Microsoft drängt Unternehmen dazu, das Windows-Update-Management dem Hersteller zu überlassen und pflegt die Windows Server Update Services (WSUS) für das lokale Update-Management kaum noch. Dieses eBook zeigt, wie Sie mit Gruppenrichtlinien die Kontrolle über Windows-Updates zurückgewinnen und welche Alternativen es zu WSUS gibt.
Inhalt:
Microsoft drängt auch professionelle Anwender zunehmend dazu, das Update-Management für Windows dem Hersteller zu überlassen. Die Windows Server Update Services (WSUS), mit denen Unternehmen das Patch-Management für Microsoft-Betriebssysteme und -Applikationen lokal steuern können, werden kaum noch gepflegt.
Bei sicherheitsrelevanten Patches ist diese Strategie durchaus nachvollziehbar. Schließlich stellen ungepatchte Systeme ein erhebliches Sicherheitsrisiko dar. Werden die Aktualisierungen zentral vom Hersteller gesteuert und schnellstmöglich verteilt, kann die Zahl der verwundbaren Systeme deutlich reduziert werden.
Allerdings birgt jeder Patch auch das Risiko von Fehlern und Abstürzen. Vor allem in geschäftskritischen Umgebungen oder komplexen Infrastrukturen möchten IT-Administratoren daher bei nicht sicherheitskritischen Updates lieber selbst entscheiden, wann sie diese einspielen.
Diese Kontrolle kann prinzipiell über Gruppenrichtlinien ausgeübt werden. Wie das genau funktioniert, erfahren Sie in diesem eBook. Es zeigt Ihnen auch, wie Sie mit einem professionellen Patch-Management-System wie CAWUM (Complete Aagon Windows Update Management) die Grenzen der Gruppenrichtlinien überwinden können.
Lesen Sie außerdem:
- Was sich mit Windows 11 an den Update-Policies ändert.
- Wie Sie mit Gruppenrichtlinien Feature-Updates unbegrenzt aufschieben können.
- Wie Sie die Übermittlungsoptimierung WUDO (Windows Update Delivery Optimization) konfigurieren.
Originalauszug aus dem Dokument:
Änderung für Dual Scan
Eine weitere Einstellung, die bei Windows 10 zwar noch vorhanden, aber bei der Version 11 über Bord ging, betrifft Dual Scan:
Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird ("Do not allow update deferral policies to cause scans against Windows Update")
Zur Erläuterung: Dual Scan wird immer dann eingeschaltet, wenn man Clients einem WSUS-Server zuordnet und gleichzeitig bei ihnen die Qualitäts- oder Feature-Updates über WUfB zurückstellt.
Die Rechner erhalten OS-Updates dann nicht mehr über WSUS, sondern über Windows Update. Mit der obigen Richtlinie lässt sich dies vermeiden und WSUS auch als Quelle für die Updates des Betriebssystems beibehalten.
An die Stelle dieser Option tritt nun in Windows 10 ab Version 21H2 und in Windows 11 die Einstellung Quelldienst für bestimmte Klassen von Windows-Updates angeben ("Specify source service for specific classes of Windows Updates"). Über sie kann man für jeden Update-Typ entweder WSUS oder Windows Update als
Quelle angeben.