Проблемы С Обновлением Kb2871997 На Windows 7

[ingenico]

Установка CSP 4.2 реально исправляет проблему.

Но что делать с сертификацией криптографии?

Писал в техподдержку:

После того, как установка ViPNet CSP 4.2 у Заказчика восстановила работоспособность машины с Клиентом 3.2.10 есть вопросы:

- В составе ViPNet Client 3.2.10 есть свой CSP, библиотеки которого были сертифицированы в Казахстане. Заменяет ли установка ViPNet CSP 4.2 эти сертифицированные библиотеки или нет?

- При осуществлении криптографических операций каким CSP будут пользоваться приложения?

Ответ:

При установке ПО ViPNet CSP 4.2 поверх ПО ViPNet Client 3.2.10 библиотеки встроенного криптопровайдера меняются на библиотеки CSP 4.2. В дальнейшем использоваться будет CSP 4.2.

[shaman1990]

Подскажите пожалуйста у кого возникала данная проблема на WinServer 2008 R2(x64)? До установки VipNet Client версии 3.2(не помню какой сборки), SQL работал стабильно. Пробовали переустанавливать SQL и обновлять его, ничего не помогло. Без випнет клиента инсталлится и работает без проблем.

[alexandrch]

  06.04.2015 в 12:16, shaman1990 сказал:

Подскажите пожалуйста у кого возникала данная проблема на WinServer 2008 R2(x64)? До установки VipNet Client версии 3.2(не помню какой сборки), SQL работал стабильно. Пробовали переустанавливать SQL и обновлять его, ничего не помогло. Без випнет клиента инсталлится и работает без проблем.

Гляньте соседнюю тему http://www.infotecs.ru/forum/index.php?showtopic=8321entry22796

[shikarnik]

Хочу подсказать один из вариантов решения. У нашей безопасности приоритет все таки за Майкрософтом. Снесли 3.2. Поставили 3.1 (есть 2 и есть 4). ВСЕ обновления установлены. Полет нормальный. Может быть кому-нибудь вариант подойдет. Было кажется раньше в этой ветке.

[Testrd4]

  Цитата

Не работает доступ по RDP на машину с последней версией клиента 3.2. Машина под Win 7x64 SP1 prof - в домене.

Шаманство с отключением криптопровайдера, разрегистрацией dll помогает вернуть возможность обновлений, но законнектиться по RDP на машину - не получается. В логе Windows - ошибка TermDD 56.

Поправить ключи в реестре, как описано выше - не получается, т.к. значений sspp и itcssp там просто нет, а schannel - уже есть.

При этом обновлений на машине - еще нет! На машину установлен голый SP1.

Помогите, в чем может быть дело?

gpedit.msc

Конфигурация компьютера >

Административные шаблоны >

Компоненты Windows >

Службы удаленных рабочих столов >

Узел сеансов удаленных рабочих столов >

Безопасность >

Требовать использования специального уровня безопасности для удаленных подключений по методу RDP >

Состояние: Включить > Уровень безопасности RDP

[ez@pop3.ru]

ИТОГ 15 МЕСЯЦЕВ (ГОДА И КВАРТАЛА).

Уважаемые коллеги, по моему глубокому экспириенсу,

к концу июля 2015 года Vipnet-клиент v3.2 (11.18212)

и его криптосервер конфликтует со следующими

28 обновлениями 32 - разрядной Windows 7:

kb2871997, kb2952664, kb2973337, kb2973351,

kb2982378, kb2984972, kb2992611, kb3000061,

kb3000483, kb3003743, kb3004375, kb3011780,

kb3020370, kb3021952, kb3023562, kb3023607,

kb3029944, kb3031432, kb3032359, kb3033929,

kb3035131, kb3045999, kb3046049, kb3057154,

kb3061518, kb3065987, kb3067505, kb3068708

Те из нас, кто прекратил установку обновлений MS Windows или считает, что таких обновлений слишком много (типа списка на 8 листов), и те кто фильтруют и не устанавливают обновления в соответствии с подобным указанному выше списку, во первых нарушают лицензионное соглашение с Microsoft, а во вторых совершают должностные преступления.

Интересно, где-нибудь отделы защитников информации издавали приказы о прекращении установки обновлений от Microsoft или хотя бы помогали в составлении таких списков? Дабы не признать себя и не оказаться виноватыми ООО ИнфоТеКС, тоже не оказывает сообществу потребителей своей продукции ни какой помощи по составлению таких списков.

И каждый выживает как может. Смотрите, например, (далеко не единственный) список: http://tbd.ru/vipnet/ (это уже за пределами сайта форума ИнфоТеКС), да и сама дискуссия уже давно вышла за пределы даного сайта и форума, прогуглите тему и убедитесь сами.

Известные в течение полутора лет уязвимости, имели условное кодовое именование CVE-2014-0292 в базе данных (vunerability database) Национального института стандартов и технологий США и в Инете хакеры публиковали для их эксплуатации скрипты и эксплоиты. Уязвимости были закрыты обновлением Kb2871997, но только не в РФ.

Под именем «Обновление для улучшения защиты учетных данных и управления ими» Советы по безопасности (Microsoft) (2871997) ещё 13 мая 2014 г. статья была опубликована на веб-сайте TechNet и с тех пор трижды редактировалась. Половина симптомов потенциальных конфликтов VipNet c обновками Windows там предсказаны, поскольку связаны с криптопровайдером. Однако, как сообщает сайт TechNet, эта тема (статья на русском языке) еще не получила ни одной (!!!) оценки, что выглядит чрезвычайно интересным. Повторные редакции статьи издавались в связи с выпусками последующих обновлений, предоставляющих дополнительную защиту учётных данных пользователей при входе на удаленный сервер. Были выпущены 4 версии (редакции) статьи от 13.05.2014 (для kb2871997), от 08.07.2014 (для kb2919355 или kb2973351), от 09.09.2014 (для kb2982378) и последняя редакция от 14.10.2014. Другая половина симптомов (нарушение работы браузеров, вплоть до сообщений о физической неисправности оперативки) связана с драйвером VipNet и нарушением стека TCP-IP.

В статье сообщалось, что kb2871997 изменит функциональность ОС, а именно:

введёт режим ограниченного администрирования для протокола CredSSP, будет выполняться очистка кэш памяти учетных данных в LSA, создасться группа безопасности "Защищенные пользователи" и введён режим ограниченного администрирования для подключения к удаленному рабочему столу, и что это в целом усовершенствует защиту учетных данных и средств управления проверкой подлинности домена и сократит риск кражи учетных данных.

Основная статья находится по адресу: https://technet.micr...ecurity/2871997. Судя по ссылке в данной статье на другую статью: «Новые возможности служб удаленного рабочего стола в Windows Server», и это и другие обновления, незаметно для потребителей адаптируют актуальные системы для взаимодействия с новыми серверами Windows 2012.

На сайте TechNet в статьях касающихся обновлений сообщается, что о предстоящих изменениях в работе ОС и функций ПО посредством обновлений, за месяц до их выпуска уведомляются участники программы MAPP.

Справка: Программа Microsoft Active Protections Program (MAPP). Чтобы повысить уровень защиты

пользователей, Майкрософт предоставляет сведения об уязвимостях крупным поставщикам

программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками ПО безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Похоже ИнфоТеКС не является участником программы MAPP и оно (ООО) в течение апреля 2014 года не отреагировало на предстоящие изменения. Должной реакции не последовало и в течении последовавших 15 месяцев, что и доставило сомнительное удовольствие сообществу потребителей своей продукции.

И ТАК, ДАВАЙТЕ НАЗОВЕМ ВЕЩИ СВОИМИ ИМЕНАМИ:

В технической документации к VipNet 3.1, без упоминания разрядности, операционные системы Windows 7, Server Windows 8, Server Windows8 R2 были декларированы и перечислены как поддерживаемые (!). Они и по сей день являются актуальными и обеспечены техподдержкой от Майкрософт.

В течение жизненного цикла эксплуатации актуальных операционных систем, сертификация прикладного и системного ПО и/или их алгоритмов надзорными органами не является ни какой гарантией работоспособности самого ПО и защищенности обрабатываемой информации. Обещанная год назад сертификации VipNet 4.0, 4.1, 4.2 проводились под управлнением неактуальных (= необновленных) ОС Windows и разве это не подлог?

Проверка классов защищенности алгоритмов кодирования - декодирования, уровней надежности, обнаружения компьютерных атак, отсутствия уязвимостей или недекларированных возможностей программных и аппаратных средств и комплексов, безусловно важны, НО почему не является предметом сертификации и заботы надзорных органов просто "работоспособность" и просто "надлежащая, достаточная и бесплатная грамотная техподдержка" VipNet для актуальных ОС декларированных при продаже программного обеспечения в течении их жизненных циклов?

Проявленное здесь отношение к технической поддержке своей продукции и позиция разработчиков ПО из ИнфоТеКС спровоцировали на местах, на предприятиях и в учреждениях пользующихся VipNet-ом множество профессиональных конфликтов работников между собой и с работодателями по вопросам профпригодности, о чем с обидой говорилось в той же теме форума.

В наиболее неблагоприятном положении оказывались люди обслуживающие большие территориально распределённые компьютерные сети различных краевых, областных, общегосударственных предприятий и учреждений использующие VipNet. Из-за инерционности процессов бюджетирования и госзакупок большинство потребителей продукции ООО ИнфоТеКС не могут оперативно приобретать новые версии.

В течении года те, кто приобрёл новые или испытывал тестовые версии VipNet продолжали сообщать в этом форуме о продолжающейся неработоспособности новых и даже сертифицированных версий. Например, не единственный сертификат того, что еще не может правильно работать под управлением "правильной ОС" нам показывают здесь: http://infotecs.ru/p...il.php?ID=11462.

И наконец, очень важный момент, дорогие коллеги: недоброжелатели не всегда глупы, и Интернет уже насыщен информацией о том, что в РФ, скажем скромно, есть немножко госучреждений и предприятий с однотипными, незакрытыми уязвимостями. Воистину, "катаемся" ... уже на полусломанном самокате.

[supilot]

По поводу нарушения лицензионного соглашения с MS - непонятно...

А в целом - верно, Випнет 3.1 и 3.2 условно неработоспособен на Win7. А пользоваться им мы вынуждены.

[ez@pop3.ru]

С Вами не будут разговаривать по телефону специалисты техподдержки Microsoft, если у Вас не актуализирована операционка (как минимум если не установлен последний сервис-пак), часто глупые проблемы и вопросы исчезают после установки всех обновлений ОС. В Win10 обновления идут вообще без спроса домашнего пользователя, а корпоративный может только отложить их на время.

[supilot]

  06.08.2015 в 07:57, ez@pop3.ru сказал:

С вами не будут разговаривать по телефону специалисты техподдержки Microsoft, если у Вас не актуализирована операционка (как минимум если не установлен последний сервис-пак)

Это стандартные действия любой тех.поддержки.

Но к лицензионности это не имеет отношения.

[MORO]

ez@pop3. Браво! Серьёзно Вы подошли к вопросу. Если, действительно, напрямоту, то всё, в общем-то так и есть.

Готов подписаться (являясь должностным лицом, персонально отвечающим за контроль применения СКЗИ в региональном органе одного из крупнейших государственных учреждений, широко использующего технологию ViPNet).

Пару помарок отмечу - не примите за занудство.

>> ...а во вторых совершают должностные преступления....

Ну это Вы горячитесь. Нарушения - да. Чтобы квалифицировать как преступление, должны быть очень серьёзные фактические последствия.

>>...ООО ИнфоТеКС, тоже не оказывает сообществу...

Понизили? Хорошо, что не ИП. ))) ОАО они пока что.

[seth]

Добрый день! Тут был батничек по удалению несовместимых обновлений. Киньте у кого остался. Если есть батник со всеми 28 то еще лучше. Или тело самого батника выложите текстом. Спасибо!

[Гость Shadorik86]

Всем доброго времени суток! Был бы тоже очень признателен за вышеуказанный Бат - файл.

[krevedd]

  21.08.2015 в 11:18, Shadorik86 сказал:

Всем доброго времени суток! Был бы тоже очень признателен за вышеуказанный Бат - файл.

Текст батника:

C:\Windows\System32\wusa.exe /uninstall /kb:2871997 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:2952664 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:2973337 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:2973351 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:2982378 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:2984972 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:2992611 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3000061 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3000483 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3003743 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3004375 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3011780 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3020370 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3021952 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3023562 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3023607 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3029944 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3031432 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3032359 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3033929 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3035131 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3045999 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3046049 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3057154 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3061518 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3065987 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3067505 /quiet /norestart

C:\Windows\System32\wusa.exe /uninstall /kb:3068708 /quiet /norestart

sc stop wuauserv

sc config wuauserv start= disabled

shutdown /r /d p:2:2 /c "Перезагрузка после удаления обновлений..."

[Shadorik86]

Моноблоки Lenovo M72z (у нас их порядка 15 шт.), OS Windows 7 - 32, ViPNet - Client 3.2(10.15632), после установки через WSUS выше упомянутых обновлений (ну и много других), черный экран с курсором на каждом втором моноблоке. С бубном загрузил один моноблок, батник прогнал, после перезагрузки та же петрушка. Может есть еще варианты?

[MORO]

  25.08.2015 в 10:38, Shadorik86 сказал:

...ViPNet - Client 3.2(10.15632)...

Для начала версию бы до актуальной поднять. Древняя сборка.

[Shadorik86]

Хмм.... Поднял, второй день обкатки, полет нормальный!. Только на одном пока.

[Shadorik86]

Вчера уже вечером всплыли еще два компа (не вышеуказанные моноблоки) OS Windows 7 - 32 и все тот же черный экран, с пляской по клавиатуре попал в винду, прогнал батник на удаление обновлений (часть из этого списка была установлена), накатил ViPNet - Client 3.2(11.21139) результата не дало.

[ez@pop3.ru]

Спасибо, коллеги, что продолжаете интересоваться списком обновок, с которыми дорогой сердцу Vipnet конфликтует, и тем самым оценили практическую важность этих "мартышкиных трудов".

"К сожалению", я до сих пор в отпуске (и к счастью, дома винета нету , и домашние компьютеры ведут себя так как пишут в учебниках).

И все же думаю, смогу помочь дав одну подсказку. У меня аналогичные ситуации были.Одни компы излечивались, другие нет. Оказалось, что в этом длинном ряду есть обновление(я) (в первой трети или половине списка), которое(ые), не смотря на удаление с диска, продолжают оставаться резидентом в оперативной памяти вплоть до перезагрузки и не позволяют удалить парочку других обновок. Именно эта-то парочка и вызывает остальные глюки.

Если после перезагрузки сможете загрузиться второй раз, например в безопасном режиме или с помощью другого бубна, следует запустить батничек повторно.

Вообще я бы в батничке не советовал использовать ключ /quiet. Лучше после каждого шага смотреть на экран, там бывает красные фонарики показывают, а то как-то по-страусинному получается. И еще есть вопрос к австралийцу:

"sc config wuauserv start= disabled" это навсегда?

Вобщем, если делать все вручную, то запустив бат-файл надо дойти до первого неудалябельного обновления kb:YYYYYYYY, прерваться CTRL+C и перезагрузиться. Затем запустить бат-файл повторно, дойти до конца и вновь перезагрузиться.

И как мой опыт показал будет Рай, но не надолго - в августе снова были обновления и сентябрьские уже на носу... Кстати, за август на Ямале http://tbd.ru/vipnet/ для ПО «ViPNet Client» 3.2(11.21139) удлиннили список в 2.5 раза (может пригодиться, но нужно точно и поштучно все проверить).

Вернемся к бат-файлу. Когда все станет более глубоко понятно, для автоматизации можно разбить бат-файл меткой надвое и программно создать папку в качестве флага. В начале первой части файла Uninstall.bat написать:

if exist c:\Straus goto Label

C:\Windows\System32\wusa.exe /uninstall /kb:2871997 /norestart

.................

.................

C:\Windows\System32\wusa.exe /uninstall /kb:******X /norestart

md c:\Straus

ping localhost

shutdown /r /d p:2:2 /c "Перезагрузка #1 после удаления обновлений..."

:Label

rmdir c:\Straus

C:\Windows\System32\wusa.exe /uninstall /kb:YYYYYYYY /norestart

..............................

..............................

..............................

C:\Windows\System32\wusa.exe /uninstall /kb:3068708 /norestart

ping localhost

shutdown /r /d p:2:2 /c "Перезагрузка #2 после удаления обновлений..."

После отладки можно вернуть ключ /quiet чтоб не тревожить пользователей.

Сам батничек можно запускать вручную с рабочего стола пользователей или с файлового сервера через групповую политику для рабочих станций домена.

В особо тяжелых случаях помогают сброс настроек стека tcp и wisock c последующей переустановкой Випнета

netsh int tcp reset

netsh winsock reset

quit

[Гость mom86]

Присоединяюсь к обсуждению! Вот еще одно обновление к списку - KB3080149 - сегодня вычислили. Итого в нашем списке их 33.

[ez@pop3.ru]

Точно 33?

Ведь 28+1 = 29? Иначе дельта-список в студию...

[Гость mom86]

  28.08.2015 в 12:41, ez@pop3.ru сказал:

Точно 33?

Ведь 28+1 = 29? Иначе дельта-список в студию...

Вот пожалуйста - с Миру по нитке!

kb:3020338

kb:3021917

kb:3004394

kb:2871997

kb:2973337

kb:2973351

kb:2982378

kb:2984972

kb:2992611

kb:3003743

kb:3011780

kb:2970228

kb:3032359

kb:3033929

kb:3035131

kb:3046049

kb:2952664

kb:3000061

kb:3000483

kb:3004375

kb:3020370

kb:3021952

kb:3023562

kb:3029944

kb:3031432

kb:3045999

kb:3057154

kb:3061518

kb:3065987

kb:3067505

kb:3068708

kb:3023607

kb:3080149

[ez@pop3.ru]

Уважаемые, коллеги. Поблагодарим Гость_mom86_ за поправку списка.

И так дельта-список для 32-разрядной Windows состоит из четырех обновлений:

Обновление - Дата выпуска - Замененны на

kb:2970228 - 15.10.2014 - не заменено (но на сервере WSUS он у меня не был одобрен к установке)

kb:3004394 - 11.02.2015 - kb3040272 + kb3033929 (установка которых одобрена на сервере WSUS)

kb:3021917 - 11.02.2015 - не заменено (но на сервере WSUS не был одобрен к установке)

kb:3080149 - 19.08.2015 - не заменено (это свежее обновлекние выпущено в августе 2015)

Поэтому в батничке их всего 33 и действительно все придётся упомянуть для удаления.

Похоже что Ямальский сайт просто повторил мой список пересортировав именно июльский список.

С сентябрьскими обновками VipNET явно конфликтнул. Еще пяток добавили в список. А что будет в октябре и дальше? kb3071756 (08.2015) kb3080079 & kb3083324 (09.2015) kb3083710 & kb3060716 (10.2015)

Уважаемые коллеги, есть ли у кого-нибудь аналогичный четко выверенный

список для 64-разрядной версии ОС Windows или можно все обновки инсталлировать?

[Гость junta]

Не парься на счет обновления, просто возьми и скачай программу Microsoft Fix it, установи, и она автоматически устранит все найденные ошибки на твоем компе. Была похожая ситуация, наткнулся на хорошую статью, где и нашел эту прогу) Очень помогла мне, надеюсь поможет и тебе!

[GRADER]

Пополнение глючных обнов для Win 7 SP1 x32:

Обновление безопасности для Microsoft Windows (KB3042058)

Обновление безопасности для Microsoft Windows (KB3088195)

[Гость]

Батник запустил, он все указанные обновления удалил, кроме kb:302037.

При попытке удалить выдает ошибку:

"Обновление для Microsoft Windows (KB3020370) является обязательным компонентом для этого компьютера, поэтому удаление не возможно."

Подскажите, пожалуйста, что делать.