[German]Microsoft unternimmt erneut einen Anlauf, um Administratoren und Anwendern die monatlichen Update-Zyklen für Windows 10 zu erklären und näher zu bringen. Einiges war für mich neu, und manche Textstellen tragen (für meinen Geschmack) etwas unfreiwillig Slapstick-artige Züge.
Anzeige
Wer sich mit Updates für Microsoft Produkte befasst, weiß eigentlich, dass der erste Dienstag im Monat nicht sicherheitsrelevante Updates für Office bringt. Am zweiten Dienstag im Monat gibt es den Patchday, der Sicherheitsupdates für Microsoft-Produkte bringt. Dann gibt es am 3. Dienstag im Monat noch Preview Rollup-Updates für Windows 7/8.1 und möglicherweise Updates aus der Reihe. Und es kann sein, dass nix von dem obigen zutrifft, weil Microsoft Updates am Patchday ausfallen lässt (gab es schon), oder die Updates ein paar Tage später ausrollt (gab es in letzter Zeit öfters) oder einfach Tag um Tag Korrektur-Updates ausrollt.
Bei Windows 10 hatte ich mir gemerkt: Updates sind meist kumulativ und kommen am Patchday (2. Dienstag im Monat) und auch zwischendurch. Steuern kannst Du als privater Anwender oder Administrator ohne WSUS & Co. nicht wirklich viel. Weil es von Administratoren und Nutzern immer wieder gefragt wurde, hat John Wilcox von Microsoft dankenswerterweise den Artikel Windows 10 update servicing cadence (Windows 10 Update-Zyklus) verfasst.
Leitlinien für Updates
Microsoft gibt die Updates für Windows 10 nicht einfach so frei. Es gibt intern klare Leitlinien, wann Updates warum von Microsoft ausgerollt werden. Ich gebe diese von Microsoft formulierten Leitlinien einfach mal hier wieder:
- Sei einfach und berechenbar: IT-Manager sollten in der Lage sein, eine einfache, regelmäßige und konsistente Patch-Frequenz zu planen. Die Klientel soll nicht ihre gegenwärtige Tätigkeit unterbrechen müssen, um ein Update zu testen und bereitzustellen. Vielmehr besagt die Theorie, dass die IT-Manager in der Lage sein sollten, eine Zeit im Voraus zu planen, um an neuen Updates zu arbeiten. Sie sollten sich auch nicht mehrere Veröffentlichungszeitpläne merken müssen; die Update-Frequenz von Windows sollte mit der von anderen Microsoft-Produkten übereinstimmen.
- Sei agil: In der heutigen Sicherheitslandschaft müssen wir in der Lage sein, bei Bedarf schnell auf Bedrohungen zu reagieren. Microsoft sieht vor, die IT-Manager im Fall der Fälle auch schnell mit Updates zu versorgen, ohne Kompromisse bei der Qualität oder Kompatibilität einzugehen.
- Sei transparent: Um den Einsatz von Windows 10 in großen oder kleinen Unternehmen zu vereinfachen, sollten IT-Manager Zugriff auf so viele Informationen haben, wie diese benötigen. Und die Admins sollten in der Lage sein, Updates im Voraus zu verstehen und vorzubereiten. Dazu gehören Anleitungen für gängige Wartungstools, einfache Versionshinweise und der Zugriff auf Hilfestellungen oder ein Feedback-System zur Eingabe.
Mir schoss beim Lesen der Begriff Slapstick durch den Kopf – aber ich habe mit dem obigen Text jetzt nicht geflunkert, dass steht alles hier aufgeschrieben – im Zweifelsfall handelt es sich im Übersetzungsfehler meinerseits.
Anzeige
Monthly Quality Updates und B-, C- und D-Varianten
Wilcox versucht sich dann noch in Details, wobei seine Aussagen für mich neu sind. Für Windows 7/8.1 und die Server Pendants kenne ich B-, C- und D-Relases. Für Windows 10 bietet Microsoft aber i.d.R. nur kumulative Updates an. Wilcox schreibt nun aber:
- Zu Zeiten, die als unsere "B"-Version bezeichnet werden, werden Updates am zweiten Dienstag eines jeden Monats (meist als Patch Tuesday bezeichnet) veröffentlicht. Diese Updates sind die primären und wichtigsten aller monatlichen Update-Ereignisse und sind die einzigen regelmäßigen Releases, die neue Sicherheits-Fixes enthalten.
- Ein Out-of-Band-Release ist jede Aktualisierung, die nicht dem Standard-Release-Plan folgt. Diese sind für Situationen reserviert, in denen Geräte sofort aktualisiert werden müssen, um entweder Sicherheitsschwachstellen oder Qualitätsprobleme, die viele Geräte betreffen, zu beheben.
- Die Veröffentlichungen der Gruppe "C" und "D" erfolgen in der dritten bzw. vierten Woche des Monats. Diese Vorschau-Versionen enthalten nur Updates, die nicht der Sicherheit dienen. Diese dienen dazu, die geplanten Korrekturen, die für das Update am Patch-Dienstag des nächsten Monats geplant sind, bereitzustellen und zu testen. Diese Updates werden dann als Teil der "B"- oder "Update Tuesday"-Version des Folgemonats ausgeliefert.
Wie gesagt, für Windows 7/8.1 war mir das bekannt. Dass Microsoft aber auch für Windows 10 'Vorschau-Versionen' als kumulative Updates raushaut, war mir persönlich nicht klar. Nur mal so: Auf dem Großteil der nicht per WSUS & Co. verwalteten Clients wird dieses Zeugs, welches von Microsoft 'zum Testen' bereitgestellt wird, automatisch installiert. Consumer mit Windows 10 sind also die Versuchskaninchen (Guinea Pigs, wie die Amerikaner sagen).
Weitere Details, im Sinne 'keep it simple'
Wer noch mehr Details wünscht, kann sich die Detaillierungen zu 'Be simple and predictable', 'Be agile' und 'Be transparent' hier durchlesen. Dort erfährt man auch, dass die Sicherheitsupdates am 2. Dienstag im Monat erst ausgerollt werden, nachdem sich die Entwickler mit Produktteams und externen Partnern abgestimmt haben. Bei den nicht sicherheitsrelevanten Updates gibt es diese Abstimmung nicht. Und dann folgen weitere Informationen, die für mich neu sind:
- Für die neueste Version von Windows 10 veröffentlicht Microsoft in der Regel die meisten Nicht-Sicherheits-Updates als "D"-Version in der vierten Woche eines jeden Monats, zwei Wochen nach dem letzten Update am Dienstag und zwei Wochen vor dem nächsten Patchday.
- Während des zweiwöchigen Zeitraums zwischen der ersten Veröffentlichung einer D-Version und dem aktiven Push zur Installation auf Geräten zum Patchday im Folgemonat können IT-Professionals die in der Version enthaltenen Updates testen und Feedback geben. Dadurch soll die Anzahl der erforderlichen Tests nach dem Update am Dienstag reduziert und Microsofts Fähigkeit verbessert werden, Probleme zu lösen, bevor sie überhaupt auftreten.
- Für ältere Versionen von Windows 10 (sowie unterstützte Versionen von Windows 7 und Windows 8.1) veröffentlichen die Leute von Microsoft manchmal Updates in der dritten Woche als "C"-Version. Dies soll IT-Administratoren mehr Zeit zum Testen ihrer Legacy-Systeme geben. Außerdem verschieben die Microsoftler das aktuelle Release auf die "C"-Woche, wenn weniger Korrekturen und Verbesserungen an der aktuellen Version notwendig sind. Sind nur ein paar Updates der "C"-Woche und keine für die "D"-Woche verfügbar, soll dies den Leuten die Möglichkeit geben, sich auf andere Aufgaben zu konzentrieren. Die freigewordene Zeit kann, nach den Vorstellungen von Microsoft, für das nächste halbjährliche Funktionsupdate investiert werden.
Wilcox schreibt: In den meisten Fällen müssen "C"- und "D"-Versionen nicht in breiteren Geräte-Ökosystem der Unternehmen eingesetzt werden. Stattdessen können Administratoren diese Versionen verwenden, um Probleme zu identifizieren, die sich auf Ihre nächste "B"-Bereitstellung auswirken könnten, und um Feedback zu geben. Dies hilft IT-Professionals, die möglichen Auswirkungen von Updates zu testen und zu verstehen. Nach Ansicht Microsofts gibt dies der Klientel die Möglichkeit, Vorschläge zu machen, bevor diese Updates offiziell veröffentlicht werden. Das soll eine reibungslosere und maßgeschneiderte Erfahrung ermöglichen, wenn das "B"-Release erscheint.
Na, jetzt alles klar? Ist doch ganz simpel – nur beschleicht mich der Gedanke, dass der Ansatz (speziell auf 'keep it simple' und den letzten Satz im vorherigen Absatz bezogen) noch nicht so ganz klappen will. An dieser Stelle: Bevor jetzt Kritik aufkommt! Ich bin nur der Bote, der die Nachricht transportiert – ich habe keine Schuld, falls jemand beim Lesen vom Stuhl fällt. (via)
Anzeige
Wieso nehmen die nur Dienstage? Dass Montage nicht gehen, liegt auf der Hand, weil Montagpatches grundsätzlich in die Hose gehen, aber den Rest der Woche kann man mit Updates zupflastern, weil das die Vorfreude aufs Wochenende hebt.
Das zeigt doch, das MS mit der immer höher werdenen Frequenz an seine Updates qualitativ selbst nicht mehr vertraut. Daher erlaube ich mir hier den Aufruf zum Daily-Patch-Chaos-Day, damit noch lange die Admins nicht arbeitslos werden……
(der Kollateralschaden an ausgerissenen Haaren ist halt berufsbedingt)
"(der Kollateralschaden an ausgerissenen Haaren ist halt berufsbedingt)"
Deswegen habe ich mittlerweile eine Glatze…
Ich rolle alles immer am Ende der D-Woche (früher: C-Woche) über das jeweilige WE aus.
Inkl. diverser Software.
Nicht fexibel, aber für meine Zwecke einfach u. ausreichend.
Außerdem mit genug Vorlauf "Buggefixte" Updates ebenfalls auszurollen. Oder eben den Fix.
Von Sofort-Patches halte ich nichts mehr. Es gab in all den Jahren nie Probleme durch kurzfr. ausgenutzte Sicherheitslücken, wohl aber durch nicht ausreichend getestete Patches.
Exakt. Naja ggf. bei wannacry.
Ich hatte weder mit WannaCry noch mit anderer Schadsoftware Probleme.
Liegt aber vllt. daran dass Windows Updates die letzte Bastion sind um eine Infektion zu verhindern, allen voran aber die Aufklärung von Nutzern und die extrem restriktive Möglichkeit für den Nutzer Software auszuführen.
Lieber Günter liebe Leser. Was der Typ von Microsoft da schreibt stimmt (noch) nicht. Es ist mir nicht bewusst das Microsoft schon C und D Updates ausgerollt hätte wohl aber Out of Band wegen Fixes für Fixes.
Wenn die jetzt auch Vorschauupdates einführen dann können die mich mal.
Diese ruinieren nämlich schon bei vor Windows 10 / 2016 Sytemen die Möglichkeit der automatischen Genehmigung im WSUS da diese keiner eigenen Kategorie angehören.
Umso schlimmer – wenn John Wilcox so etwas schreibt und die das noch nicht ausrollen – dann ist der Slapstick komplett. Wie hub der Text in den 'Guiding principles' so schön an:
Be simple and predictable.
Be transparent.
Entweder wollen die uns gerade veräppeln, oder die linke Hand weiß nicht, was die Rechte tut. Bei John Wilcox geht es mir nach dem lesen seiner Beiträge jedenfalls so, dass diese mehr Verwirrung als Klarheit schaffen.
Ergänzung: Ich habe mal einen Kommentar (ist schon wieder im digitalen Nirvana verschwunden) mit einigen Fragen und auch das WSUS-Thema unter dem Beitrag von John Wilcox hinterlassen – mal schauen, ob noch eine Antwort kommt.
Natürlich macht MS D-Updates. Ist hier doch regelmäßig im Blog zu lesen.
D-Updates als Vorschau auf den kommenden Patchday, für Windows7/8.1 ja, aber für Windows 10?
überrascht mich abermals nicht. das deckt sich vollkommen mit meinen "vorhersagen". microsoft handelt, so schmutzig und kurzweilig eine praktik auch sein mag, transparent,weil zumindest für einen größeren zeitraum gradlinig! dass updades im nachhinein ohne kenntlichmachung geändert werden, weiß ich, weil ich es vermutet und überprüft (die zeit genutzt) habe. zudem treten andauernd genau die probleme 1 2 wochen oder ein paar tage vorher auf, bevor sie als "bekannte probleme" gelistet werden. wenn nun endlich ein paar mehr individuen vom stuhl fallen und es ausreichend wehtut… aber, das wird nicht passieren… worte genügen nicht, wie hier ebenfalls im blog ausgezeichnet nachvollzogen werden kann.
bei apple ist es, meiner meinung nach übrigens noch schlimmer als bei windows, wie da mit ressourcen und den "menschen" umgegangen wird, die entsprechende produkte mal für viel geld erworben haben. die letzten 5 stunden und ein macbook-pro sind für mich vollkommen ausreichend um zu begreifen wie "schlimm" die situation ist. ich sehe jetzt lediglich noch viel mehr als gestern.. (andere sehen das gleiche / haben zeitgleich die gleichen probleme vor sich und schreiben in foren darüber..) ich habe kein wort um mein empfinden darüber zu beschreiben.
"gute nacht"
So wie es bei dir im Post steht:
"Für die neueste Version von Windows 10 veröffentlicht Microsoft in der Regel die meisten Nicht-Sicherheits-Updates als "D"-Version in der vierten Woche eines jeden Monats"
ich würde das nutzlos alleinstehende update für die 1607 niemals installieren. der gedanke würde schon wehtun, so offensichtlich ist der zweck, es wird das anniversary unbrauchbar machen oder gar durch experimentelle versehentlich aktivierte mitigations gegen – achja "für" und "gegen" werden im support artikel zur meltdownspectreattack.com an kritischen textstellen.. wahrscheinlich… transparent und korrekt verwendet, wer glaubt das wäre gewiss ein freudscher fehler wird die konsequenzen tragen, den tester machen, freiwillig!
zu "..aber bei windows 10?" erinnere ich nochmal an die neue praktik, denen, die aus gewohnheit, aberglauben, wunschträumen, unachtsamkeit, wahnsinn – den "downgrades suchen" button klicken, experimentellen cod zu verpassen. ist bei mir zwar kein thema, aber es ist mir durch die erwähnung hier im blog erst bewusst geworden. eine schlüssel-eigenschaft wenns um dealing with microschrott updates geht. das ist derart subtil und hinterhältig dass es dem einzelnen leicht entgeht.
Danke @Karl Wester-Ebbinghaus (al Qamar)…
Zitat: "Diese ruinieren nämlich schon bei vor Windows 10 / 2016 Sytemen die Möglichkeit der automatischen Genehmigung im WSUS da diese keiner eigenen Kategorie angehören."
Endlich einer der mein Leiden teilt, ich finde es einen Hohn wie M$ den WSUS behandelt. Ich behelfe mir zwar mittlerweile ganz gut mit einigen Powershell Scripten, aber ich habe sichlerich keine Lust auch noch die Genehmigung der Updates per Script zu regeln. Zumal Microsoft sich ja auch immer mal wieder neue Produktnamen (bzw. ganz tolle und sprechende Abkürzungen, ohne irgend eine passende Beschreibung) einfallen lässt, womit man dann wieder sein Script anpassen darf.
Naja über kurz oder lang muss ich mir wohl doch SCCM ans Bein binden.
Ich verteile übrigens keine Preview Geschichten und werde das auch nicht tun. Ehrlich gesagt sehe ich es nicht ein das man als Firma schon genug an M$ zahlt und dann auch noch deren Arbeit machen soll, von mir aus sollen die ein kostenloses Windows rausbringen mit dem man immer "am Nabel der Zeit" hängt und auch nicht an der Telemetrie schrauben kann… würde ja voll in die "für umme" Kulut unserer Zeit passen.
Naja ich schweife ab… achja… danke Günter!
Auf einen PC läuft ein Windows 10 1709 mit deaktivierter automatischer Update Funktion. USOClient wurde nach einer Anleitung von Deskmodder.de kastriert.
Da Installiere ich das B-Update (Deltaupdate) immer manuell in der C-Woche. Heruntergeladen wird es aus dem Updatecatalog. So läuft der Laptop eigentlich ganz gut.
Wenn ich da jetzt Rein schaue stelle ich fest das die Relases komplett vom Zeitplan abweichen. Das B Relas ist letzten Monat komplett ausgefallen.
Folgende Updates sind letzten Monat erschienen:
2018-07 Kumulatives Update für Windows 10 Version 1709 für x64-basierte Systeme (KB4345420) Windows 10 Updates 16.07.2018 k.A. 836,1 MB
2018-07 Update für Windows 10 Version 1709 für x64-basierte Systeme (KB4339420) Windows 10 Wichtige Updates 17.07.2018 k.A. 13,1 MB
(servicing-stack-update-for-windows-10)
2018-07 Kumulatives Update für Windows 10 Version 1709 für x64-basierte Systeme (KB4338817) Windows 10 Updates 23.07.2018 k.A. 840,9 MB
2018-07 Update für Windows 10 Version 1709 für x64-basierte Systeme (KB4090007) Windows 10 Updates 24.07.2018 k.A. 1,2 MB
Microcodeupdate von Intel
Hallo zusammen,
ich möchte mal eine kleine Erklärung zum SCCM abgeben, weil ich immer den Eindruck habe, dass dies gar nicht bekannt ist:
"Unter" dem SCCM arbeitet ganz normal ein WSUS!
Deshalb erwartet von diesem System keine Wunderleistungen!
Man bleibt dennoch updategeplagt.
Den Artikel von John Wilcox sollte Microsoft auch mal lesen… und sich daran halten.
Besonders den Part mit "Transparenz, einfach und berechenbar".
Ich sag ja immer: Papier ist geduldig
So etwas kenne ich schon von den Zertifizierungskursen für Windows-Server NT4 und Windows 2000 aus dem letzten Jahrtausend, da hat sich also nicht viel zum Besseren getan.
Hallo,
kommen die Serverupdates auch immer am 2. Dienstag des Monats heraus? Dann hätte ich mir diese Woche 3h Powershellscripting zur Monitoring Einbindung wann Updates, die einen Serverreboot erfordern, sparen können -.-
LG
Am WSUS bekommt man die C und D in der Regel für Windows 10 gar nicht.
Für 1703 manuell am WSUS eingespielt werden die Juli Updates auch gleich gar nicht von die clients gefunden.
Wirklich alles außer Service (WaaS)
Ich mach das jetzt glaube ich der Einfachheit halber in Zukunft so: raus damit, wenn was nicht geht, dann wird es Microsoft möglicherweise auch wieder reparieren :)