Unerwartetes Problem mit Root Certificate Updates

  • Article

Hallo!

Diesmal meldet sich Herbert mit einem Thema, das normalerweise nicht im Zentrum seiner Aufmerksamkeit liegt.

Es wird seit Juni 2012 ein optionaler Update angeboten auf Windows Update, mit dem das Aktualisieren von Stammzertifikaten durch die Computer über das Internet möglich wird:

2677070 An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2
https://support.microsoft.com/kb/2677070/EN-US

Wir beobachten derzeit Probleme mit Kunden, die diesen Update ausrollen, ohne sich den dazu gehörigen KB Artikel im Detail anzusehen. Wenn eine Maschine nämlich keinen Zugang zu den Verteilpunkten im Internet hat, dann werden Dienste, die signierte ausführbare Dateien laden, bei einer Signaturüberprüfung in Probleme laufen und nicht starten.

Betroffen sind in der Hauptsache Dienste, die Komponenten einbinden, die die .Net Runtime verwenden. Ein Zusammenhang mit dem Update ist nicht direkt erkennbar. Oft wird es auf den Maschinen eingespielt, ohne dass die Server-Admins davon direkt Kenntnis erlangen. Eines Tages funktioniert der Dienst nicht mehr. In diesem Fall gibt es sogar vom Dienst selber keine Fehlermeldung, weil er nicht in die eigene Startphase kommt.

Zu beobachten gibt es nur Fehlerevents des Service Control Managers und Probleme beim Entladen der Benuterprofile zu sehen. Am Beispiel von Microsoft Dynamics Navision zeige ich die
Problem-Events:

Log Name: System
Source: Service Control Manager
Event ID: 7009
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Description:
A timeout was reached (30000 milliseconds) while waiting for the Microsoft Dynamics NAV Server service to connect.

Zur gleichen Sekunde:

Log Name: Application
Source: Microsoft-Windows-User Profiles Service
Event ID: 1530
Task Category: None
Level: Warning
Keywords:     
User: SYSTEM
Description:
Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards. 

 DETAIL -
 15 user registry handles leaked from \Registry\User\S-1-5-21-43736630-4204578947-108325623-622220:
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\TrustedPeople
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Policies\Microsoft\SystemCertificates
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\Root
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\trust
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\Disallowed
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\My
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Control Panel\International
Process 3876 (\Device\HarddiskVolume1\Program Files (x86)\Microsoft Dynamics NAV\60\Service\Microsoft.Dynamics.Nav.Server.exe) has opened key \REGISTRY\USER\S-1-5-21-43736630-4204578947-108325623-622220\Software\Microsoft\SystemCertificates\CA

Als Beispiel ist das Events 1530 auch für die SQL Reporting Services dokumentiert:

2745448        You cannot start SQL Server Reporting Services after you apply the update that is discussed in KB 2677070
https://support.microsoft.com/kb/2745448/EN-US

Wenn eine Applikation eine Manifest-Option wie die Reporting Services nicht bietet, sind die weiteren Optionen abhängig von der Umgebung:

  1. Wenn sich die Maschinen die Updates selber holen sollen bedeutet das, dass die Maschinen Zugang zu den Verteilpunkten auf dem Internet bekommen müssen (Methode 2 in 2745448). Das Thema kann schwierig zu adressieren sein mit den Firewall/Proxy-Admins.
  2. Der Update kann entfernt werden, wenn die Maschinen sich die Update nicht holen sollen. Ob das jedoch langfristig mit der Sicherheitsabteilung durch zu setzen ist, sei dahin gestellt. Ehrlich gesagt, es ist aber die gleiche Sicherheitsabteilung, die den Update ohne Rücksprache zu den im Artikel 2677070 besprochenen Gefahren in die Verteilung gesteckt hat.
  3. Setzen Sie die im Artikel 2677070 besprochene Group Policy, die das Update der Root Zertifikate unterdrückt. Das verhindert die Probleme mit den Updates ebenfalls. In dem Fall ist es ratsam, diese Root Zertifikate mit Hilfe von Windows Active Directory Group Policies zu verteilen. Der Hauptlink ist auch schon im Artikel 2677070 zu finden, die relevanten Passagen sind:

https://technet.microsoft.com/en-us/library/cc754841.aspx#BKMK_managedomain
https://technet.microsoft.com/en-us/library/cc754841.aspx#BKMK_adddomain

Wenn sich die Sicherheitsabteilung immer darum kümmert die Zertifikate in die AD-Verteilung zu stellen, dann ist ja alles gut…

Und die Moral von der Geschicht: Updates blind installieren ist die beste Sache nicht.

Auweia, was für ein Kalauer…

Herbert Mauerer