Windows: Juni 2021-Updates (KB5003637 etc.) können Remote-Zugriff auf Ereignisse blocken

Windows[English]Nach Installation der Juni 2021 Sicherheitsupdates kann es unter Windows 7 bis Windows 10 (und den Server-Pendants) vorkommen, dass Anwendungen möglicherweise Probleme beim Zugriff auf Ereignisprotokolle auf Remote-Geräten haben. Microsoft hat dazu einen entsprechenden Eintrag im Windows 10 Statusbereich für die Versionen 2004 bis 21H1 vorgenommen.


Anzeige

Ursache sind Änderungen, die zum Schließen der Schwachstelle CVE-2021-31958 an Windows vorgenommen wurden. Aber es gibt einen einfachen Workaround. Das Ganze betrifft alle noch im Support befindlichen Windows-Versionen (Clients und Server), auf denen die Updates vom 8. Juni 2021 installiert wurden. Blog-Leser 1ST1 hat bereits in diesem Kommentar auf das Thema hingewiesen (danke dafür), ich habe aber vor einigen Stunden entsprechende Meldungen im Web gesehen. Das Problem tangiert aus meiner Sicht vor allem Administratoren, die mit Remote-Anwendungen auf andere Maschinen und deren Ereignisanzeige zugreifen müssen.

Das Problem: Kein Remote-Zugriff auf Ereignisse

Microsoft hat auf der Windows 10 Statusseite für die Version 2004, 20H2 und 21H1 einen entsprechenden Eintrag eingestellt, der auf die Probleme mit dem kumulativen Update KB5003637 hinweist. Dazu heißt es:

Nach der Installation dieses oder späterer Updates können Apps, die auf Remotegeräten auf Ereignisprotokolle zugreifen, möglicherweise keine Verbindung herstellen. Dieses Problem kann auftreten, wenn für den lokalen Standort oder die Remote-App noch keine Updates installiert wurden, die am 8. Juni 2021 oder höher veröffentlicht wurden. Betroffene Apps verwenden bestimmte ältere Ereignisprotokollierungs-APIs. Bei dem Verbindungsversuch wird möglicherweise eine Fehlermeldung angezeigt, z. B.:

  • Fehler 5: Zugriff verweigert
  • Fehler 1764: Der angeforderte Vorgang wird nicht unterstützt.
  • System.InvalidOperationException, Microsoft.PowerShell.Commands.GetEventLogCommand
  • Windows hat keinen Fehlercode bereitgestellt.

Microsoft gibt an, dass dieser Fehler aufgrund von Sicherheitsfixes wegen der Schwachstelle CVE-2021-31958 bei der Ereignisablaufverfolgung für Windows (ETW) auftreten können. Auch wenn im Supportbeitrag nur das kumulative Update KB5003637 für Windows 10 Version 2004 bis 21H1 genannt wird, betrifft dieses Problem alle nachfolgend aufgeführten Windows-Versionen und damit deren Juni 2021-Updates.

  • Client: Windows 10, version 21H1; Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Die Abhilfe, die Microsoft vorschlägt, ist recht einfach. Die passenden Juni 2021-Sicherheitsupdates müssen auf allen Windows-Maschinen installiert werden. Sobald sowohl auf dem lokalen als auch auf dem Remote-Gerät das passende Update (z.B. KB5003637) installiert ist, sollte der Fehler weg sein. Die betreffenden Updates sind in nachfolgenden Beiträgen aufgeführt.

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Juni 2021)
Patchday: Windows 8.1/Server 2012-Updates (8. Juni 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (8. Juni 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Problemlösung, Update, Windows 10 abgelegt und mit Patchday 6.2021, Problem, Update, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows: Juni 2021-Updates (KB5003637 etc.) können Remote-Zugriff auf Ereignisse blocken

  1. Markus sagt:

    Wir haben hier das Problem, dass wir diese Schnittstelle zum Abgreifen der Anmeldungen nutzen, die dann wiederum von unserer Firewall (User Based Firewalling) ausgewertet werden.

    Die Firewall ist aber kein Windows System… Da kann man den Patch schlecht installieren. Hat jemand dafür eine Lösung?

    • 1ST1 sagt:

      Die Patchday-Updates müssen so oder so installiert werden, 6 Zeroday-Lücken sollte man nicht verachten. Daher Kontakt mit dem Hersteller der anderen Software aufnehmen, die müssen eine Lösung anbieten.

    • Bernhard sagt:

      Eventuell die Logins im AD abgreifen, anstatt direkt an den Clients?

    • Flo sagt:

      Du kannst den User ID Agent auch unter Windows installieren, falls es sich um ne PA handelt..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.