你觉得更有安全感吗? 这些天您的计算体验是否更值得信赖?
说真的——你在电脑或手机上阅读这篇文章,连接到与你祖母以及俄罗斯黑客、朝鲜攻击者和许多观看 TikTok 视频的青少年共享的互联网上的这个网站。 20 年后,微软 CEO 比尔·盖茨 (Bill Gates) 撰写了他的 Trustworthy Computing 备忘录,强调了公司产品的安全性。
那么我们现在真的更安全了吗?
我将记住上周补丁星期二安全更新的副作用,并在我的回答中考虑它们。 首先,好消息是:我没有看到在未连接到活动目录域的 PC 上出现重大副作用(而且我在家里测试我的硬件时也没有看到任何阻碍)。 我仍然可以使用本地 HP 和 Brother 打印机进行打印。 我可以上网和访问文件。 因此,虽然我还没有准备好安装 1 月更新,但我怀疑您会看到副作用。
但对于企业而言,本月的更新传达了一个令人困惑和模糊的故事。 微软本月并不是一个值得信赖的计算合作伙伴。 与其花费过去二十年的时间来开发防弹、有弹性的系统,我们让服务器进入启动循环,管理员不得不启动到 DOS 模式并运行命令来卸载更新。
这不是我们应该在这一点上的地方。
正如盖茨 20 年前所说:“可用性:我们的产品应该在客户需要时始终可用。 由于支持冗余和自动恢复的软件架构,系统中断应该成为过去。 几乎在所有情况下,自我管理都应允许在无需用户干预的情况下恢复服务。”
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
然而,我仍在延迟对我的计算机系统进行更新,因为最近的更新特别表明服务器可能存在恢复问题。 恰当的例子:“Windows Servers 域控制器可能会意外重启。” 上周在所有支持的 Windows 服务器平台上发布安全补丁后,出现了这种情况。 正如已知问题报告中所述,这种情况发生在使用 Microsoft 自己推荐的 Active Directory 强化指南之后,其中包括在增强安全管理环境 (ESAE) 或具有特权身份管理 (PIM) 的环境中使用 Shadow Principals。 受影响的系统包括 Windows Server 2022 (KB5009555); Windows 服务器,版本 20H2 (KB5009543); Windows 服务器 2019 (KB5009557); Windows 服务器 2016 (KB5009546); Windows 服务器 2012 R2 (KB5009624) Windows 服务器 2012 (KB5009586)。
我还看到有报告称,如果您将 PACRequestorEnforcement 值设置为 2,那么遵循 Active Directory 安全强化指南(在 11 月安全发布之后创建)将触发重启问题。
即使使用云服务,围绕可用性的问题仍未解决。 例如,Microsoft 365 有一个 Twitter 帐户,其全部重点是就服务的可用性问题进行沟通。 很少一周过去了,我没有收到有关某些服务问题的警报。 云服务得到了强化,但我没有看到本地服务器或云服务有太大进展。 如果我们的系统受到补丁或勒索软件的攻击,我们必须确保我们有替代服务和替代通信方式,而不是计划自动恢复。
更多来自盖茨:“安全:我们的软件和服务代表我们的客户存储的数据应该受到保护免受伤害,并且只能以适当的方式使用或修改。 安全模型应该易于开发人员理解并构建到他们的应用程序中。”
然而,上周的安全发布包含关于潜在蠕虫漏洞的令人困惑的沟通。 CVE-2022-21907 形式的 https 错误尚不清楚哪些版本易受攻击。 在我们确定 Windows 10 版本 1809 和 Server 2019 默认情况下不易受到攻击之前,必须来自外部来源进行澄清和分析——除非 HKLM:\System\CurrentControlSet\Services\HTTP\Parameter\EnableTrailerSupport 注册表项设置为 1。 默认情况下,1809 之后的 Windows 10 版本容易受到攻击。 我认为,在可信计算备忘录发布 20 年后,我们的安全模型——同样重要的是,我们的安全通信——仍然不容易理解。
我们还在跟踪 Server 2012R2(而且似乎只有该平台)上的 HyperV 服务器问题,在使用 UEFI 的设备上应用 KB5009624 后,虚拟机无法启动。 如果您在 Server 2012R2 上托管了任何虚拟服务器,请不要在这些平台上安装更新。
由于 Windows 10 或 Windows 11 系统上的 VPN 访问中断的副作用,依赖虚拟专用网络进行远程访问的 Windows 10 工作站用户不得不卸载 1 月更新。 对于依赖 L2TP VPN 或 IPsec VPN 的用户,安装更新后将无法使用 VPN 进行连接。
盖茨在备忘录结尾写道:“展望未来,我们必须开发技术和政策,帮助企业更好地管理越来越大的 PC、服务器和其他智能设备网络,同时知道他们的关键业务系统是安全的,不会受到伤害。 系统必须能够自我管理并具有内在的弹性。 我们现在需要为实现这一目标的软件做好准备,我们必须成为人们可以信赖的公司。”
那结果如何呢? 我们在 20 年前的同一个地方; 我们仍然必须依靠自己来决定安装更新的正确时间。
那么您对安全性的真实感受如何? 加入 AskWoody 论坛中的讨论!
