Gruppenrichtlinien für Windows Update: Microsofts empfohlene Einstellungen


    Tags: , ,

    Rollback nach gescheitertem Feature-Update von Windows 10Grundsätzlich empfiehlt Microsoft schon länger, dass Unter­nehmen ihre PCs mit den vorgegebenen Ein­stellungen von Windows Update aktualisieren sollten. Wenn dieses Standard­verhalten den Anfor­derungen der Kunden nicht genügt, dann sieht der Hersteller nur mehr wenige Optionen für die Anpassung vor.

    Microsofts gesamtes Update- und Patch-Management für Windows ist seit längerer Zeit im Umbruch. Der Trend geht auch hier in Richtung Cloud, was sich auch darin zeigt, dass die WSUS seit Jahren keine nennenswerten Neuerungen mehr erhielten.

    Microsoft favorisiert Windows Update

    Der bevorzugte Mechanismus ist mittlerweile Windows Update for Business (WUfB), das den Aufschub von Updates erlaubt. Für eine feinere Steuerung des Update-Managements über WUfB sieht Microsoft den Deployment-Service vor. Dieser erhielt nun zusätzlich die Fähigkeit für einen stufenweisen Rollout von Patches.

    Die Gruppenrichtlinien spielen in diesem Zusammen­hang nur mehr eine untergeordnete Rolle. Der Hersteller hat erst kürzlich 25 Gruppenrichtlinien für Windows Update ausgemustert. Viele davon werden unter Windows 10 und 11 gar nicht mehr unterstützt.

    Die Templates für Windows 11 lagern die veralteten Einstellungen in einen eigenen Ordner aus.

    "Je weniger Policies, umso besser"

    Microsoft empfiehlt Unternehmen, ihre Windows-Rechner nach dem gleichen Muster zu aktualisieren wie private Endanwender, weil ein unmodifiziertes Windows Update den besten Kompromiss zwischen Sicherheit und Komfort biete.

    Falls dieses Standardverhalten für eine bestimmte Umgebung nicht passt, dann lässt sich der Zeitpunkt für die Installation von Updates sowie den Neustart über Gruppen­richtlinien ändern. Ein Blog-Post auf Microsofts Tech Community beschreibt, welche Einstellungen man abhängig von den jeweiligen Nutzungs­szenarien für diesen Zweck verwenden sollte.

    Einstellungen für spezifische Umgebungen

    Der Beitrag unterscheidet dabei zwischen PCs, die nur von einem User verwendet werden, solchen die sich mehrere Mitarbeiter teilen, Rechner in Bildungs­einrichtungen, Kiosk-Systemen und PCs für die Produktions­steuerung.

    Aus Sicht von Microsoft hat die möglichst rasche Installation von Updates die höchste Priorität, um die Sicherheit der Rechner zu gewährleisten. Daher empfiehlt der Hersteller für alle Szenarien die neue Einstellung Stichtage für automatische Updates und Neustarts angeben ("Specify deadlines for automatic updates and restarts") zu konfigurieren.

    Mit einer neuen Einstellung für Windows Update lässt sich das Einspielen von Patches in einer bestimmten Frist erzwingen.

    Einfluss der User begrenzen

    Abhängig von der Nutzungsart kommen weitere Richtlinien hinzu, die primär steuern, wie die Anwender die Installation von Patches beeinflussen können. So ist es in der Regel auf PCs, die sich mehrere User teilen, nicht erwünscht, dass diese den Zeitpunkt für den Neustart bestimmen oder den Download von Updates aktiv anstoßen.

    Daher sollte man in solchen Umgebungen, die typischerweise in Schulen oder anderen Bildungs­einrichtungen existieren, die die Steuerungs­möglichkeiten der Benutzer weitgehend einschränken. Diesem Zweck dient die Policy Zugriff auf alle Windows Update-Funktionen entfernen ("Remove access to use all Windows Update features").

    Reboot steuern

    Überall dort, wo Rechner über einen festen Zeitplan in Prozesse eingebunden sind, empfiehlt Microsoft die Installation von Updates über Automatische Updates konfigurieren => Updates automatisch herunterladen und laut angegebenem Zeitplan installieren ("Configure Automatic Updates => Schedule install time: Daily at X time"). Das gilt zum Beispiel für PCs in der Produktions­steuerung oder solche, die von mehreren Mitarbeitern im Schichtbetrieb verwendet werden.

    Die automatische Ermittlung eines günstigen Zeitpunkts für den Neustart kann unter solchen Bedingungen ebenfalls schwierig sein. Admins haben in diesem Fall die Möglichkeit, über die Einstellung Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren ("Turn off auto-restart for updates during active hours") einen bestimmten Termin vorzugeben.

    Eine detaillierte Beschreibung der empfohlenen Einstellungen findet sich in dem erwähnten Beitrag auf Microsofts Tech Community.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links