Reprise du message précédent :
 
 
Il considère qu'un AV fait partie intégrante de Windows depuis que la Microsoft Security Essentials a été intégrée à Windows Defender dès Windows 8 ?

Bonjour,
 
J'ai oublié de précisé que nous sommes en Windows 2008 r2 pour mes serveurs. Est-ce que cette clé s'applique ? Sans cette clé on peut plus faire de mise à jour de windows Update ?

Et pour Windows 7 ?
 

 
Oui et oui.

 
Je crois que MS s'en branle comme de l'an deux

Il est pourtant toujours le Windows le plus utilisé.  
Les stats Steam de Février par exemple:

 
http://store.steampowered.com/hwsurvey/

Dans deux ans tu n'auras plus de support Windows 7. Et si tu choisis de ne pas installer in antivirus sur tes postes de travail/serveurs, il faut en assumer les consequences, ce n'est pas la faute de Microsoft.

Windows XP est toujours supporté, je ne m'en fait pas pour 7.
 
Perso pas de soucis, j'assume les conséquences (principalement positives) de ne pas avoir d'AV, mais tout le monde n'est pas au courant de la situation depuis Janvier, la question de razer69 le prouve.

Bon c'est un forum pro ici.
Donc le coup de bosser sous XP et de ne pas avoir d'AV, on peut éviter

 
Comment ça on ne peut plus faire de MAJ WU ?
 
Cette clé permet de recevoir les MAJ WU pour les vulnérabilités Meltdown et Spectre.
Rien à voir avec le fiat de ne plus pouvoir faire de MAJ du tout.
 
Cela fait des semaines que c'est ainsi, documenté partout sur le net

Certains pros ont toujours du XP, d'où le fait qu'il soit encore supporté d'ailleurs.

 
Les màj étant distribuées sous la forme d'un gros KB cumulatif, en pratique tu ne reçois plus les màj.

 
C'est faux, c'est Windows XP Embedded qui est supporté jusqu'en 2019. Ta manip est non seulement illégale, mais en plus elle ne garantit en rien ta sécurité, vu que la surface d'attaque est bien plus grande sur un Windows XP standard que sur un Embedded.

Certains pros ont toujours du Windows 2000 et du NT4 aussi.

Tu réponds pour le plaisir de me contredire ?

 

 
Je vais vérifier cette assertion

Il y a un gros KB mensuel qui réunit les maj de sécurité et de qualité, et il est cumulatif. Et un autre pour .Net.
Voici celui de Février pour W7: https://support.microsoft.com/fr-fr [...] -kb4074598 et http://www.catalog.update.microsof [...] =KB4074598

Pour Windows 7 ça doit faire environ un an que c'est le cas, et pour 10 ça a toujours été le cas il me semble. Je suppose que les autres OS encore supportés sont dans le même cas (hors XP Embedded donc).

C'est peut-être différent avec WSUS, je ne l'utilise pas donc aucune idée.

J'ai compris que tu étais un kissikoné vu un de tes posts plus haut, je m'arrête là  

Et moi je comprends que tu es un pédant.

 
 
Bonjour ShonGail,
 
je me suis mal exprimé ( et tu as répondu ), en fait sans cette modification de registre on reçoit toujours les mise à jour sauf celle concernant les MAJ de Spectre et meldown.
 
c'est bien çà?
 
En fait  comme ca, je peut déployer les MAJ normalement depuis mon WSUS sans risque de recevoir ces mise à jour propre a ces deux failles de sécurité. (que je veux traiter autrement)
 
razer69

pour être précis, sans la clef, on ne reçoit plus les MAJ depuis janvier (et pas QUE celle de janvier vu qu'elles sont cumulatives)

la clef est créée automatiquement par les AV compatibles Meltdown et Spectre

donc si ya pas d'AV sur un serveur, pas de MAJ ! (a moins de créer la clef a la main)

@razer69: Pas de raison de ne pas installer les màj, tu peux désactiver le fix Meltdown avec une clé de registre si besoin.
Idem avec Spectre (qui ne sera de toute façon actif qu'avec un microcode à jour).
 
Voir Inspectre qui permet de vérifier l'état d'un système et de désactiver/activer les fix: https://www.grc.com/inspectre.htm

 
 
Bon tu as raison  
 
Plus aucune MAJ de sécu si l'OS n'a pas les clés dans la BDR  
C'est quoi cette politique catastrophique de la part de M$

Bien sûr que j'ai raison.
De toute manière vu la gravité de Meltdown il vaut mieux être patché et s'asseoir sur la perte de perfs.

Ah oui mais là on cause pas de Meltdown directement.
Si tu n'as pas les clés dans la BDR, t'as plus de MAJ de sécu.
Or tu peux vouloir ton OS sans le patch Meltdown mais avec les autres MAJ de sécu quand même

Cela a été mis en place pour éviter les BSOD sur des serveurs équipés d'antivirus incompatibles ou avec des signatures pas à jour.
 
Avec des serveurs protégés par un antivirus et des signatures récentes, tu récupères la clé et les mises à jour avec.

 
Çà je pense que tout le monde a bien saisi, mais pourquoi diable bloquer également les MàJ qui n'ont rien à voir avec les failles Spectre / Meltdown ?
 
 
 
 

Je suis bien d'accord.
Ceci-dit les patchs contre Meltdown et Spectre sont désactivables via (une autre) clé de registre eux aussi. Mais bon je me répète.

Exact. Mais ça aussi ça a déjà été dit.

Reste que MS aurait pu distribuer à part les patchs contre Meltdown et Spectre, ça aurait évité le problème de ne plus recevoir les KB cumulatifs mensuels pour ceux qui n'ont pas d'AV et qui ne savent pas pour la clé à rajouter. On peut même imaginer un KB mensuel unique comme maintenant, mais avec une installation sélective suivant si la clé est présente ou pas. Mais à priori c'était trop pour MS...

Cf ma réponse du dessus.
En y réfléchissant il y a peut-être une raison technique valide: les futurs patchs s'attendent à un système "Meltdown aware", ça aurait peut-être obligé à concevoir deux branches, bref trop de boulot.

Les patchs Meltdown et Spectre sont des patchs de sécurité critiques comme les autres, aucune raison de les dissocier de la Rollup mensuelle en faisant une exception au modèle de distribution de mises à jour, exception qui pourrait rester des mois en plus.

Non mais il auraient pu êtres installés sans êtres activés (cas du patch Spectrev2 si pas de microcode à jour d'ailleurs) si la clé n'est pas présente. Mais peut-être que c'est le fait même qu'ils soient installés (sans être activés) qui provoque des BSOD ?

Bref, en dehors de MS personne ne sait vraiment...et dire qu'ils ont eu 6 mois pour se préparer...

Notez que sous 2008, les autres mises à jour semblent continuer à passer sans les patchs Spectre / Meltdown ...

 
Est-ce que 2008 a adopté le modèle des patchs mensuels uniques cumulatifs ?
Est-ce que tu utilises WU/MU ou WSUS pour 2008 ?
 
Sous W7 il est toujours possible de n'installer que les patchs de sécurité sans les patchs de qualité il me semble, mais ce n'est pas proposé sur MU/WU, il faut passer par le catalogue MU (et peut-être que WSUS a une option pour ça).

Ces patchs modifient certains accès à la mémoire donc il est probable qu'une simple installation suffisent pour un BSOD  

Perso je trouve que c'est une cata comme politique.
 
Car le résultat c'est que des tas de systèmes ne vont pas être patchés pour Meltdown MAIS AUSSI pour les failles suivantes.

https://kb.vmware.com/s/article/52455
 
patch VMware pour Spectre V2
ça contiens des MAJ de firmware intel donc attention !!!
 
je suis en train de déployer sur une machine de test

 
Pour l'hôte ou l'invité ?

à ton avis ?

Je n'en sais rien c'est pour ça que je demande.

C'est pour l'hyperviseur.

des firmware intel pour des vm ça va pas servir à grand chose.

Je ne vois ce que ça a de saugrenu, ça pourrait protéger les VM sans protéger l'hôte via un patch du CPU virtuel.