Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)

[English]Microsoft hat sich zwar befleißigt bzw. bemüht, zeitnah Sicherheits-Updates für die PrintNightmare-Schwachstelle (CVE-2021-1675) im Windows Print-Spooler-Dienst durch vorgezogene Sonderupdates zu schließen. Aber diese Sonderupdates scheinen im Chaos zu enden – bei mir werden Erinnerungen an das Printer-Gate vom März 2021 wach, wo Microsoft eine Reihe Korrektur-Updates veröffentlichen musste, um eine Druckerschwachstelle zu schließen, aber das Drucken noch zu ermöglichen. Ich fasse mal einige Punkte außerhalb der Dokumentation Microsofts in diesem Blog-Beitrag zusammen. Das reicht vom Umstand, dass die Updates die Schwachstellen nicht schließen, geht über Installationsprobleme und fehlerhafte Dokumentation bis hin zu Problemen, dass anschließend Etiketten-Drucker von Zebra streiken.


Anzeige

Updates für die Schwachstelle CVE-2021-1675

In allen Windows-Versionen gibt es die Remote Code Execution (RCE) Schwachstelle CVE-2021-1675 im Windows Print-Spooler-Dienst. Diese ermöglicht Angreifern beliebigen Code mit SYSTEM-Rechten auszuführen. Nachdem ein Proof of Concept (PoC) öffentlich wurde, gab es bereits erste Angriffe auf die Schwachstelle. Ich hatte frühzeitig im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko über die Schwachstelle berichtet. Zum 6. und 7. Juli 2021 hat Microsoft dann auch außerplanmäßige Updates für die unterstützten Windows-Versionen freigegeben (siehe Links am Artikelende).

Updates schließen nicht alle Schwachstellen

Teil 1 des Dramas liegt im Umstand, es Microsoft nicht gelingen will, die Schwachstellen im Windows Print-Spooler-Dienst sauber zu schließen. Zum 8. Juni 2021 hatte Microsoft zwar eine Local Privilege Escalation-Schwachstelle in diesem Dienst über die Sicherheitsupdates für Windows geschlossen. Anfang Juli 2021 hatte ich im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko aber bereits darauf hingewiesen, dass der Juni 2021-Patch zwar eine Schwachstelle beseitigt, Angriffe auf den Windows Print-Spooler-Dienst über die Schwachstelle CVE-2021-1675 jetzt sogar remote möglich seien.

PrintNightmare-Patches

Nun hat Microsoft also Sonderupdates für diese Schwachstelle CVE-2021-1675 freigegeben. Vor wenigen Tagen wurden aber weitere, neu entdeckte Schwachstellen im Windows Print-Spooler-Dienst bekannt. Und die Sonder-Updates schließen diese Schwachstellen nicht, so dass Angreifer die von den Updates vorgenommenen Änderungen aushebeln können. Es kam bereits am 6. Juli in diesem Kommentar auf, ich hatte aus terminlichen Gründen aber keine Zeit, das näher im Blog zu thematisieren. Blog-Leser Carsten wies per Kommentar bereits auf den obigen Tweet hin.

PrintNightmare Patch usesless

Die obigen Tweets weisen erneut auf diesen Umstand hin, und die Kollegen von Bleeping Computer haben es hier sowie von The Hacker News in Tweets und Artikeln thematisiert.

PrintNightmare Patch usesless

Die von Microsoft freigegebenen Sicherheitsupdates schließen zwar eine Schwachstelle, lassen sich aber leicht umgehen. Mimikatz-Entwickler Benjamin Delpy schreibt in diesem Tweet, dass sich die Local Privilege Escalation-Schwachstelle (LPE) sowie die Remote Privilege Escalation-Schwachstelle (RCE) weiterhin ausnutzen lassen.


Anzeige

Delpy hat in diesem Tweet ein Flussdiagramm mit den By-Passing-Möglichkeiten veröffentlicht. Die Patches von Microsoft wirken zwar, aber nicht so richtig. Angriffe auf Remote Ziele mit \ \  in der URL werden jetzt zwar durch eine Prüfung verhindert. Verwendet der Angreifer aber Muster wie \ ?? \ in den UNC-Pfaden, sind Angriffe weiter möglich. Bolko hat es in diesem Kommentar hier im Blog ebenfalls zusammen gefasst. Von heise gibt es diesen Beitrag dazu.

Die Updates verursachen Probleme

Eigentlich drängt alles danach, die außerplanmäßigen Updates dringend zu installieren. Inzwischen liegen mir aber erste Rückmeldungen über Probleme vor, die ich kurz zusammenfasse.

WSUS-Erkennungs- und Installations-Probleme

In diesem Kommentar hier im Blog schreibt ein Leser, dass er im WSUS Probleme mit der Erkennung habe. Hier ein Auszug:

WSUS hat scheinbar mal wieder ein Detection Bug!
20H2 Clients die bereits KB5003690 (19042.1081) installiert haben,
werden nicht als „needed" Target erkannt. Via MS wird das Patch gefunden und installiert.
Ich nehme an 20H2 Clients mit KB5004760 (19042.1082) sind genauso betroffen.

Auf das Problem der im kumulativen Update (LCU) integrierten Servicing Stack Updates (SSU) hatte ich im Blog-Beitrag Windows 10, der WSUS und das SSU+LCU-Erkennungs-Chaos hingewiesen. Im verlinkten Kommentarthread gibt es weitere Stimmen zu diesem Thema – ohne das benötigte SSU vom Mai 2021 lassen sich kumulative Updates ab Juni 2021 im WSUS wohl in Windows 10 Version 2004 und höher nicht installieren.

Wenn das Update für Windows 10 2004-21H2 den Installationsfehler 0x80242017 auslöst, steht dieser für WU_E_UH_NEW_SERVICING_STACK_REQUIRED. Es fehlt also der Mai 2021 SSU. Eine Lösung für Betroffene findet sich in diesem Kommentar hier im Blog.

Zebra-Etikettendrucker streiken

Bereits direkt nach Freigabe der ersten Sonder-Updates hat sich Blog-Leser Sebastian in diesem Kommentar gemeldet und schreibt:

Moin,

also wie es aussieht hat das Update bei uns die Ticketdrucker „zerschossen"
Windows 10 Pro x64 20H2

Intermec EasyCoder F4 und PF4i … sind grad am klären, was da los ist.

Ansonsten alles ok soweit (Canon, HP, Epson)

Auch bei heise habe ich im Forum diesen Thread gefunden, wo die streikenden Zebra-Etikettendrucker (D420, Zebra 2844, Intermec PF4i und PM43) bestätigt werden. Es sieht so aus, dass nur die Deinstallation des betreffenden Updates dieses Problem beseitigen kann.

Ergänzung: Microsoft hat zum 9. Juli 2021 einen Fix für Windows 10 Version 2004-21H1 bereitgestellt, der das Problem über die Know Issues Rollback-Funktion (KIR) beseitigt (siehe Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR).

Wieder BlueScreens beim Drucken?

Ergänzung: Auf Facebook habe ich das Feedback von einem Dienstleister erhalten, dass er bereits zwei Kunden mit BlueScreens beim Drucken durch Update KB5004945, wie im März 2021, gehabt habe. Details liegen aber noch nicht vor – vielleicht da das Augenmerk drauf legen und ggf. hier Rückmeldung als Kommentar geben, wenn es bei euch auftritt.

Deutsche Dokumentation falsch

In diesem Kommentar weist Stefan A. darauf hin, dass die deutsche Dokumentation von Microsoft zum Thema "Point and Print" falsch sei. Hanspeter Holzer weist in nachfolgendem Tweet explizit nochmals darauf hin.

PrintNightmare Dokumentation falsch

Die deutschsprachigen Vorgaben für die Registrierungswerte deaktivieren das Ganze, dann wirkt der Patch nicht (heise hat hier was zu geschrieben). Verwendet den englischsprachigen Supportbeitrag KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates, um die betreffenden Richtlinieneinträge zu setzen.

Achtung bei 0patch-Nutzung

Hier im Blog hatte ich ja die Micropatches von 0patch zum Schließen der Schwachstelle thematisiert (siehe folgende Linkliste). Diese Lösung stand vor den Microsoft Updates bereit und hat wohl auch nicht deren Folgen. Wer also auf 0patch setzt, sollte folgenden Tweet beherzigen (danke an Carsten).

https://i.imgur.com/fAIYFZx.png

Ergänzung: Das Chaos ist noch nicht vorbei, auch wenn revidierte Updates zum 13. Juli 2021 ausgerollt wurden (siehe Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)).

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Juni 2021)
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit Drucken, Patchday 7.2021, Probleme, Sicherheit, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

87 Antworten zu Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)

  1. DWE sagt:

    Was für ein Chaos, vielleicht sollte Microsoft seine Patches bei 0patch einkaufen.

  2. Blubmann sagt:

    Ich muss ja mal zunächst trotz allem ein Lob aussprechen. An sich wurde schnell reagiert. Das war es dann auch schon. Allerdings nur halbherzig und nicht ohne Einschränkungen. Vielleicht sollte sich Microsoft mal ein Beispiel an AMD nehmen und mal tief durchatmen, sich sammeln und dann was vernünftiges auf den Markt bringen (und ja das soll indirekt auch eine Kritik an Win 11 sein). Und vielleicht mal wieder eine Qualitätsmanagementabteilung aufmachen, die sie laut internen Berichten dicht gemacht haben, und das testen auf die Entwickler und Benutzer abgewälzt wurde.

  3. Linuxi sagt:

    Mit Linux wär das nicht passiert. Da gibt es solchen Kernschrott nicht. Arme MS-Opfer…

    • 1ST1 sagt:

      Stimmt, da gibts nur jahrelang verwundbares sudo. was sogar noch an den heiligen Apple vererbt wurde. Dort gibts verwundbare openssl, openvpn, libc, dhcp, und viele weitere, deren Lücken jahrelang nicht gefunden wurden. Sowas passiert da nicht. Hast vollkommen recht!!!

      Du solltest dir mal die Schwachstellenreports vom CERT-Bund (BSI) abonnieren, damit du auf den aktuellen Stand kommst!

      [CERT-Bund] CB-K20/1217 Update 31 – OpenSSL: Schwachstelle ermöglicht Denial of Service
      [CERT-Bund] CB-K21/0721 – Linux Kernel: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
      [CERT-Bund] CB-K21/0723 – Red Hat Enterprise Linux: Schwachstelle ermöglicht Codeausführung
      [CERT-Bund] CB-K21/0587 Update 12 – Internet Systems Consortium DHCP: Schwachstelle ermöglicht Denial of Service
      [CERT-Bund] CB-K21/0185 Update 23 – OpenSSL: Mehrere Schwachstellen
      [CERT-Bund] CB-K21/0607 Update 5 – PolicyKit: Schwachstelle ermöglicht Privilegieneskalation

      Das sind jetzt nur mal die von gestern! Heute kamen noch keine.

      • Linuxi sagt:

        Getroffene Hunde / Fanboys wie 1ST1 sind mir doch die liebsten. Geh weiter frickeln mit deinem Bockmistsystem, aber lenk nicht ab, Kleiner ;-)

        • Anonymous sagt:

          Dont't feed the troll… Ich nutze Linux und hatte trotzdem schon mal Update-Probleme (grub 2, anyone?). Kein System ohne Fehl!
          Und DENNOCH werde ich privat nicht mehr ohne Zwang permanent zurück auf Windows zurückkehren. Gründe dafür gibt's mehrere, einer davon ist, sich nicht ständig unter Dauerbeschuss fühlen zu müssen. Ein "jahrelang verwundbares sudo" hat offensichtlich nicht zum Auf-Cry* – und wie sie noch alle heißen – geführt…
          Beruflich kümmert sich ein Admin um meine Windows-Seite. Der ist froh, dass ich am anderen Ende Linux verwende, eine Belagerungsoption weniger. Und sei es nur, weil privat-Linux halt uninteressant ist. Win-win für mich!

        • 1ST1 sagt:

          Oh, wie süß!

          • Andi sagt:

            Mal ganz ab, vom nicht sonderlich geistreichen Eingangsbeiträg, fällt 1ST1 permanent durch unqualifiziertes Fanboy-Gehabe auf.

            Nochmal für dich zum mitschreiben:
            Microsoft ist ein Multimilliarden $ Konzern, der seine Kunden auspresst, wo es nur geht. Dafür bekommt man unausgereifte, fehlerbehaftete und teils gefährliche Software untergeschoben, die teils mehr Schaden anrichtet, als das sie nutzt.
            Linux ist kostenlos! Muss man dir alles wie einem Kleinkind erklären? Zudem werden Sicherheitslücken umgehend gefixt, wenn sie publik werden. Ganz im Gegensatz zu deiner Lieblingsfirma, wie wir gerade live und in Farbe erleben dürfen.
            0Patch (kostenlos) funktioniert, ohne all die grausigen Nebenwirkungen, die der letzte Patch uns schon wieder eingebrockt hat. Der Patch von Microsoft funktioniert hingegen nicht! Der PoC funktioniert immer noch!
            Da bekommt man als kleinen Bonus noch defekte Drucker, Anwendungen, usw. serviert.
            Echt unglaublich.

          • 1ST1 sagt:

            Oh, wie süß!

            Ist das hier eigentlich in erster Linie ein Windows- oder Linux-Blog? Interessiert hier irgendjemanden dieses Frickeltextadventure, das nicht mal eine zentrale Verwaltung wie ein Activedirectory selbst mitbringt, womit man hunderte bis tausende Computer outofthe box zentral steuern und monitoren kann? Äh, ja, doch, inzwischen geht das, weil Ubuntu die Integration in ein Active Directory unterstützt und man sogar Group-Policies drauf anwenden kann… hahaha! Wo man sein Betriebssystem mit Editoren konfigurieren muss, die sich seit CP/M-Zeiten oder Kerninghan-Ritchie kaum weiterentwickelt haben? Unter dem nichmal Anwendungen für normale Bürotätigkeiten laufen, die Industriestandard sind? Coloborationswerkezeug gibts auch nur weil sich Microsoft herab gelassen hat, euch Teams und Edge zu spendieren. Nichtmal für die kreativen Berufe gibts da jenseits von Hobbyprogrammierertools gescheite DTP, Photo und Videobearbeitung. Ja, Gimp und Scribus ist Schrott. Libreoffice taucht auch nicht, kann noch nicht mal den Industriestandard docx korrekt einlesen, interpretiert nämlich diverse Objektattribute falsch. Von Spielen ganz zu schwiegen.

            Deine Linuxschwärmerei interesiert hier keine Sau, ums mal so drastisch auszudrücken. Und bei Heise und Golem in den Diskussionsfäden zu Windows-Themen übrigens auch nicht. Geh Linux-Magazin lesen und beweihräuchere dich dort in den Foren mit Gleichgesinnten, lobt euch gegenseitig übern Klee damit ihr glücklich sein könnt. Aber lasst unsereins in Ruhe, eure Linuxloberei und Frickellei interessiert uns hier nicht.

            Euereins hat nicht verstanden, dass Betriebssystem kein Sebstzweck ist. Die Auswahl ist rational begründet, und daran gibts auch nichts zu diskutieren.

            Sorry, dass ich mir mal so drastisch Luft verschaffen muss, sowas geht auf den Senkel!

          • Linuxi sagt:

            Oh, wie süß!

            In erster Linie ist es wohl ein IT Blog, wie man am Namen sieht. Windows scheint die Crapware zu sein, die hinten dranhängt, aber von den (negativeb) Themen her dominant ist.

            Die Unterstellung Betriebssystem als Selbstzweck ist der Hammer und dermaßen weltfremd,dass man nur den Kopf schüttlen kann, 1ST1. Das kann man AUSSCHLIEßLICH von Windows behaupten, aber nicht als Argument gegen andere Systeme. Woanders wird produktiv gearbeitet, während die MSler frickeln und frickeln und frickeln, ohne irgendwie produktiv zu sein.

            Aber es ist schon interessant, deinen Beißreflex hier zu sehen. Muss echt schlimm sein bei dir und deiner Frickelbude.

    • Michael Bickel sagt:

      … die einzige Sicherheit gäbe es mit der Rückkehr zum anlogen Zeitalter :)
      TV ohne Smart, Plattenspieler mit einer Jimi Hendrix Platte, gelbe Telefonzellen oder Brieftaube – dann musst Du Dir keine Sorgen mehr um Notfallpatches machen, Linux reicht sicher nicht.

      • Michael B. sagt:

        …und dann würden wir alle wieder halbwegs vernünftige Menschen werden, wieder miteinander analog reden wenn man sich gegenüber steht und beim Trollen direkt eins auf die Fr… bekommen. Nicht abhängig sein, von kleinen rechteckigen Multitalenten, die mehr über unser Leben wissen als wir selbst und ständig ungefragt nach Hause telefonieren und immer nach dem Ladekabel krächzen.

        Man sagte sich noch "Guten Tag", heute fragt man nur noch nach dem W-LAN Passwort.

        Mein Plattenspieler hat übrigens immer funktioniert, das Fernsehbild war nach dem Einschalten sofort da. 1-2-3 und das war´s, ganz einfach. Niemand hat ständig nach Updates gefragt und Sanduhren gab´s nur in der Sauna. Es gab auch keine grünen Bananen bei elektrischen Geräten, sondern ausgereifte Technik, fest verdrahtet. Die lief Jahrzente.

        Wir schafften es, 45 Stunden und mehr die Woche zu arbeiten. Jetzt werden wir nur noch von einem Update-Chaos ins nächste gedrängt.

        Die gute alte, analoge Zeit. Da konnten die Menschen noch selbständig denken. Heute fragt man Google, Siri und Alexa. Aber die schaffen es bis heute nicht, das Bier aus dem Keller zu holen.

        • 1ST1 sagt:

          Mein Plattenspieler funktionmiert noch. Und ja, mein PC macht nebenher noch anderes, vielleicht auch mal was, was ich nicht will, aber dabei ist er immer noch schneller als ein PC oder Heimcomputer vor 30 Jahren. Und wenn ich damals einem Kollegen, Lieferanden oder Kunden an einem anderen Standort schicken wollte, musste ich es ausdrucken und per Post verschicken, oder als Fax, wenn es nur Papier ist und die Qualität reicht. Ich habe den direkten Vergleich, denn neben dem moderen Krempel habe ich auch ein paar Dutzend alte Rechner.

  4. Jan sagt:

    Also wir erhalten bei zig Clients den Fehler 0x80242017 beim Installieren von dem Patch. Hat das noch jemand und evtl. eine Lösung?
    net stop wuauserv
    DEL %windir%\SoftwareDistribution\DataStore
    net start wuauserv
    hat leider kein Erfolg gebracht.

    • Günter Born sagt:

      Der Fehler 0x80242017 steht für WU_E_UH_NEW_SERVICING_STACK_REQUIRED – dir fehlt in Windows 10 V2004-21H1 schlicht das geforderte Servicing Stack Update vom Mai 2021 – siehe auch die obigen Ausführungen zum WSUS (ggf. dem Link zu diesen Kommentaren folgen, man kann das Update per DISM nachinstallieren).

      • Jan sagt:

        Genau so ist es! Wir installieren jetzt das Juni Update nach. Der Fehler tritt wohl auch nur bei neu installierten Clients auf, die das Juni Update nicht gekriegt haben.

        • Günter Born sagt:

          Danke für die Bestätigung. Vielleicht gelingt es, über den Nachlese-Artikel hier durch Rückmeldungen von Admins ein kleines Repository der größten Klippen aufzubauen. Muss ja nicht jeder in die gleichen Fehler laufen.

          • Jan Pillatzk sagt:

            So also wir haben heraus gefunden, dass die neu installierten Clients auch CU Update 2021-05 (KB5003173) benötigen, da dort ein Service Stack Update durchgeführt wird.

          • Jan sagt:

            So also wir haben heraus gefunden, dass die neu installierten Clients auch CU Update 2021-05 (KB5003173) benötigen, da dort ein Service Stack Update durchgeführt wird.

  5. Mira Bellenbaum sagt:

    @Blubmann : Zusätzlich zu dem jetzigen System eine Qualitätsmanagementabteilung aufmachen!
    UND den Windows Print-Spooler-Dienst komplett NEU programmieren!

    Und wenn sie dann sich erst den größten Baustellen von Windows 10 gewidmet und diese auch beseitigt haben, erst dann können sie, meinetwegen wöchentlich, neue Versionen raushauen!

    • Blubmann sagt:

      Ja Hauptsache weitere Features und ganz wichtig das Design, ich meine für abgerundete Ecken kann man schon mal ein Featureupgrade aka Win 11 raus hauen. Die Kernprobleme werden aber, so scheint es für mich zumindest, schön unter den Tisch gekehrt

    • Anonymous sagt:

      "UND den Windows Print-Spooler-Dienst komplett NEU programmieren!"
      Wer soll denn dass bezahlen? Das arme Microsoft? Sorry, bei einer Gratis- äh- Umsonst-Software, wie sie mit Win10 Millionen haben, und dann künftig auch noch für W11, kann man so was nicht erwarten…
      Aber ernsthaft: würde ein neuer PSD unbedingt fehlerfreier sein? Oder nur neue Einfallstore generieren?

  6. Andi sagt:

    Probleme mit Zebra kann ich auch bestätigen.
    Es ist einfach nur noch ein Graus, was Microsoft den zahlenden Kunden vorsetzt.

    Ich habe jetzt einen Linux Print Server mit CUPS/IPP gebaut und hab erstmal meine Ruhe, bis mal (eventuell) ein vernünftiger Patch kommt.
    Gut, für Zebra muss ich noch eine Lösung finden, aber da ist der Impact nicht ganz so hoch. Eventuell rolle ich den sog. Patch wieder zurück.

  7. kb5004945 legt leider nicht nur Zebra-Drucker lahm.
    Gerade selbst beobachtet bei einem Konica bizhub im Kundenkreis:
    https://compeff-blog.de/2021/windows-10-update-kb5004945-zerschiesst-spooler-druckerwartschlange-seit-8-juli-2021-u-a-konica-bizhub-c35/

  8. Bolko sagt:

    Im Computerbase-Forum meldet jemand (Beitrag #73)
    "Update aufgespielt, Druck mit Kyocera Drucker (per USB) Bluescreen."

    printnightmare-warnung-vor-sicherheitsluecke-in-windows-7-bis-10-und-server.2030529

    Bei einem anderen ist das Spiel "Forza Horizon 4" seit der Installation des MS-Patches mehrmals eingefroren (Beitrag #68):
    "Seit dem KB5004945 ist mir der PC während FH4 schon 4x gefreezed. Ich habe ihn wieder deinstalliert. "

  9. Bolko sagt:

    "Point and Print" muss also auch nach dem MS-Patch weiterhin DEAKTIVIERT sein, weil sonst die Umgehung mittels "\??\UNC" funktioniert?

    Wenn es aber deaktiviert ist, dann wird doch der darunter liegende Wert RestrictDriverInstallationToAdministrators
    gar nicht mehr ausgewertet, oder sehe ich das falsch?
    Falls das so sein sollte, dann dürfen also weiterhin auch Nicht-Administratoren Drucker-Treiber installieren und zwar auch solche, deren Pfad mittels "\??\" umgangen worden ist?

    Es erfolgt aber (wirklich?) ein Hinweis-Prompt, weil der Default-Wert NoWarningNoElevationOnInstall = 0 ist?
    Wird dieser Default-Wert denn überhaupt noch ausgewertet, wenn "Point and Print" deaktiviert ist (was MS ja empfiehlt)?

    • Bolko sagt:

      Microsoft hat sich missverständlich ausgedrückt.
      Bedingung war:
      "„Point and Print" ist aktiviert"
      (Weil man durch Änderung des UNC-Pfades auch fremde Druckertreiber installieren kann und das auch nach dem Patch noch gilt wegen der Umgehung mittels "\??\").

      Wenn man es allerdings deaktiviert, dann werden die Reg-Einträge gar nicht mehr ausgewertet und es erfolgt demzufolge auch gar kein UAC-Prompt mehr, was besonders schlimm wäre, da ja bei deaktivierter Point-and-Print Richtlinie die Treiber von überall her stammen können.

      Die sicherste Einstellung wäre also "nicht konfiguriert", denn dann greift die Default-Einstellung mitsamt UAC-Prompt. Allerdings funktioniert die Umgehung mittels "\??\" auch in dieser Einstellung weiter.

      Da muss Microsoft also nochmal nachbessern und sich zusätzlich mal klipp und klar äußern, welche Point-and-Print-Einstellungen vorzunehmen sind, denn aktuell kann man es sowohl bei "aktiviert" als auch bei "deaktiviert" umgehen.
      Bei "aktiviert" durch "\??\"
      und bei "deaktiviert" wegen des fehlenden UAC-Prompts, weil die Default-Schlüssel
      NoWarningNoElevationOnInstall = 0
      NoWarningNoElevationOnUpdate = 0
      gar nicht mehr ausgewertet werden.

  10. Sebastian sagt:

    Mahlzeit,

    hab jetzt mal ganz einfach die Seagull-Treiber-Hersteller angeschrieben, ob die ne Idee haben …
    Wenn was zurück kommt, geb ich bescheid.

    Geht um die Intermec F4/PF4i Kartendrucker

    Schöne Grüße

    Sebastian

    • Sebastian sagt:

      Wundert mich jetzt nicht die Reaktion…

      Dear Sebastian,
      Thank you for your inquiry regarding BarTender software.
      Know that our software is compatible with any printer as long as it uses a Windows based driver.
      You can find all of our developed drivers in the below link. Just know that if the one specific to your printer is not there, the software will still work if the printer has another Windows driver.

      https://www.seagullscientific.com/support/downloads/drivers/

      Best Regards…

  11. Anonymous sagt:

    Hallo,
    alle Rechner bei uns mit der Version Windows10 20H2 64bit hatten bisher alle Updates mit der aktuellen SSU ordnungsgemäß installiert.
    Mit dem KB5004945 kann es auf Rechner mit einem Brother Drucker an USB zu ständigen Neustarts kommen.
    Aufgefallen ist mir, dass diese Rechner nachträglich noch das Update KB 4598481 (Servicing Stack Update von 2021-01) verlangen und installiert hatten, dass schon lange vorher freigegeben war.
    Zu dem ständigen Neustart kommt es wohl erst, wenn die Rechner nach KB5004945 nochmal das KB4598481 verlangt und auch installiert haben. An einem Rechner konnte ich vorher eingreifen und das KB4598481 ablehnen. Dann scheint es nicht zu dem Problem des Neustartens zu kommen.
    Die Reihenfolge ist also:
    KB5004945 Sicherheitsupdate für Windows und SSU 10.0.19041.1081 –> bestimmte Rechner fordern danach nochmal das KB 459841 vom 01-2021 an. –> dann kommt es zu Fehlern und Neustarts.
    Es scheint aber nur Rechner mit Brother Druckern an USB zu betreffen, aber hier auch nicht alle (da muss ich noch weiter forschen). Rechner mit anderen Druckern scheint es nicht zu betreffen und auch nicht die Windows Version 21h1.

    Im Moment hilft nur die Deinstallation des KB 5004945.

    Falls jemand noch eine Idee hätte… (nicht Rechner neu installieren oder Linux – nicht machbar).

    • 1ST1 sagt:

      Versuche mal die verschiedenen Modis des Druckprozessors, Default ist glaube ich immer RAW. Außerdem versuche mal, was passiert, wenn du den Printspooler umgehst, und direkt druckst. Kann nur dann sein, dass bei umfangreichen Dokumente Drucken du länger warten musst, bis die Anwendung wieder bereit ist, etwas anderes zu machen.

  12. Zocker sagt:

    Die regulären monatlichen Updates kommen nächste Woche trotzdem, oder? Werden die den Fix voraussichtlich auch enthalten?

    Bei all der schlampigen Arbeit die MS wieder mal abliefert, sollte man nicht vergessen, dass sie mehr oder weniger gezwungen waren schnell zu handeln. Trotzdem ein Armutszeugnis was da seit Jahren abgeht. Mit der Druckfunktion gibt es ja regelmäßig gravierende Probleme.

    • 1ST1 sagt:

      Bisher wurde ja nur eine Lücke gepatcht. Vielleicht schafft es MS, auch die anderen Angriffsvektoren bis kommende Woche zu patchen. Allerdings ist die Zeit recht knapp, da werden momentan ettliche Entwickler wohl Nachtschichten schieben müssen. Und mich würde nicht wundern, wenn es dann noch mehr Druckertreiber gibt, bei denen es knallt.

      Das mit den Druckertreibern ist ein echtes Problem, ideal wäre, wenn es nur noch einen Treiber für alle Sorten Drucker gibt, so wie das bei GDI-Druckern mal gedacht war, nur dass das Rendern der Seite nicht im PC, sondern im Drucker erfolgen müsste, damit der seine Fähigkeiten ausreizen kann, oder wie es bei Postscript immer noch ist. Dann könnte man sich die ganze Treiberjagd sparen.

  13. Michael Bickel sagt:

    keine Probleme hier, auch die HP Drucker (HP Envy und OfficeJet) laufen problemlos.

  14. Chris sagt:

    Uns ist ein Fehler in der ISO Windows Server 2019 (updated June 2021) aufgefallen. Nämlich lässt sich nach der Installation des OS der Print Spooler Dienst nicht ordentlich starten. Des weiteren fehlt der Dienst Druckerweiterung und -benachrichtigung..

    Nach Update mit KB5003646 (welches ja eigentlich schon installiert sein sollte) funktionieren die Dienste wieder wie gehabt. Gibt es da einen Zusammenhang? Kann das Fehlerbild jemand bestätigen?

  15. Stefan A. sagt:

    Nachdem ich gestern schon über die abweichende deutsche Übersetzung hier kommentiert hatte, konnte ich das Ganze nun einmal nachstellen.

    Setze ich, wie in der deutschen Variante beschrieben die Richtlinie „Point and Print Einschränkungen" auf „Deaktiviert", so wird bei mir in der Registry der Wert "NoWarningNoElevationOnInstall" gar nicht gesetzt.

    Das würde dem Windows-Standard-Verhalten entsprechen und meinem Verständnis nach dann auch wieder Warnungen anzeigen.

    Konnte das noch jemand nachstellen? Denn ich war gestern völlig überrascht, das zumindest die Beschreibung der Richtlinie etwas anderes aussagt.

    Daher setzte ich eigentlich auch immer auf die Englischen Artikel.

    • Bolko sagt:

      Wenn es deaktiviert ist, dann werden die Reg-Einträge unter diesem Schlüssel gar nicht ausgewertet.

      If you disable this policy setting:
      -Windows Vista computers will not show a warning or an elevated command prompt when users create a printer connection to any server using Point and Print.

      Das steht so im Gruppenrichtlinieneditor und da auch:
      gpsearch.azurewebsites.net/#2212

      Das betrifft nicht nur Vista, sondern "Vista" steht da drin, weil diese Funktion mit Vista eingeführt wurde.

      Wenn Point-and-Print="nicht konfiguriert", dann wird NoWarningNoElevationOnInstall = 0 (default) angenommen.

      Wenn Point-and-Print="aktiviert", dann wird NoWarningNoElevationOnInstall = X ausgewertet.

      Wenn Point-and-Print="deaktiviert", dann wird NoWarningNoElevationOnInstall gar nicht ausgewertet.

  16. Bolko sagt:

    Es gibt ein Script in der Sprache Python, um Netzwerke nach der PrintNightmare-Schwachstelle abzusuchen:
    https://github.com/byt3bl33d3r/ItWasAllADream

  17. Ralph sagt:

    Gibt es gesicherte Erkenntnisse darüber, welche Drucker (-Familien) von den Druckproblemen nicht betroffen waren? Und ob 21H1 in gleicher Weise von gelegentlichen Bluescreens betroffen waren wie 20H2-Systeme?

    Gibt es quasi eine bekannte Konstellation, in der es in Bezug auf KB5004945 weder Rechner-Abstürze noch Druckprobleme gab?

    • Bolko sagt:

      PCL-Druckertreiber funktionieren nicht mehr richtig, wenn die ACL geändert wurde.
      PS-Druckertreiber funktionieren unabhängig von der ACL.

      Also entweder die ACL rüclgängig machen oder die PCL-Treiber durch PS-Treiber oder sonstige Treiber ersetzen ersetzen.

  18. Bolko sagt:

    Wenn man die Access Control List (ACL) geändert hat, wie es ursprünglich geraten wurde, dann haben PCL-Druckertreiber ein Problem (PS-Treiber funktionieren weiter), weil die Zeichensatzladefunktion durch ACL behindert wird.

    Das schreibt jemand auf Twitter:
    There is another problem if you installed this ACL on your Clients.
    If the printer you try to use has a PCL driver instead of a PS driver installed on your printserver then the print will fail. PCL has a font download mechanism which will fail
    -> Use PS Drivers!
    twitter.com/ve55ev/status/1413090753216192514

    Das könnte der Grund für den BSOD bei manchen Kyocera-Druckern sein.

  19. 1ST1 sagt:

    Was mich momentan wundert, ist warum Microsoft bei der Update-Datei die ganz große kummulierte Keule schwingt. Ich hatte die Tage ein paar Workstations, die das KB5004945 nicht automatisch aus dem WSUS installieren wollten, die blieben allesamt bei 0% Download oder bei 0% Installation hängen. Ich habe dann die cab-Datei besorgt, und das per dism auf diesen Kisten installiert. Das Ding ist tatsächlich über 500 MB groß, und wenn man dism startet, rackert das gefühlt ewig rum, um dann bei 5% fertig zu sein, es wird ein Reboot gefordert und danach ist das Ding installiert. Hätte man da als Notfall-Patch nicht ein kleineres Paket verteilen können, welches nur diese Dateien austauscht, statt gefühlt den ganzen Windows-Ordner zu beinhalten?

    • Olli sagt:

      Willkommen in der MS Tretmühle…. Flüchte, solange du noch kannst und nimm ein vernünftiges System. MacOS ist auf Wortstations eh die bessere Wahl.

      • 1ST1 sagt:

        Da begebe ich mich von der Abhängigkeit eines Herstellers in die Abhängigkeit eines anderen Herstellers. Und ich kann die Kisten nicht mal zentral managen.

  20. Milli Vanilli sagt:

    Habe seit heute Probleme bei einigen Kunden. Update KB5004945 hat sich im Laufe des Tages installiert, seitdem drucken u.a. Canon Pixma TS205 per USB nicht mehr.

    Nach Deinstallation des Updates ist alles wieder i.O.
    Mal schauen ob ich mir jetzt einen der Workarounds antue…

  21. Bolko sagt:

    Es gibt schon seit einer Woche einen Proof-of-concept exploit per LPE in Form eines Powershell-Scripts zur Demonstration der Rechteausweitung und der Benutzung einer beliebigen DLL:
    github.com/calebstewart/CVE-2021-1675

    Das funktioniert auch nach dem MS-Patch noch, denn der wirkt nur gegen RPC und SMB.

  22. Bolko sagt:

    Die Forensiker "HuntressLabs" haben festgestellt, dass der Windows-Event-Logger bei erfolgreichen Exploits manchmal keine Daten ins Event-Log schreibt.
    Der erfolgreiche Exploit dann also unentdeckt erfolgreich ist.

    "We're also noticing that sometimes repeated successful exploitation attempts don't always get logged"

    Sie bestätigen ebenfalls, dass die diversen Exploits auf Github funktionieren und dass der Microsoft-Patch nicht vollständig funktioniert.
    Die 3 Kriterien für einen erfolgreichen Patch wären:
    1. lokale Rechteausweitung wird verhindert
    2. Remote Code execution wird verhindert
    3. Drucken funktioniert weiterhin
    Der MS-Patch kann nichts davon, denn 1 wird nur auf "Windows 21H1 Enterprise" erfüllt, aber nicht auf den anderen Server-Versionen. Der Patch fixt normalerweise nur SMB und RPC .
    2 wird nicht erfüllt, weil es mit "\??\" umgangen werden kann und 3 wird nicht erfüllt, weil es zu BSOD kommen kann.

    reddit.com/r/msp/comments/ob6y02/critical_vulnerability_printnightmare_exposes/h3lwz6e

    huntress.com/blog/critical-vulnerability-printnightmare-exposes-windows-servers-to-remote-code-execution

  23. Ben sagt:

    Hallo, habe security-only für win 8.1 64Bit KB5004958 installiert, hat mir den Windows Defender zerschossen. Echtzeitschutz plötzlich deaktiviert, wegen Zeitüberschreitung nicht aktivierbar. Genau wie mit dem KB5003681 (Security-only update) vom Juni, hatte ich dann wieder deinstalliert.

    Der im Juni-Artikel bzw. in den Kommentaren beschriebene Workaround über die Registry („HKLM\SOFTWARE\Policies\Microsoft\Windows Defender der DWORD-Wert DisableAntiSpyware auf 1 gesetzt? Falls ja, auf 0 zurücksetzen.") hat nicht geklappt, da ich diesen Schlüssel gar nicht dort finde.Sowohl im Juni als auch jetzt!
    Was tun? KB 5004958 wieder deinstallieren?

  24. Bolko sagt:

    "Ingenico PIN Pad 350" Magnetkartenleser werden nach der Installation von KB5004945 auf einem "QuickBook POS 19" (Modell ist vermutlich irrelevant) nicht mehr erkannt.
    Nach der Deinstallation des KB5004945 wird der Magnetkartenleser wieder normal erkannt.

    …schreibt "Patch-Lady" Susan Bradley auf Askwoody:
    askwoody.com/forums/topic/ms-defcon-2-print-nightmare-causes-printing-nightmares/#post-2376298

    Was hat ein Magnetkartenleser mit dem Druckerspooler zu tun?

  25. Hardy Fleck sagt:

    KB5004945 sorgt bei mehren PCs für bluescreen.

    Habe heute mehrer Anrufe erhalten von Usern bei denen der Pc noch einigen Minuten einen Neustart mit BOD durchgeführt. Erst nach Deinstallation des Patches KB5004945 konnten die User wieder ohne Probleme an ihrem PC arbeiten.

    Das nenne ich mal Qualitätsupdate (so wurde mir das von Windows angezeigt)

    Hat jemand auch die gleichen Probleme mit dem Update. Gibt es eventuell einen Lösung das Update noch zu installieren und Windows lauffähig zu halten?

    Gruß Hardy

    • 1ST1 sagt:

      Ich hoffe, die Telemetrie wurde nicht abgeschaltet und Microsoft bekommt automatisch die Fehlerreports! (Ja, das ist durchaus nützlich!!!)

  26. acvolker sagt:

    Wie ist denn die Empfehlung? Update nicht installieren?

  27. T sagt:

    Hallo ich nutze Windows 10, ist ein Downgrade auf 8.1 sinnvoll? Wie gefährdet ist man als Privatperson mit Windows, welches man hinter einem Router betreibt? Mein normales Verhalten ist eigentlich nur Surfen auf gängige Webseiten. Keine Dienste oder offene Ports.

    Linux hatte ich Probleme mit dem Drucker/Scanner, war bisher keine Alternative.

    • Sven sagt:

      Mach kein Downgrade!
      Wenn Du nur im I-Net unterwegs bist, bleib bei Linux. Wenn Du drucken und scannen willst, mach Dich schlau über Cups.
      Hast Du mal ein Dokument zu schreiben, gibts dafür auch für Linux LibreOffice oder ähnliches. Willst Du zocken, wird es schwierig!
      Solltest Du einen "Allerwelts-Drucker" haben, sollte das drucken kein Problem über Cups darstellen!
      Tipp:
      minimal-pc: raspberry pi! ;-) sehr cool der Kleine – gibts auch als Desktop-Set !

      Bei all dem Übel:
      ich denke, ein privater Anwender ist nicht so sehr gefährdet, wie eine Firma.
      Trotz alledem – eine komplette regelmäßige Datensicherung des Systems mit Daten muß auch für Privatleute Pflicht sein (mind. externe Platte und dann abgezogen vom System!

  28. der bug ist das ziel sagt:

    windows 11 neues preview von heute build 22000.65, vorhin auf winfuture gelesen, und das mal abschliessend als demonstration von microsofts faehigkeiten der softwareentwicklung.

    oder falls jemand ueberhaupt mal jemals gedacht hat dass neue softwareversionen, softwaregenerationen mal was definitiv beheben an bugs, an schwachsinnigen konzepten von fails ausmaerzen wuerden oder dass die (software-)welt jemals besser werden wuerde…. nada nope nil NOT

    frisch aus den releasenotes changelogs der neue windows11 preview:

    Behebungen:
    Wir haben eine Sicherheitslücke zur Remotecodeausführung im Windows Print Spooler-Dienst, bekannt als "PrintNightmare", behoben, die in CVE-2021-34527 dokumentiert ist. Weitere Informationen finden Sie unter KB5004945.

    das beste windows aller zeiten. von grund auf neu. modernisiert. das sicherste windows aller zeiten.

    die besten der besten der besten SIR.
    die welt ist so schlecht wie sie schon immer war.

  29. Sven sagt:

    /Wunschdenken AN/
    Wir als Anwender sollten;
    1. von den "Software-Buden" fordern, das all ihre Programme auf allen Systemen laufen-ohne Einschränkungen und Open-Source!
    2. Liebe OS-Hersteller: bitte installiert nur das, was das OS-System nur zum laufen bringt! Alles weitere soll per Install des Programms/Perepherie vom Benutzer/Admin entschieden werden!/Wunschdenken AUS/

    Das wäre ja mal geil! ;-)
    Ich fürchte, das wird nicht passieren!

  30. ralf sagt:

    "Microsoft has released an emergency fix for printing issues affecting Zebra and Dymo receipt or label printers"

    https://www.bleepingcomputer.com/news/microsoft/microsoft-pushes-emergency-fix-for-windows-10-kb5004945-printing-issues/

    • Bolko sagt:

      Für Windows 10 2004, Windows 10 20H2, and Windows 10 21H1 wurden also alle Updates ab einschließlich KB5003690 (inklusive der out-of-band-updates KB5004760 und KB5004945) mittels der Funktion "Known Issue Rollback (KIR)" zurückgezogen, da allesamt fehlerhaft sind.

      Der erneute FIX besteht also darin, die bisherigen Fixe allesamt wieder zu deinstallieren und die eigentlichen Lücken damit offen zu lassen.

      Was ist mit den Updates für Win7 und die diversen Server?
      Wie lautet die KB des jetzt notwendigen Fix für die ursprünglichen Lücken?

      Die Qualität von Microsoft ist wirklich unterirdisch.

      • Bolko sagt:

        KB5004945 neue known issues:
        "After installing this update, you might have issues printing to certain printers. Most affected printers are receipt or label printers that connect via USB."

        Zebra empfiehlt die Deinstallation und Neuinstallation des Druckertreibers.

        Microsoft empfiehlt die Deinstallation der diversen PrintNightmare-MS-Updates.

      • Günter Born sagt:

        Danke – hatte es auch gesehen – ich sitze gerade an einem Artikel – bin heute etwas spät in die Gänge gekommen …

      • Gerold sagt:

        Soeben die Updatesuche gestartet, für Windows 7 ist KB5004953 noch immer im Angebot.

      • Bolko sagt:

        Mir ist noch nicht ganz klar, ob die KIR-Funktion die fehlerhaften Updates wirklich überall entfernt oder nur dort, wo die Zebra etc Drucker vorhanden sind.

        • Günter Born sagt:

          Ich gehe davon aus, dass Microsoft sehr genau steuern kann, wo KIR eingesetzt wird. Gemäß meinem aktuellen Beitrag
          Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR schleppt sich der Bug ja bereits seit den Vorschau-Updates für Windows 10 V2004-21H1 vom Juni 2021 durch alle Patches. Man wird schlicht die dort eingebrachte Änderung, die sich jetzt auf die Sicherheitsupdates für PrintNightmare auswirkt, aus dem Code entfernen. Damit dürfte es auf allen Systemen mit diesen Druckern wieder laufen, ohne dass man die geschlossenen Print-Spooler-Service-Schwachstellen wieder aufreißt.

          • Bolko sagt:

            Soweit mir bekannt kann KIR aber nur komplette Updates entfernen, nicht aber eine Teilmenge eines einzelnen Updates.

          • Günter Born sagt:

            Wir reden aber nicht aneinander vorbei? Ein kumulatives Update-Paket enthält ja viele Teilupdates. Mit KIR wurde wohl nur der Code aus einem dieser (Teil-)Updates, eingeführt beim Vorschau-Update vom 21.6.2021, entfernt. Wie granular die jeweiligen Teil-Pakete sind, kann ich nicht beurteilen. Könnte man aber sehen, wenn man sich dieses Vorschau-Update genauer anschaut und extrahiert. Oder bin ich auf dem ganz falschen Track?

          • Bolko sagt:

            OK, laut folgender Seite kann Microsoft das wohl doch granular steuern, welcher Bug-Fix aktiviert oder deaktiviert wird, aber das gilt nur für non-security-Fixe:
            https://techcommunity.microsoft.com/t5/windows-it-pro-blog/known-issue-rollback-helping-you-keep-windows-devices-protected/ba-p/2176831

            Demnach hat MS also doch nicht die PrintNightmare-Patches zurück gezogen, sondern deaktiviert nur einzelne (andere) Bugfixe und nur auf den Computern, die vom Zebra- bzw Dymo-Druckerproblem betroffen sind.

            Da MS bei KIR nach security und non-security differenziert nehme ich mal an, dass KIR die security-Updates nicht granular deaktivieren kann, sondern nur komplett. Das Zebra-Problem betraf demnach also keinen Sicherheits-Patch, sondern nur einen fehlerhaften Bugfix.

          • Günter Born sagt:

            Ist auch meine Lesart, die in obigem Text auch so rüber kommt. Denn der Bug wurde ja mit dem nicht sicherheitsrelevanten Preview-Updates vom Juni 2021 eingeführt und dann mitgeschleppt.

          • Bolko sagt:

            Security-Updates sind ausdrücklich vom KIR ausgenommen:

            Important
            KIRs apply to only nonsecurity updates. This is because rolling back a fix for a nonsecurity update doesn't create a potential security vulnerability.

            https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/use-group-policy-to-deploy-known-issue-rollback

            OK, dann wäre das geklärt.
            Ich hatte fehlerhaft angenommen, dass MS das mit dem KIR nicht so fein steuern kann.
            Nicht sicherheitsrelevante Bug-Fixe können also mit KIR einzeln ausgeschaltet werden, während Sicherheits-Fixe von KIR gar nicht behandelt werden.
            Bei fehlerhaften Sicherheits-Fixen gibt es nur die Möglichkeit der Deinstallation oder Installation eines neuen Patches.

  31. Marc sagt:

    Habt ihr auch massive Performanceprobleme bei den Windows Servern (2016) nach der Patchinstallation?

    Die Server sind nach dem Neustart unfassbar langsam in der Reaktion der GUI.

    Zusätzlich waren alle Exchangedienste (2016) nach dem Update und einem Neustart nicht ansprechbar (obwohl gestartet). Alle Versuche etwas zu ändern haben nichts gebracht. Ein erneuter manueller Neustart hat dann aber geholfen.

    • Carsten sagt:

      Hört sich für mich eher wie die typische clean up routine an, die nach fast jedem Patch anläuft. Im Taskmanager das nächste Mal nach hohen CPU Auslastungen schauen. Da finden sich schnell die Unruhestörer. Ein Restart oder auch ein Zwangsbeenden der Tasks verschafft da Hilfe oder man lässt die Dinger einfach durchlaufen. Beim nächsten Patch kommen die ohnehin wieder.

      Gruß

      • Marc sagt:

        Das kann durchaus sein aber leider betrifft es alle Server und hört im Moment nicht auf. Neustarts helfen nicht. Die CPUs langweilen sich und der Arbeitsspeicher ist nicht ausgelastet. Taskmanager unauffällig, Ressourcenmonitor unauffällig, SysInternal-Tools unauffällig.

        GUI und RDP Sitzungen haben massive Performanceprobleme.

        • Marc sagt:

          Problem anscheinend:
          Die svchosts schreiben und lesen permanent im C:\Windows\SoftwareDistribution\Download-Verzeichnis. Dementsprechend laufen die Festplatten auf 80-100%.

          • Carsten sagt:

            Also ich bin jetzt mit ein paar Server 2016 durch und konnte das beschriebene Problem noch nirgends feststellen. Anscheinend hat es dein Windows Update Dienst irgendwie ein wenig zerschossen? Was sollte sonst da rein schreiben. Vielleicht hilft ein Reset des selbigen?

            Gruß

    • techee sagt:

      Hi, kann ich nicht bestätigen. Hier in der Umgebung keine Probleme

  32. Dominik sagt:

    Bei Windows 7 und Update KB5004953 habe ich bei zwei PCs plötzlich seltsames Verhalten bei der Google Suche. Sucht man etwas dauert es plötzlich länger bis die Suchergebnisse angezeigt werden, bin mir ziemlich sicher das dass vor diesem Update nicht der Fall war. Sehr eigenartig.

  33. m.k. sagt:

    Hallo, ich habe das Problem nach diesem Update, das ich jetzt Bluescreens bekomme, was ich vor dem Update vom 6. Juli nicht hatte. Kann mir jemand weiterhelfen. Vielen Dank.

  34. Volker sagt:

    Wir haben am 8.7. das Update "KB5004948" eingespielt. Nach Einsicht des Ereignisprotokolls wurde die Maschine ab 10.7. neu gestartet (Standardablauf am WE…) Und seit dem haben wir im Ereignisprotokoll "Druck- und Dokumentdienste" folgende Fehler: (Ereignis-ID: 315)

    Der Druckspooler konnte den Drucker 16.299_AI-C44059_HPLJ2055 nicht unter dem Namen 16.299_AI-C44059_HPLJ2055 freigeben. Fehler: 5. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.

    Auswirkungen die bei uns dadurch entstehen:

    Die Drucker funktionieren. Aber die Freigabe im Browser ( \\Domain-Controller\) zeigt uns die Drucker nicht mehr an, wodurch wir (falls benötigt) die Drucker manuell installieren müssen.

    Ich suche aktuell nach einem alternativ weg über Gruppenrichtlinie in der Hoffnung, dass dies funktioniert.

    Ansonsten haben wir mit unserem Win-Server 2016 keine vorher gelisteten Probleme.

    VG

    Volker

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.