Update-Status von Windows überwachen mit dem kostenlosen Microsoft Update Compliance

Über das Reporting von WSUS kann man zwar erkennen, welche Updates für welche Rechner anstehen und ob das Installieren von Patches gescheitert ist. Einen wirklichen Überblick über die Gefährdungs­lage erhält man mit diesem rudimentären Tool aber nicht.

Als Alternative sieht Microsoft das Cloud-basierte Update Compliance vor. Es handelt sich dabei um eine Funktion von Log Analytics, das verschiedene Ereignisse auf Windows- und Linux-Clients auswerten kann. Die Lizenz für Windows 10 Professional, Education und Enterprise beinhaltet die Nutzung von Update Compliance, so dass dafür keine zusätzlichen Kosten anfallen.

Ein Vorteil von Update Compliance besteht darin, dass es im Gegensatz zum vollen Log Analytics keinen Agent auf den Endgeräten benötigt. Vielmehr reichen ihm die Telemetrie­daten, die Windows 10 ohnehin erfasst und an Microsoft überträgt.

Cloud-Service konfigurieren

Im ersten Schritt richtet man den Service in der Cloud ein. Dazu sucht man im Azure Marketplace nach Update Compliance und klickt auf die entsprechende Kachel.

Anschließend erhält man eine Beschreibung des Services und seiner Funktionen. Auf dieser Seite kann man ihn über die Schaltfläche Create erstellen.

Daraufhin wird man aufgefordert, einen Workspace für Log Analytics auszuwählen.

Wenn man einen solchen noch nicht angelegt hat, was in der Regel der Fall sein dürfte, dann hat man die Möglichkeit, dies an Ort und Stelle nachzuholen. Dazu gibt man im betreffenden Formular dessen Name ein, wählt ein Abonnement und eine Resource Group. Falls nötig kann man auch eine solche gleich erzeugen.

Schließlich wählt man den Standort aus, wobei es hier passieren kann, dass die Bereitstellung nachher scheitert, wenn die betreffende Location den Update-Compliance-Dienst nicht anbietet. Das gilt etwa für Switzerland North. Leider ist dies aus der Auswahl­liste nicht ersichtlich.

Clients konfigurieren

Ist der Service erfolgreich eingerichtet, dann konfiguriert man die Clients, damit sie die benötigten Informationen an Log Analytics übertragen. Wie schon erwähnt, reichen dafür die Telemetrie­daten.

Allerdings muss man auch sicherstellen, dass die entsprechende Einstellung richtig gesetzt ist, weil es etwa in der Enterprise Edition möglich ist, die Übertragung komplett zu deaktivieren. Außerdem muss man verhindern, dass die Benutzer diese Einstellung verändern.

Darüber hinaus benötigt Update Compliance die Namen der Computer für eine aussagekräftige Analyse. Und schließlich muss man die eigenen Geräte dem Cloud-Service über eine eindeutige ID zuordnen. Diese findet man unter dem Menüpunkt Update Compliance Settings.

Script oder GPO

Um die genannten Einstellungen zu konfigurieren, sieht Microsoft entweder die Ausführung eines PowerShell-Scripts oder die Gruppen­richtlinien vor. Die vom Hersteller bevorzugte Variante ist das Script, weil es laufend aktualisiert wird, um eventuell geänderte Anforderungen zu berücksichtigen, und weil es zudem einige Voraussetzungen prüft.

Bei einer größeren Zahl an Rechnern ist das Script aber aufwändiger, weil es sich eigentlich um mehrere Dateien mir gegen­seitigen Abhängigkeiten handelt. Dabei startet eine Batch mit Hilfe von psexec das PowerShell-Script, welches im Kontext des System-Kontos laufen muss.

Einstellungen für die Gruppenrichtlinien

Hat man keine Windows-Dienste deaktiviert, die nach der Installation des Systems standard­mäßig laufen, dann sollte man auch ohne die Prüfungen des Scripts auskommen. Daher kann man sich in diesem Fall für ein GPO entscheiden.

Die erforderlichen Einstellungen finden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Datensammlung und Vorabversionen:

Einstellung	Wert
Telemetrie zulassen	1- Erforderlich
Übermitteln des Gerätenamens in Windows-Diagnosedaten zulassen	Aktiviert
Konfigurieren der Benutzeroberfläche der Telemetrie-Opt-in-Einstellung	Deaktivieren der Telemetrie-Opt-in-Einstellungen
Organisations-ID konfigurieren	Commercial ID key aus dem Azure Portal

Wenn sich in den OUs oder Domänen, mit denen man das GPO verknüpft hat, auch Rechner mit einem anderen OS als Windows 10 befinden, dann sollte man sie über diesen WMI-Filter ausschließen:

select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"

Übertragung der vollen Telemetriedaten anstoßen

Nachdem das GPO auf den Zielrechnern ausgeführt wurde, könnte es trotzdem länger dauern, bis vollständige Daten in Update Compliance auftauchen. Um Bandbreite zu sparen, überträgt devicecensus.exe nämlich nur einmal pro Woche die ganzen Telemetrie­daten.

Daher ändert das Script in der Registry den Wert für Fullsync unter

HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Census

auf 1, startet devicecensus.exe und setzt ihn dann wieder auf den Wert 0 zurück.

Konfiguriert man die Clients über Gruppen­richtlinien, dann empfiehlt es sich, diesem Key über die Group Policy Preferences oder ein Script vorübergehend den Wert 1 zu zuzuweisen, um die Wartezeit zu reduzieren.

In der Regel dauert es mindestens zwei oder drei Tage, bis die ersten Auswertungen im Dashboard von Update Compliance auftauchen. Daher sollte man gleich prüfen, ob es ein Problem beim Transfer der Daten gibt, um nicht unnötig Zeit zu verlieren. Eine detaillierte Auskunft über die versandten Telemetriedaten gibt der Diagnostic Data Viewer.

Ihm kann man nicht nur entnehmen, wann welche Daten übertragen wurden, sondern man sieht dort auch, ob darin der Commercial ID Key enthalten ist. Diesen erkennt man in der JSON-Struktur am Label enrolledTenantId.

Update-Status auswerten

Nach der anfänglichen Wartefrist tauchen die Daten für die konfigurierten Rechner im Dashboard von Update Compliance auf. Die Diagramme sind weitgehend selbsterklärend. Die Übersicht unterteilt sich in PCs, die unmittelbare Aufmerksamkeit erfordern, sowie eigene Bereiche für den Status bei Sicherheits- und Feature-Updates sowie der Übermittlungs­optimierung (Delivery Optimization).

Weitergehende und detaillierte Auswertungen erhält man über Abfragen, die man in Log Analytics formulieren kann. Update Analytics enthält eine ganze Liste von vordefinierten Queries, die sich sofort starten lassen.

Neu unter ihnen ist die Möglichkeit, Hindernisse für Feature Updates ("Safeguard Holds") vorab zu identifizieren.

Fazit

Update Compliance versorgt Administratoren mit essentiellen Informationen über den Status der Windows-10-PCs. Sie helfen dabei, veraltete OS-Installationen zu erkennen und daraus resultierende Sicherheits­lücken zu schließen.

Der Cloud-Service ist in der Lizenz für die Business-Editionen von Windows 10 enthalten und die Installation fällt relativ einfach, so dass die Hürden für seine Nutzung relativ gering sind.

Zu den Nachteilen von Update Compliance gehört, dass es weit entfernt ist von einer Echtzeit­analyse. Schon das initiale Füttern des Tools mit den Telemetriedaten dauert gut 3 Tage und auch danach hängen die gezeigten Status­informationen um Stunden zurück.

Falls man keine Software für das Endpoint Management oder kein SIEM-Tool einsetzt, die einen Einblick in den Update-Status der Rechner geben, dann sollte man den Einsatz von Update Compliance in Erwägung ziehen. Dies gilt besonders dann, wenn man die Patches über Windows Update bezieht, das keinerlei Reporting umfasst.