Hallo zusammen,

hier arbeitet doch bestimmt der ein oder andere auch in ner IT-Abteilung einer firma/konzern.

wie ist bei euch denn das Thema spectre aufgehangen? Wie patcht ihr die systeme nach?

wir haben ca 1100 clients im konzern, im prinzip sind alle von der lücke befallen. aber bei jedem von hand ein bios update machen ist so ziemlich keine option.

gibts da schon erfahrungswerte zu?

Wir nutzen das Tool Matrix42 so ziemlich komplett. Es gibt von dell ein Windows Softwarepaket, wo das BIOS-Update drin ist. Damit verteilen wir die Pakete je nach Produkt in Wellen. Als Verteilungsoption ist gesetzt, dass es im Vordergrund durchläuft, da das BIOS Update erst nach einem neustart installiert wird.

Deutschlandweit haben wir ca. 15k clients - europaweit noch mehr. Da wäre händisch aufspielen unmöglich.

Leider bekommen nicht alle Systeme das update - wie wir da weiter verfahren wird sich erst noch rausstellen.

Wir haben hauptsächlich Dell im Einsatz, da geht das automatisch.
Server patchen wir nicht, so lange so viel Leistung verloren geht.

Interessant, noch ein Matrix42 Empirum Nutzer :)

Zur Zeit teste ich auch die Tools von HP und Dell um automatisierte BIOS Updates auf unsere Clients aufzuspielen per Softwareverteilung. Aber zuerst warte ich noch ein wenig ab, zur Zeit gibt es ja fast täglich neue Hiobsbotschaften....

Wir haben hauptsächlich Dell im Einsatz, da geht das automatisch.
Server patchen wir nicht, so lange so viel Leistung verloren geht.
Ja, das werden wir im Laufe des heutigen Abends merken. Gepatcht werden muss es halt leider einfach.


Interessant, noch ein Matrix42 Empirum Nutzer :)

Zur Zeit teste ich auch die Tools von HP und Dell um automatisierte BIOS Updates auf unsere Clients aufzuspielen per Softwareverteilung. Aber zuerst warte ich noch ein wenig ab, zur Zeit gibt es ja fast täglich neue Hiobsbotschaften....
Matrix laeuft halt meist echt gut. ;) Wir nutzen aber auch immer mehr. Ticketsystem, Empirum, Wiki seit neuestem... Paar sachen sind ein wenig dümmlich, aber da muss man in jedem System mit leben.

Ja, wir spielten vor nicht allzulanger Zeit erst die IME Biosupdates ein... Wir sind aber in einer art "High-Sec" Bereich, wo jede Bedrohung fatal sein kann.

Wie hilft das überhaupt ein BIOS-Update. Das Problem war doch die Vorrechnung, die im Cache gespeichert wird oder nicht?

Wie hilft das überhaupt ein BIOS-Update. Das Problem war doch die Vorrechnung, die im Cache gespeichert wird oder nicht?

Ohne nachgeguckt zu haben, könnte auch falsch sein: Man kann über das UEFI / BIOS Microcode laden, der bestimmte Instruktionen der CPU modifiziert oder gar abschaltet. Die Alternative wäre, dass das OS den Microcode einfach beim Bootprozess benutzt, aber das müsste dann der OS-Hersteller mit einem Update einspielen. Ehrlich gesagt finde ich Letzteres angenehmer, aber eventuell sieht sich MS nicht in der Pflicht dafür Updates auszurollen. Unter GNU/Linux ist das aber der übliche Weg Microcode-Updates einzuspielen, auch wenn das meistens über optionale Pakete läuft.

Zu spät, Ibuprofen gegen Spectre ist jetzt offiziell ein neues Meme.

Wir sind eher im Backend zu finden. SAN/Storage. Grundsätzlich betroffen: Alles
Aber die Inhellprozessoren z.B. der Storages sind embedded und da kommst Du gar nicht ran, nie nicht. Es gibt keinen Weg zu den Prozessoren. Selbiges gilt für den SAN Bereich. Es keinen Weg zu den Prozessoren die ein erfahrener User betreten kann.

Wir sind eher im Backend zu finden. SAN/Storage. Grundsätzlich betroffen: Alles
Aber die Inhellprozessoren z.B. der Storages sind embedded und da kommst Du gar nicht ran, nie nicht. Es gibt keinen Weg zu den Prozessoren. Selbiges gilt für den SAN Bereich. Es keinen Weg zu den Prozessoren die ein erfahrener User betreten kann.
SAN haben wir natürlich auch - Da kümmert sich allerdings ein anderes Team drum.

Ob und wie unsere Hyper-V Server geupdated werden liegt auch in deren Hand. Sind bei uns aber eh... gut dimensioniert, sodass wir, zumindest an meinem Standort, wahrscheinlich deswegen nicht aufrüsten müssen.

Das liegt zum Glück nicht bei uns. Die ganzen ESX Cluster, die armen Schweine. Wir haben etliche PB für die raus gegeben und hunderte von Clustern. Ach ja, Eure KFZ Steuer läuft da auch drauf ;) :D

Um die Server kümmert sich das Rechenzentrum. Anfassen mehr oder weniger verboten. Um die Clients kümmer ich mich aber da wir nur etwas über 100 haben und sowieso noch ca. 70 für Windows 10 ausgetauscht werden mangels GPU Treibersupport von Intel wird das Update wohl händisch erfolgen. Kommt man mal wieder unter die Leute... ;)

Das liegt zum Glück nicht bei uns. Die ganzen ESX Cluster, die armen Schweine. Wir haben etliche PB für die raus gegeben und hunderte von Clustern. Ach ja, Eure KFZ Steuer läuft da auch drauf ;) :D
Na, da macht sowas ja richtig spaß. :D Wir nutzen auch ESX. Kümmert sich auch ein anderes Team drum. Zum Glück. ;)

Um die Server kümmert sich das Rechenzentrum. Anfassen mehr oder weniger verboten. Um die Clients kümmer ich mich aber da wir nur etwas über 100 haben und sowieso noch ca. 70 für Windows 10 ausgetauscht werden mangels GPU Treibersupport von Intel wird das Update wohl händisch erfolgen. Kommt man mal wieder unter die Leute... ;)

Wir haben noch nicht mal auf Win10 migriert. Unsere Rechner sind dementsprechend (Nicht alt, aber so lang es ging eben <Kaby Lake) - Kommen wir jetzt aber auch nicht mehr drum herum. Daher werden wir wohl hoffentlich dieses Jahr migrieren, wenn uns der interne Datenschutz nicht ne Schelle gibt. ;)

interessant wie euch das thema so betrifft. bei uns laufen automatisierte rollouts über das system center 2012. problem ist, dass wir einerseits HP-Büchsen im Einsatz haben, BJ 2012 - 07/16 und danach im workstation bereich Lenovo, NBs sind seit 2012 nur Lenovo.
Da kann man das Bios-Update bequem über das Lenovo System Update machen, nur eben nicht automatisiert, da muss ich mal schauen wie wir das machen.

Matrix42 kenn ich nun gar nicht, wird aber ähnlich dem SCCM von microsoft sein, oder?

lipp

Die Frage ist eher - welches Angriffsprofil haben bieten die Geräte denn?

Bevor ich wie wild mit Kanonen auf Spatzen ballere würd ich mal das analysieren.

Wir haben zu 99 % Fujitsu Rechner und Notebooks. Sandy, Ivy, etc.

Für viele Boards gibts noch kein Release Datum.

Jetzt erstmal OS Fix mit der Softwareverteilung unter die Leute bringen. Bin auch gespannt inwieweit die Performance bei so mancher Serveranwendung, die jetzt schon in der Kritik steht weil zu lahm, leidet.

Hab heute das BIOS Update für mein Dell Latitude 13 7370 gemacht... jetzt crashed Visual Studio beim Start mit einem Ausnahmefehler :lol:

Einmal mit guten bitte...