Optimale Vorgehensweisen für die Patch-Verwaltung

Überblick über Microsoft-Patching

Seit Oktober 2016 hat Microsoft seine Bereitstellung von Patches geändert. Für Updates bei Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 wurde eine Rollup-Modell übernommen. Ein Rollup ist einfache eine Kombination von mehreren Patches in einem einzigen Update. Jedes monatliche Rollup ersetzt das Rollup des vorherigen Monats. Das Ziel dieser monatlichen Rollups ist es, komplett kumulativ zu sein, was geschieht, da Microsoft zuvor bereitgestellte Patches hinzufügt, so dass Benutzer lediglich das letzte einzelne Rollup installieren müssen.

Es gibt jeden Monat drei Arten von Rollups:

  1. Sicherheitsqualitätsupdate. Beinhaltet alle neuen Sicherheitsfixes für den Monat und wird nur für Windows Server Update Services (WSUS) und den Windows Update-Katalog veröffentlicht. Dies wird am „Patch Tuesday“ bereitgestellt, dem zweiten Dienstag eines Monats.

    2. HINWEIS  Dieses Update enthält keine Fixes aus vorherigen Monaten und steht Administratoren, die nicht WSUS nutzen, nicht zur Verfügung.

  2. Monatliches Sicherheitsqualitätsupdate (auch als monatliches Rollup bekannt). Enthält alle neuen Sicherheitsfixes für den Monat (das heißt, dieselben wie im Qualitätsupdate nur für die Sicherheit) plus alle sicherheits- und nicht sicherheitsbezogenen Fixes aus alle vorherigen monatlichen Rollups. Dieses Update wird für Windows Update sowie für WSUS und den Windows Update-Katalog veröffentlicht. Es wird am „Patch Tuesday“ bereitgestellt.
  3. Vorschau auf monatliches Qualitätsupdate (auch als Vorschau auf monatliches Rollup bekannt). Enthält eine Vorschau auf neue, nicht sicherheitbezogene Fixes, die im nächsten monatlichen Rollup enthalten sind, plus alle sicherheits- und nicht sicherheitsbezogenen Fixes aus allen vorherigen monatlichen Rollups. Dies wird am dritten Dienstag eines Monats bereitgestellt.
Update Klassifikation Inhalte Beinhaltet IE Nicht zutreffend Bereitstellung
Monatliches Sicherheitsqualitätsupdate (monatliches Rollup) Sicherheitsupdates Neue Sicherheitsfixes plus nicht sicherheitbezogene Fixes aus der letzten Vorschau auf das monatliche Rollup plus alle vorherigen monatlichen Rollups Ja Wenn ein späteres monatliches Rollup installiert ist Patch Tuesday (2. Dienstag)
Sicherheitsqualitätsupdate (Sicherheitsupdate) Sicherheitsupdates Neue Sicherheitsfixes (IE-Fixes nicht beinhaltet) Nein Wenn ein monatliches Rollup (aktuell oder späterer Monat) installiert ist Patch Tuesday (2. Dienstag)
Vorschau auf monatliches Qualitätsupdate (Vorschau auf monatliches Rollup) Updates Neue nicht sicherheitbezogene Fixes plus alle vorherigen monatlichen Rollups Ja Wenn ein späteres monatliches Rollup oder eine Vorschau für ein Rollup installiert ist 3. Dienstag
Kumulatives Sicherheitsupdate für Internet Explorer Sicherheitsupdates Fixes für IE11 (IE10 bei Windows Server 2012) Ja Wenn ein monatliches Rollup (aktuell oder späterer Monat) oder ein IE-Update (späterer Monat) installiert ist Patch Tuesday (2. Dienstag)

Seit Dezember 2016 wird für einen PC kein Sicherheitsqualitätsupdate geboten, wenn auf ihm bereits ein monatliches Rollup oder die Vorschau auf ein Rollup für denselben Monat oder später installiert ist. Wenn ein PC beispielsweise versucht, das Sicherheitsupdate für Februar 2017 zu installieren und das monatliche Rollup oder die Vorschau für das Rollup für Februar 2017 oder später bereits installiert ist, meldet der Windows Update-Client das Sicherheitsupdate als nicht zutreffend.

HINWEIS  Dies betrifft lediglich WSUS-Benutzer, da Sicherheitsupdates nicht für Windows Update geboten werden.

Seit Februar 2017 beinhalten Sicherheitsupdates keine Updates für Internet Explorer (IE). IE-Updates stehen als separate Updates zur Verfügung. Dies betrifft ebenfalls nur WSUS-Benutzer, da Sicherheitsupdates nicht für Windows Update geboten werden. Das monatliche Rollup beinhaltet Updates für IE als ein einzelnes, additives Update, das alle sicherheits- und zuverlässigkeitsbezogenen Fixes seit Beginn des neuen Servicemodells im Oktober 2016 enthält. Benutzer des monatlichen Rollups müssen das separate IE-Update nicht installieren. Um die Installation für Benutzer von monatlichen Rollups zu vereinfachen, nutzen die neuen IE-Updates die gleiche Definition für den Installationsgeltungsbereich wie Sicherheitsupdates, d. h., sie werden nicht auf einem PC installiert, auf dem bereits das monatliche Rollup oder die Vorschau für das Rollup für denselben oder einen späteren Monat installiert ist. In Monaten ohne neue sicherheits- oder zuverlässigkeitsbezogene Windows-Fixes werden keine Sicherheitsupdates oder monatliche Rollups bereitgestellt. Zum Beispiel Januar 2017 für Windows 8.1, Windows Server 2012 und 2012 R2.

Patching-Strategie

HINWEIS  Für WSUS-Benutzer empfehlen wir ein Gespräch mit einem Implementierungsmanager, um Ihre Patching-Strategie zu besprechen.

Da es nicht länger Microsoft-Updates mit individuellen KB-Nummer gibt, können sie nicht individuell genehmigt oder installiert werden. Sie wurden von monatlichen Rollups ersetzt. Dies beinhaltet alle sicherheits- und nicht sicherbeitsbezogenen Fixes für den Monat sowie alle vorherigen Monate seit Oktober 2016. Seit Februar 2017 beinhalten diese Rollups außerdem Patches vor Oktober 2016. Dies vereinfacht den Job der Patch-Verwaltung bei Windows, jedoch bedeutet das, Sie können Patches nicht individuell zurückhalten oder ablehnen. Aus diesem Grund wird empfohlen, einfach anzufangen und dies dann auszubauen, also beispielsweise die Updates auf ein paar Geräten installieren, um Kompatibilität zu prüfen, und die Updates dann auf den restlichen Geräten bereitstellen.

Nachfolgend sind ein paar Erwägungen, die Sie beim Erstellen der Regeln für Ihre Richtlinie beachten sollten. Jeder Kunde ist einmalig und einige dieser Empfehlungen treffen eventuell nicht auf Ihre spezielle Situation zu.

  • Entscheiden Sie sich für eine Zeitplan- und Neustartstrategie, die für die Anforderungen Ihrer Kunden geeignet ist.
  • Identifizieren Sie Server, die nicht automatisch neu gestartet werden können und erstellen Sie ein Ticket für einen manuellen Neustart (Sie können dies mithilfe der Komponente Überwachung für den erforderlichen Neustart (Reboot Required Monitor) überwachen.
  • Genehmigen Sie lediglich Patches mit Kriterien, die die erforderlichen Patches im Titel abdecken, wie beispielsweise Rollup oder Sicherheit, und lehnen Sie alle Patches ab, die das Wort Vorschau enthalten.
  • Entfernen Sie alle individuellen Genehmigungsregeln basierend auf Schweregrad, Klassifikation, KB-Nummer usw., da sie nicht länger zutreffen.
  • Identifizieren Sie KBs, die bei verschiedenen Kunden nicht installiert werden sollten (mögliche Probleme mit Software von Drittanbietern).
  • Behalten Sie jegliche vorhandenen Regeln für „Nicht genehmigen“, da individuelle Patches, die vor Oktober 2016 bereitgestellt wurden, weiterhin verfügbar sind (jedoch werden sie mit der Zeit entfernt).
  • Genehmigen Sie nichts, bis Sie das neueste monatliche Rollup bereitgestellt haben. Beachten Sie, dass nachfolgende monatliche Rollups kumulativ sind und das vorherige ersetzen, daher ist immer nur das letzte monatliche Rollup verfügbar.
  • Erstellen Sie eine Richtlinie für Desktops und eine für Server auf Kontoebene und implementieren Sie (falls notwendig) Überschreibungen auf Site-Ebene.
  • Halten Sie es möglichst einfach, indem Sie Betriebssysteme bei Richtlinien als Ziele setzen. Falls es detaillierter sein muss, geben Sie das Wort Patch in einem der benutzerdefinierten Felder für Geräte ein und setzen Sie das Ziel einer Richtlinie, indem Sie anhand dieses Wortes filtern. Eventuell benötigen Sie separate Richtlinien für ältere Desktops und Server, falls Sie noch XP oder Windows Server 2003 haben.
  • Nachdem Sie das neueste monatliche Rollup bereitgestellt haben, sollten Sie erwägen, kritische Patches zu genehmigen. Dadurch werden alle kritischen Patches vor Oktober 2016 installiert, die auf Ihren Geräten fehlen.
  • Setzen Sie den Start Ihres Patch-Zeitfensters auf eine Zeit, zu der Geräte erwartungsgemäß online sein sollten. Sofern die Geräte während des Patch-Zeitraums online gehen, wird die Patch-Richtlinie ausgeführt. Nutzen Sie eventuell einen täglichen Desktop- und Laptopzeitplan, um sicherzustellen, dass Patches schnell bereitgestellt werden, bis alle Ihre Geräte auf dem neuesten Stand sind. Selbst wenn der Zeitplan auf täglich gesetzt ist, wird die Installation nur einmal auf Geräten vorgenommen. Legen Sie eine Neustarterinnerung fest.
  • Das Patch-Zeitfenster sollte mindestens vier Stunden umfassen, da einige Geräte langsam sind.
  • Wenn Sie Microsoft Office in Ihrer Umgebung haben, müssen Sie eine Regel hinzufügen, um alles zu genehmigen, bei dem das Wort Office im Titel vorkommt. Wenn Sie dies tun, sollten Sie eventuell eine spezielle Ablehnungsregel für Treiber hinzufügen, um zu verhindern, dass HP Officejet-Treiberupdates unerwartet bereitgestellt werden.
  • Vergessen Sie nicht den Filter „Neustart erforderlich“ für Geräte zu überprüfen, die dem Neustartvorgang eventuell entgangen sind. Ein Herunterfahren am Ende des Tages und ein Start am nächsten Morgen ist kein Neustart, daher werden Patches nicht installiert, selbst wenn Benutzer denken, dass dies der Fall ist. Windows muss ausdrücklich neu starten, damit dies geschieht. Wenn Sie Benutzergeräte haben, die Neustarts erfordern, sollten Sie es in Erwägung ziehen, eine Nachricht mithilfe der Benachrichtigungsfunktion in der Menüleiste zu senden.
  • Sie haben die Möglichkeit, Updates um 30 Tage zu verzögern. Wenn es Bedenken gibt, dass eventuell ein fehlerhafter Patch von Microsoft bereitgestellt wurde, ist es empfehlenswert, diese Verzögerung bei der Patch-Richtlinie einzurichten.
  • Es wird nicht empfohlen, Treiber über die Patch-Verwaltung zu installieren, da bei einigen Treibern die Installation fehlschlagen kann, wenn während dem Installationsvorgang Benutzerinteraktion erforderlich ist.
  • Aufgrund der Windows-Anforderung, dass einige Treiber als „aktueller Benutzer“ installiert werden müssen, ist es nicht möglich, Treiber auf Windows 7-Geräten über die Patch-Verwaltung zu installieren.
  • Es wird empfohlen, die Installation von Treibern in Patch-Richtlinien abzulehnen, da die Treibertypen Netzwerk- und Display-Treiber enthalten können, bei denen eine fehlgeschlagene Installation dazu führen kann, dass das Gerät dadurch gebrauchsunfähig wird.

HINWEIS  Bei einigen Geräten, wie beispielsweise Microsoft Surface-Geräten, können Treiber nur über Windows Update installiert werden. In solchen Fällen wird empfohlen, eine separate Patch-Richtlinie einzurichten, in der Sie die Installation von Treibern festlegen. Dadurch werden Konflikte mit anderen Geräten und falsch installierte Treiber vermieden.