ra2 studio - Fotolia
Wie kann die IT den Windows-Update-Prozess optimieren?
So notwendig Windows Updates für die Sicherheit sind, so lästig sind diese Admins wie Anwendern. Feintuning hilft da, und die kommenden Windows-10-Versionen bringen Neuerungen.
Die Windows-Desktop-Systeme in einem Unternehmen auf dem aktuellen Stand zu halten, ist eine der wichtigen Säulen in Sachen Sicherheit. Die scheinbar einfache Aufgabe gehört dennoch für IT-Abteilungen oft zu den eher nervigen Herausforderungen. Zudem Microsoft im Laufe des Lebenszyklus von Windows 10 auch immer wieder Änderungen an den Abläufen durchgeführt – Stichwort Servicing Channels, wo die nächste signifikante Änderung wohl bereits mit dem nahenden Update Windows 10 Version 1903 ansteht. So soll offensichtlich die Option Semi-Annual Channel (Targeted) in Bälde der Vergangenheit angehören. Dennoch haben IT-Teams einige Möglichkeiten, den Prozess etwas besser zu kontrollieren und zu vereinfachen.
Eine der besten Ansätze die Kontrolle über den Windows-Update-Verlauf zu behalten, ist die Bereitstellung der Updates per WSUS (Windows Server Update Services) oder ähnlich funktionierenden Patch-Management-Lösungen. Wird ohne WSUS gearbeitet, laden in vielen Unternehmen die Windows-Desktops die Updates automatisch herunter und führen die Aktualisierungen aus. In diesen Fällen ist es durchaus schwierig, den Überblick zu behalten, wann welche Updates bereitgestellt wurden.
Im Gegensatz dazu erlaubt es WSUS der IT-Abteilung Updates zentral Herunterzuladen und zu verteilen. Mit dem Einsatz von WSUS können Admins einzelne Updates blockieren oder auch automatische Genehmigungsregeln konfigurieren. Beispielsweise können dann kritische Updates verteilt und installiert werden, ohne dass dafür eine Genehmigung vonnöten wäre.
Speicherkapazität berücksichtigen
Eine unzureichende Speicherkapazität kann dazu führen, dass die Aktualisierungen von Windows fehlschlagen. Angesichts der auf manchen Endgeräten nur begrenzt vorhandenen SSD-Kapazitäten kann dies durchaus eine immer wieder auftretende Ursache für Update-Probleme sein. Ohne eine ordnungsgemäße Überwachung können derart fehlgeschlagene Updates von der IT-Abteilung durchaus unbemerkt bleiben.
Bislang existiert keine einfache Möglichkeit, um sicherzustellen, dass alle vorhandenen Windows-Geräte über genügend freie Speicherkapazität verfügen, um auch alle notwendigen Updates einspielen zu können. In künftigen Windows-10-Versionen wird Windows 10 einen Speicherbereich reservieren, der speziell dafür gedacht ist, die Updates zu beherbergen. Vermutlich wird dieser reservierte Bereich zunächst eine Kapazität von 7 GByte aufweisen, schlussendlich aber von der Nutzung des Gerätes abhängen.
Gruppenrichtlinien nutzen
IT-Abteilungen sollten zudem in Hinblick auf das Einspielen von Windows-Updates ihre Gruppenrichtlinieneinstellungen auf den Prüfstand stellen. Über Gruppenrichtlinien sollten Admins sicherstellen, dass die notwendigen Updates zeitnah auf den Endgeräten eingespielt werden.
Eine besonders sinnvolle Einstellung findet sich beispielsweise unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update/Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen. Diese Einstellung verhindert, dass Windows nach einem Update automatisch neu startet, während der Benutzer noch an dem System angemeldet ist.
Benutzer sind ja gerne mal – und nicht zu Unrecht – von den Aufforderungen zum Neustart nach Einspielen der Updates genervt. Bei dieser Einstellung werden die notwendigen Aktualisierungen durchgeführt, aber es wird unterbunden, dass Benutzer während ihrer Arbeit einen Neustart ausführen müssen.