Windows Patch Aktivierung per Registry

In der Vergangenheit wie auch diesen Patch Monat hat Microsoft immer wieder Patches veröffentlicht, die nicht automatisch mit Installation aktiv wurden.

Es gibt ein paar Patches die erst mit setzen von bestimmten Einstellungen und Registry Keys aktiv werden. Lesen Sie im folgenden eine Zusammenstellung von Patches die nicht sofort aktiv werden sondern mehr „Handarbeit“ benötigen. Wenn Sie die angezeigten Registry Keys setzen, müssen Sie das System auch unbedingt neu starten. Andernfalls werden die Änderungen nicht wirksam.

WDigest Patch

Die WDigest Lücke ermöglicht es angreifen das Passwort eines angemeldeten Benutzers auszulesen. Ein Patch sorgt dafür dass der Puffer mit den zwischengespeicherten Credentials gelöscht wird. Nach der Installation des Patches setzen Sie den Registry Key gemäß der Anleitung im verlinkten Technet Artikel um diesen zu aktivieren.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

ist der korrekte Key dessen Wert auf 0 gesetzt werden muss um zu verhindern dass die Anmeldedaten im Arbeitsspeicher zwischengespeichert werden. Als Administrator sollte man eine GPO erstellen und auf alle Systeme anwenden, damit nicht nur bestehende sondern auch neu installierte Systeme automatisch diese Einstellung bekommen.

Wenn Sie nur einzelne Systeme absichern müssen kann folgendes Kommando das Setzen des Keys übernehmen:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0

Spectre / Meltdown / Speculative Execution Patches

Die dieses Jahr für viel Aufsehen sorgenden Patches müssen auf Servern auch manuell aktiviert werden. Dies ist darin begründet, dass die Patches Leistungs-einbußen zur Folge haben. Der Administrator soll selbst entscheiden ob er diese Einbußen hinnehmen will.

Microsoft hat dazu einen Technet Artikel veröffentlicht der laufend angepasst wird. Daher sollte dieser leider auf Änderungen beobachtet werden. Um zu überprüfen ob man sicher vor den Lücken ist, gibt es die Möglichkeit per Powershell den Status zu prüfen. Die folgenden Keys setzen Sie für die Mitigation auf einem Intel System ohne dass es ein Hyper-V host ist. Andere Varianten (AMD, Hyper-V) sind im verlinkten Technet Artikel zu finden.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Weiter Artikel zu den Problemen mit Spectre finden Sie hier, hier und hier.

SChannel Patch

Die Absicherung für SChannel muss auch über einen Registry Key erfolgen. Im Detail muss man bestimmte Keys entfernen, damit die SSL Verschlüsselung keine schwachen Algorithmen verwendet. In dem Patch hat Microsoft neue starke Verschlüsselungen hinzugefügt. Mit einem Skript von Github kann die eigene Verwundbarkeit getestet werden. Tipp: Es wird kein Linux System benötigt wenn amn Cygwin oder den WSL (Windows Subsystem for Linux) nutzt.

Die Einstellungen und zu verwendenden Cipher findet man in dem empfehlenswerten Blog „You had me at EHLO“

Es gibt ein Programm welches beim setzen der korrekten Keys unterstützt: IISCrypto

Update 21.09.2018: Das Tool hat einfache Einstellmöglichkeiten, die zeitnahe Behebung der Lücken ermöglichen: Es gibt die Möglichkeit per Button „Best Practice“ auszuwählen und sofort nur mehr die sicheren Verschlüsselungsverfahren zu verwenden. Nach einem Neustart des Systems sind die Änderungen aktiv.

Wichtig sind diese Einstellungen für IIS Server, Exchange Server, RDP Server.

CredSSP

Die CredSSP Patches und Aktivierung dieser oder nicht Aktivierung kann dazu führen, dass man sich selbst von der Benutzung von RDP Verbindungen zu Servern ausschließt. Daher ist hier besondere Umsicht bei der Aktivierung und Einstellung geboten. Die Einstellungen auf Clients und Servern müssen zueinander passen.

Microsoft hat einen länglichen KB Artikel herausgegeben, welcher die Thematik adressiert. In der Interoperability Matrix ist angegeben, wie die Einstellungen zusammen passen. Wenn man Server als auch Clients auf „mitigated“ stellt, sollte alles korrekt funktionieren. Dies funktioniert allerdings nur, wenn sowohl Server als auch Clients korrekt gepatcht sind.

Interoperability Matrix CredSSP

Summary
software image
Author Rating
1stargraygraygraygray
Aggregate Rating
no rating based on 0 votes
Software Name
Microsoft Security Patches
Operating System
Windows
Software Category
OS
Price
EUR 0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.