nach den neuestem Sicherheitstechnischen Debakel ergeben sich neue Szenarien um seine Systeme sicher zu halten. Es kann sein, dass es nicht reicht lediglich Windows Updates einzuspielen.

Windows Client Systeme

Hier müssen nicht nur die Windows Updates installiert werden, sondern auch Browser aktuell gehalten werden, dies geschieht heute meist automatisch in den Browsern.

Allerdings kann es sein, dass man den nötigen Windows Patch gar nicht erst installiert bekommt, der Grund hierfür ist, dass der Virenscanner auf dem System aktuell sein sollte und ein bestimmter Registry Key gesetzt sein muss, sonst bekommen die Systeme den Patch nicht. Den Registry Key sollte man jedoch nicht selbst setzen, außer der Hersteller des Virenscanners fordert dies, weil er selbst nicht in der Lage ist.

Windows Server Systeme

Anders als bei den Windows Clients werden hier die Patches nicht automatisch aktiviert. Man kann die Patches zwar herunterladen und auch installieren (manuell, Windows Update oder WSUS), jedoch sind diese dann noch inaktiviert. Man  muss erst noch Registry Keys setzen, um die Patches zu aktivieren, dies ist extra so, weil jeder Admin selbst entscheiden soll, ob sie/er die Performance Einbussen hinnehmen will. Dies ist in einem Microsoft KB Artikel nachzulesen.

Linux Systeme

Hier ist wichtig, den Kernel zu aktualisieren. Bei den meisten Distributionen kann dies automatisch über den Update Prozess getriggert werden. Auch wenn man nicht den aktuellsten Kernel hat, kann es sein, dass der Kernel der Linie die man benutzt, aktuell ist, da diese Sicherheitslücken meist „backported“ werden. auf Systemen mit keinem eigenen Kernel Update gibt es noch den weg sich den eigenen Kernel zu kompilieren und einzubinden.

VMWare Software

Dies gilt in bestimmter Hinsicht auch für andere Hypervisor: Beim Hersteller nach Updates suchen und installieren. Für die gängigste VMWare Software gibt es schon Patches die aber manuell installiert werden muss

Hardware Patches

Für die betroffenen Prozessoren hat Intel bestätigt Updates bis zur 4. Core i Prozessorlinie zurück herauszugeben, wie es bei XEON Prozessoren aussieht, ist mir derzeit nicht bekannt. Diese Updates könnten dann teilweise auch per Windows Update oder Hersteller der Hardware herausgegeben werden, bspw. als BIOS Patch.

Passwörter

Wie nach jeder großen Lücke die eventuell, eventuell aber auch nicht ausgenutzt wurde, empfiehlt es sich Passwörter zu wechseln. Alle.

Update 11.01.2018

ein voll gepatchtes Fedora 27 auf Lenovo ThinkPad X250 (inklusive letztem BIOS Update) ergibt derzeit diesen Sicherheitsstand

Zeigt den Bedrohungsstatus, derzeit noch nicht alle Lücken geschlossen.

Check Results Spectre and Meltdown

Den Spectre Meltdown Checker gibt es auf Github.

FAQ bei heise.de

Summary
How to - was zu tun ist nach Meltdown & Spectre
Article Name
How to - was zu tun ist nach Meltdown & Spectre
Description
Kurze Zusammenfassung was nach meltdown und Spectre gepatcht werden muss, ohne Gewähr!
Matthias Stukenberg
Matthias Stukenberg
slashtec.de