Unternehmen fremdeln weiter mit Windows 7/8.1 Rollups

Windows UpdateAdministratoren in Unternehmensumgebungen kämpfen weiterhin mit Microsofts Rollup Updates für Windows 7 (sowie Windows 8.1 und den korrespondierenden Server Versionen) und hadern mit dem vor einem Jahr eingeführten Ansatz.


Anzeige

Genialer Ansatz oder scheitern mit Ansage?

Im Oktober 2016 hat Microsoft ja das neue Modell mit Rollup Updates für Windows 7 und Windows 8.1 eingeführt (siehe Patchday-Infos: Was ab Oktober für Windows 7/8.1 kommt und Artikelliste am Ende des Beitrags). Statt einzelner Updates wird alles in ein Paket gepackt und ähnlich wie bei den kumulativen Updates für Windows 10 an einem Stück ausgerollt.

Was aber so kraftvoll angekündigt wurde, musste bereits im Dezember 2016 angepasst werden. Ich hatte im Blog-Beitrag Neues Update-Schema für Windows 7/8.1/Server ab Dezember 2016 darüber berichtet. Und im Januar 2017 gab es dann den Blog-Beitrag Weitere Änderungen für Windows 7/8.1 Security-only-Updates, der die nächsten Änderungen für das Konzept für Februar 2017 ankündigte.

Heftige Probleme mit den Rollup Updates?

Die obigen Ausführungen deuten schon an, dass das Konzept der Rollup Updates irgendwie von Microsoft nicht durchdacht war. Die Unternehmen liefen Sturm und Redmond musste nachbessern. Das Ganze ist auch ein Jahr nach Einführung nicht besser geworden, wenn man Nutzermeldungen glauben kann. All zu häufig haben wir in den letzten 12 Monaten erleben müssen, dass die Rollup Updates für Kollateralschäden sorgten. Die Installation von Einzel-Updates ist nicht mehr möglich. Administratoren müssen auf ein Update verzichten und mögliche Sicherheitslücken in Kauf nehmen. Oder sie schließen die Sicherheitslücke und riskieren, dass Anwender und Chefs ihnen aufs Dach steigen, weil es zu gravierenden Fehlfunktionen kommt. Der Blog hier speist sich zu einem guten Teil auch Beiträgen, die so etwas aufwischen.

In den Unternehmen nicht angekommen

Könnte natürlich eine irreführende Beobachtung meinerseits sein. Blog-Leser Leon hat mich aber auf den Beitrag One year later, enterprises still wrestle with Windows 7's cumulative updates von ARN hingewiesen. Deren Botschaft: Das neue Update-System für Windows 7 bringt den Firmen weiter Ärger und ist nicht angekommen. MVP-Kollegin Susan Bradley schreibt in einer Mail:


Anzeige

I still see people asking for individual updates, even on the [Windows] 10 operating system

Susan ist auch in Microsoft Answers aktiv und betreibt die PatchMangement.org mailing Liste mit. Dort bekommt sie mit, dass Leute auch in Windows 10 noch nach individuellen Updates fragen, weil es mit den kumulativen Updates häufig Ärger gibt.

Die von Sicherheitsexperten geäußerte Befürchtung, dass Unternehmenskunden bei den Rollup Updates sich entscheiden müssten, entweder Sicherheitslücken zu schließen oder die Patch-Installation wegen Einflüssen auf geschäftskritische Prozesse ablehnen müssten. Genau dies ist auch eingetreten. Bradley drückt das in folgenden Sätzen aus:

"There is a real concern that there will be an issue that because we have to keep the business operational, we will not be able to install the update rollup. As a result, we [will] leave ourselves exposed to risk of attack."

In Kurz: Tritt bei der Update-Installation ein Problem auf, kann ein Administrator nur ein Rollback veranlassen, um geschäftskritische Prozesse am Laufen zu halten. Dann bleiben aber Sicherheitslücken ungefixt.

"Es hat den Patch-Zyklus verlängert", sagte Chris Goettl, Produktmanager bei Ivanti, einem Anbieter für Client-Sicherheit und Management, in einem Interview. Er erklärte, dass viele Unternehmen gezwungen waren, alle Patches zu verschieben, zumindest auf einigen Systemen, weil eine Code-Änderung, die im kumulativen Windows-7-Update enthalten war, eine kritische Anwendung beschädigt hatte.

"Wir sehen viele Kunden, die, bis zur Behebung eines Problems durch Microsoft oder einen Drittanbieter, keine Updates ausrollen konnten", so Goettl. Vorher hätten die Admins gesagt: "Wir werden nur die kritischen Updates installieren und den Rest der 'optionalen' und 'wichtigen' Updates ignorieren." Aber jetzt haben Administratoren diese Option nicht mehr. Also ignorieren sie alle Updates auf einem sensiblen System.

Der Hintergrund für diese 'Ignoranz': Durch das Rollup-Konzept ist es ja nicht möglich, ein Update auszusetzen. Wird das Rollup des Folgemonats installiert, holt dieses alle fehlenden Updates der Vormonate nach. Sobald also ein Rollup installiert wird, bringt dieses alle ungefixten Bugs der Vormonate auf die Systeme – was eine existenzbedrohende Geschichte für Unternehmen werden kann. Ich erinnere nur an den Drucken-Bug im Internet Explorer 11, der über Monate nicht gefixt werden konnte. Am Ende des Tages gab es einen Fix von Microsoft, der die Druckenfunktion zwar wiederherstellte, aber die vorher geschlossene Sicherheitslücke wieder öffnete. Der der im November 2017 aufgetretene Nadeldrucker-Bug, der Unternehmen, die auf diese Technik angewiesen waren, zwang, auf die Updates zu verzichten.

Irgendwie keine gute Situation für Unternehmen, die von einem Softwareanbieter wie Microsoft abhängig sind. Und in meinen Augen auch keine gute Situation für Microsoft, die eigentlich eine funktionsfähige Infrastruktur für die IT der Unternehmen liefern sollen. Mein persönliches Gefühl ist, dass die Summe der Patchday-Probleme seit 1-2 Jahren im Microsoft-Kosmos zugenommen hat. Vieles ist durch Microsoft schlicht, auf Grund der Entscheidungen hin zum neuen Patch-Management, hausgemacht. Oder wie seht ihr das?

Ähnliche Artikel:
Insides zum Windows Service Modell
Patchday-Infos: Was ab Oktober für Windows 7/8.1 kommt
Oktober-Patchday: Einstieg in Windows 7/8.1 Rollup-Updates
Neues Update-Schema für Windows 7/8.1/Server ab Dezember 2016
Windows 7 SP1 Convenience Rollup und Windows 7/8.1 Rollup-Updates
November 2017: Patchday-Überraschungen (WSUS, IE …)
Windows 7/8.1 CPU-Update-Blockade trifft auch alte CPUs
Weitere Änderungen für Windows 7/8.1 Security-only-Updates


Anzeige

Dieser Beitrag wurde unter Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Unternehmen fremdeln weiter mit Windows 7/8.1 Rollups

  1. Ingo sagt:

    Wenn ich im Unternehmen einen Patch nicht ausrollen kann, weil er irgendwo Probleme verursacht, dann ist es herzlich egal, ob dies ein kumulatives Update ist oder ein einzelnes Update. Solange dieses Update sicherheitsrelevant ist und nicht eingespielt wird, bleiben die entsprechenden Lücken ungepatcht. Und es reicht eine einzelne Lücke, um ein System zu hacken.

    Die Denkweise ist vermutlich folgende: hätte ich zehn Sicherheitsupdates und nur eines davon wäre problematisch, könnte ich dieses auslassen und hätte zumindest neun von zehn Lücken gepatcht. Das ist allerdings auch fatal. Denn eine Lücke bleibt dann trotzdem noch offen. Wie schon oben erwähnt reicht die dann auch, um das System zu übernehmen.
    Und einzelne Updates machen es den Admins viel zu einfach, so etwas dauerhaft zu tolerieren, dass irgendwo Lücken offen bleiben. Für die meisten Probleme mit Patches gibt es Lösungen oder Workarounds. Den Patch nicht zu installieren ist in den seltensten Fällen eine Lösung.

    Bisher hatte ich hier relativ wenige Probleme mit Updates. Wir haben den allergrößten Teil der Systeme mittlerweile eh auf 10 migriert, insofern gibt es dort halt sowieso nur die kumulativen Updates. Und insgesamt vereinfachen sie mehr, als dass sie Probleme machen.
    Ich integriere einmal im Monat ein Update ins Image und bin auf dem laufenden Stand. Die Clients downloaden ein einziges Paket und auch Clients, die mehrere Monate aus waren (Mitarbeiter in Elternzeit, Rechner im Lager), brauchen nicht erst diverse Anläufe und Updates, sondern nur ein großes Paket und sind sofort aktuell.
    Das vereinfacht die Sache aus Admin-Sicht immens.

    Wir hatten hier auch bisher kein Update, was nennenswerte Probleme verursacht hätte. Ob das jetzt Glück ist oder einfach nur gutes Patch-Management oder Zufall, kann ich nicht beurteilen. Allerdings treffen die meisten Probleme mit Patches ja auch meist nur eine recht kleine Gruppe von Systemen.

    Da sind spontane technische Änderungen von manchen Herstellern deutlich weniger schön. Als Google sich entschlossen hat, Plugins wie Java aus Chrome rauszuwerfen oder ohne große Ankündigung bei einem Chrome Update plötzlich keine Zertifikate ohne Subject Alternate Name mehr als gültig anerkennen wollte, das hat Ärger verursacht.
    Oder halt die allseits beliebte "Sicherheitssoftware", die nach Signaturupdates plötzlich irgendwelchen Unsinn macht. Oder die nach Agent-Updates plötzlich noch tollere Features hat, die nicht im Detail dokumentiert sind, aber beim Rollout plötzlich für Probleme sorgen.

    Windows Updates sind zumindest bei uns im Haus bisher relativ unspektakulär.

    • Uwe Albrecht sagt:

      Wir dürfen sicher sein, dass hier sehr viele kluge Menschen mitlesen, die deutlich mehr als positive Werbeaussagen zu Microsoft erwarten und Günter Born wird dieser Erwartung nicht nur im Bezug auf Microsoft gerecht. Es adelt ihn noch mehr, dass Ingo, Martin & Co hier regelmäßig mitlesen und schreiben, denn so bekommt man den vollen Kontrast ;-)

      Wenn Günter Born ein vermeintliches MS-Problem beschreibt, finden wir hier immer auch klug begründete Kommentare, dass bei Microsoft alles viel besser als bei der Konkurrenz läuft. Natürlich ist bei Linux, Google, Apple & Co. die aktuelle IT-Welt nicht in so guter Verfassung und alles außer Windows 10 und Office 365 ist sowieso nicht akzeptabel. Wissen wir doch alle ;-) oder?

      Manchmal reicht schon der Hinweis auf ein anderes Produkt (siehe Softmaker), um kontrastreiche MS-Fan-Reflexe auszulösen. Wir halten das nicht nur aus, sondern wir freuen uns über jede weitere Sichtweise. Der IT-Horizont ist so groß, der reicht für viele Wahrnehmungen und Erfahrungen an denen wir teilhaben wollen.

      • Günter Born sagt:

        Unabhängig von den ;-) – Kommentare, die verschiedene Sichtweisen ausbreiten, sind immer gut. Auch meine Wenigkeit läuft ja ständig Gefahr, sich in irgend etwas zu verrennen – zumal ich ja nicht mehr in den Betrieben unterwegs bin, sondern die Situation aus 'meinem Glashaus' betrachte.

        Provokation gehört auch ein Stück weit zum Blog (nachdenken anregen) – und oft haben Kommentare der Leser plötzlich ganz neue Sichtweisen sowie Lösungen/Alternativen eröffnet :-).

        Ingo habe ich mal persönlich kennen gelernt – würde ihn jetzt nicht als eingefleischten MS-Fanboy sehen – auch wenn seine beruflichen Aktivitäten ihren Schwerpunkt in deren Produktwelt haben. Und seine Erfahrungen sind – auch in den Foren – unschätzbar. Hinzu kommt seine pragmatischere Sichtweise.

        Ich würde auch Martin nicht sein Fan-sein wirklich vorwerfen. Auch ihn habe ich persönlich kennen gelernt – und hinter den Kulissen stehe ich mit ihm und den Leuten von deskmodder in Kontakt. Jeder hat so seine Sichtweisen – ich bin (in gaaanz seltenen Fällen, gelegentlich, möglicherweise) mehr auf Krawall gebürstet. Diese vielen Sichtweisen sind doch das Salz in der Suppe – und ihr Blog-Leser könnt euch das herauspicken, was da persönlich am besten in den Kram passt. Von daher bin ich bei dir Uwe, der IT-Horizont ist groß, also alles gut.

  2. Also wir haben noch einige PCs mit Windows 7, Windows 8 als auch 8.1 haben wir komplett ausgelassen und sind mit der Hauptmasse an PCs auf Windows 10 Umgestiegen.

    Mit den Rollup Updates haben wir bisher zum Glück keine großen Probleme gehabt, außer Natürlich die Office Updates das zerschießt und Regelmäßig die Einstellungen, die meisten Problem haben wir nach wie vor mit irgendwelchen seltsamen Treibern für Peripheriegeräten die Microsoft per Update anbietet die habe ich nun Komplett gestoppt und mache die Manuell falls es notwendig ist.

    Also mit Treiber für Peripheriegeräten hat Microsoft kein gutes Händchen das führt auch unter Windows 10 Regelmäßig zu Problemen mit den Peripheriegeräten.

  3. Karl (al Qamar) sagt:

    Sie sind insbesondere im Business Umfeld eine sehr sinnvolle Neuerung insbesondere für Server 2008 R2 – 2012 R2.
    Microsoft muss jedoch 2018 die durchschnittliche Qualität dringend verbessern. Auch wenn das zu Lasten deiner tollen Berichterstattung geht.

    • Günter Born sagt:

      @Karl: Um Themen für meine Berichterstattung mache ich mir aktuell keine Sorgen. Ich könnte – wenn es keinen Brass mehr mit Updates geben sollte (man darf ja mal träumen können) – ja jederzeit auf Fanboy umschwenken. Und es gibt Apple, Android, Linux, Sicherheitsthemen …

      Und wenn alle Stricke reißen – ich habe ja noch einen 50+-Blog, einen Bücher-Blog, einen Reiseblog – könnte noch einen Do-it-your-self-Blog aus der Taufe heben. An Ideen mangelt es mir nicht – es fehlt die Zeit ;-).

      • Dusfieds sagt:

        "einen Do-it-your-self-Blog"
        au jau. So wie früher die legendären Rep–Bücher 'gezz help i me selbs, wa'… (Motorbuch Vlg.), den Golf hatt ick zerlegt. :D

  4. Martin sagt:

    Wenn man bedenkt das Windows auf verschiedene Gerätekonfigurationen läuft, ist es doch insgesamt sehr beeindruckend wie gut das Ganze eigentlich abläuft. Man denke mal an Apple. Die haben nur einen recht kleinen Anteil an Gerätekonfigurationen zu betreuen. Da geht im Verhältnis zu Microsoft deutlich mehr daneben. Fehlerquellen können auch Antiviren-Produkte, Tuning-Software oder zu restriktive Einstellungen sein.

    • h. grabens sagt:

      Es ist allerdings bewusst und nat. durchaus Absicht von apple, die Hardwarebasis zu reduzieren/einzugrenzen und dann nur und genau für diesen Pool spezifisch zu programmieren.
      Die von apple angebotene Software profitiert logischerweise davon. Ist insgesamt weniger buggy, dafür oft mehr benutzerorientiert. Und gemeint sind die normalen Nutzer, nicht die Bastl-Wastls, die nur zufrieden scheinen, wenn es möglichst verquast und kompliziert zu geht. Die meisten wollen anwenden, und da sind apple-Produkte einfach sehr gut aufgestellt und eben ziemlich durchdacht.
      Sagt ein überhaupt Nicht-apple-Nutzer.
      Dazu kommt das seit Jahren exzellente Design. Etwas, was man seit 3-4 Jahren anscheinend auch bei MS mitbekommen hat, dass sowas (gutes Design) sehr sinnvoll sein kann, graue Brotdosen aber langweilig und mehr irrelevant rüberkommen.

      Jetzt kann man sich det janze (s.o.) nat. auch schönlügen. Motto, es ist doch erstaunlich, wie wenig bei win schiefgeht, angesichts der breiten Hardwarebasis. Allerdings, umgekehrt wird eher ein Schuh draus. Denn würde man etwas mehr den apple-Weg beschreiten, wäre dies nur von Vorteil.

    • Rolf Dieter sagt:

      "Wenn man bedenkt das Windows auf verschiedene Gerätekonfigurationen läuft, ist es doch insgesamt sehr beeindruckend wie gut das Ganze eigentlich abläuft."

      So so…
      Stichwort Surface!
      http://winfuture.de/news,99095.html
      Da produziert man endlich eigene Geräte, und dann gibt es mit diesen nur Probleme.
      Qualität sieht wohl anders aus.
      Wo ist MS denn jetzt besser als Apple?

    • schattenmensch sagt:

      @Martin
      "Wenn man bedenkt das Windows auf verschiedene Gerätekonfigurationen läuft, ist es doch insgesamt sehr beeindruckend wie gut das Ganze eigentlich abläuft. "

      Mircosoft erstellt doch i.d.R nicht die Treiber für die Gerätekomponenten. Die stellen Schnittstellen und Dokumentation zur Verfügung, wonach ein Hersteller seine Treiber entsprechend schreiben kann. Ich kann allerdings nicht beurteilen ob bei Problemen die Schuld bei Mircosoft oder beim Hersteller oder bei beiden liegt.

      Bei Apple und Mircosoft geht seit Jahren die Qualität nach unten. Das liegt u.a. an mangelnder Qualitätsprüfung an und Zunahme der Komplexität der Produkte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.