Microsoft WinRE Update scheitert

Am Januar #Patchday 2024 lieferte Microsoft ein zusätzliches Security Update KB5034441 aus, das eine Sicherheitslücke in der Windows-Recovery-Partition schließt. Bei zahlreichen Umgebungen scheitert das Update mit #Fehler 0x80070643 (zu wenig Platz auf der Recovery Partition). Betroffen sind auch Azure Virtual Desktops und Windows Server 2022!

Scheinbar haben die Entwickler von Microsoft nicht darüber nachgedacht, dass es Windows 10 Systeme gibt, die teilweise von Windows 7 aktualisiert wurden. Auch neue Windows 10 OEM-System der Hersteller haben meist eine 250 MB große Recovery-Partition am Anfang der SSD. Vergrößern scheitert somit mit Bordmitteln. Wiederum viele User haben damals die WinRE-Partition gelöscht oder überhaupt nicht erst mit installiert. Der Patch von Microsoft berücksichtigt ALLE diese Szenarien nicht. Sogar in Azure Virtual Desktops, die aus der Microsoft Vorlage installiert wurden, ist die Partition zu klein.

Die Sicherheitslücke selbst lässt sich indes nur ausnutzen, wenn der Bitlocker aktiviert ist. Da die WinRE-Partition unverschlüsselt ist, kann man, wenn man physikalischen Zugriff auf das Endgerät hat. Somit kann die BitLocker-Geräteverschlüsselung umgangen und auf verschlüsselte Informationen auf dem Datenträger zugegriffen werden.

Wurde die WinRE-Partition entfernt, existiert auch die Sicherheitslücke nicht. Dennoch versucht Microsoft andauernd, dieses Update zu installieren. Dies lässt sich nur mit dem Microsoft Werkzeug WSUSHIDESHOW.diagcab verhindern, das das Update versteckt.

Die von Microsoft vorgeschlagenen Lösungen und Scripte scheitern immer dann, wenn - wie meistens die WinRE-Partition am Anfang liegt. In dem Fall benötigt man Drittanbieter Partitions-Werkzeuge, um sie auf einen freien Bereich zu verschieben oder die Windows-Partition zu verkleinern. Das birgt bei Bitlocker verschlüsselten Systemen auch hohe Risiken.

Fazit: Wir hoffen, dass Microsoft diesen Patch nochmal repariert und eine sinnvolle Erkennung einbaut, ob überhaupt Bitlocker aktiv UND eine WinRE Partition vorhanden ist. Mit reagentc /info findet man das heraus.

Scheitern alle manuellen Lösungen von Microsoft und müsste man mit Drittanbieter Partitionstools arbeiten, ist es eher empfehlenswert, sich von der WinRE-Partition zu trennen, diese zu löschen, reagentc /disable einzugeben und das Update zu verstecken. Schließlich ist ja auch auf einem Bitlocker gesicherten System dann keine Sicherheitslücke existent.

EPIC Fail Patch: https://support.microsoft.com/help/5034441
Microsoft Bastelanleitung: https://support.microsoft.com/help/5028997

Remote-Unterstützung Open-Source

Software für Remote-Unterstützung gibt es wie Sand am Meer. Beispiele dafür sind Teamviewer, PC-Visit und Anydesk. Alle haben jedoch gemeinsam, dass sie nur im monatlichen Abo ab rund 10 € pro Endgerät erhältlich sind. Nach oben hin ist der Preis teilweise exorbitant.

Während Ultra-VNC nur im LAN funktioniert, da die "Tunnel durch das Internet" Funktion kompliziert zu konfigurieren ist, funktionieren die Bezahl-Programme von Endpunkt zu Endpunkt getunnelt - auch durch Firewalls hindurch - da außen herum der normale SSL Port 443 benutzt wird.

Zudem hat Microsoft angekündigt, seine in Windows 10+ integrierte Remotehilfe Funktion nur noch als Store App und für Windows 11+ weiterzuentwickeln. Bereits jetzt ist die Funktion bei Windows 10 deaktiviert.

Eine Alternative, die die Ende-Zu-Ende-Verschlüsselung unterstützt, Remotesteuerung (inkl. unattended Login, bei dem der Bediener nicht am Gerät sein muss) ist HopToDesk - derzeit Open-Source. Die Nutzung ist sowohl geschäftlich, als auch prvat erlaubt. Ob noch Bezahlmodelle dazu kommen, ist offen, man schreibt aber, dass die Basisfunktionen immer kostenlos sein werden.

Gut dabei ist: Wie beim Teamviewer Client muss man hier weder Client, noch Host installieren (kann es aber). Beide Seiten starten das Programm (mehrere Instanzen sind auf der Fernwarterseite gleichzeitig möglich) und der Kunde teilt dem Supporter seine angezeite ID (9 stellige Zahl) mit. Mit dieser verbindet sich der Supporter und Beide sehen, was auf dem Bildschirm des Kunden passiert.

Mit integriert sind ein Chat und eine Dateitransferfunktion.

Solange die Funktionalität nicht zugunsten eines Freemium Modells eingeschränkt ist, spricht wegen Open-Source erstmal nichts gegen den Einsatz der Software. Die Entwickler haben zwar den Firmensitz in den USA, eine Ende-Zu-Ende-Verschlüsselung durfte aber nicht einfach über den Verbindungsserver (man in the middle) „mitzuhören“ sein – auch nicht über den Patriot Act. Zumindest ist der Server ja aus der Verbindung raus, sobald die beiden Endpunkte verbunden sind. Somit fließen Daten Peer-to-Peer.

Source Code auf Gitlab hier
Download der Win32 EXE (wir empfehlen diese portable EXE und nicht die MSIX oder Store Version)

Schrittaufzeichnung wird eingestellt

Bisher war #PSR (aka. Problem Step Recorder oder Schrittaufzeichnung) ein integriertes Werkzeug zum automatisierten Aufzeichnen von Klick-Aktionen am Bildschirm. Diese Bildschirmaufzeichnung enthält dann nur die Bilder, die Veränderungen durch Mausklicks/Benutzeraktionen abbilden.

Das Ausgabeformat ist .MHT (Multimedia HTML), eine im E-Mail MIME Format kodierte Webseite mit Bildern. In der Webseite stehen Beschreibungen, wo und wie geklickt wurde, in den Bildern sind die Veränderungen farblich (grün) gekennzeichnet. Am Ende wird die MHT Datei als ZIP-Archiv abgespeichert.

Da nur der Internet-Explorer das MHT-Format mit den integrierten Bildern darstellt und alle anderen Browser das nicht können, hatte ich das kostenlose, portable Werkzeug "MHT2HTM" entdeckt. Es wandelt die MHT Datei in einen Ordner mit Webseite (main.htm, main.css) und apsgepackten JPG Bildern um.

• #Endoflife - leider hat sich Microsoft entschieden, den PSR aus neu installierten Betriebssystemen zu entfernen. Bereits jetzt ist er unter die "Optionalen Features" abgewandert und man kann ihn via Powershell oder das Immersive Control Panel deinstallieren.

Alternativen zum PSR

IMAGO 1.2 Step Recorder ist eine vergleichbare Alternative, die deutlich weniger kann und seit Jahrzehnten nicht weiterentwickelt wird. Nicht zu empfehlen.

ShareX ist in der Lage, Bildschirm-Aktionen in Echtzeit als .MP4 Video, auch mit Tonspur aufzuzeichnen. Man hat also mit einem Open-Source Tool, das auch Bildschirm-Fotos halbautomatisiert (ohne das man einen Dateinamen vergeben und von Hand abspeichern muss) erstellen kann, schon ein besseres Werkzeug als die "Ausschneiden und Skizzieren App" zur Hand (die App kann bei Windows 11 auch Videos erstellen, diese aber nicht automatisch speichern.

ScreenToGif (Empfehlung der Redaktion) ist aus unserer Sicht der beste Ersatz für den PSR, ist eine kostenlose, auf Wunsch auf portable Anwendung, die sowohl jeweils ein Bild pro Benutzer-Aktion erstellen kann, als auch eine animierte GIF-Datei oder ein MP4-Video. Ebenso können die Frames des erstellten Video bearbeitet werden oder als Einzelbilder in einen Ordner gespeichert werden.

[linkbutton link="https://www.screentogif.com/downloads" label="ScreenToGif download"]

Tipp: Einstellung für Bilderstellung bei Benutzer-Interaktion

• ScreenToGif (portable) aufrufen, Recorder
• Einstellung: "pro Sekunde" über das Lookup auf "Benutzerinteraktion" stellen
• Alle Bildschirmfenster auf dem Desktop minimieren und F7 drücken (mit F8 beendet man später die Aufnahme)
• Der Editor öffnet sich, über Datei / speichern unter die Speichereinstellungen von "Animierter GIF" auf "JPEG" stellen, im Teilexport auf Ausdruck, beim Speicherort z.B. einen Ordner "Anleitung" unter c:\temp anlegen und diesen Ort angeben
• "Speichern" drücken (unten)

Patchday Juni manueller Eingriff erforderlich

#Wichtig - mit dem Patchday Juni 2023 hat Microsoft die #Sicherheitslücken aus CVE-2023-32019 geschlossen, die zu Datenabfluss und Elevated Rights für authentifizierte Benutzer führen kann. Leider wird der Lückenschluss nicht aktiviert, so dass ein manueller Eintrag in die Windows Registry der Windows 10 PCs erfolgen muss.

Wer Gruppenrichtlinien einsetzt, kann diese natürlich über die Gruppenrichtlinienverwaltung verteilen.

Für Server 2022 und für die Windows 11 Versionen ist der Wert anders, als bei dem im Beispiel aufgezeigten Schlüssel für Windows 10 22H2 (19045).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"4103588492"=dword:00000001

Mehr Details im Artikel bei Microsoft

Windows 10 Zukunfts-Strategie

Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.

Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.

Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.

Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.

Deploy und VM-ISOs neu erstellen erforderlich

Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks - oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.

Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen - mit Patchstand von Mai 2023

Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Windows 10 auf 22H2 umstellen, Office 2013 entfernen

Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.

[time_until date="13.06.2023"]

Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.

Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023.
Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.

In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen - insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.

Windows 10 - 22H2 letzte Version

Microsoft hat heute verlautbart, dass die Version 22H2 (Build 19045) das letzte Funktionsupdate für Windows 10 #Win10 ist. Man werde nur noch #Sicherheitsupdates bis zum Ende der Laufzeit bereitstellen. Das würde bedeuten, dass die vorhandene Regel (Build 19046 nach 18 Monaten erforderlich) gebrochen ist.

{Update 12.05.2023} Es gibt offensichtlich weiterhin auch Fehlerkorrekturen (die bisher immer am vierten Dienstag im Monat als optionales Update verteilt wurden). Die Änderungen des optionalen Updates werden immer mit dem nachfolgenden Patchday verteilt. Während der Patchday Mai 2023 Build 2965 hat, bekommen Insider Build 3030 mit etwa einer Seite Fehlerkorrekturen.

Für Endverbraucher (Consumer) ist das Ende der Sicherheitsupdates im Oktober 2025, für Enterprise-Kunden und die LTSC 2019-Version erst 2029 (LTSC-Versionen erhalten für 10 Jahre Updates, die letzte LTSC war 2021. Dies erhält aber nur 5 Jahre Updates, also bis 2026).

Kunden mit den Miet-Versionen wie Windows 10 Enterprise LTSC und Azure Virtual Desktop auf Windows 10 Basis müssen also die nächsten Jahre keinen größeren Aufwand betreiben und auch keine Hardware neu kaufen.

Mein Kommentar (Die folgenden Aspekte spiegeln die Meinung der Redaktion):

1) Unternehmen, die Windows 10 Pro und Enterprise einsetzen werden wohl kaum neue Hardware (Laptops alle 4-5 Jahre nach Abschreibung davon mal ausgenommen) ersetzen, nur damit ein unkomfortableres Windows 11 #Eleven darauf offiziell unterstützt wird.
2) keine Funktionsupdates mehr für Windows 10? Gut, weil bisher jedes Funktionsupdate nur mehr Werbung in Windows reingemogelt hat. Ich möchte nichts von BING, keine BING-Suche, keine Werbung, keine BING-Nachrichten und keine Websuche und Suchvorschläge damit auf meinem Rechner. Auch keinen Edge mit der sicherheitsanfälligen Adobe Reader Freemium Version integriert! Wenn ich ChatGPT ausprobieren möchte, installiere ich mir dafür Skype Desktop. Dafür kann ich komplett auf Edge verzichten und habe nur für Office die Edge Runtime mit im Gepäck, aber keine 25 Edge Browserprozesse im Hintergrund laufen.
3) Viele PC-Endgeräte werden nur noch zum Hochfahren benutzt, um dann einen Azure Virtual Desktop zu nutzen. Bei AVD bekommen wir bis 2031 (im Rahmen der Miete) erweiterte Sicherheitsupdates und müssen die Pools nicht auf Win11 umstellen.
4) Das zentral verwaltbare IGEL Thin-OS läuft wunderbar auch auf alter PC-Hardware und die Lizenz mit Wartung kostet nicht die Welt. Der AVD-Client unter diesem Linux wird offiziell von Igel und Microsoft supportet
5) Wenn ich das nicht falsch verstanden habe, lässt sich die 10 Pro-Version für einen monatlichen Betrag in eine Enterprise Version umwandeln - und schon gelten wieder erweiterte Supportzeiten.
6) Die Mitarbeitenden finden sich in einem einheitlichen Bedienkonzept wieder - selbst die Laptop-Benutzer fahren ein Windows 10 hoch und auf dem Terminalserver (2022) sieht es genauso aus. Ebenso bei Azure Virtual Desktop. Warum sollten sie sich mit zwei UIs anfreunden?
7) Ich befürchte, dass diesmal Windows 12 dann im Herbst 2024 nicht wieder das bessere Windows im gut/schlecht Rhythmus sein wird. Wenn doch, muss lediglich die Hardware-Beschränkung (mindestens Core i 8. Generation) gelockert werden.

Das die Bedienung der Nachfolgebetriebssysteme wieder besser wird, zeigt sich schon in den aktuellen Moment-Updates von Windows 11. Ich lasse mich gern eines Besseren belehren und bleibe solange wie möglich bei Windows 10 Enterprise (LTSC). Was noch fehlt, ist dass die ganze Werbung und das BING-Geraffel zunächst ausgeschaltet sein sollte und bei Bedarf über GPOs angeschaltet werden kann. Derzeit muss man rund drei Seiten voll GPOs sich mühsam zusammensuchen und dann verteilen (die Hoffnung stirbt bekanntlich zuletzt).

Fazit: Ich befürworte das IaaS Cloudkonzept (und da wo möglich ist auch SaaS). Außerdem bin ich überzeugt von den Vorteilen des Azure Virtual Desktops und den anderen Onlinediensten wie Exchange Online, Sharepoint, Teams und Onedrive for Business. Auf der Client-Seite und mit dem Einbringen von Werbung und Störfunktionen in der Pro-Version von Windows 10/11 hat sich Microsoft keinen Gefallen getan. ChatGPT als Onlinedienst zu nutzen, kann durchaus produktiv sein - auch in der Bezahlversion, eine zwangsweise Integration in ein Client-Betriebssystem ist aber m. E. unangebracht.

Meinung der Redaktion

Patchday April kritische Lücken

#Wichtig - rund die Hälfte der mit dem April #Patchday geschlossenen Lücken werden im CVE-Rating als kritisch eingestuft und ermöglichen "Remote-Code Execution". Ein gefundenes Fressen und ein sehr hohes Risiko, dass Mitarbeitende mit Benutzer-Rechten etwas anklicken und das Angeklickte den Rechner infiziert, Code nachlädt und weitere Systeme im Netzwerk befällt.

Hierbei werden Dienste (wie beispielsweise ein lückenhafter DHCP-Serverdienst) genutzt, um ohne Adminrechte Programme auszuführen.

Da bei den Updates auch Dienste auf den Servern betroffen sind und nicht nur Windows Clients, sind die zeitnahe Installation der April-Patches enorm wichtig.

Microsoft Security Datenbank, Patchday April 2023

Mit dem Funktionsupdate März, das mit dem Patchday April 2023 an alle verteilt wird, wird außerdem LAPS (Local admin Password solution), die Möglichkeit, lokale (Admin-) Konten und Kennwörter per Gruppenrichtlinien zu setzen/ändern in die Windows-Betriebssysteme integriert. Ob LAPS auch für die Server implementiert wird, wird aus dem Artikel nicht klar.

Windows 10 Build 19045 erforderlich

Microsoft erinnert derzeit daran, dass Windows 10-Versionen, die nicht das Funktionsupdate 22H2 haben, im Juni 2023 das letzte Funktionsupdate und im Oktober 2023 das letzte Sicherheitsupdate bekommen. [Update Mai 2024]: Auch die Enterprise-Version von Windows 10 bekommt nur noch automatische Updates bis Oktober 2025, wenn Version 22H2 installiert ist.

[time_until label="Windows 10 21H2 oder älter ohne Updates" date="10.10.2023"]

#Endoflife - Da das Funktionsupdate von Version 21H2 (19044) auf 22H2 (19045) nur wenige Minuten dauert, sollte es unbedingt zeitnah ausgeführt werden. Sollten Sie noch Windows 10 Systeme mit einem Build kleiner als 19041 haben, dauert die Installation des Funktionsupdates mindestens eine Stunde, ist aber umso wichtiger.

Neue Features gab es zum Juni 23 Update allerdings wenige. Es wurde aber „unter der Motorhaube“ gearbeitet. Betroffen sind auch die Windows 10 Pro und Workstation Versionen (da Microsoft sie zu den Consumer-Versionen zählen).

Prüfen Sie, welche Windows – Version auf Ihren Systemen ist. Wenn Sie #OpenAudit Classic im Einsatz haben und alle Systeme inventarisiert, reicht dazu ein Blick in die Hardwareliste. Der jeweilige "Build" wird dort in einer der rechten Spalten angezeigt. Dort muss eine 19045 enthalten sein.
In Azure Virtual Desktop (Windows 10) werden bis mindestens Januar 2027 Sicherheitsupdates angeboten. Vermutlich wird Microsoft aber die Mieter nicht zwingen, die AVD Maschinen im Pool auf Windows 11 umzustellen. Bis 2025 wird ohnehin Windows 12 oder eine akzeptable Windows 11 25H2 Version erschienen sein. Bereits in Windows 11 24H2 wurden zahlreiche Mängel der Vorversionen beseitigt.

Microsoft Supportseiten

Ausschneiden und Skizzieren nicht sicher

Update 26.03.2023: Auch wenn Microsoft den "Acropalypse" Fehler angeblich mit der Version 11.2302.20.0 von "Ausschneiden und skizzieren" behoben hat - unter Windows 10 taucht weiterhin Version 10.2008.3001.0 auf. Daher ist es sicherer, Bilder entweder mit der kostenlosen Anwendung Paint.net zu beschneiden oder aber ShareX zu verwenden. Mit beiden Apps konnte nicht festgestellt werden, dass nach dem Ausschneiden noch ausgeschnittene Fragmente in der Bilddatei zu finden waren.

Der Nachfolger vom "Snipping-Tool" in Windows 10 und 11 ist "Ausschneiden und Skizzieren", das sich über die Tastenkombination {Windows&Hochstellen&S} aufrufen lässt. Damit können Bildausschnitte oder Bildschirmfotos erstellt, bearbeitet und gespeichert werden. Dabei kann man auch Teile wegschneiden, um beispielsweise Informationen für den Empfänger zu verschleiern.

Aktuelle Tests haben jedoch ergeben, dass die entfernte Information weiterhin im PNG-Bild abgespeichert ist. Die PNG enthält somit auch das ursprüngliche Bild mit den Informationen, die nicht verschleiert wurden. Mit Analyse-Tools (oder mit einem Hex-Editor) lässt sich demnach das ursprüngliche Bild wiederherstellen.

Das quelloffene Projekt "ShareX" hat diese Lücke nicht, bietet mehr Möglichkeiten (wie das sofortige Abspeichern der Schnappschüsse ohne Rückfrage und die Videoaufzeichnung als MP4-Datei).
ShareX ist der Nachfolger von "Greenshot". Wir empfehlen als Dokumentations- und Ausschneide-Werkzeug "ShareX" einzusetzen

ShareX Projekt

Visual C++ Runtimes ohne Updates

Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem - was diese Runtimes betrifft, frei von bekannten Sicherheitslücken. Es ist dann auch nur die eine Version (32 und 64-Bit) installiert.

Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime.

Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind.

Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023

Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎.

Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum Anlass nehmen, doch wieder die 64 und 32-Bit-Version dieser Runtime zu installieren - und bestenfalls den Hersteller nach einer neueren Version fragen.