image

Microsoft verplicht registersleutel voor Windows-updates

maandag 8 januari 2018, 14:36 door Redactie, 18 reacties

Windows-gebruikers die een bepaalde registersleutel missen zullen de beveiligingsupdates van januari en daarna niet ontvangen, zo heeft Microsoft aangekondigd. De softwaregigant heeft een probleem met een klein aantal anti-virusproducten ontdekt dat voor een blue screen of death kan (BSOD) zorgen.

Om deze problemen door incompatibele anti-virusproducten te stoppen worden de Microsoft-beveiligingsupdates van 3 januari alleen aangeboden aan systemen die over een compatibele virusscanner beschikken. Anti-virusleveranciers moesten hiervoor aan Microsoft bevestigen dat hun software compatibel met de beveiligingsupdates van januari is, wat door het toevoegen van een speciale registersleutel aan het Windows Register wordt gedaan.

In het geval de virusscanner deze registersleutel niet invoert zullen gebruikers de updates van januari en daarna niet ontvangen en zodoende kwetsbaar zijn voor aanvallen. Wanneer gebruikers geen virusscanner kunnen installeren of draaien adviseert Microsoft om de registersleutel handmatig in te voeren om de updates van januari te ontvangen. De softwaregigant waarschuwt dat het gebruik van de Registry Editor voor het invoeren van de registersleutel op eigen risico is. Verkeerd gebruik kan er zelfs voor zorgen dat Windows opnieuw geïnstalleerd moet worden, aldus de waarschuwing.

De Britse beveiligingsonderzoeker Kevin Beaumont heeft een overzicht gemaakt van anti-virusproducten en of ze de registersleutel wel of niet installeren. Hij is bang dat door de nieuwe vereiste veel Windows-systemen geen updates meer zullen ontvangen. Een probleem dat volgens de onderzoeker zich ook bij organisaties kan voordoen.

Image

Reacties (18)
08-01-2018, 14:42 door Anoniem
die "or any subsequent updates" is wel een belangrijk probleem inderdaad. Wat met iedereen die een vergeten, niet-upgedate antivirusscanneer draait?
wat gebeurt er trouwens als je gèèn antivirusscanner hebt? Dan zou deze update toch niet geblokkeerd mogen worden, maar wie plaatst dan de registry key?
08-01-2018, 14:45 door Anoniem
Wat een vage oplossing waar ze voor hebben gekozen.
08-01-2018, 14:46 door Anoniem
Interessant om te zien dat alle zogenaamde Next-Gens niet compatible zijn. Nou ja, zo onverwacht is dat u ook weer niet voor black/whitelisting producten zonder reserach afdeling...
08-01-2018, 14:56 door Tha Cleaner
Door Anoniem: die "or any subsequent updates" is wel een belangrijk probleem inderdaad. Wat met iedereen die een vergeten, niet-upgedate antivirusscanneer draait?
wat gebeurt er trouwens als je gèèn antivirusscanner hebt? Dan zou deze update toch niet geblokkeerd mogen worden, maar wie plaatst dan de registry key?
Dan heb je als het goed is Windows Defener actief, welke ook de registry key zet.


Door Anoniem: Wat een vage oplossing waar ze voor hebben gekozen.
Waarom vind je dit een vage oplossing?
Virusscanners moeten gewoon indien ze compatable zijn, de registry zetten, waarna de update netjes installeerd.
08-01-2018, 15:18 door Anoniem
Door Tha Cleaner:
Door Anoniem: die "or any subsequent updates" is wel een belangrijk probleem inderdaad. Wat met iedereen die een vergeten, niet-upgedate antivirusscanneer draait?
wat gebeurt er trouwens als je gèèn antivirusscanner hebt? Dan zou deze update toch niet geblokkeerd mogen worden, maar wie plaatst dan de registry key?
Dan heb je als het goed is Windows Defener actief, welke ook de registry key zet.


Door Anoniem: Wat een vage oplossing waar ze voor hebben gekozen.
Waarom vind je dit een vage oplossing?
Virusscanners moeten gewoon indien ze compatable zijn, de registry zetten, waarna de update netjes installeerd.

Best grappig - eerst virusscanner a geinstalleerd; maar die trial verloopt.Compatible gevalletje; dus met registry key. Dus dan de-installeren omdat hij niet meer werkt.

Virusscanner 2 (die niet compatible is) zet de key niet; maar de key bestaat al (want geen virusscanner zal die weghalen bij de-installatie toch??)

leuke effecten weer met deze manier van werken. MS is echt niet meer lekker bezig de laatste tijd qua patching e.d.
08-01-2018, 15:21 door Anoniem
Door Tha Cleaner:
Door Anoniem: Wat een vage oplossing waar ze voor hebben gekozen.
Waarom vind je dit een vage oplossing?
Virusscanners moeten gewoon indien ze compatable zijn, de registry zetten, waarna de update netjes installeerd.
Het een erg simpele en ondoordachte oplossing. Het enige waar naar gekeken wordt is of die registry key er is. Als een gebruiker naast zijn antivirus programma mogelijk nog aanvullende security software draait en 1 van de 2 voegt die key toe terwijl de andere niet compatibel is zit de gebruiker met BSOD’s. Of misschien draait de gebruik geen AV en krijgt hij dus helemaal geen beveiligingsupdates meer, tenzij hij hiervan op de hoogte is.
08-01-2018, 15:23 door Anoniem
Door Anoniem: die "or any subsequent updates" is wel een belangrijk probleem inderdaad. Wat met iedereen die een vergeten, niet-upgedate antivirusscanneer draait?
wat gebeurt er trouwens als je gèèn antivirusscanner hebt? Dan zou deze update toch niet geblokkeerd mogen worden, maar wie plaatst dan de registry key?

Microsoft zegt: In cases where customers can’t install or run antivirus software, Microsoft recommends manually setting the registry key as described below in order to receive the January 2018 security updates.

Hieruit trek ik de conclusie: geen registersleutel, geen updates. Belangrijk hierbij is dat Windows Defender niet wordt meegeleverd met WIndows 7, maar pas ingebakken zit bij W8 of hoger. Heb je dus Windows 7 draaien zonder AV-oplossing (of met een AV-oplossing die de registry key niet plaatst) dan zou je dus geen updates meer ontvangen. Kan me niet voorstellen dat MS na een poosje toch updates gaat doorvoeren/afdwingen hier - maar dat is mijnj bescheiden mening.

~Blondie
08-01-2018, 15:37 door sjonniev
Door Anoniem: Interessant om te zien dat alle zogenaamde Next-Gens niet compatible zijn. Nou ja, zo onverwacht is dat u ook weer niet voor black/whitelisting producten zonder reserach afdeling...

Niet alle zogenaamde Next-Gens zijn incompatible. Van Sophos InterceptX was vorige week al bekend dat het dat wel was.
08-01-2018, 15:50 door Anoniem
leuke effecten weer met deze manier van werken. MS is echt niet meer lekker bezig de laatste tijd qua patching e.d.

En, wat is jou alternatief ? Updates pushen, ongeacht of deze een probleem veroorzaakt ? Wees blij dat ze dit zorgvuldig doen, in overleg met betrokken bedrijven.
08-01-2018, 16:10 door Anoniem
Door Tha Cleaner:
Door Anoniem: Wat een vage oplossing waar ze voor hebben gekozen.
Waarom vind je dit een vage oplossing?
Virusscanners moeten gewoon indien ze compatable zijn, de registry zetten, waarna de update netjes installeerd.

Klinkt als: wij van WC eend claimen dat we compatibel zijn, dus Microsoft accepteert dat (immers: Microsoft controleert niet of ze werkelijk compatibel zijn.)

Zou de politie moeten doen:
Hallo meneer, mag ik Uw rijbewijs even controleren?
Niet nodig agent, ik verklaar hierbij dat ik een geldig rijbewijs heb
Ah, fijn, rijdt U maar door...
08-01-2018, 16:20 door Anoniem
Als je geen antivirus hebt geinstalleerd is er niets aan de hand. Met of zonder key, Windows Updates werkt.
08-01-2018, 17:12 door karma4
Door Anoniem: ...
leuke effecten weer met deze manier van werken. MS is echt niet meer lekker bezig de laatste tijd qua patching e.d.
Dus het gepruts van externe partijen is de schuld van Microsoft?
Kunnen we de schuld net zo goed geven aan Tim Cook, Linus Torvald Larry Ellison en welke andere partij dan ook.
Zo'n houding heet bashing.
08-01-2018, 17:49 door SecGuru_OTX
Misschien het artikel even updaten. Op Windows servers moet je de fix n.l. ook nog enablen dmv 3 additionele regkeys. Zonder de keys is de fix niet actief op servers, ondanks dat je de update hebt geinstalleerd:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Meltdown en spectre fixen op Windows client OS:
- Eerst een supported AV
- QualityCompat key moet aanwezig zijn
- Daarna updates installeren

Meltdown en spectre fixen op Windows Servers:
- Eerst een supported AV
- QualityCompat key moet aanwezig zijn
- Daarna updates installeren
- Fix enablen dmv 3 additionele tegkeys
08-01-2018, 18:59 door Erwtensoep
Door SecGuru_OTX: Misschien het artikel even updaten. Op Windows servers moet je de fix n.l. ook nog enablen dmv 3 additionele regkeys. Zonder de keys is de fix niet actief op servers, ondanks dat je de update hebt geinstalleerd:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Meltdown en spectre fixen op Windows client OS:
- Eerst een supported AV
- QualityCompat key moet aanwezig zijn
- Daarna updates installeren

Meltdown en spectre fixen op Windows Servers:
- Eerst een supported AV
- QualityCompat key moet aanwezig zijn
- Daarna updates installeren
- Fix enablen dmv 3 additionele tegkeys
Klopt, erg jammer dat dit niet duidelijk is.
Daarnaast is alleen Meltdown gefixed door Windows, Spectre niet!!
Daarvoor heb je een CPU microcode update nodig.
Hier is alle informatie duidelijk en correct:
https://gist.github.com/woachk/2f86755260f2fee1baf71c90cd6533e9
09-01-2018, 02:17 door Anoniem
Chip-fabrikanten-Antivirus-fabrikanten-Software-fabrikanten,Microsoft-Google,Goverment.NSA

Maar de gewone burger en de bedrijven die afhankelijk zijn van hun hardware en software kunnen weer lijdend
toezien hoe hun complete ict infrastructuur onveilig word en niets meer voorstelt.

Windows update errors-Bugs in chipsets-INTEL AMT - wannacry-Meltdown en spectre etc etc etc etc

Wel everybody needs to work en get paid en need food to make a living en making new ict en chipsets
products thats the plan.
09-01-2018, 09:43 door Anoniem
Door karma4:
Door Anoniem: ...
leuke effecten weer met deze manier van werken. MS is echt niet meer lekker bezig de laatste tijd qua patching e.d.
Dus het gepruts van externe partijen is de schuld van Microsoft?
Kunnen we de schuld net zo goed geven aan Tim Cook, Linus Torvald Larry Ellison en welke andere partij dan ook.
Zo'n houding heet bashing.
Wacht even... Begin december geklooi van Microsoft met een verlopen datum (ofwel mijn Windows 7 computers moest ik handmatig repareren) vervolgens begin januari geklooi van Microsoft waardoor mijn ietwat oude Windows 7 AMD computers om zeep worden geholpen (weer handmatig werk van mij vereist) en mocht ik nu toevallig ergens geen updates binnen krijgen dan moet ik handmatig even het register aanpassen!? Sorry hoor, maar dit is echt amateuristisch van Microsoft. Helaas hebben ze een monopoly positie dus kunnen ze het gewoon flikken.
09-01-2018, 20:04 door -karma4 - Bijgewerkt: 09-01-2018, 20:05
Door Anoniem:
Door karma4:
Door Anoniem: ...
leuke effecten weer met deze manier van werken. MS is echt niet meer lekker bezig de laatste tijd qua patching e.d.
Dus het gepruts van externe partijen is de schuld van Microsoft?
Kunnen we de schuld net zo goed geven aan Tim Cook, Linus Torvald Larry Ellison en welke andere partij dan ook.
Zo'n houding heet bashing.
Wacht even... Begin december geklooi van Microsoft met een verlopen datum (ofwel mijn Windows 7 computers moest ik handmatig repareren) vervolgens begin januari geklooi van Microsoft waardoor mijn ietwat oude Windows 7 AMD computers om zeep worden geholpen (weer handmatig werk van mij vereist) en mocht ik nu toevallig ergens geen updates binnen krijgen dan moet ik handmatig even het register aanpassen!? Sorry hoor, maar dit is echt amateuristisch van Microsoft. Helaas hebben ze een monopoly positie dus kunnen ze het gewoon flikken.

Inderdaad! En het kan beter:
apt-get update && apt-get upgrade
en omdat het een kernel update is (vrij uitzonderlijk voor Debian stable) moet je het deze keer op z'n Windows afsluiten: met een reboot.

In totaal minuutje werk. Klaar! Zo kan het dus ook.
09-01-2018, 21:53 door Anoniem
Door The FOSS:
Door Anoniem:
Door karma4:
Door Anoniem: ...
leuke effecten weer met deze manier van werken. MS is echt niet meer lekker bezig de laatste tijd qua patching e.d.
Dus het gepruts van externe partijen is de schuld van Microsoft?
Kunnen we de schuld net zo goed geven aan Tim Cook, Linus Torvald Larry Ellison en welke andere partij dan ook.
Zo'n houding heet bashing.
Wacht even... Begin december geklooi van Microsoft met een verlopen datum (ofwel mijn Windows 7 computers moest ik handmatig repareren) vervolgens begin januari geklooi van Microsoft waardoor mijn ietwat oude Windows 7 AMD computers om zeep worden geholpen (weer handmatig werk van mij vereist) en mocht ik nu toevallig ergens geen updates binnen krijgen dan moet ik handmatig even het register aanpassen!? Sorry hoor, maar dit is echt amateuristisch van Microsoft. Helaas hebben ze een monopoly positie dus kunnen ze het gewoon flikken.

Inderdaad! En het kan beter:
apt-get update && apt-get upgrade
en omdat het een kernel update is (vrij uitzonderlijk voor Debian stable) moet je het deze keer op z'n Windows afsluiten: met een reboot.

In totaal minuutje werk. Klaar! Zo kan het dus ook.

ja wat een verschil, een dual boot machine hier in drie minuutjes gedaan onder ubuntu, maar bij win10 uren wachten op een mogelijke update en dan een of andere error code en 'probeer het later nog maar eens'. en krijg je dan eens een update, drie keer rebooten nodig en een HD die 5 minuten lang solid staat te ratelen. handige cowboy-ik-fix-dat-wel-even-windows-experts hielpen ook niet veel en moesten tot spijt het verschil erkennen. dwijlen met een kraan open gewoon!

on topic weer:

wat ik zuur vind is dat met deze registry blok je ook geen andere updates lijkt te krijgen die helemaal niets met meltdown te maken hebben. het is nog vreemder dat je op servers die updates wel krijgt, maar met extra registy tweaks ook nog moet enablen. het zijn vaak server installaties die in VMs draaien, daar waar het net nodig is die patches/updates door te voeren?!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.