Updates für Windows 7 und 8.1: Security-Fixes, Rollups und Rollup-Previews in jedem Monat

Weniger Spielräume für Admins

Auch der neue Modus für die Wartung von Windows 7 und 8.1 verfolgt das Ziel, Endan­wendern die Kontrolle weitgehend zu entziehen. In professionellen Umgebungen bleibt zwar die Möglichkeit, die Installation von Updates mittels GPOs, WSUS, SCCM oder anderen Produkten für das Client-Management zu steuern.

Aber auch hier schränkt Microsoft die Bewegungs­freiheit für Admini­stratoren ein, indem diese künftig nicht mehr einzelne Patches verteilen können, sondern nur noch monatlich erscheinende Pakete. Ihre Zusammen­setzung und Erscheinungs­weise präzisierte nun dieses Blog-Posting auf TechNet.

Reine Security-Fixes

Jeden zweiten Dienstag im Monat (also am traditionellen "Patch Tuesday" während der "B week") wird nur ein einzelnes Update erscheinen. Es wird nur eine KB-Nummer haben, aber alle Security-Fixes für diesen Monat enthalten. Dieses monatliche Sicherheits-Update ist nur über WSUS oder den Windows Update Catalog verfügbar.

In WSUS wird dieses Package als Sicherheitsupdate klassifiziert und mit der höchsten Dringlichkeit versehen. Bestehende Regeln zur auto­matischen Genehmigung von kritischen Updates für Windows 7 und 8.1 sowie für Server 2008 R2 bis 2012 R2 greifen daher auch für das monatliche Sicherheits-Update.

Monatliches Update für Sicherheit und Stabilität (Rollup)

Gleichzeitig mit dem reinen Sicherheits-Update kommt jeden Monat ebenfalls am Patch Tuesday ein weiteres Paket, das alle Security-Fixes des laufenden Monats sowie alle Updates aus den Vormonaten enthält (also auch solche zur Verbesserung der Systemstabilität).

Das erste monatliche Rollup im Oktober 2016 enthält somit nur die Updates vom September, aber jenes im Dezember wird dann alle von September bis November erschienen Fixes umfassen.

Dieses erscheint nicht nur in WSUS und im Update Catalog, sondern auch über Windows Update. Nachdem es dort das reine Security Update nicht gibt, werden alle PCs von privaten Anwendern und Firmen, die keine zentrale Lösung für das Patch-Management einsetzen, mit dem Rollup aktualisiert.

In WSUS erhalten diese Rollups die gleiche Klassifizierung und Dringlichkeit wie die reinen Security-Updates. Hier sollte man durch Aktivieren der ent­sprechenden Option die Express-Installations­dateien herunterladen, damit die Clients nur jene Updates holen, die noch nicht installiert sind.

Preview Rollups

Am Dienstag in der dritten Woche eines jeden Monats ("C week") erscheint zudem ein Paket, das neben allen Updates aus den Vormonaten auch eine Vorabversion der Fixes enthält, die in das nächste monatliche Rollup übernommen werden. Die Preview umfasst keine Security-Updates.

Im ersten Quartal 2017 möchte Microsoft damit beginnen, auch ältere Updates in dieses Paket aufzunehmen, also auch solche, die noch aus der Zeit vor September 2016 stammen. Längerfristig sollen daraus vollständige kumulative Rollups werden, so dass ihre Installation einen PC auf den neuesten Stand bringt.

Wie die monatlichen Rollups publiziert Microsoft diese Update-Vorschau in WSUS, im Update Catalog und über Windows Update. Auch sie sollten als Express-Installations­dateien heruntergeladen werden. In WSUS werden solche Preview Rollups als normale Updates klassifiziert.

Update-Strategien

Microsoft empfiehlt erwartungsgemäß, dass Anwender die Updates sofort nach ihrem Erscheinen einspielen und rät dabei zur Verwendung der monatlichen Rollups. Nachdem die reinen Security-Updates als auch die normalen Rollups als Security-Updates mit höchster Dringlichkeit eingestuft werden, rivalisieren die beiden Pakete jedoch, wenn man eine automatische Installation für diese Klassifizierung konfiguriert hat.

In diesem Fall würden die reinen Sicherheits-Updates nicht mehr installiert, wenn zuvor schon das Rollup verteilt wurde. Umgekehrt würden nur mehr die normalen Fixes aus dem Rollup aufgespielt, wenn das Security-Paket zuerst an die Reihe gekommen ist.

Wenn man nur Sicherheits-Patches verteilen möchte, dann sollte man daher keine Regeln zur automatischen Genehmigung von Security-Updates definieren, weil damit auch das Rollup zum Zuge kommt. Vielmehr muss man das Paket mit den Sicherheits-Updates einmal im Monat manuell zur Installation freigeben.

Beschränkt man sich nur auf Security-Updates und benötigt in bestimmten Fällen einen Fix, um einen störenden Bug zu beseitigen, die Performance einer bestimmten Funktion oder die Stabilität des Systems zu verbessern, dann greift man zum letzten Rollup, das diesen Patch enthält.

Dieser lässt sich allerdings nicht alleine installieren, vielmehr muss man dann sämtliche darin enthaltenen Updates akzeptieren, die auf den jeweiligen Ziel-PCs noch nicht vorhanden sind. Damit durchkreuzt man dann jedoch seine bisherige Strategie, nur Sicherheits-Updates zu übernehmen.

Entfernen von Problem-Updates

Nachdem Administratoren künftig Updates nicht mehr einzeln, sondern nur mehr im Paket verteilen können, dürfte die Zahl der installierten Updates insgesamt zunehmen. Das ist zweifellos ein wesentlicher Grund für die Umstellung des Patch-Managements durch Microsoft. Damit steigt aber auch die Gefahr, dass eines davon Probleme bereitet.

Microsoft beteuert zwar, dass Bugfixes nur nach umfangreichen Tests freigegeben werden. Dennoch stellen sich immer wieder unerwünschte Nebeneffekte ein, wie auch die jüngste Vergangenheit wieder zeigte. Aus diesem Grund weist der Hersteller auf die empfohlene Praxis hin, Updates über Verteilerringe nur nach und nach zu installieren, wobei die kritischen Systeme erst bedient werden sollen, wenn sich die Verträglichkeit der Updates auf anderen PCs bestätigt hat.

Sollten jedoch Probleme auftreten, dann lassen sich die Übeltäter nicht einzeln entfernen. Nachdem es sich bei jedem Package oder Rollup um ein Update mit einer einzigen KB-Nummer handelt, muss man notfalls die ganze Sammlung deinstallieren.