Security Professionals - ipfw add deny all from eindgebruikers to any

KB3102429 - alleen tekentje?

18-11-2015, 10:39 door Erik van Straten, 34 reacties
Uit https://support.microsoft.com/en-us/kb/3102429:
Article ID: 3102429 - Last Review: 11/18/2015 03:23:00 - Revision: 2.0: Update that supports Azerbaijani Manat and Georgian Lari currency symbols in Windows

About this update
After you apply this update, the Azerbaijani Manat and the Georgian Lari currency symbols can be input by using the physical keyboard, Windows on-screen keyboard (osk.exe), or Tablet PC Input Panel (Tabtip.exe) in Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7 Service Pack 1 (SP1), and Windows Server 2008 R2 SP1. Additionally, these currency symbols are added on the Currency tab of the Region settings in Control Panel.

Before you install this update, see the Prerequisites section.

We have defined the new keyboard combination for Azerbaijani Manat and Georgian Lari. See the hotkey combinations in this article.

This update is released on November 17, 2015.
[...]
Aan de enorme lijsten met bestanden die zullen wijzigen, kun je zien dat deze update meer lijkt te doen dan alleen wat fonts wijzigen en eventueel keyboarddrivers aanpassen, ik noem enkele bestandsnamen die mij meteen opvielen:

Du.dll: dit is onderdeel van OOBE (zie c:\Windows\System32\oobe\en-US\)
De volgende 4 bestanden bestaan nog niet op mijn PC (ik heb deze update nog niet geïnstalleerd):
Du_help_what_info_sent_to_ms.rtf
Du_help_why_get_updates.rtf
Help_what_is_activation.rtf
Setup_help_upgrade_or_custom.rtf
Opvallend is dat bij elk van die laatste 4 RTF (Rich Text Format) bestanden een bestand met dezelfde naam, echter met extensie .ttf (True Type Font) wordt meegeleverd.

wds*.dll en bijv. Unattend.dll: Windows Deployment Services (AKA Panther)

Dism*.* Deployment Image Servicing and Management

Cryptosetup.dll: Lijkt mij ook niet echt iets met lettertypes te maken te hebben

Nog enkele:
Logprovider.dll: eerder geüpdated bij https://support.microsoft.com/en-us/kb/2952664 ("This update helps Microsoft make improvements to the current operating system in order to ease the upgrade experience to the latest version of Windows)"

Msxml6.dll en Msxml6r.dll: Microsoft Core XML Services (MSXML)

Ndiscompl.dll: NDIS Upgrade Compliance Check

Ik kan niet 100% uitsluiten dat al deze bestanden noodzakelijk zijn om 1 lettertje te wijzigen op een systeem. Heeft iemand informatie (verwijzingen svp, aan meningen hebben we niks) dat dit daadwerkelijk nodig is?

Zo niet, waarom kan het Microsoft kennelijk niks schelen dat het vertrouwen (in elk geval van mij - als klant) in de producten van dat bedrijf snel afneemt?
Reacties (34)
18-11-2015, 11:44 door Spiff has left the building
Door Erik van Straten, 10:39 uur:
Ik kan niet 100% uitsluiten dat al deze bestanden noodzakelijk zijn om 1 lettertje te wijzigen op een systeem. Heeft iemand informatie (verwijzingen svp, aan meningen hebben we niks) dat dit daadwerkelijk nodig is?
Zo niet, waarom kan het Microsoft kennelijk niks schelen dat het vertrouwen (in elk geval van mij - als klant) in de producten van dat bedrijf snel afneemt?
Dankjewel voor je post.
Ik deel je zorg en ergernis.
Maar net als jij heb ik nog geen idee of al die bestanden werkelijk nodig zijn voor ondersteuning van Azerbaijani Manat en Georgian Lari currency symbols.
Mij doet dat wat je beschrijft denken aan andere Windows updates die meer doen dan je op het eerste oog zou verwachten.
Een aantal daarvan heb ik eerder hier beschreven https://www.security.nl/posting/448208#posting448715, waarvan ik KB3068708 het merkwaardigste vond, een "Update for customer experience and diagnostic telemetry" met tevens "The Windows 7 offering also supports the kernel updates that were deployed separately to Windows 8.1 through security update 3045999." Wat een bende, een Diagnostic and Telemetry service update die tevens een security update bevat!
Ik sluit vooralsnog niet uit dat een vergelijkbaar krankzinnig soort verstrengeling ook van toepassing kan zijn op KB3102429.
18-11-2015, 12:25 door Anoniem
Goed opgelet.

Echter dit is niet de eerste keer dat updates vreemd of onlogisch gedrag vertonen. De steeds meer summiere omschrijving van MS helpt niet echt om er nog vertrouwen in te hebben. Maar dat vertrouwen was al weg na alle defecte updates van de laatste tijd. Is de bovengenoemde update verdacht? Goede vraag: het kan ook dat de taalupdate nieuwe karakters bevat die door alle bestanden in de lijst nog niet ondersteund worden.

Een telemetrie update is niet echt fout als deze duidelijk omschreven is, wel foute boel als deze misschien een afhankelijkheid is voor een later te installeren security update waardoor je dus als gebruiker of beheerder zelf een web of prerequirements moet gaan maken en bijhouden. Ook geeft MS steeds vaker belangrijke updates uit die eigenlijk onder optionele updates thuishoren.

En aangezien het hele update systeem een grote puinhoop is geworden is het misschien ook handig om een install recorder (bv Citrix) te gebruiken om op een test systeem te kijken welke bestanden de update in werkelijkheid aanpast. Dat kun je dan weer vergelijken met de update omschrijving.

Maar eigenlijk is het idioot dat gewone gebruikers dit allemaal moeten doen om hun systeem stabiel te houden. Sterker nog met Windows 10 worden ze verplicht het gepruts van MS te ondergaan.

Conclusie: het nieuwe Windows is niet meer geschikt voor een online omgeving.
18-11-2015, 13:21 door Anoniem
Het is misschien een taalupdate. Dat je deze executablebestanden ziet betekent wellicht dat die:
1. niet kunnen omgaan met de aangepaste fonts.
2. eigen taalonderdelen mee hebben gecompileerd.
3. gebruikt worden wanneer Windows nog niet volledig is geinstalleerd.

In het geval van unattend.dll en nog een aantal andere bestanden kun je je dat nog voorstellen, want die worden gebruikt wanneer is Windows nog niet volledig is geinstalleerd.

Verder vind ik wel dat de mengeling van (door Microsoft, niet door mij) gewenste updates en echte security updates niet moet gebeuren. Het voorbeeld wat Spiff noemt is duidelijk niet zoals het hoort. Ik weiger alle updates die doen onrecht doen aan privacy.
18-11-2015, 19:19 door Anoniem
Door Anoniem: Ik weiger alle updates die doen onrecht doen aan privacy.

Maar hoe bepaal je dat?
19-11-2015, 11:12 door khaemwaset
Is KB3102429 installeren een achterbakse truc van Microsoft voor je in de richting van Windows 10 te dwingen?
19-11-2015, 13:31 door Spiff has left the building
Door khaemwaset, 11:12 uur:
Is KB3102429 installeren een achterbakse truc van Microsoft voor je in de richting van Windows 10 te dwingen?
De lijst met bestanden die zullen wijzigen met KB3102429, zoals beschreven in https://support.microsoft.com/en-us/kb/3102429, die lijst is enorm, zoals Erik van Straten al aangaf. Ik vind het te veel werk om alles van die enorme lijst te analyseren op potentiële bijeffecten.
Maar in de beschrijvende tekst onder "About this update" en onder "Update detail information" wijst niets erop dat deze update hoort bij het pushen naar Windows 10.
En daarnaast, het betreft een Optionele update. Je hoeft die uiteraard niet te installeren. Ik kan echter niet uitsluiten dat de update op Patch Tuesday 8 december als Aanbevolen update wordt aangeboden.
Off topic:
Wil je niet (of nog niet) upgraden naar Windows 10, dan kun je eventueel zekerheidshalve de maatregelen treffen zoals ik die in mijn startpost in https://www.security.nl/posting/448208/ heb neergezet onder "Hieronder een samenvatting met de meest relevante informatie, en advies", "Mijn advies". Daarmee hoef je je dan een stuk minder zorgen te maken over het opgedrongen krijgen van een upgrade naar Windows 10.
Eind off-topic.
19-11-2015, 14:23 door Anoniem
Deze update is ook voor oa Server 2012, dus zeer waarschijnlijk niet bedoeld om je naar Windows 10 te pushen
20-11-2015, 16:49 door Anoniem
Heeft iemand een idee of ergens een lijst is van nieuwe updates per maand en per Windows versie?
21-11-2015, 08:04 door Anoniem
Ik had de afgelopen week een probleem met 'TuneUp 1-Klik Onderhoud', die halverwege 'Windows en programma's opruimen' bleef hangen.

Iemand kwam toen met de suggestie KB3102810 te verwijderen, wat ik heb gedaan, waarna 'TuneUp 1-Klik Onderhoud' weer draaide als een zonnetje.

Misschien dat het gewoon zuiver toeval is en het één niets met het ander te maken heeft, maar toch...
21-11-2015, 11:43 door Spiff has left the building
@ Anoniem 08:04 uur,
Wat heeft KB3102810 en wat je beschreef volgens jou te maken met wat Erik van Straten aangaf?
Ik zie geen verband.
Of bedoel je misschien dat KB3102810 iets zou doen dat niet wordt vermeld in de beschrijvende tekst ervan?
Vooral zonder dat je aangeeft wat dat dan zou zijn, lijkt het me erg off-topic in deze thread, als je het mij vraagt.

Bij elke reactie in deze thread hoop ik op een antwoord op Eriks vraag
Door Erik van Straten, 18-11-2015, 10:39 uur:
Ik kan niet 100% uitsluiten dat al deze bestanden noodzakelijk zijn om 1 lettertje te wijzigen op een systeem.
Heeft iemand informatie (verwijzingen svp, aan meningen hebben we niks) dat dit daadwerkelijk nodig is?
maar jammer genoeg heeft nog steeds niemand dergelijke informatie kunnen geven en hebben we het steeds over off-topic zaken.
21-11-2015, 13:37 door mcb
Door Anoniem 16:49:
Heeft iemand een idee of ergens een lijst is van nieuwe updates per maand en per Windows versie?
Je bedoelt zo iets als dit: https://technet.microsoft.com/en-us/security/bulletin
21-11-2015, 20:34 door Anoniem
ja, de update doet alleen dat wat hij zegt enja, al de genoemde bestanden worden geraakt door deze wijziging en nee, deze informatie niet via een publieke (echter wel zeer betrouwbare) bron verkregen.

Voor alle twijfelaars: hebben jullie al hierover contact opgenomen met de specialisten van de betreffende product Group binnen Microsoft? Eventueel via de accountmanager?
21-11-2015, 22:31 door Spiff has left the building
Door Anoniem, 20:34 uur:
ja, de update doet alleen dat wat hij zegt enja, al de genoemde bestanden worden geraakt door deze wijziging en nee, deze informatie niet via een publieke (echter wel zeer betrouwbare) bron verkregen.
Dankjewel.
Maar of dat de vraag van Erik van Straten naar informatie (met verwijzingen) voldoende bevredigend beantwoord, dat lijkt me jammer genoeg twijfelachtig.

Door Anoniem, 20:34 uur:
Voor alle twijfelaars: hebben jullie al hierover contact opgenomen met de specialisten van de betreffende product Group binnen Microsoft? Eventueel via de accountmanager?
Nee. Mijn ervaringen met navraag bij Microsoft zijn ronduit slecht.
In dit geval vind ik het de moeite niet waard, gezien het feit dat dit een optionele en dus af te wijzen update betreft.
Buiten dat - dat de onzekerheid (en het wantrouwen) betreffend updates zo groot geworden is dat voor een update zoals KB3102429 contact opgenomen zou moeten worden met de specialisten van de betreffende product Group binnen Microsoft (waar je als gewone gebruiker overigens geen contact mee krijgt), dat is natuurlijk mesjogge.
21-11-2015, 23:08 door Anoniem
Dat hoeft ook niet, maar gegeven het klaarblijkelijke wantrouwen, dan neem je dus contact op met de mensen die je wat kunnen vertellen.

Voor wat betreft contact krijgen, de meesten zijn prima benaderbaar via mail of fora (ik moet toegeven, niet hier helaas).

Wat vooral mesjogge is, is dat er twijfel is over een normale update, waar verder geen bijzondere zaken worden gewijzigd. Verder is het pas echt van de gekke om te blijven ageren tegen windows 10 op een security forum wanneer windows 10 (ook home) technisch velen male veiliger is dan, noem eens, windows 7.

Overigens ben ik niet eens een windows fan, maar wel al jaren in infosec werkzaam
22-11-2015, 17:28 door john west - Bijgewerkt: 22-11-2015, 19:04
Update for Windows 7 (KB3102429)

Install this update to resolve issues in Windows.

Even gekeken (Windows 7)of de bewuste KB3102429 geïnstalleerd was.
Ik kon niets ontdekken,was niet aanwezig.
Aangezien ik een 9 - tal KB's niet heb geïnstalleerd,is ook de update waarschijnlijk niet uitgevoerd ?
Wel vreemd dat ik geen melding kreeg.

Ik zou wel eerst willen weten of de updates doen wat ze moeten doen,maar niet stiekem meer.

extra aanvulling:
Ook de aangevinkte KB3102429 update voor Windows 8.1 en voor Windows 7 is niet geïnstalleerd,terwijl bij een ander systeem het wel aangevinkt werd aangeboden,dus geen optionele update,of zie ik het verkeerd ?
22-11-2015, 18:27 door Spiff has left the building
Door john west, 17:28 uur:
Even gekeken (Windows 7)of de bewuste KB3102429 geïnstalleerd was.
Ik kon niets ontdekken,was niet aanwezig.
Aangezien ik een 9 - tal KB's niet heb geïnstalleerd,is ook de update waarschijnlijk niet uitgevoerd ?
Wel vreemd dat ik geen melding kreeg.
Zoals eerder aangegeven, KB3102429 is een optionele update (althans, op dit moment, ik weet niet of ie op Patch Tuesday 8 december misschien als Aanbevolen update wordt aangeboden).
Een optionele update wordt niet automatisch geïnstalleerd, maar pas wanneer je daar zelf voor kiest.
Heb je de optionele KB3102429 niet aangevinkt en geïnstalleerd, dan is ie niet geïnstalleerd.
En buiten de vermelding in Windows Update, "xx optionele updates zijn beschikbaar", geeft Windows Update, voor zover ik weet, geen melding dat er nieuwe optionele updates beschikbaar zijn, niet via een indicatie in het Systeemvak.
Jouw bevindingen lijken daar prima mee overeen te komen, niks geks aan de hand dus :-)
23-11-2015, 00:36 door Anoniem
Door mcb:
Door Anoniem 16:49:
Heeft iemand een idee of ergens een lijst is van nieuwe updates per maand en per Windows versie?
Je bedoelt zo iets als dit: https://technet.microsoft.com/en-us/security/bulletin

Bijna; ideaal zou zijn een lijst per patchdinsdag, per specifieke Windows versie met KB nummer en optionele update. Maar deze site ontbreek voldoende filteropties om dat voor elkaar te krijgen.
23-11-2015, 07:09 door Erik van Straten
21-11-2015, 23:08 door Anoniem: Wat vooral mesjogge is, is dat er twijfel is over een normale update, waar verder geen bijzondere zaken worden gewijzigd.
Geef dan eens een goede verklaring voor de door mij genoemde bestanden?

21-11-2015, 23:08 door Anoniem: Verder is het pas echt van de gekke om te blijven ageren tegen windows 10 op een security forum wanneer windows 10 (ook home) technisch velen male veiliger is dan, noem eens, windows 7.
Microsoft heeft, na NT3.51, van elk OS met de NT kernel beloofd dat het veel veiliger zou zijn dan de vorige versie. Hoewel er ongetwijfeld elke keer hard aan gewerkt is, worden er de laatste jaren meer lekken dan ooit gevonden, o.a. doordat het aanvalsoppervlak elke keer toeneemt. En meer organisaties en bedrijven worden grondig gehacked; echte oplossingen voor kwetsbaarheden als pass-the-hash komen er niet. En dan de recente "bitlocker" patch: hoe kon het in vredesnaam zo zijn dat een domain computer zomaar een wildvreemde DC vertrouwt? Is de kern van dit probleem nu gerepareerd of nog niet?

Een probleem is de almaar groeiende funtionaliteit met blijvende ondersteuning voor legacy meuk - bijv. hoeveel versies van .Net zijn er ondertussen? Hoeveel services draaien er standaard meer op een W10 systeem t.o.v. w7? Gevolg: een voortdurende groei van (actieve) code, daarmee de kans op fouten en dus een toename van het aanvalsoppervlak. Die complexiteit leidt ook tot een patchproces met meer afhankelijkheden (vergelijk de genoemde bestanden bij bovengenoemde patch voor de verschillende besturingssystemen maar eens). Testen van patches (door Microsoft) wordt ook lastiger - wellicht dat dit de "collateral damage" bij patchen de laatste tijd verklaart. We zijn allemaal proefkonijnen geworden.

Daarnaast moet "dezelfde" Windows versie op steeds meer soorten apparaten draaien - van Raspberry Pi tot servercluster. En het moet steeds "eenvoudiger" te gebruiken worden, waarmee een gevaarlijk compromis tussen Jan-met-de-pet en professionele gebruikers wordt gezocht. Hardenen van systemen wordt steeds lastiger, want je hebt geen idee meer wat je overhoop haalt.

Of Windows 10 in de praktijk zoveel veiliger is dan Windows 7, moet wat mij betreft nog blijken. O.a. het gehobby met apps kon het wel eens goed verstieren voor W10.

Maar daar gaat het mij, bij mijn vraag, helemaal niet om. Ik gebruik nu W7 en wil voorlopig helemaal niet over naar W10. En daar sta ik niet alleen in. Alleen probeert Microsoft het iedereen, om mij onbekende redenen, door de strot te douwen terwijl zij W7 nog vele jaren zal ondersteunen en professiole gebruikers wel iets beters te doen hebben dan bètatester spelen voor Redmond.

Om dat veldtestproces te ondersteunen zuigt Microsoft steeds meer gegevens uit onze systemen terwijl zij zelf steeds minder informatie geeft over wat zij uitvreet tijdens patchrondes. En van eindgebruikers wordt verwacht dat zij elke keer maar weer gaan zitten wachten op steeds langer durende updateprocessen, reboots en extra wachttijd voordat er weer kan worden ingelogd.

Zelfs ervaren gebruikers (waar ik mijzelf zeker toe reken) kunnen absoluut niet meer beoordelen of een patch noodzakelijk is en welke consequenties, waaronder bijwerkingen, deze kan hebben op systemen. Kennelijk is dit zo ingewikkeld geworden dat we Microsoft voortaan maar blindelings moeten vertrouwen. "Klein" probleempje: ondanks de onvrijwillige (in elk geval voor mij) groeiende gegevensstroom van systemen naar Redmond, beschikt zij niet over alle software die ik draai en kan de invloed van patches daarop in veel gevallen niet testen.

Dat elke gegevensstroom een risico betekent voor systemen met vertrouwelijke informatie (waaronder zakelijke), vergeet Microsoft gemakshalve. Alsof alle Microsoft medewerkers 100% betrouwbaar zijn, Safe Harbor niet is afgeschoten en lekken in sofware gebruikt bij deze "remote analysis" geheel kunnen worden uitgesloten.

Ik hoop dat weldenkende lezers zullen begrijpen dat, als o.a een bestand als "Du_help_what_info_sent_to_ms.rtf" aan mijn PC wordt toegevoegd, ik totaal geen waarde hecht aan een notabene anonieme poster die schrijft:
de update doet alleen dat wat hij zegt enja, al de genoemde bestanden worden geraakt door deze wijziging en nee, deze informatie niet via een publieke (echter wel zeer betrouwbare) bron verkregen.
23-11-2015, 14:12 door Anoniem
Door Erik van Straten:

Zelfs ervaren gebruikers (waar ik mijzelf zeker toe reken)

Ik heb slecht nieuws voor je Erik,

De rest van de wereld zal op je forumposts-inhoud concluderen dat je wat dat betreft flink naast zit..
23-11-2015, 16:04 door Spiff has left the building
Door Erik van Straten, 07:09 uur:
Zelfs ervaren gebruikers (waar ik mijzelf zeker toe reken) [...]
Door Anoniem, 14:12 uur:
De rest van de wereld zal op je forumposts-inhoud concluderen dat je wat dat betreft flink naast zit.

Wow, da's nogal een bewering, Anoniem,
en dat door iemand die niet eens in staat is een reactie in BBCode correct op te maken, ha :-)

Je verwijst naar Eriks forumposts.
Ken je Eriks post over de jaren wel?

Ik ben benieuwd waar je zonderlinge reactie vandaan komt.
Weer zo'n gevalletje boos van iemand die geen kritiek betreffend Microsoft kan velen?

We dwalen af.
23-11-2015, 16:52 door Rarsus
@Erik 7:08

Een paar punten als reactie.

Voor wat betreft het in artikel: de bijbehorende bestanden zijn dusdanig noodzakelijk te wijzigen, doordat deze een directe link hebben met de te gebruiken fonts. Doordat in wezen een specifiek character wordt gewijzigd, nl het geld-symbool, raakt fit direct de OOBE. Dit betekent ook dat dit direct, voordat het OS volledig is opgestart, beschikbaar dient te zijn. Derhalve een relatief groot aantal bestanden.

Voor wat betreft PtH, juist in windows 10 (enterprise, het is nu eenmaal met name in een ldap omgeving een risico) is dit ondervangen door credential guard. Overigens is PtH geen windows kwetsbaarheid, maar in wezen een SSO kwetsbaarheid. Op dit moment is ieder OS hiervoor vatbaar (m.u.v. Windows 10). Overigens heeft de ontwikkelaar van mimikatz inmiddels ook al laten weten dat mimikatz niet meer werkt op windows 10 met credguard, en dat hij niet voorziet dat fit, of een dergelijke aanval snel kan worden ontwikkeld).

Wanneer wordt gekeken naar de attack surface, in combinatie met ingebouwde mitigerende maatregelen, heeft windows 10 een aanzienlijk kleiner oppervlak. Dit heeft te maken met het fundamentele nieuwe ontwerp van het core OS.

Bitlocker was inderdaad best wel een misser, maar inmiddels gepatcht.

Ja, er is een trade-off tussen privacy en security bij de nieuwere versies van windows. De fundamentele vraag die je je zou moeten stellen: ben ik bereid om wat data naar MS te sturen, maar heb ik dan een wel een OS wat in de kern ontworpen is voor veiligheid? Of blijf ik op een OS zitten wat inmiddels dusdainig oud is, dat het de aanvalsvectoren die de afgelopen 5 jaar zijn ontwikkeld niet goed genoeg kan weerstaan.

Voor wat betreft telemetrische gegevens uit een zakelijke omgeving: dit is volledig uit te zetten in win10 enterprise.

-R
02-12-2015, 04:18 door Anoniem
"Microsoft heeft, na NT3.51, van elk OS met de NT kernel beloofd dat het veel veiliger zou zijn dan de vorige versie. "

Dat denk ik niet. Microsoft heeft v4.0 onveiliger gemaakt door drivers niet meer verder verwijderd van de kernel te laten draaien. Bij 3.5x draaiden drivers op hun eigen niveau. Dat maakte e.e.a. traag en daarom ging Microsoft van dat pad af.

Waarom leg je trouwens zo de nadruk op de kernel? Dat is niet de wortel van alle kwaad op exploit gebied.

Ben het wel eens dat je maar het beste bij Windows 7 kan blijven totdat er iemand met een beter OS komt.

"Voor wat betreft telemetrische gegevens uit een zakelijke omgeving: dit is volledig uit te zetten in win10 enterprise."

Je kunt niet alle privacy bedreigende gegevens uitzetten in geen enkele versie van Windows 10, ook niet in Windows 10 Enterprise.
02-12-2015, 12:05 door Erik van Straten
02-12-2015, 04:18 door Anoniem: "Microsoft heeft, na NT3.51, van elk OS met de NT kernel beloofd dat het veel veiliger zou zijn dan de vorige versie. "

Dat denk ik niet. Microsoft heeft v4.0 onveiliger gemaakt door drivers niet meer verder verwijderd van de kernel te laten draaien. Bij 3.5x draaiden drivers op hun eigen niveau. Dat maakte e.e.a. traag en daarom ging Microsoft van dat pad af.

Waarom leg je trouwens zo de nadruk op de kernel? Dat is niet de wortel van alle kwaad op exploit gebied.
Het was niet mijn bedoeling om nadruk te leggen op de kernel; met "van elk OS met de NT kernel" bedoel ik alle andere dan Windows 3.x, 9x en ME (de besturingssystem met deels 16/deels 32bit kernels), dus Windows NT, 2000, XP, Vista, 8.0, 8.1 en 10 (en de bijbehorende servervarianten).

Overigens kreeg ik zojuist KB3112343 https://support.microsoft.com/en-us/kb/3112343 aangeboden, deze heb ik nog niet onderzocht maar "This update also improves the ability of Microsoft to monitor the quality of the upgrade experience" zegt mij genoeg.
02-12-2015, 16:24 door Anoniem
Updates voor Windows Update worden allemaal geweigerd. Vooral die van dit jaar zijn niet in het belang van privacybewuste gebruikers.
03-12-2015, 22:27 door Anoniem
Door Erik van Straten:
Overigens kreeg ik zojuist KB3112343 https://support.microsoft.com/en-us/kb/3112343 aangeboden, deze heb ik nog niet onderzocht maar "This update also improves the ability of Microsoft to monitor the quality of the upgrade experience" zegt mij genoeg.

http://www.automatiseringgids.nl/nieuws/2015/49/hulp-bij-problemen-met-windows-10-upgrade
De updates met de 'bulletin'-nummers KB3112343 en KB3112336 masseren respectievelijk Windows 7 en Windows 8.1 zodat veelvoorkomende foutmeldingen bij de overstap naar Windows 10 achterwege blijven.
04-12-2015, 10:56 door Anoniem
Reactie op Erik's lange post: ik denk dat Microsoft gevangen zit in hun eigen bedrijfsmodel.
Ze zijn gedwongen om steeds nieuwe versies te releasen met steeds meer gimmicks en een zachte dwang voor de
gebruikers om over te stappen, anders komt er geen (of niet genoeg) geld meer binnen. Wat wij als gebruikers voor
onze neus krijgen wordt niet bepaald door wat wij nodig hebben of wat wij zouden willen hebben op of kunnen doen met
onze computer, maar door het verdienmodel van Microsoft.
Dat kan inderdaad tot allerlei uitwassen leiden, zoals je al op vele vlakken omschrijft.
Wat mij ook opvalt is de totale minachting die men bij Microsoft heeft voor de tijd van de gebruiker.
Het is werkelijk onbeschrijfelijk hoe traag die msinstaller is, en bij iedere update zit je veel te lang te wachten. Daar
zouden ze een team op moeten zetten, maar dat brengt geen cent in de Microsoft kassa dus dat doet men lekker niet.
Hetzelfde geldt voor de wsusscan die draait als er "gezocht wordt naar updates". Man hoe kan zo iets nou 15-30 minuten
duren, dat moet in een seconde kunnen. Laat de gebruiker maar lekker wachten, hij kan toch niet weg.
Of die .NET assembly compiler. Ook al zo iets fijns. Na een .NET update is je machine hardstikke traag tot ie daar
mee klaar is, en een onwetende gebruiker denkt dat dit komt "door Windows Update". Scheelt ze geen cent, dus doen
ze niks aan.
Dat verdienmodel kost ons miljoenen manuren en niemand die er wat aan kan veranderen.
04-12-2015, 19:20 door Rarsus
1. Zoiets duurt geen 10-15 minuten. Tenminste niet op een systeem met een beetje performance (ongeveer 5 jaar oud) en welke een beetje onderhouden is (basisvereiste voor ieder systeem)

2. Installatie en juist patchen van software duurt even,inplannen zodat dit off-Hours gebeurt dus. Wanneer je voor een pak naar de garage gaat(updatescan), en er moet iets aan de auto gebeuren (hotfix) moet je niet verbaast zijn, wanneer dit even duurt.

3. Het verdienmodel is in de afgelopen jaren gewijzigd van het verkopen van licenties (dus nieuw OS) naar het leveren van (cloud)services. En dit doen ze momenteel heel goed. beter dan de concurrentie op dat gebied, en nee, dat zijn niet Apple (hardware/OS of Google (data/advertenties).

Verder: @anon 2-12 04:18. In een OS waarbij er abstractielaag aanwezig is tussen datgene waar usermode applications en services bij kunnen en de hardwarelaag, is het draaien van hardware devicedrivers in kernelmode de enige juiste plek. Je dient er natuurlijk wel voor te zorgen dat dit vertrouwde drivers zijn.
In het volledige (!) redesign van de kernel van windows 10 en server 2016 (voor zover ik heb kunnen achterhalen in TP4) is juist rekening gehouden met het gebruikte security model. Momenteel de enige OSen welke kerberos enabled zijn en niet gevoelig voor een PtH/PtT aanval. Hopelijk volgt de rest, van de bij mij in gebruik zijnde OSen, snel.

Ik begrijp dat het verleidelijk is om me te gaan in MS-bashen, maar dit hebben ze echt goed gedaan.
04-12-2015, 21:59 door dilbert55
Wat mij opviel na bepaalde updates van Microsoft is dat ze elke keer als jij je PC op ging starten je hele PC werd gescand of je PC wel geschikt is voor Windows 10, hij geeft aan dat alles geschikt is en ook alle apps geschikt zijn.
Maar omdat elke keer weer te controleren lijkt mij onzin, ik heb dat dus even aangepast zodat ik bepaal wanneer wat gebeurt!
05-12-2015, 04:06 door Anoniem
Door Rarsus:
Verder: @anon 2-12 04:18. In een OS waarbij er abstractielaag aanwezig is tussen datgene waar usermode applications en services bij kunnen en de hardwarelaag, is het draaien van hardware devicedrivers in kernelmode de enige juiste plek. Je dient er natuurlijk wel voor te zorgen dat dit vertrouwde drivers zijn.
(...)
Ik begrijp dat het verleidelijk is om me te gaan in MS-bashen, maar dit hebben ze echt goed gedaan.

Ten eerste bash ik Microsoft niet, ten tweede beschrijf is wat er gebeurt is toen Windows NT 4.0 werd uitgebracht. Dat zijn feiten, geen meningen.

Wat buiten de discussie staat is jouw mening over hoe een OS eruit zou horen te zien. Velen waren dat in 1996 niet met je eens. Nogmaals, je retrospectieve mening hierover is niet zo interessant en ik wil hier niet met je over discussieren.
05-12-2015, 11:40 door Anoniem
Door Rarsus: 1. Zoiets duurt geen 10-15 minuten. Tenminste niet op een systeem met een beetje performance (ongeveer 5 jaar oud) en welke een beetje onderhouden is (basisvereiste voor ieder systeem)

2. Installatie en juist patchen van software duurt even,inplannen zodat dit off-Hours gebeurt dus. Wanneer je voor een pak naar de garage gaat(updatescan), en er moet iets aan de auto gebeuren (hotfix) moet je niet verbaast zijn, wanneer dit even duurt.

In plaats van jouw "gut feeling" die kennelijk gekruid is met wat genegenheid voor Microsoft, zal ik hier even de kale
feiten tonen van een update run op een computer van 5 jaar oud (3GHz Core Duo, 2GB) die niet op de achtergrond
gedaan is (wat jij kennelijk doet, anders wist je dit!):

15-11-2015 10:07:27,59 - Info: Detected state of service 'Windows Update': Running (start mode: Manual)
15-11-2015 10:29:26,60 - Info: Listed ids of missing updates
15-11-2015 10:30:22,78 - Info: Listed ids of installed updates
15-11-2015 10:34:43,11 - Info: Installed 11 updates

M.a.w. het heeft hier 22 minuten geduurd om te bepalen welke updates er geinstalleerd moesten worden in november,
gevolgd door nog eens 4 minuten om deze daadwerkelijk te installeren. Waarna de eerstvolgende reboot daarna het
systeem uiteraard ook nog eens 10 minuten bezig is met die .NET als die geupdate is.

Je kunt dit wel vergoeilijken met "ach doe het even als je er geen last van hebt" maar ik heb het daar niet over, ik heb
het er over dat het schandalig is dat er zoveel tijd verkwist wordt aan zo iets simpels als het vervangen van een paar
bestandjes door de nieuwste versie, om het nog maar niet te hebben over het bepalen van welke bestandjes er vervangen
moeten worden.

Dit is gewoon broddelwerk, en het interesseert ze niet. En dat het kennelijk de verknochte klanten ook niet meer
interessert "dan koop je toch een snellere computer?" dat is helemaal schrijnend. Als ik een Google Chromebook
update is ie 10 seconden later klaar. Dat zou Windows ook kunnen ALS ZE HUN POTEN MAAR UIT DE MOUWEN
STAKEN DAAR IN REDMOND. Maar daar verdienen ze niks aan.
20-01-2016, 15:32 door Erik van Straten
KB3102429 werd mij opnieuw aangeboden. Microsoft heeft https://support.microsoft.com/en-us/kb/3102429 opnieuw uitgebracht, onderaan die pagina:
Article ID: 3102429 - Last Review: 01/19/2016 19:40:00 - Revision: 7.0
In de webpagina is de opsomming van de bestanden, die m.i. niets te maken hebben met een update van een tekentje, nu verwijderd (maar nog wel te vinden, zie verderop).

Nb. de bestanden die ongetwijfeld wel iets met deze update te maken hebben (fonts) worden nog wel genoemd in de webpagina.

Verderop in de pagina staat:
Third-party information disclaimer

The third-party products that this article discusses are manufactured by companies that are independent of Microsoft. Microsoft makes no warranty, implied or otherwise, about the performance or reliability of these products.
Ik zie nergens "third party products" genoemd worden.

File information
For a list of the files that are provided in this cumulative update, download the file information for cumulative update 3102429.
Die link verwijst naar: http://download.microsoft.com/download/3/6/7/367DDA34-68E5-45E5-9C4B-AE548DB95AF7/3102429.csv.
20-01-2016, 15:56 door Spiff has left the building
Door Erik van Straten, 15:32 uur:
KB3102429 werd mij opnieuw aangeboden. [...]
Dankjewel, ik zie het ook.
Ikzelf had de eerdere revision van KB3102429 enkel genegeerd (niet geïnstalleerd en niet verborgen), dus bleeft ie staan in Windows Update, maar ik zie daar nu dat de publicatiedatum is veranderd naar gisteren, dus 19-01-2016.
20-01-2016, 19:05 door [Account Verwijderd]
[Verwijderd]
20-01-2016, 20:28 door Anoniem
Door Erik van Straten:
21-11-2015, 23:08 door Anoniem: Wat vooral mesjogge is, is dat er twijfel is over een normale update, waar verder geen bijzondere zaken worden gewijzigd.
Geef dan eens een goede verklaring voor de door mij genoemde bestanden?

21-11-2015, 23:08 door Anoniem: Verder is het pas echt van de gekke om te blijven ageren tegen windows 10 op een security forum wanneer windows 10 (ook home) technisch velen male veiliger is dan, noem eens, windows 7.
Microsoft heeft, na NT3.51, van elk OS met de NT kernel beloofd dat het veel veiliger zou zijn dan de vorige versie. Hoewel er ongetwijfeld elke keer hard aan gewerkt is, worden er de laatste jaren meer lekken dan ooit gevonden, o.a. doordat het aanvalsoppervlak elke keer toeneemt. En meer organisaties en bedrijven worden grondig gehacked; echte oplossingen voor kwetsbaarheden als pass-the-hash komen er niet. En dan de recente "bitlocker" patch: hoe kon het in vredesnaam zo zijn dat een domain computer zomaar een wildvreemde DC vertrouwt? Is de kern van dit probleem nu gerepareerd of nog niet?

Een probleem is de almaar groeiende funtionaliteit met blijvende ondersteuning voor legacy meuk - bijv. hoeveel versies van .Net zijn er ondertussen? Hoeveel services draaien er standaard meer op een W10 systeem t.o.v. w7? Gevolg: een voortdurende groei van (actieve) code, daarmee de kans op fouten en dus een toename van het aanvalsoppervlak. Die complexiteit leidt ook tot een patchproces met meer afhankelijkheden (vergelijk de genoemde bestanden bij bovengenoemde patch voor de verschillende besturingssystemen maar eens). Testen van patches (door Microsoft) wordt ook lastiger - wellicht dat dit de "collateral damage" bij patchen de laatste tijd verklaart. We zijn allemaal proefkonijnen geworden.

Daarnaast moet "dezelfde" Windows versie op steeds meer soorten apparaten draaien - van Raspberry Pi tot servercluster. En het moet steeds "eenvoudiger" te gebruiken worden, waarmee een gevaarlijk compromis tussen Jan-met-de-pet en professionele gebruikers wordt gezocht. Hardenen van systemen wordt steeds lastiger, want je hebt geen idee meer wat je overhoop haalt.

Of Windows 10 in de praktijk zoveel veiliger is dan Windows 7, moet wat mij betreft nog blijken. O.a. het gehobby met apps kon het wel eens goed verstieren voor W10.

Maar daar gaat het mij, bij mijn vraag, helemaal niet om. Ik gebruik nu W7 en wil voorlopig helemaal niet over naar W10. En daar sta ik niet alleen in. Alleen probeert Microsoft het iedereen, om mij onbekende redenen, door de strot te douwen terwijl zij W7 nog vele jaren zal ondersteunen en professiole gebruikers wel iets beters te doen hebben dan bètatester spelen voor Redmond.

Om dat veldtestproces te ondersteunen zuigt Microsoft steeds meer gegevens uit onze systemen terwijl zij zelf steeds minder informatie geeft over wat zij uitvreet tijdens patchrondes. En van eindgebruikers wordt verwacht dat zij elke keer maar weer gaan zitten wachten op steeds langer durende updateprocessen, reboots en extra wachttijd voordat er weer kan worden ingelogd.

Zelfs ervaren gebruikers (waar ik mijzelf zeker toe reken) kunnen absoluut niet meer beoordelen of een patch noodzakelijk is en welke consequenties, waaronder bijwerkingen, deze kan hebben op systemen. Kennelijk is dit zo ingewikkeld geworden dat we Microsoft voortaan maar blindelings moeten vertrouwen. "Klein" probleempje: ondanks de onvrijwillige (in elk geval voor mij) groeiende gegevensstroom van systemen naar Redmond, beschikt zij niet over alle software die ik draai en kan de invloed van patches daarop in veel gevallen niet testen.

Dat elke gegevensstroom een risico betekent voor systemen met vertrouwelijke informatie (waaronder zakelijke), vergeet Microsoft gemakshalve. Alsof alle Microsoft medewerkers 100% betrouwbaar zijn, Safe Harbor niet is afgeschoten en lekken in sofware gebruikt bij deze "remote analysis" geheel kunnen worden uitgesloten.

Ik hoop dat weldenkende lezers zullen begrijpen dat, als o.a een bestand als "Du_help_what_info_sent_to_ms.rtf" aan mijn PC wordt toegevoegd, ik totaal geen waarde hecht aan een notabene anonieme poster die schrijft:
de update doet alleen dat wat hij zegt enja, al de genoemde bestanden worden geraakt door deze wijziging en nee, deze informatie niet via een publieke (echter wel zeer betrouwbare) bron verkregen.
Door Erik van Straten: KB3102429 werd mij opnieuw aangeboden. Microsoft heeft https://support.microsoft.com/en-us/kb/3102429 opnieuw uitgebracht, onderaan die pagina:
Article ID: 3102429 - Last Review: 01/19/2016 19:40:00 - Revision: 7.0
In de webpagina is de opsomming van de bestanden, die m.i. niets te maken hebben met een update van een tekentje, nu verwijderd (maar nog wel te vinden, zie verderop).

Nb. de bestanden die ongetwijfeld wel iets met deze update te maken hebben (fonts) worden nog wel genoemd in de webpagina.

Verderop in de pagina staat:
Third-party information disclaimer

The third-party products that this article discusses are manufactured by companies that are independent of Microsoft. Microsoft makes no warranty, implied or otherwise, about the performance or reliability of these products.
Ik zie nergens "third party products" genoemd worden.

File information
For a list of the files that are provided in this cumulative update, download the file information for cumulative update 3102429.
Die link verwijst naar: http://download.microsoft.com/download/3/6/7/367DDA34-68E5-45E5-9C4B-AE548DB95AF7/3102429.csv.
Door MAC-user:
Zo niet, waarom kan het Microsoft kennelijk niks schelen dat het vertrouwen (in elk geval van mij - als klant) in de producten van dat bedrijf snel afneemt?
Bij mij is dat vertrouwen al jaren tot het nulpunt gedaald.

Wat mij opviel na bepaalde updates van Microsoft is dat ze elke keer als jij je PC op ging starten je hele PC werd gescand of je PC wel geschikt is voor Windows 10, hij geeft aan dat alles geschikt is en ook alle apps geschikt zijn.
Maar omdat elke keer weer te controleren lijkt mij onzin, ik heb dat dus even aangepast zodat ik bepaal wanneer wat gebeurt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.