Tags: Windows 7, Sicherheit, Patch-Management, WSUS, Windows 8.1
Wie im August angekündigt, krempelt Microsoft den Update-Prozess für Windows 7 und 8.1 sowie für Server 2008 R2 und 2012 (R2) um. Anstatt einzelner Patches gibt es ab dem 11. Oktober Sicherheits-Updates nur mehr im Paket. Hinzu kommt ein kumulatives monatliches Rollup, das auch Bugfixes enthält.
Windows 10 lässt erkennen, welchen Kurs Microsoft bei der Wartung von Client-PCs einschlagen will. Das neue OS schränkte von Anfang an die interaktive Konfiguration des Update-Prozesses ein, indem die App Einstellungen das Deaktivieren und das manuelle Herunterladen von Updates nicht mehr vorsieht. Seit der Version 1607 lässt sich das Einspielen von Updates dort überhaupt nicht mehr anpassen.
Weniger Spielräume für Admins
Auch der neue Modus für die Wartung von Windows 7 und 8.1 verfolgt das Ziel, Endanwendern die Kontrolle weitgehend zu entziehen. In professionellen Umgebungen bleibt zwar die Möglichkeit, die Installation von Updates mittels GPOs, WSUS, SCCM oder anderen Produkten für das Client-Management zu steuern.
Aber auch hier schränkt Microsoft die Bewegungsfreiheit für Administratoren ein, indem diese künftig nicht mehr einzelne Patches verteilen können, sondern nur noch monatlich erscheinende Pakete. Ihre Zusammensetzung und Erscheinungsweise präzisierte nun dieses Blog-Posting auf TechNet.
Reine Security-Fixes
Jeden zweiten Dienstag im Monat (also am traditionellen "Patch Tuesday" während der "B week") wird nur ein einzelnes Update erscheinen. Es wird nur eine KB-Nummer haben, aber alle Security-Fixes für diesen Monat enthalten. Dieses monatliche Sicherheits-Update ist nur über WSUS oder den Windows Update Catalog verfügbar.
In WSUS wird dieses Package als Sicherheitsupdate klassifiziert und mit der höchsten Dringlichkeit versehen. Bestehende Regeln zur automatischen Genehmigung von kritischen Updates für Windows 7 und 8.1 sowie für Server 2008 R2 bis 2012 R2 greifen daher auch für das monatliche Sicherheits-Update.
Monatliches Update für Sicherheit und Stabilität (Rollup)
Gleichzeitig mit dem reinen Sicherheits-Update kommt jeden Monat ebenfalls am Patch Tuesday ein weiteres Paket, das alle Security-Fixes des laufenden Monats sowie alle Updates aus den Vormonaten enthält (also auch solche zur Verbesserung der Systemstabilität).
Das erste monatliche Rollup im Oktober 2016 enthält somit nur die Updates vom September, aber jenes im Dezember wird dann alle von September bis November erschienen Fixes umfassen.
Dieses erscheint nicht nur in WSUS und im Update Catalog, sondern auch über Windows Update. Nachdem es dort das reine Security Update nicht gibt, werden alle PCs von privaten Anwendern und Firmen, die keine zentrale Lösung für das Patch-Management einsetzen, mit dem Rollup aktualisiert.
In WSUS erhalten diese Rollups die gleiche Klassifizierung und Dringlichkeit wie die reinen Security-Updates. Hier sollte man durch Aktivieren der entsprechenden Option die Express-Installationsdateien herunterladen, damit die Clients nur jene Updates holen, die noch nicht installiert sind.
Preview Rollups
Am Dienstag in der dritten Woche eines jeden Monats ("C week") erscheint zudem ein Paket, das neben allen Updates aus den Vormonaten auch eine Vorabversion der Fixes enthält, die in das nächste monatliche Rollup übernommen werden. Die Preview umfasst keine Security-Updates.
Im ersten Quartal 2017 möchte Microsoft damit beginnen, auch ältere Updates in dieses Paket aufzunehmen, also auch solche, die noch aus der Zeit vor September 2016 stammen. Längerfristig sollen daraus vollständige kumulative Rollups werden, so dass ihre Installation einen PC auf den neuesten Stand bringt.
Wie die monatlichen Rollups publiziert Microsoft diese Update-Vorschau in WSUS, im Update Catalog und über Windows Update. Auch sie sollten als Express-Installationsdateien heruntergeladen werden. In WSUS werden solche Preview Rollups als normale Updates klassifiziert.
Update-Strategien
Microsoft empfiehlt erwartungsgemäß, dass Anwender die Updates sofort nach ihrem Erscheinen einspielen und rät dabei zur Verwendung der monatlichen Rollups. Nachdem die reinen Security-Updates als auch die normalen Rollups als Security-Updates mit höchster Dringlichkeit eingestuft werden, rivalisieren die beiden Pakete jedoch, wenn man eine automatische Installation für diese Klassifizierung konfiguriert hat.
In diesem Fall würden die reinen Sicherheits-Updates nicht mehr installiert, wenn zuvor schon das Rollup verteilt wurde. Umgekehrt würden nur mehr die normalen Fixes aus dem Rollup aufgespielt, wenn das Security-Paket zuerst an die Reihe gekommen ist.
Wenn man nur Sicherheits-Patches verteilen möchte, dann sollte man daher keine Regeln zur automatischen Genehmigung von Security-Updates definieren, weil damit auch das Rollup zum Zuge kommt. Vielmehr muss man das Paket mit den Sicherheits-Updates einmal im Monat manuell zur Installation freigeben.
Beschränkt man sich nur auf Security-Updates und benötigt in bestimmten Fällen einen Fix, um einen störenden Bug zu beseitigen, die Performance einer bestimmten Funktion oder die Stabilität des Systems zu verbessern, dann greift man zum letzten Rollup, das diesen Patch enthält.
Dieser lässt sich allerdings nicht alleine installieren, vielmehr muss man dann sämtliche darin enthaltenen Updates akzeptieren, die auf den jeweiligen Ziel-PCs noch nicht vorhanden sind. Damit durchkreuzt man dann jedoch seine bisherige Strategie, nur Sicherheits-Updates zu übernehmen.
Entfernen von Problem-Updates
Nachdem Administratoren künftig Updates nicht mehr einzeln, sondern nur mehr im Paket verteilen können, dürfte die Zahl der installierten Updates insgesamt zunehmen. Das ist zweifellos ein wesentlicher Grund für die Umstellung des Patch-Managements durch Microsoft. Damit steigt aber auch die Gefahr, dass eines davon Probleme bereitet.
Microsoft beteuert zwar, dass Bugfixes nur nach umfangreichen Tests freigegeben werden. Dennoch stellen sich immer wieder unerwünschte Nebeneffekte ein, wie auch die jüngste Vergangenheit wieder zeigte. Aus diesem Grund weist der Hersteller auf die empfohlene Praxis hin, Updates über Verteilerringe nur nach und nach zu installieren, wobei die kritischen Systeme erst bedient werden sollen, wenn sich die Verträglichkeit der Updates auf anderen PCs bestätigt hat.
Sollten jedoch Probleme auftreten, dann lassen sich die Übeltäter nicht einzeln entfernen. Nachdem es sich bei jedem Package oder Rollup um ein Update mit einer einzigen KB-Nummer handelt, muss man notfalls die ganze Sammlung deinstallieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft öffnet verlängerten Support für Windows 7 auch für kleinere Firmen
- Erweiterter Support für Windows 7 bis 2023: Kosten pro Gerät verdoppeln sich jährlich
- WSUS: Fixes für fehlerhafte Security-Updates erscheinen als einfache Updates
- Microsoft ändert Update-Logik für Windows 7/8 und Server 2012 (R2)
- Rollups: Windows 7, 8.1 und Server 2008, 2012 (R2) erhalten keine Einzel-Updates mehr
Weitere Links
1 Kommentar
So ein Bruch !
Wenn ich weiss, dass bislang ein Update Probleme in unserer Umgebung bereitet und ich nun meine Systeme zukünftig aktualisieren muss mit diesem Sammelpatch KB dann wird MS sicherlich den unerwünschten und unverträglichen alten KB Patch mit einschleusen.
Soll ich nun gar nicht mehr patchen oder was?
Ausserdem ist es ärgerlich das ich nun eins bis zwei Nächte länger im Büro sein darf als bislang da sich die Rollups mit den Security Updates konkurrenzieren. ;-(
Bitte MS lasst uns die Freiheit mitzudenken und die Patches wie bis anhin selbständig zu verteilen.
Keiner hat wohl so viel Erfahrung in der eigenen Umgebung wie der Systemengineer selbst.
Ich kann doch nicht jedes mal all die 3rd party Applikationsentwickler fragen ob der Patch von ihnen freigegeben wurde oder nicht.