Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo @Majos

LINK* zur entsprechenden Pressemittteilung des BSI      

Probleme ergeben sich für Nutzer der Antiviren-Software Symantec beziehungsweise Norton unter Windows 7 und Windows Server 2008. Diese können die bereitgestellten Windows-Updates nicht verarbeiten, in Folge kommt es zu Systemabstürzen. Daher hat Microsoft das Sicherheitsupdate für Systeme blockiert, auf denen diese AV-Programme installiert sind. Microsoft rät auch von einer manuellen Einspielung der Updates ab. Diese AV-Programme sollten bis zur Behebung des Problems vorübergehend deinstalliert werden, damit die Windows-Updates eingespielt werden können.( BSI-Pressemittteilung)

 Wie ich daraus lese, betrifft es nur Nutzer von Windows 7 und Windows Server 2008. Also Nutzer von Win 8(.1) und 10 können ihren Norton auf den PC lassen.

Weiteres durch unsere @Beate.Admin

* dies ist ein externer LINK: Rechtsklick und dann auf ,, Neue Registerkarte öffnen"( IE)/ ,, Neuen Tab öffnen( FF)".        

Hallo werte Windows 7 SP1 User ( so wie ich ), im angehängten Screenshot ist zu sehen, wie unter der Systemsteuerung-Windows Update- installierte Updates es ausschauen sollte. Noch ein paar Anmerkungen von meinem Windows 7 SP1: Startet wie immer, herunterfahren wie immer, hängt sich nicht auf, keine Blue oder Dark-Screens. Das neue Norton 360 Deluxe bekommt alle sicherheitsrelevanten Updates runtergeladen ohne irgendwelche Probleme ( schaue extra im Verlauf immer nach ). Und bei den Windows Updates sende ich einen Screenshot mit, wie dies bei mir aussieht. Ich hoffe, daß es bei allen anderen Usern die Windows 7 SP1 benutzen ebenfalls keinerlei Probleme gibt !!

LG

reini_1

Freitag, 16. August 2019  2:21AM  (  UTC+02:00  );

Hallo an alle Windows 7 SP1 User, auch das Windows Update KB4490628 vom 13.03.219 scheint auf meinem Rechner auf als installiert. Ich hoffe bei allen anderen Usern ebenfalls, die Windows 7 SP1 als Betriebssystem benützen !

Dis zur Information !

1 Screenshot im Anhang !

LG

reini_1

Freitag, 16. August 2019  12:47PM  (  UTC+02:00  );

Hallo! 

Majos:

Hallo

Also muessen wir Norton deinstallieren oder nicht, wie das BSI im ersten Hinweis zitiert.

gruss

majos

Ich kann da nur schreiben, man sollte sich nicht das Leben mit den PC nicht immer so schwer machen. Wenn man Windows 8(.1) und/ oder Windows 10 benutzt, sollte man den Norton nicht deinstallieren.  Bei Windows 7 sollte der Nutzer entscheiden. 

Ein Tipp: Unsere Administratorin Beate hat in ihren Beitrag einen LINK zu einen entsprechenden Supportartikel bereitgestellt, den man in dieser Hinsicht beachten soll.

Hallo @houri und willkommen im Forum, der Anhang ist der Screenshot "Update für Microsoft Windows (KB4490628) usw....

LG

reini_1

Samstag, 17. August 2019  4:25AM  (  UTC +02:00  );

Hallo @NortonTester

.

NortonTester:

...

Die Situation ist daher momentan verfahren und man kann sich nur entscheiden ob man sich darauf verlässt, dass Norton alle Angriffe auf die geschlossenen Sicherheitslücken erfolgreich blockiert oder ob man vorübergehend auf eine andere Sicherheitslösung wechselt und dadurch das Sicherheitsupdate vom August einspielen kann (Zurückwechsel erst nach Veröffentlichung aktualisierter Norton-Installationsdateien).

Das ist eben eine Entscheidung, die man hier keinem abnimmt. Jeder Nutzer eines PCs sollte wissen, was er in gewissen Situationen zu tun und zu lassen hat, um sicher in der Internetwelt zu surfen. Natürlich ist es kein Problem, den Norton kurzeitig bis zu jenen Update zu deinstallieren und dann ihn mit der neusten Version zu installieren*.  

* Du solltest dann ab jenen Tag( 22. 08. 2019) auf den Forumsseiten oben rechts auf ,,Blogs" . Dort solle dann eine Ankündigung sin, wenn die neue Version zur Verfügung steht.

Leider war die Re-Editierzeit vorm Speichern abgelaufen:

Gemeint war natürlich eine temporäre Deinstallation bis zum Erscheinen einer kompatiblen Version (so wie es das BSI empfahl - vermutlich gedacht für Firmen, die RDP aktiviert haben und für die das mit Norton fehlende monatliche Sicherheits-Update vom August kritisch sein könnte).

Für diesen Fall müsste man sich zuvor natürlich auch überlegen wie man den PC ohne Norton schützt (prüfen, ob die Windows Firewall aktiv ist und z.B. das dann angebotene optionale Update von Microsoft nutzen) und ob überhaupt alle sicherheitsrelevanten Updates installiert sind (Windows 7 SP1 hatte vor den kumulativen Updates ein Problem mit einer fast ewig dauernden Updatesuche (händische Aktualisierung des Service Stack Updates notwendig) und später mit einem abgelaufenen Zertifikat, welches nur nach De- und Reaktivieren der automatischen Suche erneut wurde).

Eine weitere Möglichkeit wäre natürlich auch auf ein Windows zu wechseln, welches nicht sowieso ab Jänner 2020 keine Sicherheitsupdates mehr erhält.

Hallo @Norton Tester und guten Morgen, konnte soeben auf meinem BS Windows 7 SP1 (32bit) aus dem Microsoft Update-Katalog das 08-2019 Security Monthly Quality Rollup für Win 7 x86 ( KB 4512506 ) tadellos installieren.

Ohne irgendwelche Probleme, das neue Norton 360 Deluxe machte keine Anstalten das Update in einer Größe von ca. 183MB zu verhindern. Alles wurde ordnungsgemäß installiert, dann konfiguriert.

Sende einen Screenshot mit, aus meinem Windows Update Ordner, wo alles zu sehen ist.

LG

reini_1

Sonntag, 18. August 2019  6:20AM  (  UTC +02:00  );

Jetzt kannst du leider nicht mehr exakt testen, was Windows Update nach der Installation vom KB4512506 nach einer Suche für Updates anbietet (hätte mich interessiert, ob es sich auf einem 32-Bit System genauso verhält wie unter x64).

Ohne Norton Security wurde auf einem Windows 7 Professional mit SP1 x64 nur das .Net Framework 4.8 angeboten. Mit Norton Security wurden mir wie oben beschrieben eigenartiger Weise 4 Updates aus dem Jahr 2016 und davor angeboten, wobei ich nicht ganz verstehe warum und was Windows Update mit den Systemdateien macht, wenn man diese tatsächlich installieren würde (man müsste wahrscheinlich die CBS.log analysieren und Vergleiche der Systemdateien durchführen, wozu ich keine Zeit habe).

Das eigentliche Problem, dass dein Norton mit dem alten Signatur-Prüftreiber die SHA2-Signaturen der Systemdateien nicht prüfen kann und Ihnen daher (jederzeit) eine falsche Reputation geben könnte, besteht allerdings weiterhin bis Norton ein Update herausbringt. Da Norton vermutlich etwas anders arbeitet als Symantec Endpoint Protection, bin ich mir nicht sicher, ob das "man kann das Update ruhig händisch installiert lassen" auch auf Norton Produkte übertragbar ist.

Denn das entscheidende Update ist KB4474419 , wie ich ausführlich in obigen Postings beschrieben habe.

Ich weiß nicht, was du damit meinst, dass dies das entscheidende Update sei. Dieses Update wird automatisch über das Windows Update angeboten (egal ob Norton installiert oder nicht) und sorgt dafür, dass Windows für sich selbst überhaupt mit SHA2 signierten Programmdateien umgehen kann. Es ändert nichts daran, dass Norton auch danach keine SHA2-Signaturen verarbeiten kann und daher den neuen Systemdateien keinen Vertrauensvorschuss bei der Reputation geben kann. Würde für Norton-Systeme für SHA2-Unterstützung nur dieses Update benötigt, hätte Microsoft sicherlich die Metadaten so konfiguriert, dass dieses Update Voraussetzung dafür ist um alle anderen Updates zu erhalten und nicht die Verteilung der neuen Dateien für Nortonsysteme komplett blockiert..

Vielen Dank für die Info, dass bei dir im Gegensatz zu meinem x64 Testsystem mit installiertem Norton keine anderen Updates mehr angeboten werden, allerdings habe ich nur mit dem kumulativen Monatsupdate alleine getestet und habe dann nicht zusätzlich das security-only Update installiert, welches zu einer anderen Erkennung führen kann (und nach dessen paralleler Installation ich persönlich nicht weiß, welche Systemdateien nun tatsächlich aktiv sind).

Bezüglich den "echten" Monatsupdates mit den Sicherheitspatches: gemäß der englischen Updatehistory wurde KB4517297 veröffentlicht, um ein Problem mit VB, VBA und VBScript Programmen zu beheben. Dieses ersetzt das security-only Update (indirekt), wobei anscheinend auch das monatliche kumulative Rollup betroffen ist aber auf dasselbe Update verwiesen wird. Außerdem hat Microsoft eine neue Update-Vorschau des monthly-rollups herausgebracht: KB4512514.

Alle diese Updates werden ebenfalls standardmäßig blockiert. Wie die Situation bei den Office-Updates aussieht, bin ich mir ebenfalls nicht sicher. Wenn dir .Net Framework 4.8 nicht angeboten wird, dann dürfte dieses ebenfalls SHA2 signiert sein (nach der Installation des .Net Frameworks benötigt dieses übrigens noch ein Sicherheitsupdate vom Juli).

Da niemand seinen Kopf für eine ordnungsgemäße Funktionsweise hinhält (niemand garantiert, dass die Reputation der Dateien nicht plötzlich kippt) ist es aus meiner Sicht ist es das Sinnvollste alle automatisch angebotenen Updates zu installieren und dann den Norton Patch abzuwarten (und nicht den ungepatchten IE zu nutzen) wonach Windows Update die Updates automatisch installieren kann. Außer man nutzt diese Produkte auf Firmengeräten (eventuell Symantec Endpoint Protection), dann muss man sich mehr Gedanken über den Schutz vor den RDP und anderen Sicherheitslücken, die mit dem aktuellen Patchday geschlossen wurden.

Es ist natürlich dir überlassen, was du auf deinen Systemen machst (wenn du aktuelle Images hast, wird das OK sein). Allerdings wirst du sicherlich auch nicht den Kopf hinhalten wollen, wenn ein Norton User über deine Erfolgs-Einträge stolpert, daraufhin die Updates (natürlich OHNE ein Backup/Image) auf seinem System installiert, die Erkennung plötzlich kippt und er dann verzweifelt ist (und der Norton-Support ihm dann möglicherweise erzählen wird, dass er selbst für sein "unsupported system" zuständig ist). Und das ist vermutlich genau die befürchtete Situation aufgrund der sich Symantec entschieden hat, Microsoft um eine Update-Blockade für die Systeme mit Norton zu bitten bis der korrekte NORTON PATCH installiert wurde, der ja hoffentlich im Verlauf der nächsten Woche erscheinen wird.

Norton scheint ein neues Update zu verteilen - mit VT20190819.064 mit Pfad 1612000.0DE ist die vtDataVersion (18) und der Updateblocker für die Windows Updates automatisch aufgehoben.

Also zuerst Live Update ausführen und dann die Windows Updates "genießen". Bei Problemen mit VB6, ... braucht man dann das optionale KB4517297

Leider ist das Setup-Programm (zumindest über den latestns-Link) immer noch auf der alten Version.

Im englischen Forum hat ein Anwender einen Link auf eine IT-Newsseite gepostet. Angeblich besteht jetzt kein erhöhtes Fehlerkennungspotenzial mehr (sowohl für das August- als auch zukünftige Updates) und Microsoft hat gemeinsam mit Symantec den Updateblocker ENTFERNT (siehe englischsprachigen KB-Artikel von Microsoft bzw. den dort verlinkten Symantec-Artikel) ...

Dennoch wird empfohlen so bald wie möglich auf die aktualisierte Symantec bzw. Norton-Version zu wechseln (was ja, wenn es keine Probleme gibt gleich nach der Installation via derzeit verfügbarem alten Setup via LiveUpdate geschehen sollte).

Vom englischen Microsoft KB-Artikel:

The safeguard hold has been removed. Symantec has completed its evaluation of the impact of this update and future updates to Windows 7 and Windows 2008 R2. Symantec has determined that there is no increased risk of a false positive detection for all in-field versions of Symantec Endpoint Protection and Norton antivirus programs. See the Symantec support article for additional details and please reach out to Symantec or Norton support if you encounter any issues.

Vom Symantec Support Artikel für die Endpoint Protection Produktlinie (gilt aber laut Microsoft auch für Norton).

Symantec has completed its evaluation of the impact of this update and future updates to Windows 7/Windows 2008 R2 and has determined that there is no increased risk of a false positive detection for all in-field versions of Symantec Endpoint Protection.

Microsoft KB4512506/KB4512486 and future updates can be safely installed and the soft block was removed on August 27th, 2019.