Jump to content
Emmermacher

Updates für Build 1903

Recommended Posts

Hallo.

Zum Wochenende mal eine Frage zum Thema Windows-Updates an Euch. Wir rollen hier jetzt langsam das Build 1903 aus. Da ich keine Testumgebung habe, muss ich mich der Freigabe die Ergebnisse von Google verlassen. Hier bekommt zwar  Ergebnisse, aber leider lässt gerade bei Fehlern in den Updates nicht immer beurteilen, ob die Updates "brauchbar" sind. Gefühlt ist die Qualität der Updates mit der Einführung von Windows nicht gerade besser geworden.

Welche Udpates lassen sich aktuell freigeben, ohne zu große Ausfälle zu riskieren?

 

Vielen Dank im Voraus für Eure Antworten.

 

Ich wünsche Euch ein schönes Wochenende :-)!

 

Dirk Emmermacher

Share this post


Link to post
Share on other sites

Ich konnte in unserer Umgebung keine großen Ausfälle bemerken, von daher habe ich alle Updates freigegeben welche die Rechner beim WSUS angefordert haben.

 

Aktuell update ich gleich auf 1909 hoch. 1909 ist auch nur ein kleines Update auf 1903.

 

"Gefühlt ist die Qualität der Updates mit der Einführung von Windows nicht gerade besser geworden."

 

Gefühlt ist so ein Ding in der IT.  Ich kann mich in unserer Umgebung nicht großartig über Windows Updates beklagen.

Share this post


Link to post
Share on other sites

Hallo.

Danke für Eure Antworten.

@NorbertFe: Da bin ich ich nicht sonderlich anspruchsvoll. Da wir in der digitalen Welt unterwegs sind, reicht ein "geht" oder "geht nicht".

 

@Sunny61: Ich arbeite mit WSUS. Da wird eigentlich nichts automatisch auf den Rechnern angeboten. Spannenderweise suchen ein paar Systeme trotzdem Online. Die Einstellungen hatte ich kontrolliert. Die GPOs passen und in der Registry ist auch alles OK. Das ist aber ein anderes Thema...

 

@Harris: Mit dem, was man so im Netz findet, ist das ja immer so die Sache, welchen Informationen man trauen kann.  Bugss in den Updates gab es ja schon immer, damit müssen ja leider leben. Ist halt die Frage, was vertrauenswürdig ist. Da ich für ca 150 Windowssysteme (alleine) verantwortlich bin, habe ich kein Zeit, Updates wieder zu deinstallieren. Da lebe ich dann zwangsweise lieber mit Sicherheitslücken, als mit Rechnern, die mehr Bugs, als notwendig.

 

Vernünftige Listen findet man kaum. Für Updates unterhalb von 1903 habe ich diese Seite gefunden: https://www.rockwellautomation.com/ms-patch-qualification/qualifications.htm .

Das funktioniert auch ganz gut. Was haltet Ihr den askwoody.com? Die Leute dahinter beschäftigen sich ja nur mit Updates.

 

Euch allen einen schönen Feierabend.

 

LG

 

Dirk

Share this post


Link to post
Share on other sites
vor 41 Minuten schrieb Emmermacher:

@Sunny61: Ich arbeite mit WSUS. Da wird eigentlich nichts automatisch auf den Rechnern angeboten. Spannenderweise suchen ein paar Systeme trotzdem Online. Die Einstellungen hatte ich kontrolliert. Die GPOs passen und in der Registry ist auch alles OK. Das ist aber ein anderes Thema... 

DisableDualScan auf 1 stellen, geht nur per Registry GPP, ist in den GPO-Einstellungen, zumindest für die 1803, nicht mehr zu finden. https://docs.microsoft.com/de-de/archive/blogs/swisspfe/win10-updates-store-gpos-dualscandisabled-sup-wsus

Reboot und jetzt sollten die Systeme nicht mehr Online suchen. Wir haben auch beim Alternativen Downloadserver den WSUS drin stehen und alles läuft rund.

 

Sobald neue Updates kommen, für eine repräsentative Gruppe von Computern freigeben und abwarten ob es negative Rückmeldungen gibt. Wenn alles gut ist, für den Rest freigeben.

Edited by Sunny61

Share this post


Link to post
Share on other sites

Einen schönen guten Morgen.

Herzlichen Dank für Eure Antworten.

@Sunny61: Danke für den Tipp mit dem Regkey. Den werde ich mal nutzen.

Wie viele Rechner sind bei Dir repräsentativ? Bei mir würde ich wohl etwa 5 Rechner nehmen. Das sollte eigentlich ausreichen.

 

@Harris: Das Build 1909 habe ich zuhause mal installiert. Im Verhältnis zu den vorigen Updates ging das wesentlich schneller. Die Änderungen werden wohl nicht allzu groß sein.

 

LG aus Hannover

 

Dirk

Share this post


Link to post
Share on other sites
Am 24.1.2020 um 18:41 schrieb Emmermacher:

 

@Harris: Mit dem, was man so im Netz findet, ist das ja immer so die Sache, welchen Informationen man trauen kann.  Bugss in den Updates gab es ja schon immer, damit müssen ja leider leben. Ist halt die Frage, was vertrauenswürdig ist. Da ich für ca 150 Windowssysteme (alleine) verantwortlich bin, habe ich kein Zeit, Updates wieder zu deinstallieren. Da lebe ich dann zwangsweise lieber mit Sicherheitslücken, als mit Rechnern, die mehr Bugs, als notwendig. 

 

Vernünftige Listen findet man kaum. Für Updates unterhalb von 1903 habe ich diese Seite gefunden: https://www.rockwellautomation.com/ms-patch-qualification/qualifications.htm .

Das funktioniert auch ganz gut. Was haltet Ihr den askwoody.com? Die Leute dahinter beschäftigen sich ja nur mit Updates.

Wenn ich die Wahl habe zwischen Zero Day Patch, oder einem Bug der bei dem einem oder anderen Mitarbeiter auftritt wähle ich eindeutig den Patch. Kommt natürlich drauf wie stark  der Bug sich auf das System auswirkt bzw. ob auf alle Systeme.  Persönlich habe ich recht wenig Lust mich vor der GF zu verteidigen, warum wir unsere Systeme nicht gepatcht habe und wieso wir angreifbar waren.

 

Die Askwoody Seite kenne ich nicht. Ich patche erst mal mein System, dann wähle ich noch ein paar Leute aus die sich melden wenn was im System schief geht. Zusätzlich lese ich mir im Sysadmin Reddit die Threads zu den Windows Updates durch. Dort kommt recht schnell raus wenn ein Update Probleme macht.

 

 

Share this post


Link to post
Share on other sites

Hallo @Harris.

Das ist halt immer eine Sach der Abwägung. Unser System halte ich für relativ gut geschützt (eine absoluten Schutz gibt es ja leider nicht, das isz schon klar). Firewall und AV-Programm machen hier meiner Meinung nach einen guten Job. Lücken zu patchen hätte bei mir auch Vorrang, wenn es hier genügend Manpower gäbe. Mal eben150km zu seiner Außenstelle fahren, geht halt auch nicht.

 

LG

 

Dirk

Share this post


Link to post
Share on other sites

Wie hälst du die restliche Software auf den Kisten auf den aktuellen Stand? Wie meinst du 150km fahren fürs Patchen, oder meinst du musst die 150km hinfahren wenn ein Update kracht? Keine Ersatzrechner an den Außenstellen, welche man zur Not einsetzen könnte als Überbrückung?

 

 

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Emmermacher:

@Sunny61: Danke für den Tipp mit dem Regkey. Den werde ich mal nutzen.

Wie viele Rechner sind bei Dir repräsentativ? Bei mir würde ich wohl etwa 5 Rechner nehmen. Das sollte eigentlich ausreichen.

In der Gruppe sind bei uns immer ~20 Clients Mitglied.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Emmermacher:

Das Build 1909 habe ich zuhause mal installiert. Im Verhältnis zu den vorigen Updates ging das wesentlich schneller. Die Änderungen werden wohl nicht allzu groß sein.

Hallo Dirk :)

 

jein. Das liegt daran, dass die Änderungen bereits in vorherigen Updates enthalten sind und mit dem Funktionsupgrade auf 1909 nur freigeschaltet werden.

 

Zitat

Das bei der Update-Suche ausgewiesene Funktionsupdate auf Windows 10, Version 1909, ist bei Windows 10 Version 1903 daher nur gut 20 Kbyte groß und binnen Sekunden heruntergeladen. Intern handelt es sich um ein sogenanntes "Enabler Update" mit der Bezeichnung KB4517245. Beim zur Installation erforderlichen Neustart ändert dieses Update die Build-Nummer auf 18363.449 und macht so aus Windows 10 1903 die Version 1909.

Der Unterbau des Betriebssystems bleibt beim Umstieg vom Windows 10 Mai 2019 Update auf die November-Variante also erhalten. Von dieser Maßnahme erhofft sich Microsoft, die Probleme zu vermeiden, die sich in der Vergangenheit bei der Installation der Funktionsupdates für die Versionen 1809 und 1903 ergaben.

Quelle: Windows 10 November 2019 Update (V1909) verfügbar: Tipps zur Installation

 

Gruß Ingo

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb Harris:

Wie hälst du die restliche Software auf den Kisten auf den aktuellen Stand? Wie meinst du 150km fahren fürs Patchen, oder meinst du musst die 150km hinfahren wenn ein Update kracht? Keine Ersatzrechner an den Außenstellen, welche man zur Not einsetzen könnte als Überbrückung?

 

 

Hallo @Harris.

Keine Panik. Zum Patchen fahre ich keine 150km. Dort gibt es auch einen WSUS-Server, der die Updates von unserem Server übernimmt.

Da meistens nicht alle Mitarbeiter vor Ort sind, findet sich meistens ein anderer Arbeitsplatz. Mit Ersatzgeräten vor Ort haben wir eher schlechte Erfahrungen gemacht, da diese monatelang im Schrank liegen und keine Updates bekommen.

vor 2 Stunden schrieb schlingo:

Hallo Dirk :)

 

jein. Das liegt daran, dass die Änderungen bereits in vorherigen Updates enthalten sind und mit dem Funktionsupgrade auf 1909 nur freigeschaltet werden.

 

Quelle: Windows 10 November 2019 Update (V1909) verfügbar: Tipps zur Installation

 

Gruß Ingo

Hallo Ingo.

 

Danke für die Info :)

 

LG

 

Dirk

 

Share this post


Link to post
Share on other sites
vor 12 Stunden schrieb Emmermacher:

Firewall und AV-Programm machen hier meiner Meinung nach einen guten Job.

Der Schaden kommt heute nicht mehr von außen (Firewall), sondern von innen (Mailanhang). Und zum Thema AV: https://heise.de/-4646386

Ich bevorzuge Application Whitelisting (Applocker oder vergleichbares - ein Standardbenutzer darf nichts ausführen von Speicherorten, an denen er Schreibrechte hat) und das Blocken aller unsignierten Makros (oder gleich ganz alle, wenn das im Arbeits-Workflow machbar ist).

  • Like 1

Share this post


Link to post
Share on other sites
vor 10 Stunden schrieb daabm:

Der Schaden kommt heute nicht mehr von außen (Firewall), sondern von innen (Mailanhang). Und zum Thema AV: https://heise.de/-4646386

Ich bevorzuge Application Whitelisting (Applocker oder vergleichbares - ein Standardbenutzer darf nichts ausführen von Speicherorten, an denen er Schreibrechte hat) und das Blocken aller unsignierten Makros (oder gleich ganz alle, wenn das im Arbeits-Workflow machbar ist).

@daabm: Hallo Martin.

Formate wie docm sind hier in E-Mails gesperrt. In meinen GPOs ist die Ausführung von Makros auch nicht zulässig. Maktos nutzt hier sowieso niemand.

Zum Thema AV: Auch bei AV-Herstellern können Sicherheitslücken vorhanden sein. Unschön, aber wohl nicht zu ändern. Andere Hersteller kann es hier auch erwischen.

 

LG

 

Dirk

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...