TechNet Team Blog Austria

Informationen und News abseits der offiziellen TechNet vom TechNet Team Blog Austria

Mai Security Webcast

Mai Security Webcast

  • Comments 1
  • Likes

Von Mucko

 

Vielen Dank für die Teilnahme beim letzten Security Webcast. Hier sind die Fragen und die Antworten vom Webcast plus die Lösung zum svchost 100% CPU Problem, was so vielen Kopfschmerzen beim Patchen bereitete...


Frage: Was verstehen Sie genau unter Hotpatching?

Antwort:  Hotpatching ist eine Technologie in Windows Server 2003 SP1 und höher um Neustarts und sogar das neustarten von Diensten zu vermeiden. Weitere Informationen finden Sie unter http://technet2.microsoft.com/windowsserver/en/library/8bf7c6e4-3175-43bd-a67a-827ff3a586011033.mspx?mfr=true und http://support.microsoft.com/kb/897341


Frage: Kann man den WSUS 2.0 problemlos auf den neuen WSUS 3.0 Updaten, es wird ja auch der SQL 2005 Express verwendet?

Antwort: Es findet lediglich eine Migration statt, die aber automatisch abläuft. Weitere Informationen finden Sie unter http://technet2.microsoft.com/windowsserver/en/library/71ff9545-c2dd-4825-8aae-b442bbd07daa1033.mspx?mfr=true.  Ja, SQL Server 2005 wird von WSUS 3.0 unterstützt und SQL Server 2005 Express Edition ist die minimale Anforderung.


Frage: Heißt das, es sind bereits Exploits im Umlauf, welche den Fehler gem. MS07-026 & MS07-029 ausnutzen? Kann die Gefahr welche von MS07-026 ausgeht mit Hilfe eines Proxys, bzw. entsprechenden Filter vorübergehend eingedämmt werden? (Bis zum nächsten Wartungsfenster z.B.)

Antwort: Ja, es gibt bereits Exploits im Umlauf. Problemumgehungen für MS07-029 (bis zum nächsten Wartungsfenster) sind unter http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-029.mspx zu finden. Bezüglich MS07-026 gibt es mehrere Problemumgehungen (für die unterschiedlichen Angriffsvektoren) unter http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-026.mspx. Diese Problemumgehungen sollten bis zum Patchen einen vorübergehenden Schutz bieten.


Frage: Befindet sich die CAPICOM.DLL nur auf den BizTalk Servern?

Antwort: Nein, Sie könnten auch dann betroffen sein, wenn Sie keinen BizTalk Server im Einsatz haben. Am besten, Sie scannen Ihre Maschine mit MBSA 2.0.1 um herauszufinden, ob CAPICOM.DLL in der betroffenen Version installiert ist. Eine Vielzahl an (nicht Microsoft) Applikationen können CAPICOM.DLL mitinstallieren.


Frage: svchost.exe 100% CPU - Zur Behebung habe ich vor einigen Wochen folgendes gefunden: Den Dienst "Automatische Updates" bzw. für Vista "Windows Update" zunächst beenden. Anschließend den Inhalt des Ordners C:\WINDOWS\SoftwareDistribution\DataStore löschen, sowie C:\WINDOWS\SoftwareDistribution\Download und C:\WINDOWS\SoftwareDistribution\EventCache. Danach den Dienst "Automatische Updates" wieder starten. Nach einem Neustart sollte wieder alles im grünen Bereich sein.

Antwort: Das ist nur der Workaround. Das WSUS Team hat jetzt DIE Lösung zum Problem:

In addition to the WSUS 3.0 release, we are making the new client portion available via the following plan to our customers who continue to experience performance issues like UI hang and long scan times.

The new Windows Update Agent (WUA) client addresses these issues with deep architectural performance optimizations.  Combining the installation of the new (WAU 3.0) client, with the latest MSI fix available in KB927891 available on Microsoft Download Center, will completely address what we have fondly called the svchost/MSI issue.  It’s important to keep in mind that the new client is only a partial solution and clients must have both KB927891 and the new 3.0 client installed for a full solution.

On May 1st, a standalone version of the client was also made available to those of you who need to address this performance issue now.  Although this is immediately available, it will have to be independently distributed.   The standalone WUA is available under http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x86.exe

Keep in mind that the new client is only a partial solution for the svchost/MSI issue and clients must have both KB927891 and the new 3.0 client installed for a full solution. 

Also:

http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x86.exe und http://support.microsoft.com/kb/927891/en-us installieren.

Comments
  • Vielen Dank für die informative Veranstaltung, weiter so!

    MfG

    Markus Erwig

    Zentrale Polizeitechnische Dienste NRW

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment