Tags: Windows 7, SCCM, Patch-Management, WSUS
Seit Oktober 2016 unterliegen ältere Windows-Versionen einem veränderten Schema für das Patch-Management. Dabei ergänzen regelmäßige kumulative Rollups die monatlichen Sicherheits-Updates. Die beiden Update-Pakete kamen sich aber zuletzt in die Quere, so dass Microsoft nun den Mechanismus anpasst.
Die wichtigste Änderung des neuen Service-Modells besteht darin, dass Administratoren nicht mehr einzelne Patches installieren können, sondern immer ein ganzes Paket einspielen müssen. Sie entscheiden sich dabei in jedem Monat zwischen einer Sammlung mit reinen Security-Fixes und einem Rollup, das zusätzliche Qualitätsverbesserungen enthält.
Viele Firmen beschränken sich auf Security-Updates
Kompliziert wird die Lage zusätzlich dadurch, dass die Pakete über unterschiedliche Kanäle verfügbar sind und Rollups aufgrund ihres kumulativen Charakters bisherige Updates ersetzen (siehe dazu: Updates für Windows 7, 8.1: Security-Fixes, Rollups und Rollup-Previews in jedem Monat).
Eine Strategie vieler Unternehmen besteht nun darin, bloß die monatlichen Security-Updates zu übernehmen. Diese enthalten nur die jeweils aktuellen Patches und sind somit nicht kumulativ. Die Rollups umfassen ebenfalls nur die Sicherheits-Updates des jeweiligen Monats, aber zusätzlich alle bis dahin erschienen Qualitäts-Updates.
Supersedence ersetzt Security-Updates
Allerdings machte das bisherige System einem Blog-Eintrag auf TechNet zufolge vielen Anwendern einen Strich durch die Rechnung, wenn sie sich auf Security-Updates beschränken wollten. Eine Reihe von Firmen, die WSUS oder SCCM einsetzen, erhielten nämlich nicht nur die gewünschten Security-Updates, sondern diese wurden offenbar durch das Rollup überschrieben (das sie entweder gar nicht oder zu einem späteren Zeitpunkt installieren wollten).
Verantwortlich dafür war die Beziehung zwischen den Paketen, welche in WSUS und SCCM die so genannte Supersedence bestimmen. Für die kommenden Updates, die ab dem 13. Dezember anstehen, ändert Microsoft diese Einstellungen, und zwar auch rückwirkend für die Updates von Oktober und November.
Neue Logik ab Dezember
Zu diesem Zweck veröffentlicht Microsoft Updates für die bisherigen Security-Fixes, die aber nur die Metadaten enthalten und somit die Logik für die Supersedence ändern. Dies erfordert eine neue Synchronisierung in WSUS.
Die Änderung soll nicht nur das Überschreiben von Security-Updates durch Rollups verhindern, sondern sie blockiert auch die Installation des reinen Sicherheits-Updates, wenn ein korrespondierendes Rollup bereits eingespielt wurde.
Im Ergebnis können Anwender künftig selektiv einzelne Pakete mit Security-Updates für Windows 7, 8.1 sowie Server 2008 R2 und 2012 (R2) installieren. Bei Bedarf lassen sich auch Rollups übernehmen, ohne dass sich diese anschließend mit den reinen Sicherheits-Updates ins Gehege kommen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Unified Update Platform (UUP) on-prem für Windows 10/11 als öffentliche Preview verfügbar
- Microsoft kündigt Unified Update Platform (UUP) für WSUS und ConfigMgr an
- WSUS aus der Cloud: Microsoft kündigt Windows Update for Business Deployment Service an
- System Center Update Publisher (SCUP): Patches von Drittherstellern mit SCCM verteilen
- WSUS: Fixes für fehlerhafte Security-Updates erscheinen als einfache Updates
Weitere Links
2 Kommentare
Dieses ewige hin und her mit den Updates nervt.
Wir haben einen WSUS Server im Einsatz und eine genaue Planung einer internen Update Policy war nach dem Umstellen der Update Pakete gar nicht so einfach.
Es gab öfters mal Updates die gravierende Änderungen im AD oder GPOs hervorgerufen haben, die wir dann einfach wieder entfernen konnten.
Bei den update Packs wird dies wohl nicht mehr so einfach sein.
Dementsprechend müssen Administratoren ihre Systeme so anpassen, das Sie an die Microsoft vorgaben passen.
Der WSUS an sich könnte auch mal ein Upgrade vertragen.
@Steven: Meine Rede. Bei uns hat das Durcheinander dazu geführt, dass der WSUS ersetzt und vollkommen neu eingerichtet und konzipiert werden musste.
Express Updates (aufgrund der Empfehlung MS umgeschaltet) sind zudem sehr gross, die Disk läuft dauernd voll.
LG John