WSUS aus der Cloud: Microsoft kündigt Windows Update for Business Deployment Service an

    Patch-Management aus der CloudMicrosoft empfiehlt Anwendern schon heute, für das Patchen des Betriebs­systems Windows Update for Business (WUfB) statt WSUS zu nutzen. Dieses Feature ver­wehrt Admins jedoch wichtige Steuerungs­möglich­keiten. Der neue Deployment Service erweitert WUfB nun um Geneh­migungen und zeit­gesteuerte Updates.

    Das zusammen mit Windows 10 vorgestellte WUfB besteht aus zwei Komponenten. Zum einen umfasst es einige Gruppen­richtlinien, die steuern, wie Rechner ihre Patches von Windows Update anfordern. Zum anderen zählt dazu die Übermittlungs­optimierung ("Delivery Optimization"), die PCs als Cache für herunter­geladene Updates nutzt. Sie arbeitet aber auch mit WSUS zusammen.

    Die Gruppen­richtlinien erlauben dem Admin im Wesentlichen, Feature- und Qualitäts-Updates getrennt für jeweils einen bestimmten Zeitraum zurück­zustellen. Die ursprünglich wichtige Option, via GPO zwischen Service-Channels zu wechseln, hat weitgehend an Bedeutung eingebüßt, nachdem es für produktiv eingesetzt Rechner im Prinzip nur mehr den Semi-annual Channel (SAC) gibt.

    WUfB beschränkt sich primär auf das Aufschieben von Updates. Der Wechsel zwischen Service-Channels hat kaum noch Bedeutung.

    Durch die Verknüpfung mit GPOs kann WUfB die OUs im Active Directory als Verteilerringe nutzen. Die Rechner erhalten dann nach Ablauf der jeweiligen Frist alle Updates, die Windows Update bereitstellt. Ein Genehmigen oder Ablehnen bestimmter Updates ist nicht vorgesehen.

    Patches von Windows Update genehmigen

    Derartige Funktionen soll künftig WUfB Deployment Service bieten, den Microsoft auf der Ignite angekündigt hat. Er soll Admins in die Lage versetzen, jeglichen Content aus Windows Update, seien es Feature- und Qualitäts-Updates oder Treiber explizit für bestimmte Rechner freizugeben.

    Da es sich um einen Dienst in der Microsoft-Cloud handelt, müssen die von ihm verwalteten Geräte im Azure Active Directory registriert sein. Das kann auch in Form einer hybriden Konfiguration sein, bei der die Objekte des lokalen AD mit dem Azure AD synchronisiert werden. Die Zuordnung der Update-Policies erfolgt dann zu Geräten in AAD-Gruppen.

    Rollout von Updates in Phasen

    Als weiteres Feature nennt Microsoft die Möglichkeit, Updates zeitgesteuert zu installieren. Damit ließe sich etwa das Upgrade auf Windows 10 20H2 für ausgewählte Geräte auf ein bestimmtes Datum legen. Unterstützt werden dabei auch Deployments in Phasen, um etwa ein Update täglich auf einer gewissen Zahl an PCs zu installieren.

    Der Deployment Service soll mit dem bisherigen WUfB zusammen­arbeiten und somit die dort konfigurierten Zeiträume für den Aufschub von Updates respektieren. Allerdings lassen sich diese für kritische Patches auch übergehen.

    Integration mit Endpoint Manager und Update Compliance

    Integriert soll der Dienst zudem mit Endpoint Manager werden, so dass Admins nicht auf einen Schlag alle Rechner auf das neue Patch-Management umstellen müssen. So kann man bestimmte PCs über Intune oder das Co-Management mit SCCM via WUfB Deployment Service versorgen, aber andere weiterhin über das bisherige Verfahren mit dem Endpoint Manager.

    Neben dem gezielten Genehmigen von Updates nennt Microsoft das Reporting und Monitoring als weiteres Feature des neuen Dienstes. Diesem Zweck dient eine Erweiterung für Update Compliance, einen weiteren Cloud-Service.

    Automatisierung über PowerShell

    Die Ankündigung von WUfB Deployment Service führt nicht explizit aus, über welche Konsole Admins den Dienst verwalten können. Aufgrund der Integration mit Endpoint Manager dürfte es sich dabei aber um das Interface von Intune handeln.

    Policies für WUfB Deployment Service lassen sich über PowerShell definieren und an Geräte zuweisen.

    Hinzu kommen REST-Schnittstellen über Microsoft Graph sowie ein PowerShell SDK. Dieser Vortrag auf der virtuelle Ignite zeigt ein paar grundlegende Operationen mit Hilfe der entsprechenden Cmdlets.

    Verfügbarkeit und Lizenzierung

    Eine Preview von WUfB Deployment Service soll im ersten Halbjahr 2021 verfügbar sein. Unter­nehmen benötigen für die jeweiligen Geräte eine User-Lizenz für Microsoft 365 oder Windows 10 E3, um den Dienst nutzen zu können.

    Nachdem die Preview von Server 2022 keinerlei Anhaltspunkt dafür gibt, dass WSUS in irgendeiner Form verbessert oder weiter­entwickelt wird, stellt der neue WUfB-Dienst einen weiteren Schritt zur Migration von Microsofts Patch-Managements in die Cloud dar. WSUS bleiben vorerst die Updates für andere Produkte vorbehalten, da sich der neue Cloud-Service noch auf das OS beschränkt.

    Known Issue Rollback

    Anlässlich der Ignite gab Microsoft auch Einzelheiten zu einer neuen Funktion für die Verteilung von Updates bekannt. Es handelt sich dabei um Known Issue Rollback. Damit lassen sich bestimmte Fixes rückgängig machen, wenn diese Probleme bereiten.

    Betroffen davon sind nur Updates, die nicht sicherheits­relevant sind. Dabei wird beispielsweise nicht ein gesamtes kumulatives Updates revidiert, sondern eine bestimmte Änderung lässt sich fein granular wieder zurücknehmen.

    Allerdings obliegt es nicht dem Anwender selbst, einzelne Fixes nach Belieben zurückzurollen. Vielmehr entscheidet Microsoft auf Grundlage der erfassten Diagnosedaten, ob ein Update ein anerkannter Problemfall ist. Erst dann aktiviert es den alten Code, der seit Windows 10 2004 nach einem Update weiter beibehalten wird.

    Ablauf für das Zurückrollen defekter Updates in verwalteten Umgebungen

    Während dies für Rechner automatisch geschieht, wenn sie über Windows Update (for Business) aktualisiert werden, müssen Admins in verwalteten Umgebungen dafür eine Gruppen­richtlinie nutzen.

    Microsoft verlinkt dann im KB-Artikel des Problem-Updates auf den Download für die erforderliche ADMX-Datei. Da der alte Code durch Known Issue Rollback nur begrenzte Zeit beibehalten wird, kann man das zugehörige GPO relativ bald wieder entfernen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare