{"id":182202,"date":"2016-10-09T08:44:00","date_gmt":"2016-10-09T06:44:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=182202"},"modified":"2022-06-23T19:04:25","modified_gmt":"2022-06-23T17:04:25","slug":"anwender-berlasst-microsoft-die-verwaltung-der-updates","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/10\/09\/anwender-berlasst-microsoft-die-verwaltung-der-updates\/","title":{"rendered":"Anwender: Überlasst Microsoft die Verwaltung der Updates …"},"content":{"rendered":"

\"WindowsHeute noch was im Hinblick auf Microsoft und die von denen herausgegebenen Updates. Microsoft ist der Meinung, dass die Anwender dem Unternehmen vertrauen, und die Updates einfach installieren lassen sollten.<\/p>\n

<\/p>\n

Zum Hintergrund<\/h3>\n

\"\"N\u00e4chste Woche ist ja wieder Patchday bei Microsoft und wir werden jede Menge Updates erhalten. Bei Windows 10 ist es ja so, dass Microsoft selbst entscheidet, welche Updates wann ausgerollt werden. Anwender von Windows 10 Home haben dann keine M\u00f6glichkeit mehr, die Updates zu blocken \u2013 Sicherheits-Updates werden in allen Windows 10-Versionen immer zeitnah installiert. \u00dcber die Folgen habe ich im Blog ja berichtet.<\/p>\n

Bei \u00e4lteren Windows-Versionen kann man den Update-Modus dagegen so einstellen, dass Updates blockiert, manuell heruntergeladen und\/oder installiert werden. Und ab Oktober sollen ja Rollup-Updates kommen, die in einem Patch das System aktualisieren. F\u00fchrt dazu, dass viele Anwender die Windows-Update-Einstellungen anpassen oder abschalten, um automatische Update-Installationen zu verhindern.<\/p>\n

Sicherheit in Unternehmen, Interview mit Brad Anderson von Microsoft<\/h3>\n

Im Umfeld der vorigen Monat stattgefundenen Ignite 2016-Konferenz hat The Register<\/a> ein Interview mit Brad Anderson, Corporate Vice President of Enterprise Client and Mobility bei Microsoft gef\u00fchrt. Im Interview werden verschiedene Fragen angerissen und es geht von Mobilger\u00e4te-Sicherheit bis hin zur Update-Steuerung.<\/p>\n

Anderson blickt 10 Jahre zur\u00fcck, wo es einfach war: Es gab per Firewall gesch\u00fctzte Netzwerke und Windows PCs. Microsofts System Center, oder andere IT-Administrations-Tools \u00fcbernahmen die Verwaltung dieser PCs (z.B.\u00fcber Gruppenrichtlinien). Die PCs konnten also zentral verwaltet werden. Heute sieht das, laut Anderson, etwas differenzierter aus,<\/p>\n

\"Now I have got my cloud services outside of the perimeter and that network-based perimeter is no longer effective\" .<\/p><\/blockquote>\n

Also: Durch die Cloud-Einbindung funktionieren die alten Ans\u00e4tze nicht mehr. Microsoft entwickelt einen anderen Ansatz, den man \"identity-based security\" nennt. Dieser setzt auf Azure Active Directory (AAD) auf und \u00fcbernimmt die Synchronisation mit dem AAD mittels verschiedener Tools.<\/p>\n

All of our cloud services build on top of Azure Active Directory for authentication and access, We do more than 45 billion authentications every month through AAD, which is largely driven by usage of office 365.<\/p>\n

What we have been building is this concept of what we call the Microsoft security graph. With these cloud services, there are signals or telemetry that comes back, that allows us to see what is working, what is not working, what is being used. We have taken all that signal and we call that the intelligent security graph.<\/p><\/blockquote>\n

\u00dcber Telemetrie- oder Anmeldedaten l\u00e4sst sich verfolgen, was an Ger\u00e4ten und Diensten im Cloud-Bereich arbeitet. Das kann an einem intelligenten Security Graph verfolgt werden. Laut Anderson gehen 3\/4 der Sicherheitsprobleme (data breaches) mit kompromittierten Anmeldedaten einher:<\/p>\n

We know that more than 75 per cent of breaches come from compromised user credentials. So one of the core things that organisations have to do is to ensure that when someone presents a set of credentials it actually is who the person says they are.<\/p><\/blockquote>\n

Zur Absicherung wird die Anmeldung verwendet und man pr\u00fcft \u00fcber verschiedene Faktoren, ob es wirklich der Benutzer ist, der sich gem\u00e4\u00df den vorgegebenen Anmeldedaten in der Cloud tummelt. Der Zugang wird nun \u00fcber \"Conditional Access\" gesteuert. Bei Zweifeln an der Identit\u00e4t eines Ger\u00e4ts oder Benutzers kann automatisch eine Mehrfaktor-Authentifizierung durchgef\u00fchrt werden.<\/p>\n

Ein Feature in Microsofts Enterprise Mobility Suite, ist der Azure AD Application Proxy. Dieser erm\u00f6glicht im Firmenumfeld die Verwendung der gleichen Mechanismen f\u00fcr on-premises<\/a> (Server-basierende\u00a0 Software) Web-Anwendungen samt Authentifizierung per Active Directory.<\/p>\n

Microsofts Meinung: Lasst uns mal machen<\/h3>\n

Im Interview ging es dann um die Frage der Verwaltung von PCs, die heute mittels Gruppenrichtlinien erfolgt. Die zweite Geschichte ist die Verwaltung von Mobilger\u00e4ten (Mobile Device Management, MDM), ein aktuell stark nachgefragtes Thema in Unternehmen (Donnerstag war ich auf kurz auf dem Enterprise Mobile Summit 2016). Auf die Frage, ob die Bedeutung von Gruppenrichtlinien zugunsten von MDM abnehme, antwortete Anderson:<\/p>\n

Our long term vision on Windows 10 management is that organisations should rely on Microsoft to do more for them on their behalf. Let us worry about your images. Let us keep your devices updated through Windows Update for Business. Rather than you approving which patches you want, we are saying let them all flow because the way organisations get the most secure, the most compliant, the most reliable and most performance devices is to stay updated with all of our updates,<\/p><\/blockquote>\n

Es ging um die Frage der Update-Steuerung mittels Windows Update for Business. Auf die Frage, dass Updates die Kompatibilit\u00e4t von Hard- und Software brechen k\u00f6nnen, gab es folgende Antwort:<\/p>\n

There is years of experience that IT pros have, sometimes we release updates that break something. As we build confidence with IT pros around the world that our updates are solid they will get more comfortable with just letting the patches go through, in Windows Update for Business you have the ability to say, I want to delay these updates, so you have some level of control. You don't have the degree where you can say I want to deploy these three but not these 10.<\/p><\/blockquote>\n

Die Kurzfassung: Ja, gelegentlich rutscht uns ein Update durch, welches Kompatibilit\u00e4tsprobleme verursacht. Aber Microsoft ist sich sicher, dass man Vertrauen in Bezug auf Updates bei IT Professionals aufbauen k\u00f6nne. In Windows Update for Business lie\u00dfen sich ja Updates von der Installation zur\u00fcckstellen. Im System Center Configuration Manager gibt es, laut Anderson, die M\u00f6glichkeit, Updates per Auto-Approve herunterladen und installieren zu lassen.<\/p>\n

What we are telling people is, as you get confident with us turn on auto-approve, let all the updates flow down because that is the way that you are going to have the most predictable, the most secure, the most reliable, the most compatible devices. Then as we continue to enrich that MDM layer, organisations will move to that model of management, but that is going to take them some time. There is a bit of a cultural change there. Because you can't control the same number of settings that you can with Group Policy and Config Manager.<\/p><\/blockquote>\n

Seine Kernaussage ist:<\/p>\n

\n

'Rather than you approving which patches you want, we are saying let them all flow'<\/h4>\n<\/blockquote>\n

Also: Anwender sollten nicht mehr einzelne Updates freigeben, sondern alle Updates, wie sie von den Microsoft Update-Server angeboten werden, herunterladen und installieren lassen. Seine Argumentation: Die Absicherung der Systeme ist recht komplex geworden und Microsoft kann das Updaten \u00fcbernehmen. Es w\u00e4re eine \u00c4nderung der Update-Kultur, aber er ist optimistisch, dass das klappt.<\/p>\n

\u00dcbrigens, gefragt, ob Microsoft \u00fcber die immer noch vorausgelieferten Windows 7-PCs f\u00fcr die Industrie frustriert sei, kam die Antwort:<\/p>\n

We are very pleased with the rate of adoption that we are seeing, it is the fastest that we have ever seen,<\/p><\/blockquote>\n

Keine Aussage zur \"Frustration\" \u2013 Microsoft ist zufrieden mit der Adaptionsrate von Windows 10 \u2013 seine Interpretation \"der schnellste Wechsel, den Microsoft jemals bei einem Betriebssystem gesehen habe\". Bleibt zu hoffen, dass die Angaben in meinem Blog-Beitrag Windows Marktanteile September 2016 \u2013 Windows 10 stagniert ein statistischer Ausrutscher waren. Das ganze Interview (in Englisch) l\u00e4sst sich bei The Register<\/a> nachlesen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows 8.1: Optionales Update KB2976978 (4. Oktober 2016)<\/a>
\nOffice-Updates f\u00fcr Oktober 2016<\/a>
\n<\/strong>Windows 7\/8.1: Sonder-Updates KB2952664\/KB3055343<\/a>
\nKumulative Update f\u00fcr Windows 7\/8.1 ohne IE patches
\n<\/a>Anwender: \u00dcberlasst Microsoft die Verwaltung der Updates \u2026<\/a>
\n<\/a>Windows 7\/8.1: Wann Kompatibilit\u00e4ts-Updates \/KB2952664, KB2976978) zu<\/a><\/p>\n

Englische Version des Beitrags<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch was im Hinblick auf Microsoft und die von denen herausgegebenen Updates. Microsoft ist der Meinung, dass die Anwender dem Unternehmen vertrauen, und die Updates einfach installieren lassen sollten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185],"tags":[672,4315,3288],"class_list":["post-182202","post","type-post","status-publish","format-standard","hentry","category-update","tag-microsoft","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/182202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=182202"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/182202\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=182202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=182202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=182202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}