Updateprofile

Das Update Management der baramundi Management Suite setzt konsequent auf das Ring-Konzept von Microsoft und erweitert es um die Möglichkeit, einzelne Updates, aber auch ganze Produktlinien und sogar komplette Kategorien vom Updateprozess auszuschließen. Mithilfe einer Sperrliste entfällt die manuelle Freigabe der Updates. Neue Updates sind automatisch freigegeben und werden mit einem konfigurierten zeitlichen Versatz zum Veröffentlichungsdatum installiert, beginnend mit dem unkritischsten Ring.

Die Einteilung in die verschiedenen Ringe sowie die Konfiguration der Sperrlisten erfolgt durch Updateprofile – jeder Ring bekommt ein eigenes Updateprofil. Ebenso werden die Einstellungen im Updateprofil bei der Bewertung des Updatestatus eines Endpoints berücksichtigt. Die Verwaltung der Updateprofile ist hier beschrieben: Verwalten von Updateprofilen.

Klassifizierungen

Alle Updates von Microsoft sind in Klassifizierungen eingeteilt (die folgenden Kategorien können sich inzwischen geändert haben oder unvollständig sein):

  • Sicherheitsupdate

    Eine allgemein freigegebene Korrektur für eine produktspezifische Sicherheitslücke. Sicherheitsrisiken werden anhand ihres Schweregrads im Microsoft-Sicherheitsbulletin als kritisch, wichtig, moderat oder niedrig eingestuft.

  • Wichtiges Update

    Ein allgemein veröffentlichter Fix für ein bestimmtes Problem, das einen kritischen, nicht sicherheitsrelevanten Fehler behebt.

  • Definitionsupdate

    Dies ist ein häufig veröffentlichtes Softwareupdate, das Ergänzungen zur Definitionsdatenbank eines Produkts enthält. Definitionsdatenbanken werden häufig verwendet, um Objekte mit bestimmten Attributen zu erkennen, z. B. bösartigen Code, Phishing-Websites oder Junk-E-Mails.

  • Update

    Ein allgemein veröffentlichter Fix für ein bestimmtes Problem. Ein Update behebt einen nicht kritischen, nicht sicherheitsrelevanten Fehler.

  • Upgrade

    Inplace-Aktualisierung von Windows 10 (z. B. von 1909 auf 2004). Diese werden über das Modul baramundi OS-Install durchgeführt, da nur so eine Anpassung der Windows-Installation an Unternehmensrichtlinien möglich ist.

  • Service Pack

    Ein getesteter, kumulativer Satz aller Hotfixes, Sicherheitsupdates, wichtiger Updates und Updates. Service Packs können zudem weitere Korrekturen für Probleme enthalten, die seit der Veröffentlichung des Produkts intern gefunden wurden, aber auch eine begrenzte Anzahl an vom Kunden geforderten Designänderungen oder Features.

  • Tools

    Ein Hilfsprogramm oder Feature, das beim Ausführen einer Aufgabe oder einer Gruppe von Aufgaben hilft.

  • Feature Pack

    Neue Produktfunktionalität, die zuerst außerhalb des Kontexts einer Produktversion verteilt wird und häufig in der nächsten vollständigen Produktversion enthalten ist.

  • Update Rollup

    Ein getesteter, kumulativer Satz von Hotfixes, Sicherheitsupdates, wichtigen Updates und Updates, die für eine einfache Bereitstellung gepackt sind. Ein Rollup zielt im Allgemeinen auf einen bestimmten Bereich ab.

  • Driver

    Software, die die Interaktion mit Geräten steuert

Microsoft Windows Update for Business (ab Windows 10)

Bei Windows Update for Business gilt eine eigene (Nomenklatur) (die folgenden Kategorien können sich daher geändert haben oder unvollständig sein):

  • Feature Updates

    Features Updates werden zweimal pro Jahr veröffentlicht, in der ersten und zweiten Hälfte jedes Kalenderjahrs. Sie fügen neue Features und Funktionen zu Windows hinzu.

  • Qualitätsupdates (Kumulative Updates)

    Sie bieten sowohl Sicherheitsupdates als auch nicht sicherheitsrelevante Fixes für Windows. Qualitätsupdates umfassen Sicherheitsupdates, wichtige Updates, Wartungsstapelupdates und Treiberupdates. Sie werden in der Regel am zweiten Dienstag jedes Monats veröffentlicht, können jedoch jederzeit veröffentlicht werden. Die Zweite-Dienstag-Version ist die Version, die sich auf Sicherheitsupdates konzentriert. Qualitätsupdates sind kumulativ, sodass die Installation des neuesten Qualitätsupdates ausreicht, um alle verfügbaren Fixes für ein bestimmtes Windows-Feature zu erhalten, einschließlich aller Out-of-Band-Sicherheitsupdates und aller Wartungsstapelupdates, die möglicherweise zuvor veröffentlicht wurden.

  • Treiberupdates

    Diese Updatetreiber gelten für Ihre Geräte. Treiberupdates sind in Windows Server Update Services (WSUS) standardmäßig deaktiviert, für cloudbasierte Updatemethoden können Sie jedoch steuern, ob sie installiert sind oder nicht.

  • Microsoft Produktupdates

    Diese aktualisieren andere Microsoft-Produkte, z. B. Office. Sie können Microsoft-Updates mithilfe von Richtlinien aktivieren oder deaktivieren, die von verschiedenen Wartungstools gesteuert werden.

  • Definitionsupdate

    Dies ist ein häufig veröffentlichtes Softwareupdate, das Ergänzungen zur Definitionsdatenbank eines Produkts enthält. Definitionsdatenbanken werden häufig verwendet, um Objekte mit bestimmten Attributen zu erkennen, z. B. bösartigem Code, Phishing-Websites oder Junk-E-Mails.

  • Wartungsstapelupdates (SSU)

    Diese Updates nehmen eine Sonderrolle ein und sind nicht automatisch über das Update Management installierbar. Sie aktualisieren die Updatekomponenten, welche für die eigentlichen Updates benötigt werden. Diese SSUs erscheinen unregelmäßig und deutlich seltener als die regulären Updates.

Voraussetzungen

Das baramundi Microsoft Update Management unterstützt Windows ab Version 8.1 ohne weitere Anpassungen. Für Windows 7 SP1 und Windows Server 2008 R2 SP1 müssen mindestens folgende Voraussetzungen erfüllt sein:

  • Unterstützung der SHA-2-Codesignierung vom September 2019 (KB4474419)

  • Servicing Stack Update vom März 2019 (KB4490628)

Bei Windows Server 2008 SP 2 müssen mindestens folgende Voraussetzungen erfüllt sein:

  • Unterstützung der SHA-2-Codesignierung vom September 2019 (KB4474419)

  • Servicing Stack Update vom April 2019 (KB4493730)

Ältere Windows-Versionen werden nicht unterstützt.

Konfiguration der Gruppenrichtlinien

Da Microsoft empfiehlt, die Endgeräte stets aktuell zu halten, wird auch Windows mit einer dementsprechenden Standardkonfiguration ausgeliefert. Um nun das volle Potenzial des Ring-Konzepts und die baramundi Updateprofile nutzen zu können, muss diese Standardkonfiguration abgeändert werden.

Besonders hervorzuheben sind dabei die folgenden Konfigurationen:

  • Automatische Updates

    Sowohl bei Verwendung der Online-Quellen als auch beim Einsatz des WSUS müssen die automatischen Updates deaktiviert werden. Andernfalls aktualisiert sich Windows selbstständig und die Kontrolle liegt nicht mehr beim zentralen Managementsystem.

  • Dualscan

    Bei Verwendung des WSUS muss darauf geachtet werden, dass der Dualscan deaktiviert wurde. Andernfalls gibt es funktionale Einschränkungen beispielsweise bei der Verzögerung von Updates.

  • Updatequelle

    Wird ein WSUS als Quelle für die Updates verwendet, muss die URL zum entsprechenden System per Gruppenrichtlinie vorgegeben werden.

Eine detaillierte Auflistung der benötigten und empfohlenen Einstellungen sowie eine Anleitung zur Konfiguration finden Sie in der baramundi Knowledge Base: KB10911 - FAQ - baramundi Microsoft Update Management (bMUM).