Tags: Patch-Management, Windows 7, Windows Server 2012, Internet Explorer
Im Oktober 2016 stellte Microsoft das Service-Modell für Windows 7, 8.1 sowie Server 2008 R2 und 2012 auf monatliche Updates um. Nach Änderungen im Dezember steht Admins im Februar eine erneute Umstellung bevor, bei der Updates für den Internet Explorer separat ausgeliefert werden.
Die wesentliche Änderung des Update-Schemas für die älteren Versionen von Windows besteht darin, dass Microsoft einmal pro Monat drei verschiedene Pakete bereitstellt (siehe Updates für Windows 7 und 8.1: Security-Fixes, Rollups und Rollup-Previews in jedem Monat):
- Ein reines Security-Update, das nur sicherheitskritische Fehler behebt. Es ist nicht kumulativ und nur über WSUS und den Update Catalog verfügbar.
- Ein monatliches Rollup, das sowohl Security- als auch Qualitäts-Updates umfasst, wobei es für letztere kumulativ ist (also alle bisher erschienen Updates enthält). Es kommt auch über Windows Update, so dass es alle PCs aktualisiert, die nicht über eine zentrale Lösung für das Patch-Management verwaltet werden.
- Preview Rollups, die alle bisherigen Qualitäts-Updates plus eine Vorabversion der Fixes beinhalten, die in das nächste monatliche Rollup übernommen werden. Die Preview umfasst keine Security-Updates.
Konflikte zwischen Security-Updates und Rollups
Im Dezember stellte Microsoft die Update-Logik so um, dass bereits im laufenden Monat installierte Security-Updates nicht durch Rollups überschrieben werden. Außerdem blockiert die neu definierte Supersedence die Installation von reinen Sicherheits-Updates, wenn ein entsprechendes Rollup bereits eingespielt wurde.
Beginnend mit Februar 2017 ändert sich das Service-Modell für die älteren Versionen des Betriebssystems erneut. Das reine Security-Update wird dann keine Patches für den Internet Explorer mehr enthalten.
Kumulatives Update nur für IE
Diese erscheinen förderhin als ein separates kumulatives Update für den Browser. Es deckt die jeweils letzte Version des Internet Explorer ab, die für ein bestimmtes Windows verfügbar ist und damit als einzige unterstützt wird. Mit Ausnahme von Windows Server 2012, das noch den IE10 enthält, handelt es sich sonst überall um den IE11.
Als Grund für diese Maßnahme nennt Microsoft, dass es damit die Größe des reinen Security-Pakets reduzieren kann. Die Updates für den IE werden jedoch auch weiterhin zum Lieferumfang des Rollups gehören.
Fragliche Reduktion der Downloads
Ob Anwender, deren Strategie in der Installation des bloßen monatlichen Security-Updates besteht, den Download reduzieren können, ist jedoch fraglich. Selbst wenn ein Unternehmen einen anderen Browser als Standard gewählt hat, kommt es nicht am Patchen des IE vorbei. Als Systemkomponente wird er nämlich von vielen Anwendungen als Rendering-Engine für Web-Seiten eingebunden.
Insgesamt ergibt sich nun für Updates von Windows 7, 8.1 sowie Server 2008 R2 und 2012 folgende Matrix:
| Typ | Klassifizierung | Inhalt | IE-Patches | Nicht anwendbar, wenn .. |
|---|---|---|---|---|
| Monatliches Rollup | Security-Updates | Neue Security-Updates plus Qualitäts-Updates von allen bisherigen Rollups | Ja | bereits ein späteres monatliches Rollup installiert ist |
| Reines Security-Update | Security-Updates | Neue Security-Fixes (ohne IE) | Nein | ein monatliches Rollup (aus dem gleichen oder einem späteren Monat) installiert ist |
| Preview Rollup | Updates | Neue Nicht-Security-Updates plus alle bisherigen Rollups | Ja | ein späteres Rollup oder Preview Rollup installiert ist |
| Kumulatives Security-Update für den Internet Explorer | Security-Updates | Fixes für IE11 (IE10 auf Windows Server 2012) | Ja | Ein aktuelles oder späteres Rollup bzw. IE-Update installiert ist. |
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Option für längeren Support von Windows Server 2012 (R2) über Azure Arc
- Microsoft kündigt längere Security-Updates für Windows Server 2012 (R2) und SQL Server 2012 an
- Microsoft öffnet verlängerten Support für Windows 7 auch für kleinere Firmen
- Microsoft Edge (Chromium) für Unternehmen im Test: GPO-Support, IE Mode, Offline-Installer
- Microsoft bringt SHA-2-Patch für Windows 7 und WSUS 3.0 SP2, Installation erforderlich
Weitere Links