Gruppenrichtlinien für Windows Update: Microsofts empfohlene Einstellungen

Der bevorzugte Mechanismus ist mittlerweile Windows Update for Business (WUfB), das den Aufschub von Updates erlaubt. Für eine feinere Steuerung des Update-Managements über WUfB sieht Microsoft den Deployment-Service vor. Dieser erhielt nun zusätzlich die Fähigkeit für einen stufenweisen Rollout von Patches.

Die Gruppenrichtlinien spielen in diesem Zusammen­hang nur mehr eine untergeordnete Rolle. Der Hersteller hat erst kürzlich 25 Gruppenrichtlinien für Windows Update ausgemustert. Viele davon werden unter Windows 10 und 11 gar nicht mehr unterstützt.

"Je weniger Policies, umso besser"

Microsoft empfiehlt Unternehmen, ihre Windows-Rechner nach dem gleichen Muster zu aktualisieren wie private Endanwender, weil ein unmodifiziertes Windows Update den besten Kompromiss zwischen Sicherheit und Komfort biete.

Falls dieses Standardverhalten für eine bestimmte Umgebung nicht passt, dann lässt sich der Zeitpunkt für die Installation von Updates sowie den Neustart über Gruppen­richtlinien ändern. Ein Blog-Post auf Microsofts Tech Community beschreibt, welche Einstellungen man abhängig von den jeweiligen Nutzungs­szenarien für diesen Zweck verwenden sollte.

Einstellungen für spezifische Umgebungen

Der Beitrag unterscheidet dabei zwischen PCs, die nur von einem User verwendet werden, solchen die sich mehrere Mitarbeiter teilen, Rechner in Bildungs­einrichtungen, Kiosk-Systemen und PCs für die Produktions­steuerung.

Aus Sicht von Microsoft hat die möglichst rasche Installation von Updates die höchste Priorität, um die Sicherheit der Rechner zu gewährleisten. Daher empfiehlt der Hersteller für alle Szenarien die neue Einstellung Stichtage für automatische Updates und Neustarts angeben ("Specify deadlines for automatic updates and restarts") zu konfigurieren.

Einfluss der User begrenzen

Abhängig von der Nutzungsart kommen weitere Richtlinien hinzu, die primär steuern, wie die Anwender die Installation von Patches beeinflussen können. So ist es in der Regel auf PCs, die sich mehrere User teilen, nicht erwünscht, dass diese den Zeitpunkt für den Neustart bestimmen oder den Download von Updates aktiv anstoßen.

Daher sollte man in solchen Umgebungen, die typischerweise in Schulen oder anderen Bildungs­einrichtungen existieren, die die Steuerungs­möglichkeiten der Benutzer weitgehend einschränken. Diesem Zweck dient die Policy Zugriff auf alle Windows Update-Funktionen entfernen ("Remove access to use all Windows Update features").

Reboot steuern

Überall dort, wo Rechner über einen festen Zeitplan in Prozesse eingebunden sind, empfiehlt Microsoft die Installation von Updates über Automatische Updates konfigurieren => Updates automatisch herunterladen und laut angegebenem Zeitplan installieren ("Configure Automatic Updates => Schedule install time: Daily at X time"). Das gilt zum Beispiel für PCs in der Produktions­steuerung oder solche, die von mehreren Mitarbeitern im Schichtbetrieb verwendet werden.

Die automatische Ermittlung eines günstigen Zeitpunkts für den Neustart kann unter solchen Bedingungen ebenfalls schwierig sein. Admins haben in diesem Fall die Möglichkeit, über die Einstellung Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren ("Turn off auto-restart for updates during active hours") einen bestimmten Termin vorzugeben.

Eine detaillierte Beschreibung der empfohlenen Einstellungen findet sich in dem erwähnten Beitrag auf Microsofts Tech Community.