Ik ken ene beheerder die connect de printers altijd met admin rechten anders werkt het niet. Uitzoeken zou ik ook geen zin in hebben.

Een goede beheerder zoekt het juist wel uit... dit zijn de "workaround" beheerders die alleen maar plakbandjes plakken en niet met een centrale/structurele oplossing komen...

Een goede bheerder heeft geen zin in dit soort geneuzel software en kiest voor wat anders. Je kan je tijd wel beter gebruiken.

Dat kan echt niet! Ik heb het even opgezocht maar dat is een security update en die kan je dus niet verwijderen want dan maak je het systeem kwetsbaar voor hacks en liggen binnenkort de bedrijfsdata op straat en word jij aangeklaagd omdat je die update hebt verwijderd. Je zal toch echt een andere oplossing moeten verzinnen.

Een goede beheerder begrijpt zijn systemen en is in staat wat er niet goed werkt uit te zoeken.
Het hoobyisme om waar wat anders te gaan doen is de oorzaak van opstapelende ellende. Gewoon omdat als hij niet in staat om iets te doorgronden het hem in geen enkele omgeving zal lukken om het te begrijpen.
Typisch, dit zijn overwegend de figuren die afgeven op een bepaakde techniek (waarin ze te vaak gefaald hebben).

Ik denk dat je een hoop mensen blij kunt maken met het resultaat van je eigen uitzoekwerk op het gebied van printen op een Windows server netwerk. Dus kom maar op zou ik zetten!

Tuurlijk kan dat wel dat is nu juist een van de taken van een systeem, netwerk beheerder. Oplossingen zoeken waar iets niet standaard werkt.

Hier enkele mitigations naast het installeren van de defecte update.
hxxps://www.sygnia.co/demystifying-the-printnightmare-vulnerability
Daarna een aanval simuleren en kijken of de oplossing het houdt zonder bijeffecten en zo ja implementeer je het onder een tijdelijke uitrol tot er een officiele update is zonder defecte services.

Je installeert nooit blind een update. Je leest je eerst in waar het voor is wat het doet en wat het risico is van wel niet installeren. Je test het op gelijkwaardige hardware en je documenteert alle wijzigingen.
Voor dit soort situaties worden we nu juist betaalt. Ieder kan een update knop indrukken maar niet iedereen kan de gevolgen overzien.

Hij gelooft echt dat er iemand is die dit leest die gelooft dat hij gelooft dat mensen niet geloven dat hij gelooft dat hij er verstand van heeft terwijl dat niet zo is.

Hoor je zelf wat je zegt / lees je zelf wat je schrijft? Een beveiligingsupdate rechtstreeks van de softwarefabrikant die niet standaard werkt? #WTF!


Interessant artikel maar waarom zou je die link zo posten? Het is geen malicious link dus dat kan het niet zijn. En er per ongeluk op klikken kan ook geen probleem zijn. Uit de documentatie word ik ook niet wijzer in dit geval.

https://tools.ietf.org/id/draft-salgado-hxxp-01.xml


Wederom laat je een onthutsend gebrek aan vertrouwen de software fabrikant blijken.


Tot op zekere hoogte is dat natuurlijk verstandig maar het is absurd dat je dergelijke voorzorgsmaatregelen moet nemen voor een beveiligingsupdate die rechtstreeks van de softwarefabrikant komt.


Ah, zo houdt de Microsoft-adept zichzelf dus in de markt.

Toje, ik mag toch hopen dat iedere beheerder van een wat grotere omgeving/bedrijf met een update plan werkt. De update op een OS kan voor dat OS probleemloos zijn, maar voor geïnstalleerde (zelfontwikkelde) software een probleem opleveren. Dus eerst een testsysteem updaten, dan de gebruikte software testen en dan pas uitrollen zou een standaard moeten zijn.

Uiteraard weet ik wat ik lees en schrijf. Blind vertrouwen hebben in enige relatie of dat nu je softwareleverancier is of mij part je eigen directie is een zekere weg naar problemen. Recent voorbeeld Kaseya VSA waar 1500 + bedrijven indirect zijn getroffen door Sodinokibi en 60+ MSP's. Die hadden blind vertrouwen in hun leverancier en meeste hadden geen actie plan en negeerde de meldingen die ze kregen of hadden geen contact punt.

Never trust always verify "John Kindervag "

De content is geschreven buiten de site waar ik dit post en ik heb geen beheer erover nog weet ik wat er in de toekomst gaat gebeuren met de site. Elke link die wij in onze organisatie communiceren wordt aangegeven als hxxps tenzij het direct van de partij komt waar we mee communiceren of onszelf. Het toont direct in de communicatie dat het om een url gaat die buiten onze controle staat en we geen garanties op geven qua betrouwbaarheid. Het staat je vrij natuurlijk om in je quotes de links klikbaar te maken maar ik doe niet mee daar aan.

Als het aan mij was om te beslissen bestonden er uberhaubt geen klikbare, uitvoerbare links binnen enige browser, mail-client of andere services. Te makkelijk voor mensen met geen enkel besef van veiligheid tegenwoordig om fouten te maken en niet hun verantwoordelijkheid te dragen voor wat ze openen.

Geen idee wat er niet te begrijpen is aan de documentatie het is een letterlijk stappen plan van tijdelijke oplossingen (mitgation) in verschillende vormen, scenario's. Daarnaast is er een attack lab enviro beschreven die een redteam of verantwoordelijke beheerder kan gebruiken voor simulatie in eigen infra. Dat gezegd is basis kennis omtrent GPO, print spooler wel handig voor je een van de tijdelijke oplossingen doorvoerd.

Zie reactie 1

Dit is hoe je hoort om te gaan met updates in een enterprise omgeving. Je documenteert en test het juist om dit soort ongein voor te zijn. Valt onder standaard change control binnen het quality management system (QMS) proces
Hier een basis Patch Management Proces Template wat men kan volgen. hxxps://cdn2.hubspot.net/hubfs/3402809/Patch%20Management%20Process%20Template%20(1).jpg

Niet de gene die wij zelf hanteren maar het is een redelijke basis.

Dit proces is niet beperkt tot enkel Windows als OS dit passen we ook toe binnen CentOS, Cloudlinux, RHEL waar meer dan 90% van onze infra uit bestaat.

Om even gevaar van blind vertrouwen weer te geven met linux hier een enkele voorbeeld van veiligheid problemen met blind vertrouwen en het doorvoeren van geautomatiseerde updates.
hxxps://pastebin.com/BKcmMd47
hxxps://twitter.com/ubuntu_sec/status/1147675201632473088

Dus nee zo houdt een professional zich zelf niet in de markt zo behoudt een professional zijn werk binnen de grotere organisaties. We dragen een enorme verantwoordelijkheid als het aankomt op de veiligheid van andermans gegevens en dat vereist dat we uiterst secuur te werk gaan en geen blinde vlekken accepteren in de security perimeter.

Da's voor een beheerder gewoon deel van het werk, dergelijke zaken uitzoeken.

Je post als Anoniem en hebt dus niet eens de moeite genomen om hier een account aan te maken. Je begrijpt dat dit de geloofwaardigheid van je verhaal en die 'organisatie' vanwaaruit je zou posten niet erg bevordert?


Software of omgevingen die er niet tegen kunnen als een gebruiker op een link klikt zouden verboden moeten worden.

Daarmee impliceer je dus dat zodra iemand een gebruikernaam heeft op een forum waar geen enkele verificatie gebeurt van functie, kennis niveau deze toch meer waarde heeft dan iemand die anoniem post puur omdat er een naampje staat en niet om de inhoud.

Ik zou hier niemand vertrouwen op zijn haar woord ongeacht of die wel of geen account bezit. Het gaat om de informatie niet de persoon waar je iets potentieel te maken mee hebt. identiteits controle doe je zodra de gene direct betrokken is bij je processen en infrastructuur en dat is niemand hier dus waarom tijd aan verspillen.

Dus ja inderdaad ik neem niet de moeite om een account hier te registreren.
Reden daarvoor hierboven vermeldt.

Ach zit inmiddels al een tijdje in de IT. Microsoft is met periodes zeer slordig in het verzorgen van patches en updates.
Het uitzoeken waarom het niet werkt hoort bij de job en ja een workaround zoeken ook. Soms is deze gewoon niet beschikbaar of zelfs toepasbaar.

Op de tijd van mijn post was een workaround, zover ik die kon vinden, niet beschikbaar. Grappig vond ik dat de security patch ook andere zaken beïnvloed die ik serieuzer neem zoals de Cluster service f*ckup.

Aan een dood paard trekken heeft geen zin. Dat is wat hij bedoeld. Jij zit nog in de ontkenningsfase.

Dat geldt ongetwijfeld voor spaghetti code zodat een printspooler fix overal ingrijpt

komt door een beperking van windows10.

Mensen,

Helemaal mooi dat men Microsoft's handelwijze (en sommige mensen nog wat meer) goed aanvalt.
Schiet men erg veel mee op. (Again, jullie hebben een punt, maar man-man).
In plaats daarvan zal ik zo aardig zijn om mijn ervaringen hiermee te delen van de afgelopen week, voor de beheerders/servicedesk mensen onder ons die (helaas?) met deze dingen moeten werken.

Allereerst: wijzelf komen inderdaad op individuele werkstations dit probleem tegen.
In sommige gevallen hebben ze in 'printers & scanners' nog wel de printers staan, maar de printers hebben geen geregistreerde poorten. (Properties -> tab 'ports' zal leeg zijn).

Beste oplossing voor ons: de werkstations helemaal bijwerken qua updates (ik weet het, vrij simpele oplossing...)
bijna allemaal betreft het werkstations die een Win10 versie van voor 20Hx hebben.

Daarnaast krijg je ook op sommige plekken dat je geen printers mag toevoegen (meestal 0x0000011b foutcode).
Again, updates werkt meestal. we hebben nog één systeem wat loopt te hikken.
Als workaround hebben we daar de printers als IP printers handmatig toegevoegd. (drivers al geïnstalleerd; van voor de update).

Even twee mogelijke opties die niet "deinstalleer de update" zijn.
Last but not least heb ik wat op het internet voorbij zien komen over verschillende registeropties. Zelf niet succesvol toegepast maar mogelijk het onderzoeken waard.

Mocht ik nog meer informatie opdoen zal ik kijken of ik nog de moeite kan opbrengen om op deze site te reageren, want wordt eerlijk gezegd een beetje moedeloos van alleen maar het bekvechten zonder oplossingen.

Ik lees een reactie op Bleepingcomputer nog meer vreemde verschijnselen. Hier word ik ook niet vrolijk van.

Ter kennisgeving.

You might want to check if the Group Policy editor for your domain controllers are broken by this Patch Tuesday as well. We have several DC's that won't open the Group Policy editor and are showing DFS errors after these updates. We've checked about half of our servers and all but one are broken, probably because it hasn't rebooted for the updates yet. UPDATE: after checking several more servers we've found some that weren't broken. One of our admins looked at the updates and several affected DFS, permissions to SYSVOL, and other critical permissions. I'd like to hear from any other admins out there that are seeing this.

Jij bent niet dezelfde Anoniem als die eerdere poster. Naar jou luister ik niet... Valt het kwartje nu een beetje?

Hartelijk dank deze was tot heden ons niet bekend.
We gaan het artikel even monitoren.

Beste wat jij gelooft of voor advies volgt intereseert me simpel weg niet en dat geldt voor ieder hier niets persoonlijks. Kennis uitwisseling oplossingen bieden en vragen lezen dat is wat mij persoonlijk interesseert. Ik ben hier niet om te netwerken.

Mocht je nog wat inhoudelijks over het onderwerp te melden te hebben dan zal ik daarop waar van toepassing reageren.
Vragen die niet over het onderwerp gaan zullen echter niet verder door mij worden behandeld.

Uiteraard dat is als je gelooft dat dit bericht komt van de eerdere anoniem. Maar dat is niet mijn zorg.

Dat kan je niet jouw zorg vinden maar dat is het natuurlijk welbeschouwd wel. Iedereen die als Anoniem post kan in jouw naam berichten posten, waar jij of zelfs jouw bedrijf later op aangesproken worden. Ik zou dat niet willen en zeker niet als bedrijf.

Definitie anoniem: https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/ANONIEM

Duh... Het account heet weliswaar Anoniem maar mijn punt is dat je met anonimiteit ook je persoonsidentiteit opgeeft (en dat je dat logischerwijs niet wenselijk vindt als je erkend en serieus genomen wenst te worden).

https://nl.m.wikipedia.org/wiki/Persoonsidentiteit

Man, man ,man wat een gezanik weer in dit topic.
Echt hebben jullie niets beters te doen?
Mischien vinden jullie die OS afzijken het hoogtepunt van jullie dag gevolgd met als toetje erbij ook elkaar persoonlijk lastig vallen maar voor de meeste lezers hier die de kleuterschool wel ontgroeid zijn is het gewoon hoogst irritant!

Het is gewoon zielig als je dit soort religie voor welk OS op een willekeurig forum uit moet gaan leven en het gaat ten koste van de professionaliteit van dit forum en ten koste van normale lezers ervan.

Dat is erg professioneel taalgebruik. ;-)

Je kan gewoon je lokale print server white-listen voor het installeren van printer driver packages (is een GPO voor).