Как специалист по патчам Microsoft, я исправляю исправления на компьютерах и серверах более 20 лет. Мы начали с плохо спланированного процесса. У нас не было установленного дня или времени, когда были выпущены исправления, а также не было возможности централизованно управлять и развертывать обновления. С годами Microsoft перешла к более надежному плану развертывания и возможности управлять обновлениями с помощью различных платформ, от Центра обновления Windows до служб обновления программного обеспечения Windows и облачных служб.
Так что сейчас все должно быть лучше, не так ли? У нас было 20 лет, чтобы понять это правильно.
И все же вот что я видел относительно установки исправлений всего за последнюю неделю.
У нас сейчас три месяца, и мы рассчитываем продолжить проблемы с печатью, вызванные заплатами. (В этом месяце было внесено еще одно исправление для другой уязвимости диспетчера очереди печати.) Я видел компании, сталкивающиеся с новыми побочными эффектами, напрямую влияющими на печать, и, что интересно, это компании, у которых не было проблем с более ранними обновлениями. В этом месяце больше всего пострадали одноранговые сети Windows 10. (К вашему сведению: триггером для всех этих проблем с принтером, по-видимому, являются более старые драйверы принтера типа 3. Может помочь переход к драйверам типа 4, если это вариант для вас.)
Я видел, как некоторые пользователи делали следующее чтобы заставить печать работать в сети только с Windows 10:
- Снимите принтер с клиентского ПК.
- Добавьте пользователя в диспетчер учетных данных на клиентском ПК для серверного ПК с административными привилегиями.
- Создайте пользователя с правами администратора на серверном ПК или используйте существующего. (У меня не было успеха только со стандартным пользователем.)
- Убедитесь, что имя пользователя диспетчера учетных данных содержит имя ПК сервера перед именем пользователя, например: ServerPCNAME UserName
- Перезапустите службу диспетчера очереди печати.
- Откройте административную командную строку и выполните следующую команду, чтобы запустить пользовательский интерфейс установки принтера от имени администратора: —rundll32 printui.dll, PrintUIEntry / il
Другие использовали параметр реестра для обхода защиты аутентификации RPC. Но это открывает ваш компьютер для возможных атак, поскольку отключает защиту патча. Некоторые пользователи удалили KB5005565, но в этом заключается проблема исправления даже через 20 лет: если вы удалите одно исправление, вы подвергнетесь атакам других незащищенных уязвимостей. Показательный пример: если вы удалите обновление этого месяца, вы откроете для себя уязвимости MSHTML, которые используются в атаках программ-вымогателей. А что, если в следующем месяце Microsoft не устранит проблемы с печатью? Вам либо нужно найти свой собственный обходной путь, либо вы рискуете остаться незамеченным.
Явно отказ от исправлений — это не выход. Но когда некоторые из затронутых принтеров включают в себя рабочие станции для точек продаж и регистрирующие ленты, отказ от печати на самом деле не является решением.
Несколько лет назад Microsoft предлагала определенные обновления для каждой отдельной проблемы безопасности. Это привело к очень фрагментированному развертыванию обновлений. Часто, когда клиент обращался в Microsoft с проблемой после установки обновлений, группа поддержки понимала, что клиенты отстают от установки других исправлений, и поэтому отсутствуют ключевые обновления, которые могли бы решить проблему. Основная проблема заключалась не в исправлении безопасности, а в том, что клиентам не хватало других ключевых обновлений. Поэтому Microsoft перешла на модель накопительного обновления, чтобы гарантировать, что все клиенты используют одну и ту же операционную систему и имеют одну и ту же основу.
В то время как Windows 7 и 8.1 по-прежнему имеют возможность устанавливать обновления только для системы безопасности. , Windows 10 имеет модель только кумулятивного исправления. (Windows 11, выходящая 5 октября, также будет накопительной.) Это означает, что если у вас есть проблемы с обновлениями в этом месяце, и вы их пропустите, они могут не быть исправлены в обновлениях следующего месяца, и вы можете снова столкнуться с такой же ситуацией.
Если вы думаете, что перенос всего в облако — это правильный ответ, угадайте еще раз. Недавно компания по безопасности WIZ указала, что на каждой виртуальной машине Linux, развернутой в облаке Azure, Microsoft помещает агент мониторинга на виртуальные машины. У этих агентов есть уязвимость. Нет проблем, Microsoft может просто исправить это за вас, верно? Что ж, как указывает The Register, вы должны исправлять эту проблему, а не Microsoft. Хотя он планирует предоставить ресурсы для автоматического исправления таких агентов, этот инструмент пока недоступен.
Но, конечно, если вы просто исправляете свое программное обеспечение Microsoft, этого достаточно, чтобы держать программы-вымогатели в страхе, верно? Неправильный. Исследователи составили список всех уязвимостей программного обеспечения, используемых при атаках программ-вымогателей. Оказывается, злоумышленники преследуют не только программное обеспечение Microsoft, но и используют другие точки входа. Системы брандмауэра Sonicwall подвергались атакам программ-вымогателей. Были нацелены на такие сетевые хранилища, как QNAP и Synology. Даже программное обеспечение виртуальной частной сети, такое как Fortinet, использовалось для получения незаконного доступа к сети.
Поскольку злоумышленники ищут точки входа в сети, где бы они их ни находили, от рабочих станций (Microsoft) до устройств хранения ( Устройства NAS) на периферийные устройства (брандмауэры и программное обеспечение VPN), должны постоянно отслеживаться на предмет наличия обновлений. И у вас есть решение, чтобы отслеживать и исправлять все это? (Вы должны.)
Возвращаясь к моей исходной точке, прошло двадцать лет, и не похоже, что мы вообще продвигаемся вперед. Кажется, что мы все еще бегаем кругами, пытаясь исправить ситуацию и стараясь быть на шаг впереди плохих парней. Так что мы можем сделать? Свяжитесь со всеми нашими поставщиками и попросите их сделать лучше. Им необходимо обеспечить автоматическое обновление и самокоррекцию ключевых устройств. Им нужно лучше понимать, что простая установка обновлений не сработает, если они вызывают головную боль и побочные эффекты, которые блокируют такие ключевые проблемы, как печать.
Мы должны работать лучше. Продавцы должны работать лучше. Спустя два десятилетия нападавшие все еще продолжают нападение.
Авторские права © 2021 IDG Communications, Inc.