Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft stopt met compatibiliteitscheck voor av-suite bij Windows-updates

Microsoft controleert niet langer of gebruikers een up-to-date antivirussuite draaien voordat updates via Windows Update ge´nstalleerd kunnen worden. Microsoft begon met die check toen Spectre-updates problemen bleken te veroorzaken bij sommige software.

Vanaf de beveiligingsupdate van maart, die vanaf dinsdag wordt vrijgegeven door Microsoft, is de compatibiliteitscheck niet meer actief. Dat betekent dat ook Windows-gebruikers die geen of incompatibele antivirussoftware draaien, in principe weer beveiligingsupdates via Windows Update kunnen ontvangen. Microsoft benadrukt echter dat de eis van compatibiliteit nog steeds van kracht is en dat updates nog steeds geblokkeerd kunnen worden bij problemen.

Volgens het bedrijf zijn er nu zoveel antivirussuites die compatibel zijn, dat de voorafgaande check bij Windows Update achterwege gelaten kan worden. Details over de av-compatibiliteit in combinatie met oudere versies van Windows dan Windows 10 volgen nog, belooft Microsoft.

In januari voerde Microsoft de check in toen bleek dat verschillende antivirusproducten problemen veroorzaakten in combinatie met de Spectre- en Meltdown-updates. Kernelcalls van de av-suites leidden tot een conflict met de patches, wat bootproblemen kon opleveren. Systemen met een av-programma dat niet nadrukkelijk compatibel was met de patches, ontvingen de Windows-beveiligingsupdates van januari en februari daarom niet.

Om hun producten compatibel te maken, moesten av-bedrijven een registersleutel plaatsen. Windows Defender had standaard ondersteuning, maar gebruikers van Windows 7 SP1 of Windows Server 2008 R2 SP1 die geen compatibele av-suite draaiden, vielen buiten de boot. Microsoft adviseerde hen de registersleutel handmatig te zetten.

De dinsdag vrijgegeven beveiligingsupdate brengt de microcode die tegen Spectre moet beschermen, naar meer Skylake-, Kaby Lake- en Coffee Lake-processors.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

14-03-2018 • 10:32

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Dit is alleen voor nieuwe updates die deze maand zijn uitgekomen, voor updates die in janari en februari zijn uitgekomen heb je nogsteeds de registry key nodig.
Anders krijg je de updates niet te zien. (iig niet bij gebruik van wsus)

Erg onhandig trouwens voor servers waar je geen antivirus op hebt draaien, je denkt dat je helemaal up to date bent, maar stiekum ben je dat niet.
Nergens zie je een warning oid.
Ik laat me graag overtuigen als ik het mis heb, maar is het niet een gigantisch risico om een server te hebben waar geen antivirus op draait? Ik neem aan dat die server ook gewoon aan het netwerk hangt?
Wat voert een server uit?
- Eigen applicaties/services
- Een admin download (als ie het goed doet alleen de windows updates/of vertrouwde applicaties (en t liefst via een client)

Dus als je rand van je netwerk goed is beveiligd, (UTM (Universal threat management)) en je werkplekken zijn goed beveiligd, en je gaat niet op je server zitten internetten (dus je applicatie updates download je op een client en zet je vervolgens op een share waar je server bij kan) is de kans dat je geinfecteerd wordt nul.

Ik ICT al 20 jaar, en heb nog nooit een virus scanner op een server gedraaid, en als ik t ergens tegen kom omdat ik een klant overneem van een andere ICT club dan haal ik al die anti virus rommel eraf.

Waarom?
- Je IO gaat naar de knoppen (van al dat gescan)
- Je CPU usage gaat ellendig omhoog omdat elk filetje onnodig gescanned wordt
- En voor de slimmeriken onder ons (op een file server moet je wel een virus scanner draaien), op een file server ook niet. omdat je op een server zelf niets uitvoert aan bestanden, je client benaderd de share en die moet scannen.)

tot op de dag vandaag nog nooit virusbesmettingen op servers gehad en altijd top performance, anti virus en servers gaan niet samen.

#dusdat #mijnmening #weeszuinigopjecpueniocycles
Dus als je rand van je netwerk goed is beveiligd, (UTM (Universal threat management)) en je werkplekken zijn goed beveiligd, en je gaat niet op je server zitten internetten (dus je applicatie updates download je op een client en zet je vervolgens op een share waar je server bij kan) is de kans dat je geinfecteerd wordt nul.
Compleet achterhaald statement. Waarom patched synology dan continue hun nassen?

Je gaat voorbij aan het feit dat de server vatbaar kan zijn voor een security vulnerability. Ook al internet de server niet dan kan er malware op een werkplek actief zijn die jouw vulnerability ontdekt op de server en vervolgens God weet wat uithaald. Ik wil niet zeggen dat een virusscanner bij helpt maar echt edge security is zo 2008. Local System hardening is echt een must vandaag de dag!
Ik ben blij dat er nog iemand wakker is. Het is een security basis beginsel dat je aan de bron beschermd, en niet aannames maakt over schijnveiligheid van de context waarbinnen je draait.

Je dient je bron, in dit geval een interne server, op zo'n manier te beveiligen dat deze in feite ook zo buiten de deur gezet kan worden. Een goed security architect neemt immers aan dat een intern network ongeveer even gevaarlijk is als een extern netwerk. Gezien de enorme attack surface is dat ook zo.

Deze principes niet hanteren betekent inderdaad dat je de laatste 10 jaar niet opgelet hebt.
Weet je wat een must is op de dag van vandaag,.... je gebruikers awareness trainingen geven, en constant blijven uitleggen dat als ze een bijlage binnen krijgen wat niet goed voelt even contacten met je ICT afdeling.

Want uit eindelijk de gebruiker dubbel klikt ergens op.
Want de gebruiker bezoekt een site met een verrot java script of soort gelijke....

En de gebruiker zit ja,...komt ie? op een PC / laptop waar juist anti virus op moet draaien. Hey en als je het goed doet, zorg je ervoor dat bijv. Je Fortigate (anti virus/websites) alle meuk scant voordat het uberhaupt aan je device wordt aangeboden. Dus heb je 2 suppliers die de beveiliging van je werkplek doet.

en Synology update zijn software omdat er gaten in zitten waar attackers op applicatie nivo gaan zitten klooien, daarom patched Syno zo vaak hun software. heeft niets te maken met anti virus.
Voor het misbruik van security vulnerabilities is echt geen domme eindgebruiker vereist. Dat kan al door cross site scripting als een legitieme website is besmet. Heeft niets met awareness te maken.

Software heeft nu eenmaal kwetsbaarheden. Een fileserver draait ook op software al is dit een minimale set in vergelijking met een applicatie server. Zelfs recentelijk is SMB nog bepatched op een kwetsbaarheid.

Dus nogmaals edge security is niet voldoende. Lokale beveiliging is ook een vereiste al is het maar de vraag hoever je wil gaan.
Voor het misbruik van security vulnerabilities is echt geen domme eindgebruiker vereist. Dat kan al door cross site scripting als een legitieme website is besmet. Heeft niets met awareness te maken.
Niet persoonlijk bedoelt, maar duidelijk echt geen ervaring met UTM oplossingen,...cross site scripting haalt een Fortigate er uit voordat het bij de cliŰnt aankomt. Alles wat jij kan bedenken haalt je firewall eruit. (zowel voor clients/servers).

anyway, niks op de man, jij doet het lekker op jou manier, doe ik t op de mijne...ieder zijn plezier :)
Fortigate kan inderdaad crossite scripting detecteren echter doet hij dit op basis van een signature. Dus als morgen een andere variant wordt gebruikt is het mosterd na de maaltijd.
En zo gaat het dus continue het is een kat en muis spel. Een totaal oplossing is er niet. Alles op de eindgebruiker schuiven of zaligmakende technologieŰn die een antwoord zijn op alles bestaan niet. Om dan sommige systemen te kenmerken als onkwetsbaar doordat edge security voldoende is lijkt mij onverstandig. Waarom spreken security bedrijven dan van “end to end” protectie en las ik tijdens mijn studie CEH / CISM / CISSP / AWS / Azure altijd juist dat local system hardening een noodzaak was. Patches op level, local firewall aan, van tijd tot tijd vulnerability scans / penetration tests etc etc. Nooit gelezen dat er systemen bestonden die je ongemoeid kon laten zoals jij beweerd.
Wat je schrijft in je eerste paar regels klopt. Zo blijft t. De rukker vind wat uit, de Security bedrijven lopen er achter aan.

Anyway, jij verdient er een salaris mee, en ik ga met een paar jaar met vervroegd pensioen, belangrijkste is integer naar de klant, de rommel veilig stellen, jij op jou manier ik op de mijne, iedereen blij :):)
Antivirus op een server zonder gebruikersinteractie houdt dat niet tegen. Op file servers zie je het wel om bestandjes die gebruikers op de shares zetten te scannen. Op een gepatchte server haalt het niet uit en schaadt de performance en soms zelfs de applicatie...
Zie boven:
Ik wil niet zeggen dat een virusscanner bij helpt maar echt edge security is zo 2008. Local System hardening is echt een must vandaag de dag!
Trouwens antivirussoftware bestaat in die hoedanigheid zoals wij het kenden al lang niet meer. Het gaat veel verder dan dat. Dit zijn tegenwoordig security suites die onder regie van policies de totale beveiliging regelen van een client. Ik vind ook dat het onterecht nog steeds zo genoemd wordt.
Heb je daadwerkelijk ervaring met gebruikers? Zelfs in het leger zal het je niet lukken om waterdicht te trainen. En dan nog duikt er malware op die werkt op een manier die je niet in je training had opgenomen. Overigens niets tegen gebruikers, het is niet hun primaire werk om de ICT veilig te houden. Dat is jouw primaire werk.

[Reactie gewijzigd door mae-t.net op 14 maart 2018 14:39]

Zeker die besmetting via nu.nl van vorig jaar(?) alweer vergeten?
Zeker niet, maar mijn klanten die allemaal Fortinets hadden hebben hier geen last van. Java code in de html wordt eerst doorgelopen voordat het wordt aangeboden aan de client die de pagina opvraagt, de zogeheten Angler Exploit Kit die werd aangeroepen om vervolgens een .exe file in je tmp dir neer te gooien komt niet eens aan.

De Exe file wordt direct gekenmerkt als virus en haalt de client niet eens...
En op een server surf je niet naar NU.nl ...(want daar ging de hele discussie om).

Daarnaast is het zo, dat als je op een client via chrome of firefox internet met de meest simpele ADblocker je ook geen last van had dit verhaal. (had je geen UTM oplossing voor nodig).

Ik ben nog steeds van mening, zorg dat je internet verkeer filtert aan je firewall kant, gebruik een ander merk anti virus product op de client en gebruik een adblocker. zorg dat je een behoorlijke blokkade hebt op wazige bijlages .exe .zip .ace .xlsm enz om maar is wat te noemen. Gebruik geen smb 1.0 op je microsoft file servers, en wees voorzichtig met usb sticks enz. en zorg dat je software up to date is.
om dezelfde reden dat windows updates krijgt. als een server vatbaar is voor een vulnerability, dan doet een antivirus nog steeds niet veel, want die is net zo afhankelijk van patches (nieuwe definities).
Waarom patched Synology continue? Omdat ze veel apparatuur hebben die bij consumenten staat waar security geen hoge prioriteit heeft. We hebben het hier over servers die steeds meer in een zo minimaal mogelijke configuratie worden opgezet om de overhead te beperken, waarop alles wat niet nodig is voor de goede werking wordt uitgeschakeld en waar toegang tot het systeem wordt geregeld met het principe van juist genoeg en juist op tijd.

Kan je alles tegenhouden? Neen. In het ergste geval komt er een 0-day langs die al je clients en servers onderuit weet te halen (denk maar aan Maersk) en op zo een moment, zelfs al heb je de beste firewals en AV en zijn er misschien machines te vinden die niet ge´nfecteerd lijken te zijn ga je sowieso alles rebuilden uit voorzichtigheid.
Dus als je rand van je netwerk goed is beveiligd, (UTM (Universal threat management)) en je werkplekken zijn goed beveiligd, en je gaat niet op je server zitten internetten (dus je applicatie updates download je op een client en zet je vervolgens op een share waar je server bij kan) is de kans dat je geinfecteerd wordt nul.
Verkoop je dat laatste ook als product met garantie? Dan ken ik wel wat bedrijven waar we dit kwijt kunnen.
Ik vind het namelijk nogal een stelling die je hier doet!
Dit. Wij hebben ook beheerders hier die zo dom denken. Vorig jaar waren we hierdoor ons halve serverpark kwijt. Helpdeskgebruiker plaatste locky virus op een fileserver. Meteen raak en bedrijf een week down. Servers zonder bescherming is echt notdone.
maar waarom kan een bestand uitgevoerd worden op een fileserver? dat zou toch al niet eens mogen gebeuren?
Precies, een bestand uitvoeren op een server onder een elevated account met genoeg rechten om de rest van de organisatie te besmetten. Het probleem is dan niet het ontbreken van een virusscanner. Een scanner had de gevolgen wellicht kunnen beperken maar het ontbreken ervan is zeker niet de oorzaak van het uitvallen van het halve serverpark.
alleen blijft er natuurlijk kans dat zo'n virus uitgevoerd wordt op de pc, en dan ook de bestanden op de fileserver versleuteld. maar dat zou alleen de bestanden van die gebruiker moeten kunnen be´nvloeden.
dan is het een kwestie van terugzetten van een backup.
hoe dan ook, het is redelijk gemakkelijk te voorkomen dat je servers platgaan door zulke virussen.
En als een clientcomputer gewijzigde (encrypted) bestanden upload, wat gaat een virusscanner op de server daar tegen doen? Die server draait het virus niet, en ziet alleen encrypted bestanden, wat redelijk normaal is om op een server te plaatsen...
En als een clientcomputer gewijzigde (encrypted) bestanden upload, wat gaat een virusscanner op de server daar tegen doen?

Als het een beetje goede AV is:
1) de client toegang weigeren, zodat het besmette bestand niet geschreven wordt op de fileserver
2) indien reeds geplaatst, verwijderen/quaranteine

Geen AV op een server is bizar dom. Ook alleen al omdat ooit de admin zal inloggen en Iets™ zal moeten doen onder admin rechten. Kleine kans, grote gevolgen. Als je bang bent voor performance kun je bepaalde bestanden/etc uitsluiten van scannen.

Plus admins zijn mensen en maken wel eens een foutje, lopen soms toch een kantjes eraf, etc. Ik ben ook een perfecte automobilist, maar heb toch mijn gordel om. O-)
Volgens mij begreep je mijn punt niet. Een scanner op de server kan niet weten of het “besmette” bestanden zijn want die zijn encrypted en zien er dus hetzelfde uit als bv een zip met wachtwoord (random binary data).

Mijn opmerking was overigens niet bedoeld om een kant te kiezen, want ik beheer geen Windows servers en heb er dus ook onvoldoende zicht op of je daar wel of geen antivirus nodig hebt. Naar mijn mening kun je een fileserver die door Windows clients gebruikt wordt het beste op een *ander* OS dan Windows draaien, want virusrommel van clients heeft dan sowieso geen effect meer.
Een scanner op de server kan niet weten of het “besmette” bestanden zijn want die zijn encrypted en zien er dus hetzelfde uit als bv een zip met wachtwoord (random binary data).

Of ze encrypted zijn hangt natuurlijk af van de omstandigheden. Veel fileservers zijn niet encrypted op file niveau, of gebruiken een centraal beheerde key waardoor de AV op de server wel degelijk kan scannen.

Als het client-side encrypted is met expliciet doel dat niemand inclusief de server erbij kan is het wat anders natuurlijk, maar dan is het gevaar voor andere clients niet groot want kunnen zij die data ook niet lezen. Maar dat is natuurlijk nog steeds geen reden geheel geen AV te draaien ivm mijn andere argumenten O-) Gelukkig is dat vandaag de dag reeds standaard in-box.
dan heb je backups, en dan nog heeft het een beperkte invloed, want die encrypted bestanden zullen niet de rest van het systeem infecteren
Tja, als je toestaat dat een helpdeskgebruiker dit mag doen op een fileserver... Helpdesk gebruiker had geen virusscanner en mag malafide executables runnen op een fileserver? Je process lijkt me dan niet op orde.
De patch tegen locky was een maand eerder gereleased door MS, dus als alle servers/werkplekken netjes hun windows updates hadden gehad was er niets aan de hand geweest...

En ook geldt hier weer, iemand heeft op een client een executable aangeklikt op een systeem die niet goed gepatched was en de Anti virus software was nog niet up to date genoeg....(wat kan tussen updates/en virus die uitkomen zit nog wel een aantal uur/dagen.)
Ik mag aannemen dat dat alleen geldt in combinatie met opzet en beheer van het gehele netwerk.

Overigens kan een BYOD dan alsnog voor een infectie zorgen, dat zijn toch typisch machines die niet langs de rand van het netwerk hoeven. Ik ben het ermee eens dat een virusscanner kostbaar is qua systeembelasting, dus een heel zware uitgebreide scanner is in een low-risk toepassing misschien overdreven, maar zonder scanner lijkt me iderdaad niet zo verantwoord.
Bedankt voor de onnodige hashtag en mening, maar je punt gaat niet echt op. Je gaat hier volledig de mist in door te roepen dat de enige manier van infectie een gebruiker is die dingen uitvoert, en dat dat op een server niet kan. Er worden dagelijks nog genoeg exploits gevonden, waarbij ongeauthoriseerde gebruikers spul kunnen plaatsen of uitvoeren. Ook zijn er op webservers en databaseservers waar genoeg data op gezet wordt vanuit gebruikers, of waarbij de site commando's uitvoert. Ik heb zelf al wel miners/crypters en andere troep zien binnensluipen op goed onderhouden servers met minder goed beheerde applicaties. Dan is het toch fijn dat het wordt tegengehouden.
+1 voor de anti hashtag mening, maar -1 om zijn post te begrijpen.
hij stelt dan ook dat je dergelijke servers niet op de rand van je netwerk moet positioneren, maar zo ver mogelijk weg van de buiten wereld.
en de hele laag ertussen goed moet beschermen, gecombineerd met een paar honeypots.
en in dat opzicht geef ik hem als sys admin 100% gelijk.
Maar dat is een heel zeldzaam geval, in de praktijk staan er veel machines in de gevaar zone, en is het heel lastig om de rest van je netwerk goed te beveiligen, zeker als je met een BYOD policy zit.
Hoe ga je een webservers/databaseservers niet op de rand plaatsen? De hele bedoeling is dat de buitenwereld hier gebruik van maakt.

Niet alles is een bedrijfsnetwerk in een kantoor.

[Reactie gewijzigd door ItsNotRudy op 14 maart 2018 11:18]

je webservers plaats je bijv. in een DMZ oftewel een ander netwerk dan je netwerk waar DB servers in draaien. (kan een fysieke port zijn op je firewall of een VLAN), in je firewall prik je een paar gaatjes naar je DB server (dus alleen de poorten die nodig zijn en de rest DENY).

Op je firewall (beetje knappe firewall, fortigate, cisco, checkpoint) activeer je IPS (intrusion prevention) (en zet je de regels aan die van toepassing zijn voor je applicatie/en of dienst die je aanbiedt). Als dubbele laag zou ik dan cloudflare er tussen zetten zodat de aanvaller in de basis niet makkelijk het IP adres van je webserver kan achterhalen en ik zou in de firewall regel alleen de cloudflare servers tegen de lokale webserver laten praten.

Basis cursus netwerkenbeveiliging is dit eigenlijk, en geloof me, hier komt je AV software nergens aan te pas, want basis hacken begint op laag 3 en 4 van je OSI, en AV software heeft daar geen weet van want die scant bestandjes.)

Dus waarom een AV scanner op je web/db server?

@rookie no. 1 Als je goeie security op je netwerk hebt (LAN blijft moeilijk) heb je windows firewall ook niet nodig, want 2 firewalls beheren (dus je hardware matige) en dan ook nog software matige firewall is vaak vragen om rare technische (netwerk) problemen.

@bigbadbull
BYOD is inderdaad een lastige, maar als ze dat al mee hebben gebruik je vaak een RDP/citrix/VDI oplossing, als je het goed doet plaats je je citrix servers/applicatie servers in een ander VLAN/netwerk dan waar je BYOD devices zijn en kan je alleen toegang geven op de RDP/CITRIX/VDI poorten, de rest zet je dicht. (zo zou ik t doen)
En toen zat er een lek in RDP. Het punt is dat je zelfs je locale netwerk nooit 100% onder controle hebt, zelfs al is het risico relatief klein.
Ik snap dat je dat zegt, maar blijkt ook dat ik twijfel aan je security kennis, een webserver/database server wordt gehacked op sql injectie of op gaten in de software, daar gaat je anti virus pakket niet tegen helpen.
(Op linux draait toch ook geen virus scanner)....

@dehardstyler hey ik doe al 20 jr netwerk security, windows beheer en geloof me vanaf NT 4.0 heb ik alles wel gezien, en t enige wat k*t was waren de vroegere RPC virussen, omdat die via NETBIOS werden verspreid met alle ellende van dien. een anti virus pakket hielp hier ook niet bij.

Een anti virus pakket die je lokaal draait heeft alleen nut als je op de server zelf iets uitvoert. alle security attacks die je vanaf (extern doet) zijn berust op zwakheden en fouten in de software en gaat je AV pakket helemaal niets aan doen.

oja, als je CITRIX of Remote desktop draait op je windows server adviseer ik wel een virus scanner te gebruiken omdat je daar wel applicaties uitvoert en op internet.

[Reactie gewijzigd door itlee op 14 maart 2018 11:14]

(Op linux draait toch ook geen virus scanner)....
Op een Linux fileserver die Windows clients via Samba bedient zou ik wel degelijk een virusscanner installeren, al is het maar ClamAV, om documenten en eventuele gebruikersprofielen te scannen op (Windows) malware en dergelijke. Als je iets vindt is het natuurlijk altijd te laat, maar je weet dan wel welke gebruikers en eventueel welke clients er mogelijk besmet zijn.
ClamAV ondersteund toch geen "real-time" beveiliging van bestanden? Zover ik weet, moet je zelf een scan opstarten.

Niet dat ClamAV een slechte virusscanner is, maar dat beperkt het nut toch enigzins. Dan kan je wel stellen dat een fileserver maar 1 of 2 keer per dag zo'n scan uit moet voeren, maar zulke checks lijken mij dan behoorlijk intensief voor CPU/hard disk en dat komt de prestaties gedurende deze scans niet ten goede.

Daarnaast heb ikzelf het idee dat malware tegenwoordig een groter probleem vormt dan virussen, puur en alleen omdat daarmee (meer) geld mee verdiend kan worden en destructiever kunnen worden ingezet.
Zoals @BeeJee al aan geeft biedt ClamAV wel degelijk real-time scan functionaliteit tegenwoordig. Maar ik bedoelde inderdaad dat je periodiek, buiten werktijden, de files en gebruikersprofielen scant op malware, met inderdaad de reden die jij zelf al aan geeft.
Je hebt gelijk dat een antivirus pakket eigenlijk altijd te laat is. Toch vinden de meeste bedrijven het ook nog belangrijk om per server toch nog wat IDS scanning te doen. En hoe zit het bijvoorbeeld met verschillende gradaties binnen een netwerk? De server waar we het nu over hebben ( alleen intern, updates worden handmatig ge´nstalleerd via een interne netwerkshare ) bevat bijvoorbeeld alle salarisstroken en paspoort kopieŰn van het hele bedrijf. Kan dat op de edge al compleet afgezonderd worden? Want ik kan mij bijvoorbeeld voorstellen dat iemand binnen komt op een PC die een Windows Update probleem heeft ( voorbeeldje ). Deze PC kan ook op die server komen, want die PC is van de HR admin. Nou heb je helemaal niks op je server draaien qua antivirus, kan deze dan niet alsnog ge´nfecteerd worden? En was dat met een wat strakker afgestelde IDS toch voorkomen? Want je kan die server natuurlijk veel meer dichttimmeren, dan je edge, anders wordt de vrijdagmiddag op kantoor zo saai. ;)
Het gevaar schuilt hem in meer dan user-interactie en kan ook gewoon via je netwerk protocollen en services naar binnen sluipen.

Gewoon een degelijke bedrijfs anti-virus oplossing kiezen en de juiste processen en locaties uitsluiten. Dan valt het allemaal wel mee.

Hopelijk heb je wel overal minimaal een (Windows) firewall actief :)
Ben ik het geheel niet mee eens.

Ik werk zelf met webservers, en daar heb je vaak situaties waar externe gebruikers bestanden kunnen uploaden. En je kunt niet de veiligheid van bestanden van externe gebruikers garanteren, waar je geen invloed hebt op de security policies.

Maar ook: iets wat veel mensen niet weten is dat het ook mogelijk is dat een kwaadwillende persoon admin rechten op je systeem krijgt, door het uitvoeren van een bepaald script, dat niet door de virusscanner wordt opgepikt. Hiermee kan de virusscanner dus omzeilt worden en kunnen dus ook gevaarlijke bestanden niet alleen naar de client, maar ook naar de server worden gekopieerd.

Omdat je server een centrale rol heeft in het netwerk, en omdat zeker client software nooit 100% waterdicht kunnen zijn, is het gewoon belangrijk dat je ook op je server op virussen en bedreigingen controleerd, zodat je dit in iedergeval niet op grote schaal verder kunt distribueren.

[Reactie gewijzigd door Tipsko op 14 maart 2018 11:36]

tot op de dag vandaag nog nooit virusbesmettingen op servers gehad en altijd top performance, anti virus en servers gaan niet samen.
Hoe weet je dat? Je draait geen AV software, dan weet je niet of je besmet bent.

Doet me sterk denken aan een aantal collega's een paar jaar terug met hun Mac.
"Nee, een Mac kan geen virus krijgen". Nou, ze hadden het goed mis.
Antivirus software verhoogt ook de attack surface van de server, maw weer een extra programma die kwetsbaarheden kan bevatten. Antivirus software heeft ook heel veel rechten op de pc/server waarop hij ge´nstalleerd is, daarom ook extra interessant voor een aanval.
Zolang je netwerk zelf goed beveiligd is zou het in principe niet uit hoeven maken.
Op de servers doe je eigenlijk niet zoveel taken. Dat doe je op de client-side.

Daarnaast firewalls die veel bullshit blokkeren binnen het netwerk is ook om iets aan te raden. DMZ gebruiken ook een optie. Er zijn genoeg manieren om een goed en veilige omgeving te hebben.
Mijn gedachtegang is dat je netwerk zo veilig is als de zwakste schakel. Natuurlijk zijn de allerzwakste schakels de gebruikers, maar ook op 'technisch' vlak gaat de vlieger volgens mij prima op. Tenzij je een hele complexe situatie creŰert waarbij je servers allemaal 100% ge´soleerd zijn is de kans nog steeds zeer aanwezig dat ze ge´nfecteerd worden door andere machines. Je kan de machine tenslotte nooit helemaal isoleren tenzij hij eigenlijk niets doet (en dan is de vraag weer waarom het ding eigenlijk nog draait)...
Updates zijn monthly rollups. Dus updates van Jan/Feb zitten nu automatisch in maart updates
Ja de windows server update zelf.
Maar als je de registry key niet hebt krijg je geen .net en ie updates.

Zonder de reg key krijg ik op een 2012r2 server 2 updates, met key 11 updates.

[Reactie gewijzigd door DDX op 14 maart 2018 11:14]

Ah ok. Bedankt voor de info!
Hoe kom je precies aan de informatie dat de updates voor Jan/Feb alsnog niet geinstalleerd worden? Volgens het artikel bij MS waar naar gelinkt is wordt er dit gezegd;
This change will expand the breadth of Windows 10 devices offered cumulative Windows security updates, including software protections for Spectre and Meltdown.
Mis ik ergens een stuk informatie?

edit:

Ze gaan verder met;
We continue to require that AV software is compatible and in cases where there are known issues of AV driver compatibility, we will block those devices from receiving Windows updates to avoid any issues.
Ergens zit er toch nog een check in, maar hoe precies.....?

[Reactie gewijzigd door SaintK op 14 maart 2018 14:42]

Hoe kom je precies aan de informatie dat de updates voor Jan/Feb alsnog niet geinstalleerd worden?
Zelf ondervonden op server waar de registry key nog niet aanwezig is.
Windows Server wordt standaard geleverd met een beveiligingsproduct. Dit voldoet aan de eisen.

Daarbij zijn de maandelijkse updates een roll-up iedere maan dus je hoeft geen registry hack te doen. Die van maart installeert alles wat nodig is. (Daar heeft men natuurlijk wel over nagedacht.)
Zoals ik in andere reactie ook al aangaf :
Ja de windows server update zelf.
Maar als je de registry key niet hebt krijg je geen .net en ie updates.

Zonder de reg key krijg ik op een 2012r2 server 2 updates, met key 11 updates.
Heb je ook gekeken welke het zijn? De roll-ups zijn sets updates, hier kunnen dus makkelijk die oudere updates in zitten. Je kunt de lijst vaak zien in de KB artikelen van de desbetreffende updates.
Ja een hele rits .net updates die absoluut niet in de maart update zit.
Ik kreeg sinds meltdown/spectre, januari dit jaar, dus geen updates meer, laatste automatische update was december 2017, en heb de updates handmatig moeten installeren daarna, tot en met de update begin deze maand. Toevallig vandaag kreeg ik vandaag weer wel de automatische updates binnen.
Vreemde is dat mijn anti-virus weldegelijk up-to-date was gezien ik gewoon defender draai en deze wel geupdatet werd, ook kreeg ik gewoon adobe flash updates binnen. Blijkbaar ging de check dan niet helemaal goed bij iedereen, want op het forum las ik toevallig deze week dat ik niet de enige was.
Geen Windows cumulatieve updates beschikbaar sinds november
ook kreeg ik gewoon adobe flash updates binnen.
Flash verwijderen vergroot de veiligheid van je computer meer dan een compleet antivirus pakket :+
Daar ben ik het mee eens, ware het niet dat je flash niet kan verwijderen uit Microsoft Edge of Internet Explorer. Je kan flash wel uitschakelen in beide of Internet Explorer als geheel verwijderen, maar in Edge blijft flash dus een onderdeel en zolang dat nog is is het updaten van flash, ondanks dat je het niet gebruikt en uitgeschakeld hebt, een best practice.
Incorrect. De flash in Edge zit ingebakken en updates daarvan komen met Edge updates mee, niet van Adobe. IE is uberhaupt niet afhankelijk van Flash. Als je er dus een losse flash naast zet heb je 2 versies op je systeem en maak je het erger :+

[edit:]
@Rudie_V Je had het dus wel over de flash plugin van Adobe. Uit je eerste post:
ook kreeg ik gewoon adobe flash updates binnen
Flash updates van MS zelf (wat ik dus bedoelde met "ingebakken", doet er niet toe of het een apart ding is of niet, ze horen bij die browser) komen dus niet van Adobe, dus als je zegt dat je Adobe updates ontvangt heb je dus 2 flash plugins op je systeem...

Verder was ik altijd in de veronderstelling dat die flash plugin van MS alleen voor Edge is en niet voor IE. Ik gebruik beide verder niet (en geen flash), dus ik weet het niet 100% zeker, maar volgens mij hebben de flash updates van MS niets met IE te maken.

[Reactie gewijzigd door kozue op 16 maart 2018 13:41]

Ik heb het niet over de flash plugin van adobe. :) Zowel Edge als IE hebben een versie van flash van microsoft zelf ingebakken en die kan je in beide browsers niet verwijderen, alleen uitschakelen. Ook windows 10 systemen zonder IE krijgen dezelfde flash update als systemen met IE. In jouw argumentering, als ik jou goed begrijp, zou het systeem zonder IE niet de flash update van microsoft moeten krijgen, omdat Edge de update via Edge updates, die in de cumulatieve windows 10 updates zitten, mee moeten krigen, maar dat is niet zo. En ik heb het net nog nagekeken, ook de systemen zonder IE krijgen dezelfde flash update als systemen met IE. :)
Deze maand is dat: https://support.microsoft...te-for-adobe-flash-player

Edit:
https://blogs.windows.com...lash-on-windows-timeline/

[Reactie gewijzigd door Rudie_V op 16 maart 2018 09:50]

Ik ben van mening dat Microsoft zich tegenwoordig teveel inmengt met het uitrollen van updates en stuurprogramma updates. Een keuze om zelf te beslissen of je beveiligings- updates en/of optionele updates wil binnen halen is er niet meer. Laat de optie bij de gebruikers en fabrikanten.

Een OEM fabrikant waar ik voor werk, mag pas compatible stuurprogramma's en BIOS updates op haar website plaatsen, zodra ze eerst aan Microsoft zijn overgedragen en beschikbaar zijn gesteld. Wat dus weer issues met zich mee brengt als ze niet als "kritisch" worden aangemerkt door Microsoft.

Ik zie er nu al tegenop dat we al diverse BIOS updates voor Meltdown en Spectre klaar hebben liggen, maar we ze nog niet kunnen verstrekken aan onze klanten, omdat Microsoft's update servers de aantallen van de andere OEM niet tegelijk aan kunnen.
Als Microsoft merkt dat er problemen zijn moeten ze het volgens U dus alsnog uitrollen, een groot deel van de klanten met hun hoofd tegen de muur laten lopen, alle support overuren laten draaien en weer een hoop pissed off klanten erbij omdat jij van mening bent dat zij zich niet moeten moeien?

En aan de andere kant wil je dat MS de meest kritieke van alle updates (wat BIOS updates toch echt zijn) niet meer valideerd met nog meer mogelijke problemen tot gevolg? Ga je dan ook de verantwoordelijkheid opnemen als blijkt dat je BIOS update ervoor zorgt dat Windows niet goed meer opstart?
kunnen we nu weer % performance verlies verwachten door deze patch?
In dit geval is het geen patch tegen Spectre maar een check voor compatibiliteit die wordt weggehaald. Het heeft dus geen performance invloed.
Ik zie er nu al tegenop dat we al diverse BIOS updates voor Meltdown en Spectre klaar hebben liggen
Huh? De BIOS draait buiten het OS en heeft niets met MS en hun policies te maken. Als je er Linux of DOS op zet draai je nog steeds dezelfde BIOS. Volgens mij ben je ergens mee in de war...

[edit] Argh, was bedoelt als reactie op Gummy13 maar komt als losse reactie terug. Zou fijn zijn als je zelf je reactie kon fixen door een nieuwe parent uit te zoeken...

[Reactie gewijzigd door kozue op 14 maart 2018 18:16]

Deze problemen zijn ontstaan sinds de Meltdown update half februari (heb een AMD PC hier).

Had een hele rare crash, na een her-installatie Office 2016 vorige week kreeg ik de KB4090913 niet geinstalleerd (ja die ene AV checker) welke telkens resulteerde in een BSOD error 0x000000e en even later in een 0x000007b. Alleen 'hidden' zetten hielp maar dan kon ik vervolgens geen updates meer binnenhalen - dit terwijl de Win10Home totaal geen enkele last hadden, alleen de Win10Pro versies hadden voortdurend problemen, een policies probleem eerder lijkt mij maar waar ik moet zoeken weet ik ook niet (meer).

Ook handmatig die AV-key inbrengen hielp totaal niet, heel raar allemaal.

Zo moest telkens een boot restore middels AOMEI backup wederom teruggezet worden, alleen hielp dit niets want ik bleef op deze rotte fout stranden - ondanks dat na de zoveelste keer proberen er geen AV meer actief was, zelfs MS Nederland wist er geen raad meer mee.

PAS na een volledige kale installatie Win10Pro met AVAST Security erop kon die KB4090913 ge´nstalleerd worden (dat was gisteren de 13e maart) kon de rest ge´nstalleerd worden.
Dit moest ik downloaden via een andere PC, gelukkig aanwezig, maar wat nou als je dat niet had?
Hier zit hem nou de kneep, er wordt maar weinig voor de leek verspreid via de bekende media want mijn vrouw wist van niets alsook mijn 2 (wizz)kids, ze krijgen meestal via mij de nieuwtjes te horen zogezegd.

Kortom, een hele rare ontwikkeling, zelfs de MS helpdesk wist zich geen raad ermee.

Ronald

[Reactie gewijzigd door SirRonaldwwnl op 14 maart 2018 19:02]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True