Microsoft führt mal wieder Neuerungen im Hinblick auf Security-only-Rollup Updates für Windows 7 SP1 und Windows 8.1 (sowie die korrespondierenden Server-Varianten) ein.
Anzeige
Das Thema Updates für Windows 7 SP1 und Windows 8.1 (sowie für die korrespondierenden Server-Versionen) scheint uns auch künftig nicht loszulassen.
Was bisher passierte
Bereits im Frühjahr 2016 wurden ja Rollup-Updates für diese Betriebssystemvarianten eingeführt und im Mai 2016 gab es hier im Blog den Beitrag Windows 7 SP1 Convenience Rollup und Windows 7/8.1 Rollup-Updates, der ein paar Informationen zum Thema enthielt.
Im Oktober 2016 wurde dann das Rollup-Modell von Microsoft für Windows 7 SP1 und Windows 8.1 (sowie für die korrespondierenden Server-Versionen) komplett eingestellt. Ich hatte im August 2016 den Beitrag Geändertes Update-Modell für Windows 7 SP1/Windows 8.1 mit entsprechenden Informationen hier im Blog.
Aller guten Dinge sind Drei und nach dem Update ist vor dem Update: Bereits im Oktober und November 2016 merkte Microsoft, dass die Update-Freigabe, wie man sich das so vorgestellt hatte, bei Großkunden nicht ankam und zu massiven Problemen führte. Am 12. Dezember hatte ich den Blog-Beitrag Neues Update-Schema für Windows 7/8.1/Server ab Dezember 2016 veröffentlicht. Dort habe ich über die geänderte Logik bei Update Rollups für Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2, Windows Server 2012, sowie Windows Server 2012 R2 ab Dezember 2016 berichtet. Das bezog sich auf Unternehmenskunden, die Updates per WSUS oder SCCM verteilen.
Anzeige
Windows 7/8.1-Update-Änderungen ab Februar 2017
Bereits letzten Freitag hat Microsoft den Technet-Blog-Beitrag implified servicing for Windows 7 and Windows 8.1: the latest improvements veröffentlicht, in dem weitere Änderungen zum Servicing-Modell für Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 angekündigt werden.
Vorab: Für die Masse der Blog-Leser, die ihre Updates direkt über Windows Update beziehen, hat das alles keine Auswirkungen. Ihr könnt an dieser Stelle mit dem Lesen aufhören.
Die Änderungen gelten für Unternehmensumgebungen, wo Update Management Tools wie WSUS (Windows Server Update Service) oder SCCM (System Center Configuration Manager) zum Einsatz gelangen. Dort werden ja Security-only Rollup Updates per WSUS und über den Microsoft Update Catalog angeboten.
- Um die Größe des Update-Pakets für die Security-only Rollup Updates künftig zu reduzieren, will Microsoft ab Februar 2017 keine Internet Explorer-Patches mehr in diesem Rollup integrieren. Stattdessen werden die Internet Explorer-Updates wieder als separate Pakete für die oben genannten Betriebssysteme bereitgestellt.
- Das Monthly Rollup Update wird dagegen die Patches für den Internet Explorer mit enthalten. Wer das Update per WSUS, Windows Update oder manuell, nach Download aus dem Microsoft Update Catalog, installiert, braucht keine separaten IE-Updates mehr zu installieren (da ändert sich nichts).
Die nachfolgende Tabelle von Microsoft enthält eine Übersicht über die Update-Varianten, die seit Oktober 2016 gelten.
Update | Classification | Contents | Includes IE | Not applicable | Release |
Security Monthly Quality Rollup (aka the Monthly Rollup) |
Security Updates | New security fixes + non-security fixes from latest Preview Rollup + all previous Monthly Rollups | Yes | If a later Monthly Rollup is installed | Update Tuesday (2nd Tuesday) |
Security Only Quality Update (aka the Security Only update) |
Security Updates | New security fixes
(not including IE fixes) |
No | If a Monthly Rollup (current or later month) is installed | Update Tuesday (2nd Tuesday) |
Preview of Monthly Quality Rollup (aka the Preview Rollup) |
Updates | New non-security fixes + all previous Monthly Rollups | Yes | If a later Monthly Rollup or Preview Rollup is installed | 3rd Tuesday |
Cumulative Security Update for Internet Explorer | Security Updates | Fixes for IE11 (IE10 on Windows Server 2012) | Yes | If a Monthly Rollup (current or later month) or IE Update (later month) is installed | Update Tuesday (2nd Tuesday) |
Mit diesen Modifikationen für die Security Only Updates will Microsoft Unternehmenskunden entgegen kommen, die die Pakete per WSUS oder System Center Configuration Manager verteilen. Diese sollen von einer erhöhten Flexibilität beim Ausrollen der Updates profitieren. Nutzer, die Windows Update verwenden, brauchen sich um das ganze Thema keine Gedanken zu machen. Diese enthalten ja das Monthly Rollups, welches alle relevanten Patches (einschließlich der Telemetrie-Updates) enthält. (via)
Ähnliche Artikel:
Geändertes Update-Modell für Windows 7 SP1/Windows 8.1
Windows 7 SP1 Convenience Rollup und Windows 7/8.1 Rollup-Updates
Geändertes Update-Modell für Windows 7 SP1/Windows 8.1
Neues Update-Schema für Windows 7/8.1/Server ab Dezember 2016
Anzeige
"Nutzer, die Windows Update verwenden, brauchen sich um das ganze Thema keine Gedanken zu machen."
Na ja, doch. Auch zuhause benutze ich die Security Only Updates, die ich mir mehr oder weniger mühselig im Update Katalog zusammensuche. Also muss ich wohl ab sofort auch noch die IE-Updates zusätzlich suchen. :-/ Ob ich den IE nutze oder nicht, ist da erstmal nebensächlich, denn es gibt ja leider viel zu viele Programme, die an das Ding andocken.
Davon abgesehen verstehe ich nicht, wie mir diese Trennung die Arbeit im Unternehmensumfeld erleichtern soll.
Verstehe ich auch nicht. Und nach wie vor existiert das Problem, dass ich fehlerhafte Updates nicht einzeln deinstallieren kann. Mal schauen ob da noch was kommt von Microsoft, ich denke aber nicht.
Wenn ich die Logik richtig verstanden habe, hieße das aber, dass wenn ich zuhause statt des Security Monthly Quality Rollup manuell das Security Only Update aus dem Update Catalog aufspiele, um eben das Telemetriegedöns nicht mit zu installieren, dann muss ich offensichtlich in Zukunft zusätzlich aus dem Update Catalog das IE Security Update heraussuchen, da WU mir statt dieser beiden Updates nur das Security Monthly Quality Rollup präsentiert.
Dadurch würde mich die erneute Umstellung als Heimanwender doch betreffen und die monatliche Update-Prozedur noch unbequemer machen. Habe ich das richtig verstanden?
Was die Sache bisher entschärft hat, ist, dass du, lieber Günter, seit der ersten Umstellung immer gleich die Nummer des Security Only Updates für uns Leser veröffentlicht hast. Künftig wird dann wohl auch die Nummer des IE Security Updates dazu gehören. Dafür sehr viel Dank von uns Lesern!
Die Logik deiner Betrachtung stimmt aus deiner Sicht. Aus Sicht von Microsoft sollst Du das Security Monthly Quality Rollup per WU installieren. Und dann ändert sich halt nichts. Ich werde den von dir skizzierten Ansatz – Security-only Rollup + IE Update aus dem Microsoft Update Catalog herunterladen und manuell installieren – wohl beibehalten.
Thx für die Infos, Herr Born!
Solange ich als nicht WSUS-Nutzer auch weiterhin für Windows 7 die Security Only Quality Updates via Update Catalog downloaden und manuell installieren kann, ist doch alles schick!
Muss man eben in Zukunft im Update Catalog nach 2x Paketen suchen. Aber was tut man nicht alles, um sein SteinzeitOS am Laufen zu halten… ^^
Ja, so lange jede zusätzliche Aktion noch als schick angesehen wird, dann ja. :-)
Aber was passiert, wenn man ein Update verpasst, sei es urlaubsbedingt oder krankheitsbedingt? Es würde einem per WU nicht mehr angezeigt, dass eine Sicherheitslücke besteht, außer, dass man das neueste Security Monthly Quality Rollup installieren soll. Aber das wird einem ja immer angezeigt und ist deswegen kein Indiz.
Oder werden die IE Security Updates auch Rollup-mäßig immer die Vormonate beinhalten?
Moin Teletom!
Mein "schick" bezog sich darauf als Nicht-WSUS-Nutzer auch weiterhin die Option zu haben, sich Security Only Quality Updates via Update Catalog ziehen und installieren zu können. Ist halt ein Switch von einem automatischen Update zu einem Manuellen. Bzgl. der Servicefreundlichkeit und des zusätzlichen Arbeitsaufwandes ist das natürlich alles andere als "schick"…
Man sieht wie wenig durchdacht der Wechsel war.
Tja ich weiß auch nicht was der ganze Shit da soll, hätte man die ganzen Monthly Quality Rollups gelassen und einfach so wie früher einzelne Updates angeboten dann wäre das durchdacht und man könnte sie die Fische ziehen die man für nötig erachtet aber so wird das um einiges komplexer.
Man muss halt schauen das der Diagnotics Tracking Service ausgeschaltet und deaktiviert bleibt, alleine schon das Wörtchen Tracking stößt mir Sauer auf, zum Glück habe ich ja noch ne Firewall und nen Proxy Server.
Warum eigentlich nicht die monthly updates installieren und die darin enthaltenen unerwünschten manuell löschen (z.B. per DISM oder falls vorhanden/möglich durch das Anpassen/Erstellen der passenden update manifests)?
Hatte mal kurz darüber nachgedacht. Falls das wirklich noch geht (ich habe es nie verifiziert, meine aber, dass die einzelnen Fixes nicht mehr per DISM angesprochen werden können), ist das u.U. ein irrer Aufwand. Falls es jemand probieren möchte – Rückmeldungen sind willkommen (mir fehlt dazu schlicht die Zeit – hab hier eine 600 Seiten Windows 10 Inside-Baustelle fertig zu schreiben).
Selbst wenn sich das Problem technisch so lösen ließe, es änderte nichts daran, dass die Anwender trotzdem jeden Monat aufs Neue gezwungen wären, sich mit Windows Update zu beschäftigen und Arbeitszeit dafür zu erübrigen. Neben den technischen Implikationen und Problemen, die mit der geänderten Update-Strategie einhergehen, ist es ja das, was viele Anwender annervt: die Zeit, die uns durch die Beschäftigung mit Windows Update gestohlen wird. Statt mit dem Computer zu arbeiten, wird man gezwungen, für seinen Computer zu arbeiten.
Sicherlich ist der Aufwand enorm und für den größten Teil der (End)Anwender vollkommen überzogen bzw. nicht realisierbar. Selbst ich als Admin, Bastler und partialparanoider Querulant bin derweil genervt. Meine Überlegung: um es zu erleichtern, könnte man per Skript das monthly update und die einzelnen security updates per wget herunterladen, das monthly update entpacken, die unwichtigen löschen und den Rest dann per batch dann installieren. Man müsste dann für jedes monthly nur herausfinden was davon 'Müll' ist und das Skript dann entsprechend anpassen… Dennoch ärgerlich.
Moin @ All!
Also beim Monthly Rollup July 2016 für Windows 7 aka KB3172605 ist das möglich. Dieses Rollup beinhaltet die nach meinem Kenntnisstand z.Z. aktuellste Version (7.6.7601.23453) vom Windows Update Client. Dieser lässt sich aus dem Rollup einzeln extrahieren und installieren. Der Rest vom Rollup könnte dann geschreddert und durch die Installation der entsprechenden Security Only Quality Updates ersetzt werden.
Windows 7 wurde seinerzeit mit dem IE8 eingeführt, einige Jahre später – und das gilt bis heute noch – musste/muss mindestens der IE9 installiert sein, damit die davon abhängigen Windows-typischen Anwendungen funktionieren. So habe ich selbst nur den IE9 installiert bzw. aktualisiert (der letzte IE9-Patch war KB3065822) und gehe ansonsten mit dem Firefox als Standardbrowser ins Internet.
Was mir nie so ganz klar geworden ist: stellt ein veralteter IE ein Sicherheitsproblem dar, auch wenn er nicht aktiv (zum browsen) verwendet bzw. auch nicht als Standardbrowser angemeldet ist?
Zum letzten Satz: Imho ist es ein Sicherheitsrisiko, da der IE selbst ja aus der GUI, der Rendering-Engine und weiteren Komponenten besteht. Gerade die internen Bestandteile des IE werden von vielen Windows-Versionen verwendet. Solange diese gepatcht werden, müsste es ok sein. Wenn MS da schwächelt wird es schwieriger – wobe ich nicht abschätzen kann, wie gravierend es am Ende des Tages wird. Windows XP ist seit 2014 aus dem Support – dass da ganze Win XP-Bestände wegen Sicherheitsproblemen ausfallen, habe ich persönlich noch nicht vernommen.
Tja, nix genaues weiß man nicht… Die GUI wird übrigens nicht aufgerufen/in den RAM geladen, ebenso nicht die HTML-Rendering-Engine. Und woran der IE sonst noch an grafischen und "weiteren" Komponenten (??) im normalen Windows-Bertrieb am rendern beteiligt sein soll, konnte mir seit 10 Jahren nie jemand schlüssig beantworten (auch keine Aluhut-tragenden Verschwörungs-"Theoretiker"). So werde ich auf der Zielgeraden von W7 den IE wohl nicht mehr aktualisieren und aufwändig warten, zumal es mit dem IE9 keine erkennbaren Probleme gab und gibt und sich dieser als einziger noch komplett offline installieren lässt (nach wie vor im Downloadcenter herunterladbar als "Windows Internet Explorer 9 für IT-Experten und Entwickler für Windows Vista 64-Bit Edition und Windows Server 2008 64-Bit Edition" und ideal zum Aufsetzen eines neuen Systems ohne eine Standleitung zu M$ benutzen zu müssen).
Ist es auf Dauer ausreichend, W7 ausschliesslich mit 'Security-Only-Rollups' zu patchen, wenn IE (11) in _Windows Funktionen_ deaktiviert ist ?
… und selbe Frage ungeachtet des IE > genügen 'Security-only-rollups' ?
Ist wie beim Methyl-Alkohol "ein Auge kann man riskieren" – danach weiß man um die Gefahr ;-).
Dank für die Antwort. (Sorry for the delay):
In dem Fall folgende Frage >
Wo bekomme ich die komplette 'Sammlung' patches _ ausschliesslich für IE (11) ?
Winfuture_Offline_Updates :=)