Windows Updates erst testen, dann einsetzen

18. Juni 2019

Windows 10 bietet verschiedene Optionen, um die automatische Installation von Updates zu begrenzen. Mit den passenden Tools und Bordmitteln können die Administratoren das Update-Verhalten an die entsprechenden Anforderungen anpassen, und gegebenenfalls um mehrere Wochen verzögern.

Laut Microsoft ist die Welt mit Windows 10 einfach geworden: „Immer die neueste Version“ aufspielen, und es sollte keine Probleme geben. Die von Microsoft zur Verfügung gestellten Windows-Updates werden daher – in der Standardeinstellung – automatisch heruntergeladen und installiert.

Doch genau dieses Verhalten wird zum Problem, wenn fehlerhafte Updates automatisch auf den Clients ausgerollt werden: Selbst bei der größtmöglichen Sorgfalt lassen sich Fehler in Software-Updates nicht gänzlich ausschließen. Oftmals zeigen sich diese Fehler erst nach und nach im normalen Betrieb. Das ist etwa der Fall, wenn die Updates auf Systemen installiert werden, die eine größere Anzahl an unterschiedlichen Apps und Anwendungen, Treibern und gegebenenfalls spezielle Einstellungen aufweisen. Um festzustellen, dass ein bestimmte Aktualisierung im Unternehmen nicht zum Problem wird, testen die IT-Verantwortlichen dies im Vorfeld – etwa ein einem extra dafür eingerichteten Testsystem oder einer passenden virtuellen Maschine (VM). Treten keine Probleme auf, wird die Aktualisierung freigegeben, und auf den Produktivsystemen ausgerollt.

Tauchen allerdings Probleme auf, wird das Einspielen der Updates verzögert. Somit installieren die Systembetreuer entsprechende Betriebssystem-Updates erst, wenn zu erwarten ist, dass keine größeren Probleme mehr auftreten. Um das sicherzustellen, könnten die Administratoren beispielsweise festlegen, dass bestimmte Updates nach zwei Wochen auf die Clients aufgespielt werden – oder auch erst nach mehreren Monaten. Unter Windows 10 stehen innerhalb der grafischen Benutzeroberfläche verschiedene Optionen bereit, und Updates verzögert zu installieren, oder die automatische Upgrade-Funktion (teilweise) zu begrenzen.

Generell gilt es dabei zwischen zwei unterschiedlichen Update-Varianten zu unterscheiden. Neben den eher sicherheitsunkritisch einzustufenden „Funktions-Updates“ verteilt Microsoft auch sicherheitsrelevante Patches und Hotfixes (Qualitäts-Updates).

Werkzeuge von Drittanbietern

Mit den passenden Werkzeugen behalten die Systembetreuer auch diese Optionen unter Kontrolle, An dieser Stelle ist etwa Tools von Drittanbietern zu nennen. Damit behalten die Administratoren die „Update-Kontrolle“ über ein Windows-10-Clientsystem. Mit dem „Windows Update Blocker“ von Sordu lassen sich Windows Updates einschränken. Allerdings sollten derartige Tools immer mit Bedacht eingesetzt werden. Denn generell sollten die Administratoren aus Sicherheitsgründen besser keine Drittanbieter-Tools einsetzen, die direkt in das Betriebssystem eingreifen.

Windows-Update komplett ausschalten

Zudem besteht die Option, den Windows Update-Dienst zu deaktivieren. Allerdings werden auf diese Weise sämtliche Updates dauerhaft blockiert – in den meisten Fällen ist das keine „gute Idee“. Zum einen sollte man sicherheitsrelevante Aktualisierungen immer möglichst schnell auf die Systeme aufspielen, zum anderen müssten die Administratoren bei diesem Workaround die Update-Funktion manchmal deaktivieren, und dann diese manuell wieder anschalten – wenn Updates installiert werden sollen. Das geht mit einem hohen Aufwand einher, und stellt für die Systembetreuer somit keine zufriedenstellende Lösung dar.

Modifikationen mit der Management Console

Windows Updates MMCEine weitere Methode zum Ändern der Update-Einstellungen kommt über die Gruppenrichtlinien ins Spiel. In Windows-Server-Client-Umgebungen lassen sich dabei die entsprechenden Richtlinien auf eine Anzahl von Systemen anwenden. Aber auch in Umgebungen ohne Active Directory erreichen die Systembetreuer die lokalen Gruppenrichtlinien, etwa per Microsoft Management Console (MMC). Im MMC-Snap-in „Richtlinien für Lokaler Computer“ navigieren die Administratoren zur „Computerkonfiguration“ öffnen den Ordner „Administrative Vorlagen“. An dieser Stelle wechseln die Systemverantwortlichen auf den Unterpunkt „Windows-Komponenten“ und bearbeiten dort den Eintrag „Automatische Updates Konfigurieren“. Dabei lassen sich unterschiedliche Optionen aktivieren, und beispielsweise das Einspielen von Funktionsupdates per Windows Update um vier Wochen verzögern.

Systemsteuerung nutzen

Je nach eingesetzter Windows-10-Version stehen den Systembetreuern Optionen innerhalb der grafischen Oberfläche zur Verfügung, um etwa unterschiedliche Einstellungen für Funktions- und Qualitäts-Updates bei der Version 1809 (Build 17763.557) zu treffen. Auch auch die aktuelle Version 1903 (Build 18362.175) bietet weitreichende Funktionen um die Windows Updates entsprechend zu steuern. Die auf dem System installierte Build- und Versionsnummer von Windows lässt sich einfach und schnell über das Bordmittel „winver.exe“ in Erfahrung bringen. Dazu rufen die Administratoren das Tool beispielsweise in der Windows Kommandozeile (CMD) oder der Windows Powershell (PS) auf:


Winver

 

Im Menü „Windows Update Einstellungen“ finden die Systembetreuer den Unterprunkt „Erweiterte Optionen“. Im folgenden Fenster können die Systembetreuer beispielsweise Windows Updates um bis zu 35 Tage verzögern, zusätzliche Updates für Microsoft-Produkte (Etwa MS Office) ebenfalls automatisch herunterladen und installieren, oder den Installationszeitpunkt für Updates entsprechend wählen.

Windows Updates WindowsUpdateBei der Version 1903 beispielsweise stehen sowohl für die Funktions-Updates als auch für die Qualitäts-Updates getrennte Pull-Down-Menüs: Die maximale Verzögerung bei den Funktions-Updates beträgt dabei 365 Tage, und bei Qualitäts-Updates 30 Tage. Auch eine Einstellung für die komplette Verzögerung von bis zu 35 Tagen (sowohl Qualitäts- als auch Funktions-Updates) ist vorhanden.

Fazit

Auch bei Windows 10 stehen unterschiedliche Methoden bereit, um die Windows-Update-Einstellungen auf die Bedürfnisse der Systembetreuer und Nutzer anzupassen. Dabei können die Administratoren auf kleine Tools von Drittanbietern setzen oder die entsprechenden Dienste direkt deaktivieren, die Microsoft Management Console nutzen, oder entsprechende Optionen in der grafischen Benutzeroberfläche aktivieren. Bei kleineren IT-Umgebungen, etwa wenn nur wenige Clients in einem Büro vorhanden sind, lässt sich das Windows-Update in der aktuellen Windows-Version bequem über die Systemsteuerung modifizieren. Falls im Unternehmen allerdings deutlich mehr Systeme zum Einsatz kommen, werden automatisierte Lösungen benötigt, um den Aufwand möglichst gering zu halten. In diesen Fällen setzen die Administratoren häufig auf entsprechende Gruppenrichtlinien – entweder lokal oder im Kontext eines vorhandenen Active Directorys.

Florian Huttenloher

Lesen Sie auch