Seventyfour - stock.adobe.com

Endpoint Manager für eine flexible Treiberverwaltung nutzen

Mit dem Endpoint Manager können Administratoren nicht nur Windows Updates verwalten, sondern auch Treiberaktualisierungen. Eine umsichtige Konfiguration trägt zur Sicherheit bei.

Wenn es darum geht, Ihr IT-System zu pflegen, sollten nicht nur Ihre Hardwaretreiber aktuell sein, sondern auch die administrativen Methoden, mit denen Sie diese aktualisieren und verwalten.

Anwendungen und Betriebssysteme erfordern ständige Pflege, um zu gewährleisten, dass immer die neuesten Versionen für Stabilität und Sicherheit installiert sind. Ein Bereich, den Admins dabei gelegentlich übersehen, sind die Treiber.

Die Verwaltung von Gerätetreibern und Firmware ist noch wichtiger, wenn es im Unternehmen Mitarbeiter in Remote-Arbeit gibt. Das IT-Team sollte die Bereitstellung von Updates sorgfältig planen, um einen optimalen Betrieb sicherzustellen.

Um Inhalte effizient an Remote-Mitarbeiter auszuliefern, ist es eine gute Idee, die Flexibilität der Cloud mit Endpoint Manager (ehemals System Center Configuration Manager, SCCM), Windows Update for Business (WUfB) und dem Cloud-Management-Gateway zu nutzen. Wenn Sie diese Produkte zusammen verwenden, haben Sie die Kontrolle über die Bereitstellung von Inhalten über Endpoint Manager, wobei die Cloud die Binärdateien bereitstellt.

Die meisten Hardwareanbieter richten ihre Produkte darauf aus, dass sie ab Werk mit Endpoint Manager zusammenarbeiten können. Dieser Artikel spielt die Verwaltung von Treiber-Updates mit HP-Produkten durch, doch die grundlegende Vorgehensweise ist bei den Dienstprogrammen der meisten Anbieter gleich.

Wie werden Treiber mit Endpoint Manager bereitgestellt und verwaltet?

Im Unternehmen erfolgt die Treiberinstallation in zwei Phasen des Lebenszyklus einer Maschine: während der Bare-Metal-Installationen über Treiberpakete in einer Endpoint-Manager-Tasksequenz und während des Betriebs einer Maschine.

Die neuesten Treiberversionen werden häufig zusammen mit dem Betriebssystem installiert. Erfahrungsgemäß kommt es jedoch mit Treibern und ihrer Aktualisierung immer wieder zu Problemen, sobald das Gerät in den Händen des Benutzers ist.

Häufig kümmern sich Administratoren erst darum, wenn sie kritische Sicherheits- oder Stabilitätsprobleme erkennen. Es ist eine vernünftige Vorgehensweise, die Treiberversionen auf Geräten streng zu kontrollieren – eine zu konservative Regulierung kann jedoch dazu führen, dass veraltete Treiber das Unternehmen für Sicherheitslücken öffnen oder Stabilitätsprobleme auf dem Computer verursachen.

Um dies zu vermeiden, sollten Sie in einem ersten Schritt Ihre Maschinen in zwei Kategorien einteilen:

  • Bürocomputer. Auf diesen Geräten laufen Microsoft-Office-Anwendungen und Browser, über die Benutzer auf webbasierte Dienste zugreifen; und
  • Empfindliche Computer. Maschinen, die keine fortlaufenden Wartungs-Updates erhalten sollten, damit sie stabil laufen. Beispiele für diese Geräte sind Computer, die Fertigungsanlagen steuern oder im Gesundheitsbereich eingesetzt werden. Sie sollten in Erwägung ziehen, für solche Geräte einen langfristigen Wartungskanal einzurichten, und über diese alle zwei oder drei Jahre Treiberaktualisierungen vorzunehmen.

Aufgrund ihrer besonderen Auswirkungen auf die Nutzererfahrung sind die folgenden Treiber außerdem mit mehr Vorsicht zu behandeln:

  • Netzwerktreiber. Hier kann es zum Verlust der Netzwerkverbindung während eines Upgrades kommen. Auch eine Nichtübereinstimmung von Netzwerktreibern und Firmware, wie sie sich zum Beispiel auf Switches befindet, kann zu Problemen führen.
  • Videotreiber. Einige Anwendungen, zum Beispiel für computergestütztes Design, erfordern bestimmte Versionen von Grafiktreibern, um richtig zu funktionieren. Es ist wichtig, diese Treiber auf dem neuesten Stand zu halten, erfordert jedoch möglicherweise zusätzliche Kommunikation mit Anbietern.

Wie gehen Sie mit BIOS-Updates um?

Traditionell ist die Bereitstellung eines BIOS-Updates riskant. Eine unterbrochene Installation kann das BIOS beschädigen und den PC bricken – also so beschädigt, dass er nicht mehr booten kann.

Abbildung 1: Die Benutzeroberfläche der Shodan-Suchmaschine.
Abbildung 1: Die Benutzeroberfläche der Shodan-Suchmaschine.

Hardwarehersteller haben Möglichkeiten entwickelt, dies zu vermeiden und Konsistenzprüfungen beim Starten eines Computers durchzuführen. Ein weiteres Problem, das Administratoren früher plagte, war das Patchen vom BIOS, wenn dafür ein Administratorkennwort festgelegt ist. WUfB liefert BIOS-Updates über die UEFI-Kapsel (Unified Extensible Firmware Interface), die keine Eingabe des Passworts erfordert, um das automatische Update bereitzustellen.

Welche Möglichkeiten haben Sie für die Treiberverwaltung mit Endpoint Manager?

Es gibt viele Möglichkeiten, die Treiberwartung in Endpoint Manager zu handhaben. Dieser Artikel konzentriert sich auf drei:

  • Treiberverwaltung von Drittanbietern in Endpoint Manager
  • WUfB
  • für Unternehmen mit HP-Geräten die HP Client Management Tools

So richten Sie die Treiberverwaltung von Drittanbietern in Endpoint Manager ein

Seit Version 1910 kann der Configuration Manager – die Verwaltungskonsole in Endpoint Manager – die Verwaltung von Drittanbieter-Patches integrieren. Diese Funktion wurde aus dem System Center Updates Publisher übernommen, einem beliebten benutzerdefinierten Update-Tool für viele Organisationen.

Die frühe Implementierung dieser Funktion hatte einige Probleme; zum Beispiel lud Endpoint Manager alle Treiber und Firmware-Updates nach der ersten Software-Update-Synchronisierung herunter; das belastete Netzwerke übermäßig, besonders wenn mehrere tausend Updates durchgeführt werden mussten. Microsoft hat dieses Problem behoben, so dass sich nun einzelne Modelle für die Synchronisierung auswählen lassen.

Die Standardkonfiguration ab Version 20H2 unterstützt die Bereitstellung von Updates von Drittanbietern. Wenn Sie eine frühere Version verwenden, müssen Sie dies manuell einstellen.

Wenn Sie die Treiberverwaltung von Drittanbietern im Configuration Manager verwenden, stellen Sie Treiber und Firmware-Updates auf die gleiche Weise wie ein Windows-Update bereit. Einige der Partnerkataloge sind kostenlos, die Nutzung anderer ist jedoch kostenpflichtig. Um diese Funktion über das Internet zu nutzen, können Sie den Inhalt an ein Cloud-Management-Gateway senden.

Wenn Sie Ihren Software-Updates von einem Server aus der Ferne steuern, müssen Sie ihn für die Ausführung von SSL konfigurieren. Die regelmäßige Wartung des Update-Servers und der Windows-Server-Update-Services-Datenbank ist ebenfalls von entscheidender Bedeutung, um Synchronisierungsprobleme zu vermeiden.

Um Updates von Drittanbietern über Configuration Manager zu verteilen, gehen Sie folgendermaßen vor:

  • Aktivieren Sie Updates von Drittanbietern;
  • Aktivieren Sie Drittanbieter-Updates in den Client-Einstellungen;
  • synchronisieren Sie den Katalog;
  • genehmigen Sie die Aktualisierungen; und
  • stellen Sie Updates für die Clients bereit.

Es gibt zwei Orte, an denen Sie Updates von Drittanbietern aktivieren: im Endpoint-Manager und in den Client-Einstellungen. Microsoft bietet unter diesem Link eine vollständige Anleitung für die Configuration-Manager-Konfiguration.

Im Configuration Manager finden Sie die zugehörige Einstellung auf der Registerkarte Updates von Drittanbietern in den Eigenschaften des Software-Update-Punkts (SUP, Software Update Point).

Abbildung 2: Aktivieren Sie dieses Kästchen, um Update-Kataloge von Drittanbietern zuzulassen.
Abbildung 2: Aktivieren Sie dieses Kästchen, um Update-Kataloge von Drittanbietern zuzulassen.

Führen Sie als Nächstes eine Software-Update-Synchronisierung aus, und Sie sollten sehen, dass die Treiber in Configuration Manager angezeigt werden.

Damit Clients die Treiber- und Firmware-Updates von Drittanbietern erhalten, müssen Sie auch bei diesen in den Einstellungen die Softwareupdates von Drittanbietern aktivieren.

So richten Sie Windows Update for Business ein

Windows Update for Business ist eine verwaltete Version von Windows Update mit Einstellungen zum Konfigurieren von Update-Kanälen und Ringen zum Planen Ihrer Feature-Update-Bereitstellung.

Sie können WUfB verwenden, um Treiber mit einem Hands-Off-Ansatz an Maschinen bereitzustellen. Diese Methode bedeutet jedoch auch, dass eine eingehende Kontrolle der Treiberbereitstellung unmöglich ist.

Sie steuern WUfB über Gruppenrichtlinien oder eine Verwaltungsplattform für mobile Geräte. Für Gruppenrichtlinien befinden sich die Einstellungen unter Computerkonfiguration, Administrative Vorlagen, dann Windows-Komponenten, Windows Update, Windows Update for Business.

HP Tools zum Verwalten von Treiberaktualisierungen in SCCM

Für Unternehmen mit HP-Produkten bietet der Anbieter mehrere Treiber-Tools an. Welche Sie wählen, hängt von Ihren Anforderungen ab.

HP Image Assistant (HPIA). Dieses Tool automatisiert den Prozess zum Überprüfen benutzerdefinierter Images der IT-Abteilung, um sicherzustellen, dass Windows-Computer die richtigen Treiber, Patches und BIOS-Einstellungen erhalten. Standardmäßig verwendet HPIA die Server von HP, um die Daten bereitzustellen, sofern er nicht ausdrücklich angewiesen wird, eine lokale Kopie zu verwenden. HPIA unterstützt auch die Synchronisierung mit einem Offline-Repository. Dieses Tool funktioniert in Verbindung mit Configuration Manager, Intune, Windows Autopilot oder als eigenständige Anwendung.

HP Manageability-Integrationskit (MIK). HP MIK fügt mehrere Plugins hinzu, verschiedene Verwaltungsaufgaben übernehmen, einschließlich Treiberaktualisierungen. HP MIK verwendet einen separaten Agenten, der die Windows-Management-Instrumentation-Klasse für Configration Manager erweitert, um HP-Hardware zu verwalten. Dadurch können Sie Treiberpakete und Boot-Images mit den neuesten Treibern über die Konsole zusammenstellen.

HP Client Management Skriptbibliothek (CMSL). HP CMSL ist eine Sammlung von sechs PowerShell-Modulen, mit denen Sie viele Hardwareverwaltungsaufgaben, wie zum Beispiel Treiberpaketaktualisierungen, automatisieren können. Sie können diese Skripte mit einer Configuration-Management-Aufgabensequenz verwenden, um Aufgaben im Zusammenhang mit HP-Gerätefirmware und -treibern zu bearbeiten. Einige der Module erfordern andere Module, um zu funktionieren, daher wird empfohlen, alle Module zu installieren.

Erfahren Sie mehr über Desktop-Management