Tags: Windows 10, Patch-Management, WSUS, SCCM
Microsoft empfiehlt Anwendern schon heute, für das Patchen des Betriebssystems Windows Update for Business (WUfB) statt WSUS zu nutzen. Dieses Feature verwehrt Admins jedoch wichtige Steuerungsmöglichkeiten. Der neue Deployment Service erweitert WUfB nun um Genehmigungen und zeitgesteuerte Updates.
Das zusammen mit Windows 10 vorgestellte WUfB besteht aus zwei Komponenten. Zum einen umfasst es einige Gruppenrichtlinien, die steuern, wie Rechner ihre Patches von Windows Update anfordern. Zum anderen zählt dazu die Übermittlungsoptimierung ("Delivery Optimization"), die PCs als Cache für heruntergeladene Updates nutzt. Sie arbeitet aber auch mit WSUS zusammen.
Die Gruppenrichtlinien erlauben dem Admin im Wesentlichen, Feature- und Qualitäts-Updates getrennt für jeweils einen bestimmten Zeitraum zurückzustellen. Die ursprünglich wichtige Option, via GPO zwischen Service-Channels zu wechseln, hat weitgehend an Bedeutung eingebüßt, nachdem es für produktiv eingesetzt Rechner im Prinzip nur mehr den Semi-annual Channel (SAC) gibt.
Durch die Verknüpfung mit GPOs kann WUfB die OUs im Active Directory als Verteilerringe nutzen. Die Rechner erhalten dann nach Ablauf der jeweiligen Frist alle Updates, die Windows Update bereitstellt. Ein Genehmigen oder Ablehnen bestimmter Updates ist nicht vorgesehen.
Patches von Windows Update genehmigen
Derartige Funktionen soll künftig WUfB Deployment Service bieten, den Microsoft auf der Ignite angekündigt hat. Er soll Admins in die Lage versetzen, jeglichen Content aus Windows Update, seien es Feature- und Qualitäts-Updates oder Treiber explizit für bestimmte Rechner freizugeben.
Da es sich um einen Dienst in der Microsoft-Cloud handelt, müssen die von ihm verwalteten Geräte im Azure Active Directory registriert sein. Das kann auch in Form einer hybriden Konfiguration sein, bei der die Objekte des lokalen AD mit dem Azure AD synchronisiert werden. Die Zuordnung der Update-Policies erfolgt dann zu Geräten in AAD-Gruppen.
Rollout von Updates in Phasen
Als weiteres Feature nennt Microsoft die Möglichkeit, Updates zeitgesteuert zu installieren. Damit ließe sich etwa das Upgrade auf Windows 10 20H2 für ausgewählte Geräte auf ein bestimmtes Datum legen. Unterstützt werden dabei auch Deployments in Phasen, um etwa ein Update täglich auf einer gewissen Zahl an PCs zu installieren.
Der Deployment Service soll mit dem bisherigen WUfB zusammenarbeiten und somit die dort konfigurierten Zeiträume für den Aufschub von Updates respektieren. Allerdings lassen sich diese für kritische Patches auch übergehen.
Integration mit Endpoint Manager und Update Compliance
Integriert soll der Dienst zudem mit Endpoint Manager werden, so dass Admins nicht auf einen Schlag alle Rechner auf das neue Patch-Management umstellen müssen. So kann man bestimmte PCs über Intune oder das Co-Management mit SCCM via WUfB Deployment Service versorgen, aber andere weiterhin über das bisherige Verfahren mit dem Endpoint Manager.
Neben dem gezielten Genehmigen von Updates nennt Microsoft das Reporting und Monitoring als weiteres Feature des neuen Dienstes. Diesem Zweck dient eine Erweiterung für Update Compliance, einen weiteren Cloud-Service.
Automatisierung über PowerShell
Die Ankündigung von WUfB Deployment Service führt nicht explizit aus, über welche Konsole Admins den Dienst verwalten können. Aufgrund der Integration mit Endpoint Manager dürfte es sich dabei aber um das Interface von Intune handeln.
Hinzu kommen REST-Schnittstellen über Microsoft Graph sowie ein PowerShell SDK. Dieser Vortrag auf der virtuelle Ignite zeigt ein paar grundlegende Operationen mit Hilfe der entsprechenden Cmdlets.
Verfügbarkeit und Lizenzierung
Eine Preview von WUfB Deployment Service soll im ersten Halbjahr 2021 verfügbar sein. Unternehmen benötigen für die jeweiligen Geräte eine User-Lizenz für Microsoft 365 oder Windows 10 E3, um den Dienst nutzen zu können.
Nachdem die Preview von Server 2022 keinerlei Anhaltspunkt dafür gibt, dass WSUS in irgendeiner Form verbessert oder weiterentwickelt wird, stellt der neue WUfB-Dienst einen weiteren Schritt zur Migration von Microsofts Patch-Managements in die Cloud dar. WSUS bleiben vorerst die Updates für andere Produkte vorbehalten, da sich der neue Cloud-Service noch auf das OS beschränkt.
Known Issue Rollback
Anlässlich der Ignite gab Microsoft auch Einzelheiten zu einer neuen Funktion für die Verteilung von Updates bekannt. Es handelt sich dabei um Known Issue Rollback. Damit lassen sich bestimmte Fixes rückgängig machen, wenn diese Probleme bereiten.
Betroffen davon sind nur Updates, die nicht sicherheitsrelevant sind. Dabei wird beispielsweise nicht ein gesamtes kumulatives Updates revidiert, sondern eine bestimmte Änderung lässt sich fein granular wieder zurücknehmen.
Allerdings obliegt es nicht dem Anwender selbst, einzelne Fixes nach Belieben zurückzurollen. Vielmehr entscheidet Microsoft auf Grundlage der erfassten Diagnosedaten, ob ein Update ein anerkannter Problemfall ist. Erst dann aktiviert es den alten Code, der seit Windows 10 2004 nach einem Update weiter beibehalten wird.
Während dies für Rechner automatisch geschieht, wenn sie über Windows Update (for Business) aktualisiert werden, müssen Admins in verwalteten Umgebungen dafür eine Gruppenrichtlinie nutzen.
Microsoft verlinkt dann im KB-Artikel des Problem-Updates auf den Download für die erforderliche ADMX-Datei. Da der alte Code durch Known Issue Rollback nur begrenzte Zeit beibehalten wird, kann man das zugehörige GPO relativ bald wieder entfernen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
- Unified Update Platform (UUP) on-prem für Windows 10/11 als öffentliche Preview verfügbar
- Microsoft kündigt Unified Update Platform (UUP) für WSUS und ConfigMgr an
- Delivery Optimization (Übermittlungsoptimierung) zusammen mit WSUS nutzen
- Updates für Windows 10 aufschieben mit Gruppenrichtlinien
Weitere Links