Aux États-Unis, nous arrivons rapidement au début de la saison des fêtes, ce qui signifie qu'il est temps pour, eh bien, du temps libre. J'ajoute généralement des tâches de maintenance technologique à la combinaison mensuelle de correctifs et de maintenance des serveurs et des postes de travail. Ce mois-ci, je prends également le temps de mieux comprendre l’impact d’un bulletin de sécurité spécifique. Honnêtement, je ne peux pas comprendre exactement ce que je suis censé faire pour assurer la sécurité de mon réseau.
La bonne nouvelle: pour la plupart des lecteurs, aucune de ces préoccupations ne s'applique à vous. Je suis prêt à donner le feu vert pour aller de l'avant et installer les mises à jour de novembre de Microsoft sur les ordinateurs portables, les ordinateurs de bureau et les stations de travail, en particulier si vous utilisez la version Windows 10 1909. Cela dit, organisez votre réunion de Thanksgiving Zoom première puis installez les mises à jour. Je détesterais que vous ne voyiez rien d’autre que le rouet des mises à jour de Windows au lieu de votre famille et de vos amis.
Comme toujours, avant le début de l'installation, assurez-vous d'avoir une sauvegarde de votre système, juste en cas de problème.
2004 et 20H2: des bugs d'installation persistants?
Le premier correctif récent concerne les certificats utilisateur et système qui disparaissent après l'utilisation d'un outil de correction d'entreprise tel que WSUS, SCCM ou autres pour mettre à jour une version antérieure de la fonctionnalité vers Win 10 2004 ou 20H2. (Si vous avez utilisé le processus normal de mise à jour de Windows pour passer à 2004 ou 20H2, vous ne serez pas affecté.) Comme indiqué sur le tableau de bord de la version de Windows Health, ce problème est maintenant résolu, vous pouvez donc déployer en toute sécurité ces versions en utilisant l'un des ces outils de correction.
L'autre problème qui a été résolu est un bogue qui empêchait les utilisateurs d'effectuer une installation de réparation par-dessus Windows 10 si vous aviez mis à niveau vers Windows 10 20H2. Le problème sous-jacent était un problème avec les images ISO hébergées par Microsoft. Cela sera corrigé dans les prochaines mises à jour de décembre, selon Windowslatest.
Si vous n’avez pas encore installé 2004 ou 20H2, assurez-vous que votre fournisseur d’antivirus prend entièrement en charge ces deux versions. J’ai personnellement constaté après l’installation d’une fonctionnalité, qu’il était préférable de désinstaller le logiciel antivirus tiers, puis de le réinstaller. (Si vous utilisez Windows 10 Famille et que vous ne contrôlez pas l'installation des versions de fonctionnalités, vous êtes mieux avec le Windows Defender natif. Étant donné que Microsoft teste son propre antivirus sur sa propre plate-forme, il est mieux adapté à la version deux fois par an cadence de mise à jour souvent vue par les versions familiales de Windows 10.) Pour un meilleur contrôle des mises à jour en général – et des versions de fonctionnalités de Windows 10 en particulier – je vous recommande toujours de mettre à niveau vers Windows 10 Professionnel.
Ma recommandation pour le moment pour une utilisation générale est d'exécuter Windows 10 1909 ou une version ultérieure. Son prédécesseur, 1903, arrivera en fin de service le 8 décembre. Je n’ai noté aucun problème avec Windows 10 version 2004, mais ce n’est pas le cas pour tous les utilisateurs, en particulier ceux qui utilisent un antivirus tiers. Souviens-toi, tu peux utilisez le paramètre targetreleaseversion pour vous assurer de rester sur une version spécifique de Windows 10.
Bien qu'il y ait toujours des problèmes persistants, je ne vois rien de majeur pour le moment qui m'incite à vous inciter à garder les mises à jour à distance. Comme toujours, si un problème survient, contactez Askwoody.com.
KB4023057 encore?
Chaque fois que Microsoft sort une nouvelle fonctionnalité, il doit également rééditer ce vieux KB4023057 marron. Il garantit que votre ordinateur est prêt pour la publication en s'assurant que vous disposez de suffisamment d'espace sur le disque dur et en vérifiant que votre mise à jour Windows est prête pour le processus. Si vous ne le voyez pas, cela signifie que votre appareil est prêt pour 20H2. S'il est proposé, considérez-le comme un signe que vous devez vérifier l'espace disponible sur le disque dur et vous assurer que votre machine est par ailleurs saine et prête.
Vous ne voyez pas votre stockage connecté au réseau?
Si vous utilisez Malwarebytes et que vous rencontrez des problèmes pour «voir» votre stockage en réseau ou vos périphériques NAS, assurez-vous que vous utilisez la dernière version de Malwarebytes. Ils ont récemment résolu un problème où les utilisateurs auraient perdu la connexion (visibilité) au LAS ou au voisinage réseau après la mise à niveau vers CU19.
Recommandations Proactive Office
Pour ceux qui utilisent encore Office 2010, maintenant que nous pensons qu'il n'est plus pris en charge, je recommande d'apporter une modification clé qui contribuera grandement à assurer votre sécurité si vous continuez à l'utiliser après sa fin de vie. Désactivez totalement les macros Office.
Cliquez sur l'onglet Fichier, puis sur Options, puis sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité. Dans le Centre de gestion de la confidentialité, cliquez sur Paramètres des macros. Choisissez le paramètre Désactiver toutes les macros sans notification ou, au minimum, définissez-le sur Désactiver toutes les macros avec notification s'il n'est pas déjà défini sur ces valeurs. La désactivation des macros sur Office 2010 – et honnêtement, sur toutes les autres versions d'Office également – contribue grandement à empêcher les attaquants de prendre pied sur votre ordinateur. Activez uniquement les macros lorsque ou si vous utilisez réellement des macros Office. Sinon, le mieux est de les garder désactivés, en particulier sur Office 2010.
Les problèmes de Kerberos déroutent toujours les correcteurs d'entreprise
Pour ceux qui installent et déploient des mises à jour pour les entreprises dans un domaine où un serveur Windows agit en tant que contrôleur de domaine, je suis confus par les mises à jour de novembre et leur impact sur les domaines. Les domaines Windows utilisent un protocole appelé «Kerberos» pour fournir une authentification entre les postes de travail et les serveurs appelés contrôleurs de domaine. Les mises à jour de novembre incluaient un correctif pour CVE-2020-17049. Cette vulnérabilité me laisse me gratter la tête quant à ce que je suis censé faire pour m'assurer de ma protection.
La vulnérabilité concerne la délégation contrainte, qui pourrait être présente dans un seul domaine ou forêt. Si vous utilisez le service d'authentification fédérée dans un Environnement Citrix, il existe un problème connu qui est survenu à l'origine de problèmes après l'installation du correctif de novembre. En conséquence, Microsoft a publié plusieurs mises à jour hors bande pour résoudre spécifiquement ce problème pour les serveurs. En conséquence, Microsoft a publié plusieurs mises à jour hors bande pour résoudre ce problème pour les serveurs:
Toutes ces mises à jour résolvent des problèmes d'authentification Kerberos liés à la valeur de la sous-clé de registre PerformTicketSignature dans CVE-2020-17049, qui faisait partie de la mise à jour Windows du 10 novembre. Tous doivent être installés manuellement sur vos contrôleurs de domaine si vous êtes concerné par ce problème.
La partie déroutante pour moi, ce sont les instructions du bulletin de sécurité original. Ils indiquent qu'en plus de l'installation du correctif, vous devez examiner la clé de registre de PerformTicketSignature située dans HKEY_LOCAL_MACHINE System CurrentControlSet Services Kdc. (Dans mon contrôleur de domaine, cette clé de registre était ne pas Là.)
Ensuite, le bulletin ajoute que la valeur de la clé de registre de 1 sera par défaut si elle n'est pas définie, ajoutant: «Lorsque la clé de registre est définie sur 1, les contrôleurs de domaine corrigés émettront des tickets de service et des tickets d’octroi de tickets (TGT). qui ne sont pas renouvelables et refuseront de renouveler les tickets de service et les TGT existants. Les clients Windows ne sont pas affectés par cela car ils ne renouvellent jamais les tickets de service ou les TGT. Les clients Kerberos tiers peuvent ne pas renouveler les tickets de service ou les TGT acquis auprès de contrôleurs de domaine non corrigés. Si tous les DC sont corrigés avec le registre défini sur 1, les clients tiers ne recevront plus de tickets renouvelables. »
Pour l'instant, je n'ai installé que les mises à jour sans ajouter de clé de registre. J'espère de meilleurs conseils et je vous tiendrai au courant dès que je comprendrai mieux le problème moi-même.
Comme toujours, si vous rencontrez des problèmes de mise à jour, retrouvez-nous sur Askwoody.com.
Droits d'auteur © 2020 IDG Communications, Inc.