Keiner will sie, aber wir alle brauchen sie – Windows Updates. Updates sind essentiell um unsere Systeme abzusichern. Fast alle Ransomware Vorfälle der letzten Jahre basieren auf bekannten und eigentlich bereits gepatchten Sicherheitslücken. Es ist deshalb wichtig, alle verfügbaren Software Updates schnell einzuspielen. Einfach, oder?

Geschichte

Die erste Version von Windows Update wurde mit Windows 98 eingeführt. (Windows Update war danach auch für Windows 95 und NT 4 verfügbar) Das Update wurde als Webseite im Internet Explorer aufgerufen und konnte durch den Einsatz von ActiveX direkt auf das System zugreifen.  Windows Update hat einfach eine Liste aller verfügbaren Updates heruntergeladen und verglichen, was davon schon installiert war. Die Nutzung war optional und viele Updates waren eher neue Features und Programme. Der wichtigste Update-Mechanismus für Windows waren immer noch Service Packs und natürlich alle paar Jahre eine komplett neue Version.

Mit Windows Me wurden dann die automatischen Updates eingeführt. Windows konnte jetzt neue Updates automatisch herunterladen und z.B. bei einem Neustart auch selbstständig installieren. Damit sind wir bei dem Verhalten angekommen, das wir auch heute noch kennen. Von einer simplen Webseite, die man im Internet Explorer aufrufen muss, zu einem grundlegenden Dienst im Kern von Windows.

100! Kombinationen

Am Anfang bestand Windows Update nur aus einer Liste von Patches, die in einer mehr oder weniger beliebigen Reihenfolge ausgeführt werden konnten. Ebenfalls war es möglich, beliebige Patches nicht zu installieren. Jeder Fix von Microsoft wurde in einem eigenen Patch verpackt und konnte einzeln installiert werden. Für Windows 7 gibt es mehr als tausend Patches und viele davon können, unabhängig voneinander, installiert werden. Und genau hier liegt das größte Problem in dieser Art von Patches.

Wir alle kennen das Problem, dass man einen Patch installiert und plötzlich hat man einen Bluescreen. Wieso hat Microsoft das nicht getestet? Wie konnten die einen Patch freigeben, der so ein Problem verursacht?

Nehmen wir einfach mal an, dass es für das eigene Betriebssystem nur 100 verschiedene Patches gibt und man diese beliebig installieren kann. Jetzt muss Microsoft den Patch 101 veröffentlichen. Und natürlich will Microsoft diesen Patch in Verbindung mit allen anderen Patches testen, schließlich soll ja nichts kaputt gehen. Um alle Kombinationen dieser 100 Patches zu testen, muss Microsoft 933262154439441526829915608941427223758251185210916860000000 verschiedene Tests machen.

Das ist auch für einen Konzern wie Microsoft unmöglich, wenn wir ehrlich sind. Es wird somit also immer Kombinationen geben, die nicht getestet werden können.

Mit Windows 10 hat Microsoft deshalb seine Strategie geändert. In monatlichen Updates sind immer alle vorherigen Patches enthalten und nach dem Update sind alle Systeme auf dem gleichen Stand. Nur in besonders kritischen Fällen wird ein Patch außerhalb des monatlichen „Patch Tuesdays“ veröffentlicht. Im nächsten monatlichen Update ist aber auch dieser Patch enthalten. Man kann also nicht mehr selbst entscheiden, welche Patches installiert werden sollen. Es gibt einmal alles oder gar nichts und damit entfällt die Unsicherheit, welche Patches jetzt tatsächlich installiert sind. Microsoft kann somit die Stabilität eines Patches viel besser bewerten und damit insgesamt sicherere und bessere Patches liefern.

Jedoch ist auch das nicht perfekt. Die Patches müssen immer noch mit einer Vielzahl von verschiedenen Treibern und installierten Produkten getestet werden. Und das auch noch für alle möglichen Versionen dieser Produkte. Es ist also immer noch nicht möglich, alle möglichen Kombinationen zu testen.

One Ring to rule them all – Oder doch besser vier?

Ob ein Patch wirklich das tut, was er tun soll und keine unerwarteten Nebenwirkungen hat, kann man nur unter realen Bedingungen testen. Der beste Weg ist dabei mit Ringen zu arbeiten. Der Patch wird dabei in diesen Ringen mit einem zeitlichen Abstand auf verschiedenen Systemen ausgerollt. Jeder Ring enthält mehr Systeme als der vorherige.

Ring 0

Das Update sollte als erstes im eigenen Systemhaus eingespielt werden. Hier sind die Experten und die können am besten mit potentiellen Fehlern umgehen. Im Idealfall setzt das Systemhaus die gleichen Produkte ein, die auch die Kunden nutzen. Also Microsoft Outlook oder Lotus Notes, Wortmann PC oder HP Notebook. Größere Inkompatibilitäten fallen hier bereits auf. Dieser Ring verschafft auch einen gewissen Puffer, um zu sehen ob Microsoft selbst noch ein Problem bemerkt und eine entsprechende Meldung veröffentlicht oder den Patch sogar zurückzieht. Über das Windows Insider Programm ist es auch möglich die monatlichen Updates etwas früher zu erhalten.

Ring 1

Es ist wichtig die Patches direkt beim Kunden zu testen. Nur so kann man wirklich prüfen, ob das Update mit allen Produkten des Kunden zusammenspielt. Hier hilft es den klassischen Power User beim Kunden zu finden. Das ist der User, der gerne neue Sachen testet und sich freut, wenn er neue Features als Erster ausprobieren kann. Dass hierbei auch mal was schief gehen kann, muss der User aber wissen und auch bereit sein, damit umzugehen. Es kann vorkommen, dass der User mal ein paar Stunden nicht arbeiten kann, sollte es zu einem Problem kommen. Der Kunde geht mit diesem potentiellen Ausfall der Arbeitszeit natürlich ein geringeres Risiko ein wie durch einen möglichen Ausfall der gesamten IT.

Ring 2

Mit einem oder wenigen Power Usern aus Ring 1 kann man leider nicht alle potentiellen Probleme entdecken. Es empfiehlt sich deshalb, dass das Ausrollen an alle User in mehreren Schritten durchgeführt wird. In diesem Beispiel wird das Update jetzt an 30% der Mitarbeiter PCs ausgerollt. Ideal ist es die 30% im ganzen Unternehmen zu verteilen und sich nicht auf eine Abteilung zu konzentrieren. Nach der Verteilung in Ring 2 sollten bis zum nächsten Ring mehrere Tage vergehen.

Ring 3

Zu diesem Zeitpunkt hat man einen guten Überblick über mögliche Herausforderungen, die durch das Update eintreten können. Sollte es keine gravierenden Probleme mehr geben, kann das Update jetzt an alle ausgerollt werden.

Wie schnell die Ringe aufeinander folgen, hängt stark davon ab, wie schnell man auf Probleme reagieren kann. Sollte es in einem Ring Probleme geben, muss man das Ausrollen in den anderen Ringen entsprechend verschieben. Ring 3 kann allerdings nur maximal 30 Tage nach dem Veröffentlichen des Patches beginnen.

In Server-Eye bieten wir die Möglichkeit mit Gruppen zu arbeiten. Die einzelnen Ringe werden verschiedenen Gruppen zugeordnet und können so unabhängig voneinander ausgerollt werden.  Wie das genau geht, wird in unserem Webcast Smart Updates erklärt.