Header Ads Widget

Ticker

6/recent/ticker-posts

Un permiso para instalar parches antes del Día de Acción de Gracias

 

En los EE. UU., Nos acercamos rápidamente al comienzo de la temporada navideña, lo que significa que es hora de, bueno, un descanso. Por lo general, agrego trabajos de mantenimiento de tecnología a la combinación mensual de parches y mantenimiento de servidores y estaciones de trabajo. Este mes, también me estoy tomando un tiempo para comprender mejor el impacto de un boletín de seguridad específico; honestamente, no puedo entender exactamente qué se supone que debo hacer para mantener mi red segura. 

La buena noticia: para la mayoría de los lectores, ninguna de estas preocupaciones se aplica a usted. Estoy listo para dar el visto bueno para seguir adelante e instalar las actualizaciones de noviembre de Microsoft en computadoras portátiles, computadoras de escritorio y estaciones de trabajo, especialmente si está ejecutando la versión de funciones de Windows 10 1909. Dicho esto, haga su reunión de Acción de Gracias Zoom primero y luego instale las actualizaciones. Odiaría que no vieras nada más que la rueda giratoria de las actualizaciones de Windows en lugar de a tu familia y amigos.

CONSEJOS PRÁCTICOS Y CONSEJOS
Susan Bradley: parches de la semana de Acción de Gracias de Windows 10   (6:53)
Como siempre, antes de que comience la instalación, asegúrese de tener una copia de seguridad de su sistema, en caso de problemas.

2004 y 20H2: ¿errores de instalación persistentes?

La primera solución reciente involucra certificados de usuario y del sistema que desaparecen después de usar una herramienta de parcheo empresarial como WSUS, SCCM u otras para actualizar desde una versión de función anterior a Win 10 2004 o 20H2. (Si usó el proceso normal de Windows Update para pasar a 2004 o 20H2, no se verá afectado). Como se indica en el panel de control de la versión de salud de Windows , este problema ahora está resuelto, por lo que puede implementar estas versiones de manera segura usando cualquiera de estas herramientas de parcheo.

El otro problema que se solucionó es un error que impedía a los usuarios realizar una instalación de reparación en la parte superior de Windows 10 si se había actualizado a Windows 10 20H2. El problema subyacente era un problema con las imágenes ISO alojadas por Microsoft. Esto se solucionará en las próximas actualizaciones de diciembre, según Windowslatest .

Si aún no ha instalado 2004 o 20H2, asegúrese de que su proveedor de antivirus sea totalmente compatible con estas dos versiones. Personalmente, después de instalar una versión de función, descubrí que es mejor desinstalar el software antivirus de terceros y luego reinstalarlo. (Si tiene Windows 10 Home y no controla la instalación de las versiones de funciones, es mejor que utilice el defensor nativo de Windows. Debido a que Microsoft prueba su propio antivirus en su propia plataforma, se adapta mejor a la versión dos veces al año cadencia de actualización que a menudo se ve en las versiones Home de Windows 10.) Para un mejor control sobre las actualizaciones en general, y las versiones de funciones de Windows 10 específicamente, siempre recomiendo que actualice a Windows 10 Professional.


Mi recomendación en este momento para uso general es ejecutar Windows 10 1909 o posterior. Su predecesor, 1903, finalizará el servicio el 8 de diciembre. No he notado ningún problema con Windows 10 versión 2004, pero eso no es cierto para todos los usuarios, especialmente aquellos que usan antivirus de terceros. Recuerde, puede  usar la configuración  de versión de lanzamiento dirigida para asegurarse de permanecer en una versión específica de Windows 10.

Si bien siempre hay problemas persistentes, no veo nada importante en este momento que me impulse a instarlo a mantener a raya las actualizaciones. Como siempre, si surge un problema, comuníquese con Askwoody.com .

KB4023057 de nuevo?

Cada vez que Microsoft lanza una nueva función, también tiene que volver a publicar esa vieja castaña KB4023057 . Asegura que su computadora esté lista para el lanzamiento asegurándose de tener suficiente espacio en el disco duro y verifica que su actualización de Windows esté lista para el proceso. Si no lo ve, es una señal de que su máquina está lista para 20H2. Si se ofrece, tómelo como una señal de que necesita verificar el espacio en el disco duro y asegurarse de que su máquina esté en buen estado y lista.

¿No puede ver su almacenamiento conectado a la red?
Si es usuario de Malwarebytes y tiene problemas para “ver” su almacenamiento conectado a la red o dispositivos NAS, asegúrese de tener la última versión de Malwarebytes. Que recientemente ha corregido un problema  donde los informes, los usuarios pierden la conexión (visibilidad) al LAS o Entorno de red después de la actualización a CU19.

Recomendaciones proactivas de Office
Para aquellos que todavía usan Office 2010, ahora que creemos que no tiene soporte, les recomiendo hacer un cambio clave que contribuirá en gran medida a mantenerse a salvo en caso de que continúen usándolo después de su finalización. Deshabilite totalmente las macros de Office.

Haga clic en la pestaña Archivo, luego en Opciones, luego en Centro de confianza y luego en Configuración del Centro de confianza. En el Centro de confianza, haga clic en Configuración de macros. Elija la configuración para Deshabilitar todas las macros sin notificación o, como mínimo, establézcalo en Deshabilitar todas las macros con notificación si aún no está configurado en estos valores. Desactivar las macros en Office 2010 y, sinceramente, también en todas las demás versiones de Office, es muy importante para evitar que los atacantes se establezcan en su equipo. Solo habilite macros cuando o si realmente usa macros de Office. De lo contrario, lo mejor que puede hacer es mantenerlos desactivados, especialmente en Office 2010.

Los problemas de Kerberos siguen confundiendo a los parches comerciales
Para aquellos que instalan e implementan actualizaciones para empresas en un dominio donde hay un servidor de Windows que actúa como controlador de dominio, estoy confundido por las actualizaciones de noviembre y su impacto en los dominios. Los dominios de Windows utilizan un protocolo llamado "Kerberos" para proporcionar autenticación entre estaciones de trabajo y servidores llamados controladores de dominio. Las actualizaciones de noviembre incluyeron una corrección para CVE-2020-17049. Esta vulnerabilidad me deja rascándome la cabeza sobre lo que se supone que debo hacer para asegurarme de estar protegido. 

La vulnerabilidad se ocupa de la delegación restringida, que podría estar presente en un solo dominio o bosque. Si utiliza el Servicio de autenticación federada en un entorno Citrix , existe un problema conocido que ha ocurrido y ha causado problemas después de la instalación del parche de noviembre. Como resultado, Microsoft lanzó varias actualizaciones fuera de banda para abordar específicamente este problema para los servidores. Como resultado, Microsoft lanzó varias actualizaciones fuera de banda para abordar este problema para los servidores:

KB4594440 para Windows Server 2004;
KB4594443 para Windows Server 1903;
KB4594442 para Windows Server 2019;
KB4594441 para Windows Server 2016;
KB4594439 para Windows Server 2012 R2;
y KB4594438 para Windows Server 2012. 
Todas estas actualizaciones abordan problemas con la autenticación Kerberos relacionados con el valor de la subclave de registro PerformTicketSignature en CVE-2020-17049 , que fue parte de la actualización de Windows del 10 de noviembre. Todos ellos deben instalarse manualmente en sus controladores de dominio en caso de que este problema lo afecte. 

La parte confusa para mí son las instrucciones del boletín de seguridad original. Indican que además de instalar el parche, debe revisar la clave de registro de PerformTicketSignature ubicada en HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Kdc. (En mi controlador de dominio, esta clave de registro no estaba allí).

Luego, el boletín continúa diciendo que el valor de la clave de registro de 1 será el predeterminado si no se establece, y agrega: “Cuando la clave de registro se establece en 1, los controladores de dominio parcheados emitirán tickets de servicio y tickets de concesión de tickets (TGT). que no son renovables y se negarán a renovar los tickets de servicio y los TGT existentes. Los clientes de Windows no se ven afectados por esto, ya que nunca renuevan los tickets de servicio ni los TGT. Los clientes de Kerberos de terceros pueden no renovar los tickets de servicio o los TGT adquiridos de DC sin parchear. Si todos los controladores de dominio están parcheados con el registro establecido en 1, los clientes de terceros ya no recibirán tickets renovables ". 

Por ahora, solo he instalado las actualizaciones sin agregar ninguna clave de registro. Espero una mejor orientación y los actualizaré tan pronto como yo mismo entienda mejor el problema. 

Publicar un comentario

0 Comentarios