{"id":255536,"date":"2021-07-09T00:05:00","date_gmt":"2021-07-08T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255536"},"modified":"2021-07-09T10:25:17","modified_gmt":"2021-07-09T08:25:17","slug":"nderungen-und-unklarheiten-bei-treiber-updates-ber-wsus-zieht-windows-10-update-am-wsus-vorbei","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/09\/nderungen-und-unklarheiten-bei-treiber-updates-ber-wsus-zieht-windows-10-update-am-wsus-vorbei\/","title":{"rendered":"&Auml;nderungen und Unklarheiten bei Treiber-Updates &uuml;ber WSUS; zieht Windows 10 Update am WSUS vorbei?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" alt=\"Update\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=20590\" target=\"_blank\" rel=\"noopener\">English<\/a>]Im heutigen Blog-Beitrag fasse ich mal zwei Sachen zusammen, auf die mich Blog-Leser Markus K. per Mail aufmerksam gemacht hat. M\u00f6glicherweise gibt es \u00c4nderungen bei Treiber-Updates \u00fcber WSUS, zumindest gibt es Unklarheiten. Einmal tauchen bei ihm auf Dell-Systemen pl\u00f6tzlich Kennwortabfragen an Clients auf, wenn eine Firmware eingespielt werden soll. Es gibt aber weitere Merkw\u00fcrdigkeiten, wie fehlendes Nachladen von Treibern nach einer Aktivierung. Und dann gibt es den Verdacht, dass Windows 10 die Updates direkt am WSUS vorbei, von den Microsoft Update-Servern, bezieht, egal, was der Administrator da so an Gruppenrichtlinien eingestellt hat.<\/p>\n<p><!--more--><\/p>\n<h2>Unklarheiten bei Treiber-Updates \u00fcber WSUS<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/b827e0337ca640a7adcb55dfdfff0b40\" alt=\"\" width=\"1\" height=\"1\" \/>Markus verwaltet Treiber- und Firmware-Updates in seiner Umgebung \u00fcber WSUS. Wer mehrere Hundert bis Tausend Windows-Clients zentral (z.B. per WSUS) mit Firmware-Update versorgen m\u00f6chte, kann dort keine pl\u00f6tzlich auftauchenden BIOS-Abfragen von Passw\u00f6rtern gebrauchen. Genau das ist Markus aber in seiner Umgebung passiert. Auch sollten Treiber nach einer Windows 10-Installation eigentlich automatisch nachinstalliert werden. In einer Mail an mich schilderte er vor einigen Tagen einige Merkw\u00fcrdigkeiten, die ihn dort plagen:<\/p>\n<blockquote><p>Ich muss leider den Blog-Artikel <a href=\"https:\/\/borncity.com\/blog\/2021\/05\/30\/windows-10-nderungen-und-unklarheiten-bei-treiber-updates-ber-wsus\/\">Windows 10: \u00c4nderungen und Unklarheiten bei Treiber-Updates \u00fcber WSUS<\/a> hochkochen. Kurz und knapp, hier ist einiges im Argen!<\/p>\n<ul>\n<li>z.B. das 5 MB gro\u00dfe HP Inc. &#8211; Firmware &#8211; 2.53.0.0 update endet in einen Passwort-Prompt am Rechner, was bei ein paar tausend St\u00fcck wohl eher unpraktikabel ist (ich geh [nicht] mal schnell zum Rechner). Betroffen davon scheinen vor allem HP- und Dell-Systeme zu sein, da wir bei Lenovo so ein Verhalten noch nicht beobachten konnten<\/li>\n<li>bis vor einer gewissen Zeit hat Windows nach Aktivierung auch s\u00e4mtliche Treiber nachgeladen, das passiert nicht mehr! (wurde wohl darauf wegen der optionalen Updates schlicht vergessen)<\/li>\n<li>zumindest unter [Windows 10] 20H2 tut sich bei \"usoclient.exe StartScan\" in der GUI und wohl Systemweit nichts mehr.<\/li>\n<\/ul>\n<p>Ich m\u00f6chte nur schnell das Bild skizzieren: Wenn eine Universit\u00e4t in H\u00f6rs\u00e4len und PC-R\u00e4umen still steht, weil man nach einem Treiberupdate nach dem BIOS Passwort gefragt wird. Gut durchdacht schaut anders aus. Mag sein, dass das f\u00fcr \"Home\" super ist, aber im Unternehmen? Derzeit ist mir nicht bekannt, dass man das Verhalten steuern kann, aber ich lerne gerne dazu.<\/p><\/blockquote>\n<p>In einer erg\u00e4nzenden Mail schrieb er dann, dass das Ausliefern der Rechner ohne BIOS-Passwort in seinem Umfeld keine Option sei. Er stellt fest, dass ein Firmware-Update f\u00fcr die genannten Dell- und HP-Systeme an diesem Verhalten schuld sei, denn bei Lenovo scheint das Ausrollen von Firmware-Updates zu klappen, w\u00e4hrend die Administratoren bei Dell\/HP zum Rechner pilgern d\u00fcrfen. Dazu schrieb er:<\/p>\n<blockquote><p>Wir k\u00f6nnen das derzeit nur f\u00fcr ein paar Modelle \"workarounden\" indem wir Proaktiv das BIOS aktualisieren. Dieser Weg ist jedoch keine Dauerl\u00f6sung, da ja neue Updates sicher kommen werden. Auf der anderen Seite braucht man sich dann in solchen F\u00e4llen garantiert nicht ums \"Printernightmare\" k\u00fcmmern&#8230;<\/p><\/blockquote>\n<p>Anscheinend haben Dell und HP aber nachgebessert. Beim Schreiben dieses Texts kam dann eine dritte Mail:<\/p>\n<blockquote><p>Mit aktuelleren Bios-Versionen bleibt man nicht mehr mit Passwort-Abfrage (prompt) h\u00e4ngen. Hier wurde anscheinend nachgebessert und das Problem behoben. Ist halt ein schwacher Trost, wenn bereits hunderte Rechner nicht mehr booten k\u00f6nnen. [Die] Firmware scheint auch erst mit Windows 10 Version 20H2 ausgeliefert zu werden (\u00fcber Windows 10 Version 2004 kann ich nichts sagen).<\/p><\/blockquote>\n<h2>Zieht Windows 10 Updates am WSUS vorbei?<\/h2>\n<p>Im Rahmen der j\u00fcngsten Updates ist Markus in seiner Umgebung im einige Probleme gelaufen, weil seine Windows 10 Version 20H2 Clients pl\u00f6tzlich Updates gezogen haben, obwohl diese nicht im WSUS daf\u00fcr freigegeben wurden. Hier seine Geschichte dazu &#8211; vielleicht hat jemand das auch beobachtet. Markus schreibt in einer ersten E-Mail.<\/p>\n<blockquote><p>ich bin gerade etwas wortlos, deshalb einfach einen Screenshot vom WSUS wo KB5004945 ohne approve auf Rechnern landet:<\/p><\/blockquote>\n<p><a href=\"https:\/\/i.imgur.com\/KbLBPyt.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Windows 10 Updates ohne WSUS Approval\" src=\"https:\/\/i.imgur.com\/KbLBPyt.png\" alt=\"Windows 10 Updates ohne WSUS Approval\" width=\"651\" height=\"515\" \/><\/a><br \/>\nWindows 10 Updates ohne WSUS Approval, <a href=\"https:\/\/i.imgur.com\/KbLBPyt.png\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n<p>In einer Folge-Mail kam neben der Bemerkung, dass erste Berichte \u00fcber Druckprobleme nach den PrintNightmare-Updates eintreffen, dann die Pr\u00e4zisierung bez\u00fcglich der Windows 10 Version 20H2- Clients.<\/p>\n<blockquote><p>Habe sogar nochmal kontrolliert ob auch \"Do not allow update deferral policies to cause scans against Windows Update. \" gesetzt ist und ja, es ist gesetzt. Sogar der Zugriff nach Updates zu manuell zu suchen ist deaktiviert:<\/p><\/blockquote>\n<p><img decoding=\"async\" title=\"Windows 10 Update-Einstellungen\" src=\"https:\/\/i.imgur.com\/jWKey0u.png\" alt=\"Windows 10 Update-Einstellungen\" \/><\/p>\n<blockquote><p>Ich habe die Vermutung, dass bei einem Upgrade von 1909 auf 20H2 das letzte dynamische Update vom 21.06 (KB5003716) nachgeladen wird.<br \/>\nSo k\u00f6nnten die Clients auf einen Stand gekommen sein, den man gar nicht freigegeben hat. Sollte dem so sein, w\u00e4re das doch wieder einmal ein klassischer Fall von \"nicht mitgedacht, schlecht gemacht\".<\/p><\/blockquote>\n<p>Sp\u00e4ter vermutete Markus, dass der Fehler bei ihm liegt und schrieb:<\/p>\n<blockquote><p>Der Fehler war wohl wirklich meiner, da mir anscheinend KB5003716 durchgerutscht ist. Nach Freigabe haben alle 1909 sich dieses DU besorgt und sind somit auf Stand 21. Juni gelandet. Fazit alles am besten doppelt kontrollieren und vorsichtig sein. Sorry f\u00fcr den falschen Alarm.<\/p><\/blockquote>\n<p>War aber wohl doch kein falscher Alarm, denn eine weitere Mail besagt folgendes:<\/p>\n<blockquote><p>Leider doch nicht selber schuld gewesen! Die Clients d\u00fcrften wohl direkt bei Microsoft das aktuellste DU (dynamic update) abholen.<\/p>\n<p>Zu was man das Zeug dann am WSUS hat frag ich mich. Wie auch immer finde ich es unsch\u00f6n, wenn \u00fcber DUs Cients mit einem nicht freigegebenen CU daherkommen. Zumindest wei\u00df ich jetzt um den Umstand und den Fakt, dass Microsoft doch auf WSUS pfeift.<\/p><\/blockquote>\n<p>Ich habe es einfach hier mal unredigiert eingestellt. Frage: Gibt es von anderen Admins \u00e4hnliche Erfahrungen\/Beobachtungen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im heutigen Blog-Beitrag fasse ich mal zwei Sachen zusammen, auf die mich Blog-Leser Markus K. per Mail aufmerksam gemacht hat. M\u00f6glicherweise gibt es \u00c4nderungen bei Treiber-Updates \u00fcber WSUS, zumindest gibt es Unklarheiten. Einmal tauchen bei ihm auf Dell-Systemen pl\u00f6tzlich Kennwortabfragen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/09\/nderungen-und-unklarheiten-bei-treiber-updates-ber-wsus-zieht-windows-10-update-am-wsus-vorbei\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301],"tags":[154,4315,3288,881],"class_list":["post-255536","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","tag-probleme","tag-update","tag-windows-en","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255536"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255536\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}