Update Baseline: Microsofts empfohlene GPO-Einstellungen für Windows-Updates

Nach dem Vorbild der Security Baseline umfasst die Update Baseline das Backup eines GPO für den Import in die GPMC, eine Dokumentation im PDF-Format, eine Excel-Tabelle mit den konfigurierten Einstellungen sowie einen mit gpresult erzeugten englischen HTML-Bericht (hier die deutsche Version).

Für den Import des GPO enthält das Toolkit ein PowerShell-Script namens Baseline-ADImport.ps1. Wenn man es wie im PDF-Dokument beschrieben startet, dann bricht es mit der Fehlermeldung ab, dass es die Datei MapGuidsToGpoNames.ps1 nicht finden kann.

Wie sich schnell zeigt, gehört diese nicht zum Lieferumfang der Update Baseline. Vielmehr ist es Bestandteil der Security Baseline, so dass man diese zusätzlich herunterladen und von dort den Ordner Tools in das Scripts-Verzeichnis der Update Baseline kopieren muss.

Anschließend kann die Ausführung des Scripts noch an der Execution Policy scheitern, die man dann temporär auf Unrestricted setzen müsste.

Nach der erfolgreichen Ausführung des Scripts findet man in der Gruppen­richtlinien­verwaltung unter Gruppen­richt­linien­objekte ein neues GPO namens MSFT Windows Update. Es ist mit keiner OU oder Domäne verknüpft und wird daher auf keine Rechner angewandt.

Wem das Hantieren mit diesem unvollständigen PowerShell-Script zu umständlich ist, kann alternativ ein leeres GPO in der GPMC erstellen und aus dessen Kontextmenü den Assistenten für den Import von Einstellungen starten. Als Verzeichnis gibt man den GPOs-Ordner der Update Baseline an.

Anpassung der vorgegebenen Einstellungen

Admins können das GPO daher erst an die Bedürfnisse des Unternehmens anpassen, bevor sie es verlinken. So ist etwa die Nutzungszeit ("Active Hours") fest auf 18 Stunden eingestellt. Ab Windows 10 1903 kann man diese Option auf Nicht konfiguriert zurücksetzen, weil das System dann automatisch die Nutzungszeit anhand der Arbeits­gewohnheiten des Benutzers ermittelt.

Ziel der Baseline ist es, die Installation von Updates und den Neustart der Rechner zu steuern, sobald die Updates verfügbar sind. Dagegen konfiguriert sie keine Einstellung für den Aufschub von Updates, wie sie sich unter Windows Update für Unternehmen finden. Das Whitepaper empfiehlt hier jedoch einen Wert von null Tagen für normale Updates (keine Feature-Updates).

Energieverwaltung und Delivery Optimization

Wenn man alle Einstellungen des GPOs durchsieht, dann zeigt sich, dass sie nicht nur den Update-Dienst selbst konfigurieren, sondern auch die Energie­verwaltung. Sie sollen etwa bei Notebook dafür sorgen, dass diese nach dem Zuklappen in den Standby gehen und nicht ausgeschaltet werden, um Updates einspielen zu können.

Die Update Baseline konfiguriert zudem eine ganze Reihe von Einstellungen für die Übermittlungs­optimierung, die eine Komponente von Windows Update for Business (WUfB) ist. Letztere erhält bei Microsoft für OS-Updates mittlerweile den Vorzug gegenüber WSUS.

Keine WSUS-Einstellungen

Unternehmen, die weiterhin WSUS nutzen wollen, finden in der Baseline dafür zwar keine Empfehlungen, aber die Vorgaben für die Energie­verwaltung oder das Neustart­verhalten dürften auch für sie trotzdem von Nutzen sein.

Letzteres regelt ausschließlich die neue Einstellung Stichtage für automatische Updates und Neustarts angeben (siehe dazu: Update-Installation und Reboot für Windows 10 über Gruppenrichtlinien konfigurieren).

Nachdem es für das Update-Management eine Vielzahl von Optionen gibt, die teilweise aber bei Windows 10 keinen Effekt mehr haben oder durch neuere Einstellungen ersetzt werden, deaktiviert die Baseline einen großen Teil dieser Altlasten. Auf diese Weise lassen sich mögliche Konflikte ausschließen.

Verfügbarkeit

Die Update Baseline kann von Microsofts Website heruntergeladen werden. Dort kann man auch das erwähnte Whitepaper Optimizing Windows 10 Update Adoption mit in den Download einschließen.