Risikopotential: Automatisches Windows-Update

    Ich habe mein Windows 10 als VM mit Zuordnung der Radeon-Grafikkarte auf meinem TVS-882 laufen. Dabei ist mir letzte Woche passiert, dass sich dieses Windows - obwohl es als laufend mit geringem Speicher und CPU-Anspruch gezeigt wurde, nicht per RMD ansprechen lies. Nach einigen Versuchen habe ich dann doch irgendwann das herunterfahren erzwungen. Das war nicht das erste Mal. Aber neu war, dass das WIndows danach nur in der Reparatur-Routine startete und sich auf alle mir kenntlichen Wege keine Reparatur durchführen lies. Nach der Erkenntnis, dass das nicht funktionieren wird, habe ich bei meinem ersten Snapshot wieder angefangen und alles neu installiert. In diesem Fall war das durchaus sinnvoll, da ich jetzt plötzlich nur noch einen Bruchteil des vorherigen Laufwerkplatzes benötige. Bedeutend war für mich auch, dass der letzte Snapshot, der ja aktiv immer mitgeführt wird, in diesem Fall auch nichts hilft. Da war nämlich genau der zerstörte Zustand gespeichert. Alle Zwischenschritte hatte ich aus Platznot ja gelöscht.


    Ich kann das natürlich nicht beschwören, da aber meine anderen Windows-PCs derzeit auch Updates durchführten vermute ich, dass ich das Herunterfahren gerade zu einem Zeitpunkt erzwungen habe, der für das Update kritisch war.


    Weiter habe ich gelernt, dass ich besser doch nicht so freizügig Snapshots löschen soll. Einen zu Beginn (schon allein um die Windows-Aktivierung zu sichern) und einen nach der Grundinstallation der wichtigsten Software sollte schon sein.

    Letzte Woche habe ich auch auf meiner VM ein Windows Update bekommen, das die "Authentifizierung auf Netzwerkebene" bei jeder RDP Verbindung aktiviert hat. Damit bin ich dann per RDP von außen auch nicht mehr auf die VM gekommen. mit der Konsole in der Virtualization Station ging es aber problemlos und ich konnte den Haken wieder entfernen. Der Haken wurde hier bei allen Systemen seit 2012R2 (ältere habe ich jetzt nicht) von Microsoft gesetzt.

    VQS hat teilweise mit dem durchschleifen der CPU Probleme.

    Das pfSense Update auf die 2.5 ist immer vor die Wand, mit dem simuliertem i7 gehts.


    Snapshots fressen unglaublich schnell viel Speicher, besser ein komprimierter Export der Start Installation und Snapshots nur kurz aufheben.


    Das spart richtig GBs bis TBs.


    In der Firma heben die VM Schubser die auch nur 24h auf.

    Nur in Ausnahmefällen auch mal länger und das aus gutem Grund.

    Schnell ist da eine TB LUN vollgelaufen.

    Ja, das mit den Snapshots könnte ich mir in einigen Punkten auch deutlich besser vorstellen. Der Speicherbedarf ist immens, das ist das eine. Dass man gewisse Änderungen erst nach Löschen aller Snapshots durchführen kann empfinde ich auch als etwas am Ziel vorbei. Und schließlich, dass man Snapshots nur löschen kann, wenn man praktisch den kompletten Platz der VM nochmal frei hat, kann einem auch mal das Leben schwer machen. Weiter ist zu beachten, dass der Rückschritt auf einen früheren Snapshot sich auch auf alle virtuellen Laufwerke bezieht.


    Ich habe diese Punkte nicht in den neuesten Versionen nachgeprüft, vielleicht sind ja einige Dinge behoben. Aber alles in allem sollte man sich immer bewusst darüber sein, eine VM kann mal einfach komplett weg sein.

    "Automatische Updates - Risikopotential"
    Jede Veränderung birgt ein Riskio, aber auch das Gegenteil ist riskant.

    Ich denke wir sind uns einig, dass die Updates schnell eingespielt werden müssen.
    Entweder nimmt man die automatischen Routinen und geht davon aus, dass der Hersteller ausreichend gut geprüft hat und man hat selber eine Rollbackstrategie

    oder

    man testet die Patches selber. Das aber bitte nicht erst nachdem sie freigegeben sind. MS stellt alle Patches deutlich vor dem Patchday bereit, so dass das auch in der Industrie übliche "wir warten mal 10 ( bis 30) Tage" kontraproduktiv ist.

    Kein Zugriff per RDP war aber mit Ansage. Dass MS eine schnelle Lösung für RDP-Server liefern muss ging ja wohl ausreichend durch die Presse.

    Insofern muss ich dem Titel des Threads widersprechen.

    M.

    Klar hab ich deinen Artikel gesehen.

    Zitat von duke-f

    Ich habe mein Windows 10 als VM mit Zuordnung der Radeon-Grafikkarte auf meinem TVS-882 laufen.

    Und genau das ist ein Setup, bei dem man die Updates vorher, nach Erstellen eines Snapshot, prüfen sollte. Denn MS kann solche Konfigurationen im Test nicht berücksichtigen. Genau dafür stellen sie die Patches vorher zur Verfügung.

    Der Titel läßt vermuten, dass das die Automatik ein Risiko darstellt. Ich behaupte: "ohne automatische Updates wäre andere Risiken um ein vielfaches höher". Das Dir oder anderen sowas widerfährt ist unschön, aber sehr selten.

    Ein Angriff auf RDP ist wesentlich wahrscheinlicher und hier ist das automatische Update ein Segen, auch wenn carsten_h vorübergehend keinen Zugriff mehr hatte.


    Mein Rat: Automatische Updates weiterhin aktiv lassen!


    M.

    Mir ist es nunmal passiert, dass die VM zerschossen wurde, also besteht das Risiko. Darauf will ich nur hinweisen. KLar, Update macht Sinn, aber wenn's dann eben mal nicht gleich funktioniert, sollte man mit überstürztem Reagieren vorsichtig sein. Das ist alles, was ich sagen will. Der Titel mag provokativ wirken, ich sehe aber keinen Vorwurf und keine generelle Warnung vor Updates darin. Persönlich bevorzuge ich jedoch die Variante, über Updates informiert zu werden und diese dann selber auszulösen.


    Ich hatte die notwendigen Sicherheitsvorkehrungen in Form eines Snapshots und auch Klone der betreffenden VM.

    Zitat von MatthiasJ

    Das Dir oder anderen sowas widerfährt ist unschön, aber sehr selten.

    Bei Microsoft? Dass beim Updaten etwas schief geht ist zur Zeit bei Microsoft wohl eher die Regel als die Ausnahme. Glücklicherweise trifft es nicht immer alle und nicht immer gleich schlimm. Für den den es unvorbereitet trifft kann es jedoch zu einem großen Problem werden. Lies Dich mal in das Thema ein, dann wirst Du feststellen, dass auf allen Systemen von Windows 7 bis 10 und Server Gegenstücken kaum ein Monat vergeht ohne größeren Problemen. Aktuell bei mir: Event Viewer funktioniert nicht. Aber das benötigt man als Admin ja nicht. OK, gibt schon ein (Vorschau-)Update dafür, aber wer weiß was danach nicht mehr funktioniert. :evil:

    Zitat von MatthiasJ

    Ich behaupte: "ohne automatische Updates wäre andere Risiken um ein vielfaches höher".

    Für den Standard-PC zuhause für den Standard-Benutzer gebe ich Dir absolut recht. Bei Spezialkonfigurationen wäre ich damit sehr sehr vorsichtig. Das kann böse nach hinten los gehen.

    In der Firma - und ich bei mir zuhause - bin ich vom automatischen Einspiele weiter weg den je. Also bei Microsoft. Bei Linux eigentlich kein Problem. Aber auch da... alles zu seiner Zeit. :)

    Zitat von Mavalok2

    In der Firma - und ich bei mir zuhause - bin ich vom automatischen Einspiele weiter weg den je. Also bei Microsoft. Bei Linux eigentlich kein Problem. Aber auch da... alles zu seiner Zeit.

    Da stimme ich völlig zu.

    Bei Linux bin ich auch kein Freund davon. Hier ist automatisch aber nicht die Voreinstellung.

    Das Problem ist ja auch, dass diese Updates ja immer dann kommen wenn man sie am wenigsten gebrauchen kann. Wer will denn, wenn er ohnehin in Eile und gestresst ist, dass auch noch Updates installiert werden. Und bei den kleinen Feature-Updates von Microsoft ist dies nicht eben in 5 Minuten erledigt. Auf meinem alten Hobel geht da mal für ein paar Stunden gar nüchts mehr.

    Leider hat man bei Windows 10 eigentlich nicht mehr so richtig eine Wahl. Man kann zwar die Verzögerungszeit recht großzügig einstellen, aber wenn man dann manuell das Update anstößt bekommt man wenn man Pech hat auch noch Vorschau-Updates aufgedrückt. Denn auswählen was installiert werden soll kann man ja auch nicht mehr. Eher ein Trauerspiel das Ganze.

    Und das Ganze wird natürlich nicht einfacher wenn dies auch noch virtuell auf einer QNAP liegt.

    Fakt ist aber auch, das ansonsten kaum Leute Update einspielen, wenn das nicht irgendwie automatisch erzwungen wird.


    Wenn dann mal wieder in der Zeitung von einer handlungsunfhähigen Behörte oder einem Krankenhaus die Rede ist, die aufgrund einer seit Monaten gefixten Lücke gekillt wurden, packt man sich schon an den Kopf.

    MS hat durch die ganzen Probleme mit XP gelernt, das eine entsprechende Strategie Updates zu erzwingen notwendig ist.


    Seit dem ist es sehr ruhig geworden um Windows 10 und dessen massenhaftes Ableben aufgrund einer Grippewelle.


    Ich habe Updates immer sehr Zeitnahe installiert, meist am Tag des Erscheinens und bin damit bisher sehr gut gefahren.


    War echt geil, vor Jahren zum Kollegen gefahren, war gerade am installieren, XP mit dem RPC Bug Virenbedingt. War derade fertig, so machen wir fix Updates, noch nicht mal mit der Suche fertig, schon wieder verseucht.

    Ja das waren noch Zeiten wo die Firewall auf einem Router noch eingeschaltet werden musste.

    Die Default Kennwörter für das WLAN 123456 waren, wenn überhaupt schon ein Key vergeben war, dann meist nur der für WEP.


    Das hat sich alles deutlich zum positiven entwickelt, dank Auto Updates und gewisser automatisch aktiver Sicherheitsfunktionen.


    Stellt doch mal einen Honeypod auf, gebt den als exposed Host frei und schaut mal wie lange es dauert bis hier neue Dienste auftauchen, ihr werdet überrascht sein.