WSUS: Fixes für fehlerhafte Security-Updates erscheinen als einfache Updates

    Updates in WSUS auf bestimmte Produkte eingrenzenAb und an liefert Microsoft Security-Updates aus, die zu uner­wünschten Neben­wirkungen führen (System­abstürze, insta­bile Anwen­dungen, etc.). Ab­hängig von den Regeln für die Synchro­nisierung und Geneh­migung von Patches in WSUS und SCCM können Unter­nehmen aber dann die Korrek­turen kurz­fristig ver­passen.

    Mit Windows 10 führte Microsoft einen Update-Rhythmus ein und erweiterte ihn später auf Windows 7 / 8.1, bei dem einmal im Monat ja ein separates Paket für Security und normale Bugfixes erscheint. Viele Anwender beschränken sich nun in WSUS oder SCCM darauf, nur die Klassi­fizierung Sicher­heits­updates zu abonnieren.

    Fluch und Segen automatischer Genehmigung

    Da immer öfter für entdeckte Sicherheits­lücken schon kurz nach dem Bekannt­werden Exploits existieren, ist es zudem eine häufige Praxis, Security-Updates in Patch-Management-Systemen wie WSUS automatisch zu genehmigen.

    Updates lassen sich anhand von Filterregeln automatisch freigeben.

    Damit schützen sich Anwender zwar vor den Bedrohungen, denen Systeme ohne die neuesten Patches ausgesetzt sind, sind aber im Falle eines Falles von den Folgen fehler­hafter Updates betroffen.

    Fixes außer der Reihe

    In der Regel schiebt Microsoft dann einen Fix für das jeweilige Update schon nach wenigen Tagen nach ("Out-of-Band Update"). Diesen klassifiziert der Hersteller dann aber nicht mehr als Sicherheits­update, sondern nur mehr als gewöhnliches Update.

    Unternehmen, die aber nur Security-Updates synchronisieren, bleiben dann auf ihren defekten Patches sitzen.

    Ein Blog-Beitrag auf TechNet schlägt für diese Situation nun zwei Lösungen vor, die beide nicht ganz befriedigend sind:

    • Anwender entschließen sich, zusätzlich auch normale Updates zu empfangen, um so Out-of-Band Updates zu erhalten.
    • Sie warten bis zum nächsten Security-Update am folgenden Patch-Tuesday, denn dieses enthält dann auch den Fix für das fehlerhafte Update.

    Keine Begründung gibt der Beitrag indes, warum Microsoft einen Fix für ein fehler­haftes Sicherheits­update nur als Update klassifiziert und was dagegen spräche, beide gleich zu kenn­zeichnen.

    Keine Kommentare