Emmermacher 15 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 Hallo. Zum Wochenende mal eine Frage zum Thema Windows-Updates an Euch. Wir rollen hier jetzt langsam das Build 1903 aus. Da ich keine Testumgebung habe, muss ich mich der Freigabe die Ergebnisse von Google verlassen. Hier bekommt zwar Ergebnisse, aber leider lässt gerade bei Fehlern in den Updates nicht immer beurteilen, ob die Updates "brauchbar" sind. Gefühlt ist die Qualität der Updates mit der Einführung von Windows nicht gerade besser geworden. Welche Udpates lassen sich aktuell freigeben, ohne zu große Ausfälle zu riskieren? Vielen Dank im Voraus für Eure Antworten. Ich wünsche Euch ein schönes Wochenende ! Dirk Emmermacher Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 Wieviele Schattierungen zwischen "keins" und "alle" hättest du denn gern? :) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 Man gibt nur die Updates zur Installation frei, die auch von Clients/Servern angefordert werden. Zitieren Link zu diesem Kommentar
Harris 2 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 Ich konnte in unserer Umgebung keine großen Ausfälle bemerken, von daher habe ich alle Updates freigegeben welche die Rechner beim WSUS angefordert haben. Aktuell update ich gleich auf 1909 hoch. 1909 ist auch nur ein kleines Update auf 1903. "Gefühlt ist die Qualität der Updates mit der Einführung von Windows nicht gerade besser geworden." Gefühlt ist so ein Ding in der IT. Ich kann mich in unserer Umgebung nicht großartig über Windows Updates beklagen. Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 24. Januar 2020 Autor Melden Teilen Geschrieben 24. Januar 2020 Hallo. Danke für Eure Antworten. @NorbertFe: Da bin ich ich nicht sonderlich anspruchsvoll. Da wir in der digitalen Welt unterwegs sind, reicht ein "geht" oder "geht nicht". @Sunny61: Ich arbeite mit WSUS. Da wird eigentlich nichts automatisch auf den Rechnern angeboten. Spannenderweise suchen ein paar Systeme trotzdem Online. Die Einstellungen hatte ich kontrolliert. Die GPOs passen und in der Registry ist auch alles OK. Das ist aber ein anderes Thema... @Harris: Mit dem, was man so im Netz findet, ist das ja immer so die Sache, welchen Informationen man trauen kann. Bugss in den Updates gab es ja schon immer, damit müssen ja leider leben. Ist halt die Frage, was vertrauenswürdig ist. Da ich für ca 150 Windowssysteme (alleine) verantwortlich bin, habe ich kein Zeit, Updates wieder zu deinstallieren. Da lebe ich dann zwangsweise lieber mit Sicherheitslücken, als mit Rechnern, die mehr Bugs, als notwendig. Vernünftige Listen findet man kaum. Für Updates unterhalb von 1903 habe ich diese Seite gefunden: https://www.rockwellautomation.com/ms-patch-qualification/qualifications.htm . Das funktioniert auch ganz gut. Was haltet Ihr den askwoody.com? Die Leute dahinter beschäftigen sich ja nur mit Updates. Euch allen einen schönen Feierabend. LG Dirk Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 24. Januar 2020 Melden Teilen Geschrieben 24. Januar 2020 (bearbeitet) vor 41 Minuten schrieb Emmermacher: @Sunny61: Ich arbeite mit WSUS. Da wird eigentlich nichts automatisch auf den Rechnern angeboten. Spannenderweise suchen ein paar Systeme trotzdem Online. Die Einstellungen hatte ich kontrolliert. Die GPOs passen und in der Registry ist auch alles OK. Das ist aber ein anderes Thema... DisableDualScan auf 1 stellen, geht nur per Registry GPP, ist in den GPO-Einstellungen, zumindest für die 1803, nicht mehr zu finden. https://docs.microsoft.com/de-de/archive/blogs/swisspfe/win10-updates-store-gpos-dualscandisabled-sup-wsus Reboot und jetzt sollten die Systeme nicht mehr Online suchen. Wir haben auch beim Alternativen Downloadserver den WSUS drin stehen und alles läuft rund. Sobald neue Updates kommen, für eine repräsentative Gruppe von Computern freigeben und abwarten ob es negative Rückmeldungen gibt. Wenn alles gut ist, für den Rest freigeben. bearbeitet 24. Januar 2020 von Sunny61 Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 27. Januar 2020 Autor Melden Teilen Geschrieben 27. Januar 2020 Einen schönen guten Morgen. Herzlichen Dank für Eure Antworten. @Sunny61: Danke für den Tipp mit dem Regkey. Den werde ich mal nutzen. Wie viele Rechner sind bei Dir repräsentativ? Bei mir würde ich wohl etwa 5 Rechner nehmen. Das sollte eigentlich ausreichen. @Harris: Das Build 1909 habe ich zuhause mal installiert. Im Verhältnis zu den vorigen Updates ging das wesentlich schneller. Die Änderungen werden wohl nicht allzu groß sein. LG aus Hannover Dirk Zitieren Link zu diesem Kommentar
Harris 2 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 Am 24.1.2020 um 18:41 schrieb Emmermacher: @Harris: Mit dem, was man so im Netz findet, ist das ja immer so die Sache, welchen Informationen man trauen kann. Bugss in den Updates gab es ja schon immer, damit müssen ja leider leben. Ist halt die Frage, was vertrauenswürdig ist. Da ich für ca 150 Windowssysteme (alleine) verantwortlich bin, habe ich kein Zeit, Updates wieder zu deinstallieren. Da lebe ich dann zwangsweise lieber mit Sicherheitslücken, als mit Rechnern, die mehr Bugs, als notwendig. Vernünftige Listen findet man kaum. Für Updates unterhalb von 1903 habe ich diese Seite gefunden: https://www.rockwellautomation.com/ms-patch-qualification/qualifications.htm . Das funktioniert auch ganz gut. Was haltet Ihr den askwoody.com? Die Leute dahinter beschäftigen sich ja nur mit Updates. Wenn ich die Wahl habe zwischen Zero Day Patch, oder einem Bug der bei dem einem oder anderen Mitarbeiter auftritt wähle ich eindeutig den Patch. Kommt natürlich drauf wie stark der Bug sich auf das System auswirkt bzw. ob auf alle Systeme. Persönlich habe ich recht wenig Lust mich vor der GF zu verteidigen, warum wir unsere Systeme nicht gepatcht habe und wieso wir angreifbar waren. Die Askwoody Seite kenne ich nicht. Ich patche erst mal mein System, dann wähle ich noch ein paar Leute aus die sich melden wenn was im System schief geht. Zusätzlich lese ich mir im Sysadmin Reddit die Threads zu den Windows Updates durch. Dort kommt recht schnell raus wenn ein Update Probleme macht. Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 27. Januar 2020 Autor Melden Teilen Geschrieben 27. Januar 2020 Hallo @Harris. Das ist halt immer eine Sach der Abwägung. Unser System halte ich für relativ gut geschützt (eine absoluten Schutz gibt es ja leider nicht, das isz schon klar). Firewall und AV-Programm machen hier meiner Meinung nach einen guten Job. Lücken zu patchen hätte bei mir auch Vorrang, wenn es hier genügend Manpower gäbe. Mal eben150km zu seiner Außenstelle fahren, geht halt auch nicht. LG Dirk Zitieren Link zu diesem Kommentar
Harris 2 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 Wie hälst du die restliche Software auf den Kisten auf den aktuellen Stand? Wie meinst du 150km fahren fürs Patchen, oder meinst du musst die 150km hinfahren wenn ein Update kracht? Keine Ersatzrechner an den Außenstellen, welche man zur Not einsetzen könnte als Überbrückung? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 vor 2 Stunden schrieb Emmermacher: @Sunny61: Danke für den Tipp mit dem Regkey. Den werde ich mal nutzen. Wie viele Rechner sind bei Dir repräsentativ? Bei mir würde ich wohl etwa 5 Rechner nehmen. Das sollte eigentlich ausreichen. In der Gruppe sind bei uns immer ~20 Clients Mitglied. Zitieren Link zu diesem Kommentar
schlingo 36 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 vor 2 Stunden schrieb Emmermacher: Das Build 1909 habe ich zuhause mal installiert. Im Verhältnis zu den vorigen Updates ging das wesentlich schneller. Die Änderungen werden wohl nicht allzu groß sein. Hallo Dirk :) jein. Das liegt daran, dass die Änderungen bereits in vorherigen Updates enthalten sind und mit dem Funktionsupgrade auf 1909 nur freigeschaltet werden. Zitat Das bei der Update-Suche ausgewiesene Funktionsupdate auf Windows 10, Version 1909, ist bei Windows 10 Version 1903 daher nur gut 20 Kbyte groß und binnen Sekunden heruntergeladen. Intern handelt es sich um ein sogenanntes "Enabler Update" mit der Bezeichnung KB4517245. Beim zur Installation erforderlichen Neustart ändert dieses Update die Build-Nummer auf 18363.449 und macht so aus Windows 10 1903 die Version 1909. Der Unterbau des Betriebssystems bleibt beim Umstieg vom Windows 10 Mai 2019 Update auf die November-Variante also erhalten. Von dieser Maßnahme erhofft sich Microsoft, die Probleme zu vermeiden, die sich in der Vergangenheit bei der Installation der Funktionsupdates für die Versionen 1809 und 1903 ergaben. Quelle: Windows 10 November 2019 Update (V1909) verfügbar: Tipps zur Installation Gruß Ingo Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 27. Januar 2020 Autor Melden Teilen Geschrieben 27. Januar 2020 vor 3 Stunden schrieb Harris: Wie hälst du die restliche Software auf den Kisten auf den aktuellen Stand? Wie meinst du 150km fahren fürs Patchen, oder meinst du musst die 150km hinfahren wenn ein Update kracht? Keine Ersatzrechner an den Außenstellen, welche man zur Not einsetzen könnte als Überbrückung? Hallo @Harris. Keine Panik. Zum Patchen fahre ich keine 150km. Dort gibt es auch einen WSUS-Server, der die Updates von unserem Server übernimmt. Da meistens nicht alle Mitarbeiter vor Ort sind, findet sich meistens ein anderer Arbeitsplatz. Mit Ersatzgeräten vor Ort haben wir eher schlechte Erfahrungen gemacht, da diese monatelang im Schrank liegen und keine Updates bekommen. vor 2 Stunden schrieb schlingo: Hallo Dirk :) jein. Das liegt daran, dass die Änderungen bereits in vorherigen Updates enthalten sind und mit dem Funktionsupgrade auf 1909 nur freigeschaltet werden. Quelle: Windows 10 November 2019 Update (V1909) verfügbar: Tipps zur Installation Gruß Ingo Hallo Ingo. Danke für die Info :) LG Dirk Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 vor 12 Stunden schrieb Emmermacher: Firewall und AV-Programm machen hier meiner Meinung nach einen guten Job. Der Schaden kommt heute nicht mehr von außen (Firewall), sondern von innen (Mailanhang). Und zum Thema AV: https://heise.de/-4646386 Ich bevorzuge Application Whitelisting (Applocker oder vergleichbares - ein Standardbenutzer darf nichts ausführen von Speicherorten, an denen er Schreibrechte hat) und das Blocken aller unsignierten Makros (oder gleich ganz alle, wenn das im Arbeits-Workflow machbar ist). 1 Zitieren Link zu diesem Kommentar
Emmermacher 15 Geschrieben 28. Januar 2020 Autor Melden Teilen Geschrieben 28. Januar 2020 vor 10 Stunden schrieb daabm: Der Schaden kommt heute nicht mehr von außen (Firewall), sondern von innen (Mailanhang). Und zum Thema AV: https://heise.de/-4646386 Ich bevorzuge Application Whitelisting (Applocker oder vergleichbares - ein Standardbenutzer darf nichts ausführen von Speicherorten, an denen er Schreibrechte hat) und das Blocken aller unsignierten Makros (oder gleich ganz alle, wenn das im Arbeits-Workflow machbar ist). @daabm: Hallo Martin. Formate wie docm sind hier in E-Mails gesperrt. In meinen GPOs ist die Ausführung von Makros auch nicht zulässig. Maktos nutzt hier sowieso niemand. Zum Thema AV: Auch bei AV-Herstellern können Sicherheitslücken vorhanden sein. Unschön, aber wohl nicht zu ändern. Andere Hersteller kann es hier auch erwischen. LG Dirk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.