebs-Systeme wechseln.

Mittlerweile sind viele Softwareprodukte ohnehin nur unter den aktuell unterstützten Windows Umgebungen lauffähig (Windows 10 und Server 2016 oder 2019).

Details und Stichtage

WSUS 3.0 SP2:
Sicherheitsupdate für SHA2-Unterstützung 12.03.19 erschienen, SHA2 erforderlich am 16.06.19

WinServer2008SP2:
Sicherheitsupdate für SHA2-Unterstützung 09.04.19 u. 14.05.19 erschienen , SHA2 erforderlich am 16.07.19

Windows 7 SP1:
Sicherheitsupdate für SHA2-Unterstützung 12.03.19 erschienen, SHA2 erforderlich am 13.08.19

WinServer2008R2SP1: Sicherheitsupdate für SHA2-Unterstützung 12.03.19

erschienen, SHA2 erforderlich am 13.08.19

Mehr Informationen hier

(Post ID:1398)