Computable.be
  • Thema’s
    • Security & Awareness
    • Cloud & Infrastructuur
    • Data & AI
    • Software Innovation
  • Computable Awards
    • Nieuws Computable Awards
    • Hall of Fame
  • Cybersec e-Magazine
  • Kennisbank
  • Inlog
  • Nieuwsbrief
Patch

Microsoft onderstreept testbelang voor patches

23 juni 2016 - 08:074 minuten leestijdAchtergrondSecurity & AwarenessMicrosoft
Jasper Bakker
Jasper Bakker

Het belang van patchtesting is en blijft groot voor zakelijke gebruikers. Microsoft heeft deze ict-wijsheid opnieuw onder de aandacht gebracht. Een patch voor Group Policy introduceerde juist problemen voor beheerders.

Microsoft heeft afgelopen week een reeks updates uitgebracht, waaronder ook een security-update voor de beheerinstellingen van Windows. Deze patch voor de Group Policy-instellingen bleek echter ongewenste bijwerkingen te kunnen hebben. In sommige gevallen werden apparaten en schijfstations die door beheerders waren verborgen voor eindgebruikers ineens zichtbaar. In andere gevallen werden printers en mappen juist ontoegankelijk voor eindgebruikers.

Patch voor MitM-gevaar

De genoemde problemen hebben betrekking op Windows 10, maar ook op voorgangers 8.1 en 7. Laatstgenoemde is met een wereldwijd marktaandeel van ruim 48 procent nog altijd het meestgebruikte client-besturingssysteem. Windows 10 is met ruim 17 procent tweede, blijkt uit cijfers van marktmonitor Netmarketshare. De tussenliggende Windows-versie 8.1 bekleedt met bijna 9 procent de vierde plaats.

De getroffen Windows-versies moesten met security bulletin MS16-072 juist een oplossing krijgen voor problemen met Group Policy. Het gaat om een kwetsbaarheid waarmee een aanvaller zichzelf hogere rechten kan toekennen via een man-in-the-middle (MitM)-aanval op netwerkverkeer tussen een client-pc en een domain-controller. Deze kwetsbaarheid is aan de orde wanneer Windows updates aan de Group Policy-instellingen verwerkt.

Bijwerkingen

De patch blijkt echter bijwerkingen te hebben voor eerdere instellingen die via Group Policy zijn opgelegd aan pc’s. Dit omvat verborgen apparaten en schijfstations, maar ook geïnstalleerde printers en toegewezen netwerkmappen. Verschillende beheerders zijn tegen deze patch-fout aangelopen en hebben erover geklaagd op online fora zoals Reddit en het TechNet-supportforum van Microsoft, meldde The Register vorige week.

Het verwijderen van de bewuste patch bleek de problemen op te lossen, waarmee echter de MitM-kwetsbaarheid ook weer aan de orde was. Een dag later wist Infoworld.com te melden dat Microsoft deze plots geïntroduceerde problemen met permissies heeft bevestigd. Deze bevestiging bestond uit een toevoeging van Bekende Problemen aan de release notes voor de patch.

Bedoelde wijziging

In die toevoeging wordt uitgelegd dat de update een wijziging doorvoert voor de security-context waarin group policies worden opgehaald door client-pc’s. Voorheen gebeurde dat met de rechten van de ingelogde gebruiker, voor wie een succesvolle aanvaller dan beheerrechten kon verkrijgen. Na de installatie van MS16-072 worden user group policies binnengehaald in de security-context van de machine. Hierdoor kan het Group Policy Objects (GPO’s) dus ontbreken aan lees-permissies, waardoor de toepassing van zulke instellingen faalt.

Microsoft heeft bij die aanvulling twee dagen na het uitbrengen van de patch ook gelijk twee maatregelen aangedragen die beheerders kunnen nemen om de bijwerkingen te bestrijden. Daarnaast heeft de softwareleverancier een PowerShell-script uitgebracht om GPO’s na te lopen op eigenschappen die buiten de boot vallen door de bedoelde wijziging in de doorgifte van user group policies aan pc’s. De beheerdersinformatiesite Group Policy Central wijst nog op een ander PowerShell-script dat de benodigde lees-permissie weer toevoegt.

Patchmolen

Dit incident met Windows-patches en de noodzaak tot testen sluit ook aan bij waarschuwende woorden van onderzoeksbureau Gartner. Die heeft bedrijven eerder al erop gewezen dat een overstap naar Windows 10 meerwerk qua patchen en dus ook testen met zich meebrengt. Microsoft is voor zijn nieuwste besturingssysteem overgestapt op vaker – en voor consumenten zelfs automatisch – updaten. Daarbij zijn er wel uitstelmogelijkheden voor zakelijke gebruikers, maar uitstel is geen afstel.

Een aan te raden aanpak is hoe dan ook het draaien van een eigen patch-distributiesysteem, waarbij vooraf getest kan worden. Microsoft biedt hiervoor het gratis WSUS (Windows Server Update Services), waarnaast het voor Windows 10 nog apart Windows Update for Business biedt. Laatstgenoemde is geen op zichzelf staand beheerproduct, maar een reeks functies in Windows 10 om beter om te gaan met de vaker verschijnende en ook wel incrementele updates voor dat besturingssysteem.

Proefkonijnen

Bij gebruik van WSUS is het ook verstandig om updates dan niet alleen op enkele testsystemen van it-beheer te keuren. Een kleine groep gebruikers kan dienen als proefkonijnen (ofwel kanariepietjes) voor het installeren van nieuwe updates. Deze voorlopende gebruikers moeten dan bij problemen wel een uitwijk hebben zodat eventuele bijwerkingen van de updates een minimale bedrijfsimpact hebben. Overigens zijn er recent nog problemen geweest met patches voor WSUS.

Meer over

NetwerkbeheerPatches

Deel

Fout: Contact formulier niet gevonden.

Meer lezen

cybersecurity
ActueelCarrière

Kort: Betere soft skills nodig voor cybersecurity-medewerkers, ontslagronde Crowdstrike, Gates fakkelt Musk af en…

ActueelCarrière

Computable Awards: dit zijn de tien kanshebbers voor IT Person 2025

ActueelCarrière

Gartner: 6 op 10 ceo’s ligt wakker van cyberdreiging

Cegeka
ActueelSecurity & Awareness

Cegeka opent securitycentrum in VS

ActueelOverheid

Navo op Cybersec Europe: de geopolitieke dimensie van cybersecurity

ActueelSecurity & Awareness

Cyberverzekeringen schieten tekort terwijl risico’s groeien

Geef een reactie Reactie annuleren

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Populaire berichten

Meer artikelen

Footer

Direct naar

  • Kennisbank
  • Computable Awards
  • Colofon
  • Cybersec e-Magazine

Producten

  • Adverteren en meer…
  • Persberichten

Contact

  • Contact
  • Nieuwsbrief

Social

  • Facebook
  • X
  • LinkedIn
  • YouTube
  • Instagram
© 2025 Jaarbeurs
  • Disclaimer
  • Gebruikersvoorwaarden
  • Privacy statement
Computable.be is een product van Jaarbeurs