Microsoft und Sophos haben offenbar den Grund für die Probleme gefunden, die die Windows-Sicherheitsupdates im Mai auf vielen Systemen auslösten.

Im April dieses Jahres kam es unter Windows 7 und Windows Server 2008 R2 bei der Installation der Sicherheitsupdates KB4493472 oder KB4493446 auf einigen Systemen zu erheblichen Problemen: Sie froren während der Installation ein oder stürzten im Anschluss an den darauffolgenden Reboot ab.

Die Probleme traten immer dann auf, wenn auf den Systemen Sicherheitssoftware des Herstellers Sophos, genauer: Sophos Endpoint Protection, verwaltet über Sophos Central Endpoint oder Sophos Enterprise Console (SEC), lief. Microsoft setzte die Verteilung der Sicherheitsupdates für April 2019 an diese Maschinen zunächst aus. Ende April verteilte Sophos dann ein Update für seine Software.

Doch die zum Patchday im Mai veröffentlichten Sicherheitsupdates KB4499164 beziehungsweise KB4499175 brachten neue Komplikationen mit sich. Dieses Mal betrafen sie Administratoren, die die Sophos-Software auf Windows-7- und Windows-Server-Systemen einsetzen. Sophos bestätigte dieses neue Problem in seiner eigenen Knowledge Base: Demnach blieben Systeme nach der Windows-Update-Installation beim Booten mit der Meldung "Konfigurieren 30%" hängen.

Mittlerweile ist es Microsoft und Sophos gelungen, die Microsoft-eigene Schutzsoftware Windows Defender ATP (Advanced Threat Protection) als Ursache für dieses Phänomen zu identifizieren.

Automatisches Update für Defender ATP soll Konflikte beheben
Am 24. Mai aktualisierte Sophos seinen Knowledge-Base-Artikel zum Einfrieren der Systeme um Informationen von Microsoft. Demnach hätten Kunden, die Windows Defender ATP (Advanced Threat Protection) unter Windows 7 oder Windows Server 2008 R2 verwenden, möglicherweise sporadische Probleme bei der Installation von Windows Updates.

Microsoft wolle "in den nächsten 36 Stunden" eine Korrektur für Windows Defender ATP freigeben. Es sei keine Kundenaktion erforderlich, denn der Fix werde vom Microsoft Monitoring Agent Service automatisch installiert. Dies sollte inzwischen erfolgt sein.

Damit ist auch klar, warum Unternehmenskunden, nicht aber Privatanwender betroffen waren. Denn Microsoft hatte die erweiterte Schutzsoftware Defender ATP, die ursprünglich für Windows 10 Enterprise entwickelt wurde, erst Ende Februar 2019 für Unternehmensversionen von Windows 7 und 8.1 freigegeben.

Sophos-Kunden, denen zuvor als Notlösungen zuvor nur die vorübergehende Deinstallation der Schutzsoftware oder der Verzicht auf Sicherheitsupdates blieb (angesichts von BlueKeep / CVE-2019-0708 keine gute Entscheidung), können aufatmen.

Quelle: Patchday-Probleme: Sophos Antivirus kollidierte mit Windows Defender ATP | heise online

Updates beseitigen Fehler in der Ereignisanzeige aller Windows-Versionen

Von Microsoft bereitgestellte Aktualisierungen sorgen dafür, dass der von den Juni-Sicherheitsupdates sabotierte Event Viewer wieder voll funktionsfähig ist.

Es war eine unschöne Überraschung, die Administratoren von Windows-Systemen nach Installation der Juni 2019-Sicherheitsupdates erlebten: Es ließen sich keine "Benutzerdefinierten Ansichten" mehr in der Ereignisanzeige verwenden, da diese dann beim Aufruf sofort abstürzte. Microsoft bestätigte den Bug, versprach Abhilfe.

Als Zwischenlösung für Administratoren boten sich Workarounds an, diese sind nun nicht mehr notwendig. In den vergangenen Tagen hat Microsoft verschiedene Updates – teilweise außer der Reihe – freigegeben, die auch den Bug in der Ereignisanzeige korrigieren.

Die Updates sind optional und werden von Microsoft über die Funktion "Windows Update" bereitgestellt. Um sie unter Windows 10 angeboten zu bekommen, muss in "Windows Update" manuell die "Suche nach Updates" angestoßen werden. Weiterhin lassen sich die Pakete aus dem Microsoft Update Catalog über die KB-Nummer abrufen und zur manuellen Installation herunterladen.

In Unternehmensumgebungen sollten die Updates inzwischen auch in WSUS oder SCCM zur Verteilung an Clients und Server bereitstehen.

Vorsicht: Updates können neue Probleme verursachen
Rückmeldungen von Lesern bestätigen, dass die Updates das Problem mit der Ereignisanzeige beheben. Allerdings sollten Administratoren vor der Installation des jeweiligen Updates die in dieser Meldung verlinkten KB-Artikel aufmerksam durchlesen. Denn die Pakete werden teilweise mit bereits bekannten, neuen Fehlern ausgeliefert. Dann muss individuell entschieden werden, was schwerer wiegt: Der Bug in der Ereignisanzeige oder die durch das Update eingeführten Folgefehler.

Hier offenbart sich eines der Probleme, die Microsofts Ansatz der kumulativen und Rollup-Updates mitunter mit sich bringt. Denn eine individuelle Auswahl der zu installierenden Fixes statt des "Gesamtpakets" ist Administratoren im Gegensatz zu früher nicht mehr möglich.

KB-Artikel für die Client- und Server-Versionen von Windows
Windows 10 Version 1903, Windows Server Version 1903: KB44501375 vom 27. Juni 2019
Windows 10 Version 1809, Windows Server Version 1809, Windows Server 2019: KB4501371 vom 18. Juni 2019
Windows 10 Version 1803: KB4503288 vom 18. Juni 2019
Windows 10 Version 1709, Windows Server Version 1709: KB4503281 vom 18. Juni 2019
Windows 10 Version 1703: KB44503289 vom 18. Juni 2019
Windows 10 Version 1607, Windows Server 2016: KB4503294 vom 18. Juni 2019
Windows 8.1, Windows Server 2012 R2: KB4503283 vom 20. Juni 2019 (Preview Rollup)
Windows Server 2012: KB4503295 vom 21. Juni 2019 (Preview Rollup)
Windows 7 SP1, Windows Server 2008 SP1: KB4503277 vom 20. Juni 2019 (Preview Rollup)


Quelle: Updates beseitigen Fehler in der Ereignisanzeige aller Windows-Versionen | heise online