Massive Probleme beim Microsoft Januar Patchday

Diese Woche hatte ich massive Probleme nach dem Microsoft Januar Patchday am 11.01.2022. Die ausgelieferten Sicherheitsupdates haben auf den von mir betreuten Windowsservern einen Katastrophalen Schaden angerichtet. Dies scheint auch nicht nur mir so gegangen zu sein. Es gibt im Netz zahlreiche Berichte von anderen betroffenen und Günter Born hat einen Artikel bei Heise dazu geschrieben: Sicherheitsupdates vom Januar 2022 mit massiven Kollateralschäden in Windows. Gerade Installationen auf der Basis von Windows 2012R2 sind umfänglich betroffen.

Insbesondere von der Installation des Update KB5009624 auf Domain Controllern sollte man aktuell absehen. Es hat alle von mir betreuten Domain Controller in einee Boot-Loop (Boot-Schleife) geschickt und damit das gesamte Windowsnetzwerk lahmgelegt. Grund scheint ein Fehler im Modul lsass.exe zu sein. Auch darüber findet man weitere Details im Blog von Günter Born im Artikel Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife.

Nach der Deinstallation des Update KB5009624 auf den Domain Controllern funktionierten diese prinzipiell wieder, allerdings war einer der Domain Controller so beschädigt, dass er nicht mehr richtig funktionierte und sich auch standhaft weigerte mit den anderen zu replizieren. Alle Versuche diesen wieder zu reparieren blieben erfolglos. Erst als dieser von Hand gelöscht und komplett neu aufgesetzt wurde, nahm er wieder fehlerfrei seine Arbeit auf.

Nachdem alle Domain Controllern wieder einwandfrei arbeiteten, lief das Windowsnetzwerk prinzipiell wieder. Es gab aber haufenweise weitere Probleme im Windowsnetzwerk. Das gesamte IT Team war zwei Tage lang damit beschäftigt die Folgeprobelme und andere Fehlfunktionen des Microsoft Patchday zu lösen. Neben dem Boot-Loop auf Domain Controller traten bei uns auch noch folgenden Kollateralschäden durch den Microsoft Januar Patchday auf:

  • Nach dem Einspielen von KB5009624 und KB5009595 startete Hyper-V auf Windows 2012R2 nicht mehr. Informationen dazu findet man bei Microsoft im Artikel Virtual machines (VMs) in Hyper-V might fail to start
  • Nach dem ein Einspielen von KB5009624 auf den Windows 2012R2 Exchange Servern funktioniert ReFS nicht mehr. Sobald das Update deinstalliert wurde funktioniert dies zwar wieder. Mit Pech kann die Exchangeinstallation aber so beschädigt sein, dass man die Datensicherung zurückspielen muss.
  • Nach dem Einspielen der Updates funktionierte ein Cluster mit Windows 2012R2 Terminalservern nicht mehr. Selbst eine Deinstallation aller Updates und die anschließend komplette Neueinrichtung der Rollen konnte den Cluster nicht wieder richtig reparieren. Es gab andauernde nicht zu erklärende Fehlfunktionen. Deshalb wurde der Cluster von uns aufgegeben und die User auf einen neuen Cluster mit Windows 2019 Terminalservern migriert.

Ich habe Verständnis dafür, dass Hersteller wie Microsoft heute Sicherheitslücken sehr schnell schließen müssen, um die daraus resultierenden Gefahren für die Kunden schnell abzustellen. Ich finde die Informationspolitik zu den durch das Update verursachten Problemen von Microsoft jedoch völlig unzureichend. Warum gibt es nach wie vor keine offizielle Stellungnahme mit einer Auflistung der Probleme? Warum wurde auch drei Tage nach dem Erscheinen der Updates und den vielen Berichten über die Probleme die Update bis jetzt nur halbherzig zurückgezogen? Diese werden zwar aktuell nicht mehr automatisch ausgeliefert. Sie lassen sich im aber immer noch finden und ohne Warnung installieren. Siehe auch hier die Zusammenfassung von Günter Born Microsoft Patchday-Probleme Jan. 2022: Bugs bestätigt, Updates zurückgezogen?

Bis jetzt scheint es nur im Blog von Günter Born vernünftige Erklärungen, Zusammenfassungen und den aktuellsten Stand zu den massiven Problemen mit den Sicherheitsupdates des Microsoft Patchday vom 11.02.2022 zu geben. Vielen Dank von meiner Seite für diese gute Arbeit! Und der Weltkonzern Microsoft sollte sich fragen, warum das eigene Security Team so etwas nicht geschafft hat.

Vielen Dateien eine andere Dateiendung geben

Ab und zu hat man bei der Administration die Aufgabenstellung vielen Datei eine andere Dateiendung zu geben. Hier eine kleine Programmzeile, mit der man diese Aufgabe sehr erleichtern kann. Mit dieser kann man unter Linux oder MacOSX an alle Dateien in einem Verzeichnis die Dateiendung “.pdf” anhängen.

ls * | cat | while read n; do mv "$n" "$n.pdf"; done

Laufwerk M: mit einer Gruppenrichtlichtlinie ausblenden

Bei Terminal- und Citrixservern möchte man oft die lokalen Laufwerke bei Windows ausblenden. Ab besten kann man dies mit Hilfe einer Gruppenrichtlinie im Active Directory erledigen. Bei der normalen Gruppenrichtlinie gibt es allerdings nur die Möglichkeit die lokalen Laufwerken um A, B, C oder D auszublenden. Wenn man die Gruppenrichtlinie mit der folgenden ADM-Datei erweitert, kann man auch die bei Laufwerksbuchstaben M, N, O und X ausblenden, die häufig bei Citrixservern vorkommen.

Nähere Infos über ADM-Dateien sind bei www.gruppenrichtlinien.de, Microsoft oder www.MSExchangeFAQ.de zu finden.


;Einstellung zur Laufwerksunterdrückung

CLASS USER

CATEGORY !!WindowsComponents
    CATEGORY !!WindowsExplorer
	KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

POLICY !!NoDrives 
            EXPLAIN !!NoDrives_Help
	    PART !!NoDrivesDropdown	DROPDOWNLIST NOSORT REQUIRED
		VALUENAME "NoDrives"
		ITEMLIST
		    NAME !!ABOnly           VALUE NUMERIC	3
		    NAME !!COnly            VALUE NUMERIC	4
		    NAME !!DOnly            VALUE NUMERIC 	8
		    NAME !!ABConly          VALUE NUMERIC 	7
		    NAME !!ABCDOnly         VALUE NUMERIC	15
                    NAME !!MOnly            VALUE Numeric       4096
                    NAME !!AMOnly           VALUE Numeric       4097
                    NAME !!NOnly            VALUE Numeric       8192
                    NAME !!ACDMNOnly        VALUE Numeric       12301
                    NAME !!CDMNOnly         VALUE Numeric       12300
                    NAME !!CDMNOOnly        VALUE Numeric       28684
                    NAME !!CDMNOXOnly       VALUE Numeric       8417292
		    NAME !!ALLDrives        VALUE NUMERIC	67108863 DEFAULT 
                         ; low 26 bits on (1 bit per drive)
		    NAME !!RestNoDrives     VALUE NUMERIC	0

		END ITEMLIST
	    END PART			
	END POLICY

        POLICY !!NoViewOnDrive
            EXPLAIN !!NoViewOnDrive_Help
	    PART !!NoDrivesDropdown	DROPDOWNLIST NOSORT REQUIRED
		VALUENAME "NoViewOnDrive"
		ITEMLIST
		    NAME !!ABOnly           VALUE NUMERIC	3
		    NAME !!COnly            VALUE NUMERIC	4
		    NAME !!DOnly            VALUE NUMERIC 	8
		    NAME !!ABConly          VALUE NUMERIC 	7
		    NAME !!ABCDOnly         VALUE NUMERIC	15
                    NAME !!MOnly            VALUE Numeric       4096
                    NAME !!AMOnly           VALUE Numeric       4097
                    NAME !!NOnly            VALUE Numeric       8192
                    NAME !!ACDMNOnly        VALUE Numeric       12301
                    NAME !!CDMNOnly         VALUE Numeric       12300
                    NAME !!CDMNOOnly        VALUE Numeric       28684
                    NAME !!CDMNOXOnly       VALUE Numeric       8417292
		    NAME !!ALLDrives        VALUE NUMERIC	67108863 DEFAULT 
                         ; low 26 bits on (1 bit per drive)
		    NAME !!RestNoDrives     VALUE NUMERIC	0

		END ITEMLIST
	    END PART			
	END POLICY

	End Category
End Category


[strings]

WindowsComponents="Ohl_Windows-Komponenten"
WindowsExplorer="Windows Explorer"
NoDrives_Help="_Entfernt die Symbole für ausgewählte Laufwerke aus Arbeitsplatz, Windows Explorer und Netzwerkumgebung. Außerdem werden die Laufwerkbuchstaben, die die ausgewählten Laufwerke darstellen, im Standarddialog "Öffnen" nicht angezeigt.\n\nWenn Sie diese Richtlinien verwenden möchten, wählen Sie ein Laufwerk oder eine Kombination von Laufwerken aus der Dropdownliste. Deaktivieren Sie diese Richtlinie, oder wählen Sie die Option "Laufwerke nicht einschränken" aus der Dropdownliste, wenn alle Laufwerke angezeigt werden sollen.\n\nHinweis: Durch diese Richtlinie werden die Laufwerksymbole ausgeblendet. Benutzer können weiterhin anderweitig auf die Laufwerke zugreifen, indem sie z. B. einen Pfad zu dem Verzeichnis auf dem Laufwerk im Dialogfeld "Netzlaufwerk verbinden", im Dialogfeld "Ausführen" oder in der Eingabeaufforderung eingeben.\n\nAußerdem verhindert diese Richtlinie nicht, dass Benutzer das Datenträgerverwaltungs-Snap-In verwenden, um Laufwerkeigenschaften anzuzeigen oder zu ändern.\n\nWeitere Informationen finden Sie unter der Richtlinie "Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen"."
NoDrives="Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden"
NoDrivesDropdown="Wählen Sie eine der folgenden Kombinationen"
NoViewOnDrive_Help="Verhindert, dass Benutzer in Arbeitsplatz auf den Inhalt ausgewählter Laufwerke zugreifen.\n\nDurch Aktivieren dieser Richtlinie, können Benutzer den Inhalt ausgewählter Laufwerke in Arbeitsplatz, Windows Explorer oder Netzwerkumgebung nicht einsehen. Außerdem können Benutzer nicht die Dialogfelder "Ausführen" oder "Netzlaufwerk verbinden" verwenden oder den Befehl "dir" ausführen, um Verzeichnisse auf diesen Laufwerken anzuzeigen.\n\nWählen Sie ein Laufwerk oder mehrere Laufwerke aus dem Listenfeld, um diese Richtlinie zu verwenden. Deaktivieren Sie diese Richtlinie, oder verwenden Sie die Option "Laufwerke nicht einschränken" aus dem Listenfeld, um diese Richtlinie zu deaktivieren.\n\nHinweis: Die Symbole, die die angegebenen Laufwerke darstellen, werden weiterhin in Arbeitsplatz angezeigt, aber wenn Benutzer versuchen, auf die Laufwerke zuzugreifen, wird eine Meldung angezeigt, die erläutert, dass dieser Vorgang aufgrund einer Richtlinie nicht gestattet ist.\n\nDiese Richtlinie verhindert nicht, dass Benutzer das Datenträgerverwaltungs-Snap-In verwenden, um Laufwerkeigenschaften zu ändern oder anzuzeigen.\n\nWeitere Informationen finden Sie unter der Richtlinie "Diese angegebenen Datenträger im Fenster Arbeitsplatz ausblenden"."
NoViewOnDrive="Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen"
ABOnly="Nur Laufwerke A und B beschränken"
COnly="Nur Laufwerk C beschränken"
DOnly="Nur Laufwerk D beschränken"
ABConly="Nur Laufwerke A, B und C beschränken"
ABCDOnly="Nur Laufwerke A, B, C und D beschränken"
ACDMNOnly="Nur Laufwerke A, C, D, M und N beschränken"
MOnly="Nur Laufwerk M beschränken"
AMOnly="Nur Laufwerke A und M beschränken"
NOnly="Nur Laufwerk N beschränken"
CDMNOnly="Nur Laufwerke C, D, M und N beschränken"
CDMNOOnly="Nur Laufwerke C, D, M, N und O beschränken"
CDMNOXOnly="Nur Laufwerke C, D, M, N, O und X beschränken"
ALLDrives="Alle Laufwerke einschränken"
RestNoDrives="Laufwerke nicht einschränken"