Update-Status von Windows 10 überwachen mit dem kostenlosen Microsoft Update Compliance

    Microsoft Update ComplianceDas zügige Ein­spielen von Updates gehört zu den wichtigsten Maß­nahmen, um die Sicher­heit von PCs zu gewähr­leisten. Die Bord­mittel von Windows enthalten keine Tools, die dem Admin einen Überblick über den Patch-Stand aller Rechner im Netz­werk gibt. Diese Auf­gabe erfüllt jedoch das Azure-basierte Update Compliance.

    Microsoft liefert mit Windows Update (for Business) und WSUS zwar die Werkzeuge, um Windows-Rechner aktuell zu halten. Möchte man aber herausfinden, ob alle kritischen Updates erfolgreich installiert wurden oder ob einzelne Rechner noch bekannte Schwachstellen aufweisen, dann helfen die Bordmittel kaum weiter.

    WSUS mit einfachem Reporting

    Über das Reporting von WSUS kann man zwar erkennen, welche Updates für welche Rechner anstehen und ob das Installieren von Patches gescheitert ist. Einen wirklichen Überblick über die Gefährdungs­lage erhält man mit diesem rudimentären Tool aber nicht.

    Als Alternative sieht Microsoft das Cloud-basierte Update Compliance vor. Es handelt sich dabei um eine Funktion von Log Analytics, das verschiedene Ereignisse auf Windows- und Linux-Clients auswerten kann. Die Lizenz für Windows 10 Professional, Education und Enterprise beinhaltet die Nutzung von Update Compliance, so dass dafür keine zusätzlichen Kosten anfallen.

    Ein Vorteil von Update Compliance besteht darin, dass es im Gegensatz zum vollen Log Analytics keinen Agent auf den Endgeräten benötigt. Vielmehr reichen ihm die Telemetrie­daten, die Windows 10 ohnehin erfasst und an Microsoft überträgt.

    Cloud-Service konfigurieren

    Im ersten Schritt richtet man den Service in der Cloud ein. Dazu sucht man im Azure Marketplace nach Update Compliance und klickt auf die entsprechende Kachel.

    Update Compliance findet man über die Suche im Marketplace.

    Anschließend erhält man eine Beschreibung des Services und seiner Funktionen. Auf dieser Seite kann man ihn über die Schaltfläche Create erstellen.

    Informationen zu Update Compliance auf der Seite des Services im Azure Portal. Dort kann man ihn auch einrichten.

    Daraufhin wird man aufgefordert, einen Workspace für Log Analytics auszuwählen.

    Auswahl eines Log Analytics Workspace für Update Compliance

    Wenn man einen solchen noch nicht angelegt hat, was in der Regel der Fall sein dürfte, dann hat man die Möglichkeit, dies an Ort und Stelle nachzuholen. Dazu gibt man im betreffenden Formular dessen Name ein, wählt ein Abonnement und eine Resource Group. Falls nötig kann man auch eine solche gleich erzeugen.

    Neuen Workspace für Log Analytics erzeugen

    Schließlich wählt man den Standort aus, wobei es hier passieren kann, dass die Bereitstellung nachher scheitert, wenn die betreffende Location den Update-Compliance-Dienst nicht anbietet. Das gilt etwa für Switzerland North. Leider ist dies aus der Auswahl­liste nicht ersichtlich.

    Clients konfigurieren

    Ist der Service erfolgreich eingerichtet, dann konfiguriert man die Clients, damit sie die benötigten Informationen an Log Analytics übertragen. Wie schon erwähnt, reichen dafür die Telemetrie­daten.

    Allerdings muss man auch sicherstellen, dass die entsprechende Einstellung richtig gesetzt ist, weil es etwa in der Enterprise Edition möglich ist, die Übertragung komplett zu deaktivieren. Außerdem muss man verhindern, dass die Benutzer diese Einstellung verändern.

    Darüber hinaus benötigt Update Compliance die Namen der Computer für eine aussagekräftige Analyse. Und schließlich muss man die eigenen Geräte dem Cloud-Service über eine eindeutige ID zuordnen. Diese findet man unter dem Menüpunkt Update Compliance Settings.

    Den Commercial ID Key benötigt man sowohl für das Script als auch für die Gruppenrichtlinien.

    Script oder GPO

    Um die genannten Einstellungen zu konfigurieren, sieht Microsoft entweder die Ausführung eines PowerShell-Scripts oder die Gruppen­richtlinien vor. Die vom Hersteller bevorzugte Variante ist das Script, weil es laufend aktualisiert wird, um eventuell geänderte Anforderungen zu berücksichtigen, und weil es zudem einige Voraussetzungen prüft.

    Bei einer größeren Zahl an Rechnern ist das Script aber aufwändiger, weil es sich eigentlich um mehrere Dateien mir gegen­seitigen Abhängigkeiten handelt. Dabei startet eine Batch mit Hilfe von psexec das PowerShell-Script, welches im Kontext des System-Kontos laufen muss.

    Einstellungen für die Gruppenrichtlinien

    Hat man keine Windows-Dienste deaktiviert, die nach der Installation des Systems standard­mäßig laufen, dann sollte man auch ohne die Prüfungen des Scripts auskommen. Daher kann man sich in diesem Fall für ein GPO entscheiden.

    Erforderliche GPO-Einstellungen für Update Compliance

    Die erforderlichen Einstellungen finden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Datensammlung und Vorabversionen:

    EinstellungWert
    Telemetrie zulassen 1- Erforderlich
    Übermitteln des Gerätenamens in Windows-Diagnosedaten zulassen Aktiviert
    Konfigurieren der Benutzeroberfläche der Telemetrie-Opt-in-Einstellung Deaktivieren der Telemetrie-Opt-in-Einstellungen
    Organisations-ID konfigurieren Commercial ID key aus dem Azure Portal

    Wenn sich in den OUs oder Domänen, mit denen man das GPO verknüpft hat, auch Rechner mit einem anderen OS als Windows 10 befinden, dann sollte man sie über diesen WMI-Filter ausschließen:

    select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"

    Übertragung der vollen Telemetriedaten anstoßen

    Nachdem das GPO auf den Zielrechnern ausgeführt wurde, könnte es trotzdem länger dauern, bis vollständige Daten in Update Compliance auftauchen. Um Bandbreite zu sparen, überträgt devicecensus.exe nämlich nur einmal pro Woche die ganzen Telemetrie­daten.

    Daher ändert das Script in der Registry den Wert für Fullsync unter

    HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Census

    auf 1, startet devicecensus.exe und setzt ihn dann wieder auf den Wert 0 zurück.

    Konfiguriert man die Clients über Gruppen­richtlinien, dann empfiehlt es sich, diesem Key über die Group Policy Preferences oder ein Script vorübergehend den Wert 1 zu zuzuweisen, um die Wartezeit zu reduzieren.

    In der Regel dauert es mindestens zwei oder drei Tage, bis die ersten Auswertungen im Dashboard von Update Compliance auftauchen. Daher sollte man gleich prüfen, ob es ein Problem beim Transfer der Daten gibt, um nicht unnötig Zeit zu verlieren. Eine detaillierte Auskunft über die versandten Telemetriedaten gibt der Diagnostic Data Viewer.

    Der Diagnostic Data Viewer zeigt, wann Daten an Update Compliance übertragen wurden, und ob der Key enthalten ist.

    Ihm kann man nicht nur entnehmen, wann welche Daten übertragen wurden, sondern man sieht dort auch, ob darin der Commercial ID Key enthalten ist. Diesen erkennt man in der JSON-Struktur am Label enrolledTenantId.

    Update-Status auswerten

    Nach der anfänglichen Wartefrist tauchen die Daten für die konfigurierten Rechner im Dashboard von Update Compliance auf. Die Diagramme sind weitgehend selbsterklärend. Die Übersicht unterteilt sich in PCs, die unmittelbare Aufmerksamkeit erfordern, sowie eigene Bereiche für den Status bei Sicherheits- und Feature-Updates sowie der Übermittlungs­optimierung (Delivery Optimization).

    Übersicht über den Update-Status von PCs mit Windows 10 in Update Compliance

    Weitergehende und detaillierte Auswertungen erhält man über Abfragen, die man in Log Analytics formulieren kann. Update Analytics enthält eine ganze Liste von vordefinierten Queries, die sich sofort starten lassen.

    Vordefinierte Abfragen in Update Compliance

    Neu unter ihnen ist die Möglichkeit, Hindernisse für Feature Updates ("Safeguard Holds") vorab zu identifizieren.

    Fazit

    Update Compliance versorgt Administratoren mit essentiellen Informationen über den Status der Windows-10-PCs. Sie helfen dabei, veraltete OS-Installationen zu erkennen und daraus resultierende Sicherheits­lücken zu schließen.

    Der Cloud-Service ist in der Lizenz für die Business-Editionen von Windows 10 enthalten und die Installation fällt relativ einfach, so dass die Hürden für seine Nutzung relativ gering sind.

    Zu den Nachteilen von Update Compliance gehört, dass es weit entfernt ist von einer Echtzeit­analyse. Schon das initiale Füttern des Tools mit den Telemetriedaten dauert gut 3 Tage und auch danach hängen die gezeigten Status­informationen um Stunden zurück.

    Falls man keine Software für das Endpoint Management oder kein SIEM-Tool einsetzt, die einen Einblick in den Update-Status der Rechner geben, dann sollte man den Einsatz von Update Compliance in Erwägung ziehen. Dies gilt besonders dann, wenn man die Patches über Windows Update bezieht, das keinerlei Reporting umfasst.

    3 Kommentare

    Edmund Jung sagt:
    11. November 2020 - 8:21

    Hallo,
    Sie schreiben in Ihrem Artikel das das Produkt Kostenlos ist, wenn ich es aber versuche bei mir einzurichten, bekomme ich diese Meldung.

    --------------------
    Verzeichnis wechseln

    Sie sind aktuell beim Verzeichnis "FIRMA" angemeldet, das keine Abonnements umfasst. Sie können entweder zu einem anderen Verzeichnis wechseln oder sich für ein neues Abonnement registrieren.
    ---------------------

    ich kann mir laut MS einen 12 Monatigen "free Accout" erstellen lassen, aber halt nur für 12 Monate.
    haben Sie das auch so gemeint mit den 12 Monaten? oder mache ich da was falsch?
    Danke für ihren Tipp

    https://azure.microsoft.com/en-us/free/?ref=portal

    Bild von Wolfgang Sommergut
    11. November 2020 - 10:50

    Sie brauchen einen Azure-Account, aber für Update Compliance wird Ihnen nichts in Rechnung gestellt.

    Edmund Jung sagt:
    11. November 2020 - 11:30

    hmm komisch, das sollte eigentlich nicht das Problem sein, wir habe sehr viele Office E3 Lizenzen, Azure ist da ja immer mit an board.
    oder wird da noch eine Azure P1 Lizenz benötigt?