Microsoft ändert Update-Logik für Windows 7/8 und Server 2012 (R2)

    Windows Update IconSeit Oktober 2016 unterliegen ältere Windows-Versionen einem verän­derten Schema für das Patch-Manage­ment. Dabei ergänzen regel­mäßige kumu­lative Rollups die monat­lichen Sicher­heits-Updates. Die beiden Update-Pakete kamen sich aber zuletzt in die Quere, so dass Microsoft nun den Mecha­nismus anpasst.

    Die wichtigste Änderung des neuen Service-Modells besteht darin, dass Administratoren nicht mehr einzelne Patches installieren können, sondern immer ein ganzes Paket einspielen müssen. Sie entscheiden sich dabei in jedem Monat zwischen einer Sammlung mit reinen Security-Fixes und einem Rollup, das zusätzliche Qualitäts­verbesserungen enthält.

    Viele Firmen beschränken sich auf Security-Updates

    Kompliziert wird die Lage zusätzlich dadurch, dass die Pakete über unterschiedliche Kanäle verfügbar sind und Rollups aufgrund ihres kumulativen Charakters bisherige Updates ersetzen (siehe dazu: Updates für Windows 7, 8.1: Security-Fixes, Rollups und Rollup-Previews in jedem Monat).

    Eine Strategie vieler Unternehmen besteht nun darin, bloß die monatlichen Security-Updates zu übernehmen. Diese enthalten nur die jeweils aktuellen Patches und sind somit nicht kumulativ. Die Rollups umfassen ebenfalls nur die Sicherheits-Updates des jeweiligen Monats, aber zusätzlich alle bis dahin erschienen Qualitäts-Updates.

    Supersedence ersetzt Security-Updates

    Allerdings machte das bisherige System einem Blog-Eintrag auf TechNet zufolge vielen Anwendern einen Strich durch die Rechnung, wenn sie sich auf Security-Updates beschränken wollten. Eine Reihe von Firmen, die WSUS oder SCCM einsetzen, erhielten nämlich nicht nur die gewünschten Security-Updates, sondern diese wurden offenbar durch das Rollup überschrieben (das sie entweder gar nicht oder zu einem späteren Zeitpunkt installieren wollten).

    In der Vergangenheit konnten Rollups die reinen Security-Updates überschreiben.

    Verantwortlich dafür war die Beziehung zwischen den Paketen, welche in WSUS und SCCM die so genannte Supersedence bestimmen. Für die kommenden Updates, die ab dem 13. Dezember anstehen, ändert Microsoft diese Einstellungen, und zwar auch rückwirkend für die Updates von Oktober und November.

    Neue Logik ab Dezember

    Zu diesem Zweck veröffentlicht Microsoft Updates für die bisherigen Security-Fixes, die aber nur die Metadaten enthalten und somit die Logik für die Supersedence ändern. Dies erfordert eine neue Synchronisierung in WSUS.

    Microsoft definiert die Abhängigkeiten zwischen den Update-Paketen neu, so dass Security-Patches nicht mehr ersetzt werden.

    Die Änderung soll nicht nur das Überschreiben von Security-Updates durch Rollups verhindern, sondern sie blockiert auch die Installation des reinen Sicherheits-Updates, wenn ein korrespondierendes Rollup bereits eingespielt wurde.

    Im Ergebnis können Anwender künftig selektiv einzelne Pakete mit Security-Updates für Windows 7, 8.1 sowie Server 2008 R2 und 2012 (R2) installieren. Bei Bedarf lassen sich auch Rollups übernehmen, ohne dass sich diese anschließend mit den reinen Sicherheits-Updates ins Gehege kommen.

    2 Kommentare

    Bild von Steven
    Steven sagt:
    12. Dezember 2016 - 16:56

    Dieses ewige hin und her mit den Updates nervt.
    Wir haben einen WSUS Server im Einsatz und eine genaue Planung einer internen Update Policy war nach dem Umstellen der Update Pakete gar nicht so einfach.

    Es gab öfters mal Updates die gravierende Änderungen im AD oder GPOs hervorgerufen haben, die wir dann einfach wieder entfernen konnten.
    Bei den update Packs wird dies wohl nicht mehr so einfach sein.
    Dementsprechend müssen Administratoren ihre Systeme so anpassen, das Sie an die Microsoft vorgaben passen.

    Der WSUS an sich könnte auch mal ein Upgrade vertragen.

    Bild von John
    John sagt:
    13. Dezember 2016 - 11:23

    @Steven: Meine Rede. Bei uns hat das Durcheinander dazu geführt, dass der WSUS ersetzt und vollkommen neu eingerichtet und konzipiert werden musste.
    Express Updates (aufgrund der Empfehlung MS umgeschaltet) sind zudem sehr gross, die Disk läuft dauernd voll.

    LG John