Wie oft Server Updates installieren?

Hallo.

Immer nach/bei Eintreffen (also eigentlich sofort):

WSUS (per GPO) -> automatische Genehmigungsregel (mit der ich bislang in 12 Jahren erst 2 mal auf die Fresse gefallen bin, war zwar jedesmal recht heftig, aber zum Glück jeweils reparabel, kein schlechte Bilanz in der langen Zeit, finde ich).

Die GPO sagt den Clients und Servern, daß Updates, die keinen Neustart erfordern, sofort ausgeführt werden sollen, und diejenigen, die einen Neustart brauchen/verlangen, werden auf Clientseite vom User vervollständigt (dadurch, daß die User am Abend herunterfahren und am nächsten Tag wieder hochfahren), bei den Servern habe ich einen Neustartzeitplan, der an den Servern per Taskscheduler abgefackelt wird (DC zuerst, dann Fileserver, dann DB-Server, dann Exchange, dann Anwendungsserver usw.).

Die Anzahl, die Du wissen wolltest, ist natürlich von Monat zu Monat unterschiedlich. Ganz früher (mehr als 10 Jahre zurück) gab es nur einen Patchday pro Monat (in der Nacht vom 2. Dienstag auf den zweiten Mittwoch), später irgendwann gab's dann einen zweiten Patchday in der Nacht vom 4. Dienstag auf den vierten Mittwoch pro Monat hinzu, für nachgeschobene Updates von MS.

Diese beiden Patchdays gibt es immer noch, jedoch hat sich da in letzter Zeit noch mehr geändert, ich meine, daß für die älteren Systeme (W7, W2K8/R2) nun auch regelmäßig am Monatsende was kommt, und dadurch, daß die Patcherei bei Microsoft in letzter Zeit leider auch immer wieder mal schiefgeht, hauen sie bei Microsoft meines Erachtens mitunter auch vogelwild Zeug raus ohne festen Termin, so mein Eindruck.

So kommen Updates zwar schneller bei den Systemen an, so richtig planbar ist da aber nicht mehr viel. Meine Methode funktioniert deshalb noch einigermaßen, weil ich gleich alles genehmige und über WSUS raushaue. Nur mein fester Neustartzeitplan für die Server spielt da oft nicht mehr mit, wenn Updates völlig ungeplant erscheinen.

Antwort ist somit: Mehrmals pro Monat.


Viele Grüße

von

departure69

Moin,

sicherheitskritische Updates für die verschiedenen MS-Serverbetriebssysteme idealerweise möglichst umgehend (vlt. noch 1-2 Tage abwarten, ob in den diversen Fachforen/Homepages schon irgendwelche aktuellen Warnungen auf mögliche Installationsprobleme hinweisen).

Die nicht sicherheitskritischen Updates werden, sofern Sie nicht am WSUS geblockt wurden, halt am Patchday des nächsten Monates mit installiert.

Gruß
VGem-e

Hallo,

installiere wichtige Updates nach 2-3 Tagen nach Prüfung. (Recherche)
Ansonsten jeden 2ten Samstag Abend um Sonntag das System wieder zum leben zu erwecken bei Abschuss.

Gruß

Hallo Peter,

ich halte es damit ähnlich wie departure69.

Ich lasse alle Updates am WSUS automatisch zur sofortigen Installation genehmigen und zwar nicht nur die kritischen, sondern alle anderen auch.
Einen automatischen Neustart lasse ich aber weder für die Server noch für die Arbeitsplatzrechner ausführen, da bei uns die Arbeitszeiten sehr unterschiedlich und nicht vorhersehbar sind.
Den Neustart an den Servern mache ich manuell, wenn ich der Meinung bin, sie werden momentan nicht benötigt und ich Zeit habe auf eventuelle Probleme zu reagieren.
Den Neustart an den Arbeitsplatzrechnern, machen die Mitarbeiter irgendwann selbst, wobei ich in der Regel am Patchday die Arbeitsplatzrechner ablaufe und die Updates kontrolliere, vervollständige und eventuell veränderte Einstellungen korrigiere.
Insbesondere Windows-10-Updates bringen gerne neue Einstellungen mit und/oder setzen alte wieder zurück.

Die seltenen und bisher immer lösbaren Schwierigkeiten, die ich damit jemals hatte, hätte ich wahrscheinlich auch gehabt, wenn ich die Updates manuell genehmigen und Wochen später installieren würde.
Eine Verzögerung ist nur sinnvoll, wenn man tatsächlich alle Updates durch intensive Recherche auf potentielle Schwierigkeiten prüft, bevor man sie genehmingt und installiert, aber wer tut das schon und falls ja, kann dennoch ein Update individuell Schwierigkeiten bereiten, mit dem "alle" anderen kein Problem hatten.

Wenn es sich um wirklich kritische Systeme handelt, die keine Auffallzeit verzeihen, dann hilft nur dieses Szenario:
Man hält für jedes System ein identisch installiertes Ersatzsystem bereit und stellt diese in eine andere Genehmigungsgruppe, in der zuerst Updates installiert werden und wenn man dabei keine Schwierigkeiten hatte, installiert man die Updates auf die Produktivsysteme.

Aufwand, Riskio und potentielles Schadensausmaß muss man dabei abwägen.
Je mehr Möglichkeiten man hat, Alternativen für die Mitarbeiter und Kunden anzubieten oder schnell Ersatzmachinen bereitstellen oder Backups wiederherstellen kann, je "sorgloser" kann man agieren.

Für Dich musst Du noch zusätzlich abwägen, ob Du einen von Dir festgelegten Zeitplan benötigst, um Dich um Updates und deren Folgen zu kümmern oder ob Du zeitlich flexibel reagieren kannst.

Aus Sorge vor Schwierigkeiten mit der Updateinstallation, sollte man aber auch nicht vergessen welche Kummer man potentiell haben kann, wenn man Sicherheitslücken nicht zeitnah schließt.

Jeder Betrieb ist anders gestrickt.
Mach, was Du für den Euren am sinnvollsten hälst, was nicht heißen soll, dass es falsch war gefragt zu haben, wie die Kollegen es handhaben.

Gruß Frank

Hi

wir machen es ähnlich wie @pixl86, alles direkt freigeben was als kritisch eingestuft wird hat bei Windows 10 zu einige sehr bösen Überraschungen geführt (da hat MS sich in den letzten Monaten sehr oft ins Bein geschossen), für Server 2012R2/2008R2 geben wir das direkt frei, Server 2016 setzen wir nicht ein (der ist einfach kacke ).

Gruß
@clSchak

OK das kann ich so jetzt einfach nicht stehen lassen. Ich meins nicht böse, aber manches löst bei mir energisches Kopfschütteln aus
Woah ... Mutig. Wie groß ist die IT denn?
Alleine schon wegen der ganzen Itanium Updates nicht. Aber auch der Lauffähigkeit der IT wegen.
OK
geplante Wartung nennt man das. Das wird vom Betrieb festgelegt, das Clients täglich/wöchentlich nachts um 3 eine Automatische Wartung erfahren und dazu uU für einige Minuten nicht erreichbar sind.
Korrekt so, sofern die Installation ein fester Bestandteil des Arbeitsablaufes sind. "Wenn ich mal Zeit und Lust habe" ist "Wird in zig Monaten mal gemacht. Vielleicht". Sorry aber nach all den apokalyptischen Virenmeldungen der letzten Jahre darf sowas einfach nicht mehr vorkommen.
Genau solche laxen Regeln haben dazu geführt, das ganze Betriebe platt gemacht wurden. Ich kann aus meinem Fenster gucken und da ist ein weltweit agierender Betrieb der 5 Wochen nicht Handlungsfähig war durch noPetya!
Nein ...
Das ist doch keine Sicherheitsaussage ... "irgendwann". Dafür gibt es Einstellungen. Im Wartungszeitraum holt sich der Client seine Updates, installiert diese und Startet bei bedarf neu. Da hat der User nichts mit zu reden. Gehts nach dem, läuft die Kiste durchgehend 24/7/365 ohne Neustart. Jegliche Abweichung vom "gewohnten Bild" ist teufelszeug. Und Patches sind ###, weil da ändert sich alle Jubeljahre mal was an der GUI.
wtf ?
reden wir hier noch von Windows Updates ?
Ah .. OK
Dafür gibt es GPOs.
Höchstwahrscheinlich nicht. Denn die KBs von MS sind nicht in Stein gemeißelt, wenn sie released wurden. MS gibt ganz oft neue Revisionen von Patches raus, die dann die Probleme der Patches behoben haben. Von daher ist Abwarten auf jeden Fall Sinnvoll, ausser
Eine sofortige Freigabe von Patches ist nur dann sinnvoll, wenn man damit ein kritisches Sicherheitsloch stopft, das gerade aktiv ausgenutzt wird, oder das ein aktuelles, bei einem selbst auftretendes, Problem behebt.
Unfug. KRITISCHE Systeme, die KEINEN Ausfall dulden, sind so eingerichtet und isoliert, das sie nicht jeden Ranzpatch brauchen. Ich muss meinem SQL Server sicher keine Updates von Flash, IE, usw installieren. Hier selektiert man, was nötig ist. Jeder unnötige Zugriff von aussen ist abgeschottet.
Allgemeine OS-Updates werden bei solchen Systemen auf jeden Fall erst mal getestet an einem entsprechenden Testsystem, aber da ist auch kein unnötiger Schrott dabei. Dann gibts nen Snapshot/Backup des Systems, ein Wartungsfenster und ab gehts.

Das sollte bei Updates die primäre Sorge sein. Featureupdates braucht ein Betrieb idR nicht. Nice to Have, in einigen Fällen, aber kein Muss.
NNNnaaaaja ... Was Menschen für Sinnvoll _halten_ ist viel zu oft nicht das, was Sinnvol _ist_ ;)
Das ist nie falsch


(wie gesagt, ist in keinster Weise böse gemeint. Aber das war mir jetzt zu viel "nope!!" auf einem Haufen )


Aber eine Frage: Wie machst du das mit den Windows10 Upgrades also den Upgrades von Anniversary auf Fall Creator Update usw ?
Einfach freigeben? Treiber danach nicht vorhanden, Virenscanner nicht kompatibel, WaWi kaputt. Egal, hauptsache gepatched!
oder wie?
Mal abgesehen davon, das hier bei einem Nicht-SSD Rechner erst mal >1Stunde das Update installiert und bei 20% der Rechner auch noch fehl schlägt?
Ist ja gruselig.

Hallo,

die Frage lässt sich so pauschal nicht beantworten. Es gibt Unternehmen, welche nur zweimal im Jahr Wartungswochenende für Windowsupdates einsetzen. Andere machen es alle Quartal und wider andere alle Monat, wenn Patchday ist.

Und welche Updates eingespielt werden, auch da gibt es unterschiedliche Sichtweisen.

Das ist alles abhängig von der Komplexität der Umgebung, den Vorgaben der Geschäftsleitung / Revision und vom Sicherheitsbewusstsein.

Deshalb meine Empfehlung: Installiert die Updates, wie die Vorgaben sind und wie IHR es in Eurem Unternehmen für richtig erachtet.

Das ist genauso die Frage nach Datensicherung (Backup):

• Wie oft soll die Datensicherung erfolgen?
• Was soll gesichert werden?

Auch hier kann man keine pauschale Empfehlung geben.
Auch hier meine Empfehlung:
Je nachdem wie wichtig die Daten / das System für den Einzelnen ist, die Datensicherung durchführen. das kann bei manchen täglich, bei anderen wöchentlich sein. Wiederum andere machen nach bestimmten Änderungen eine Datensicherung.
Mitunter gibt es auch kritische Daten, welche man mittels CDP (Continious Data Protection) zum Beispiel alle 1 Stunde sichert.

Ich bin derzeit hier in einem Unternehmen, wo bestimmte Anwendungsdaten stündlich gesichert werden. Nachteil davon: Es gibt kein Wartungsfenster. Wenn ein Wartungsfenster beantragt wird, muss für diese Anwendung zusätzlich zum CDP auch eine gesonderte Sicherung gemacht werden.

Gruss Penny

Ich gehe noch nen Schritt weiter... Ich kenne Systeme da werden die Server nur alle paar Jahre ersetzt - aber ganz sicher dazwischen nichts installiert was ggf. dazu führt das die Kiste abschmiert.

Das hängt aber auch davon ab wie die gesichert sind und wer da überhaupt dran kommt... Einen Server im Büro würde ich sicher anders behandeln als einen Server auf dem man bei nem Absturz nicht mal eben was machen kann... Standardbeispiel (auch wenn ich damit nix zu tun habe ;) ): Würde jemand bei der ISS im Orbit auch sagen "ich installiere mal nen paar Updates"? Andersrum braucht man da eher keine Sorge haben das allzuviele Leute da mal "einfach was ans Netzwerk stecken", da kommen dann doch recht wenig Leute auch nur in die Nähe der Anschlüsse ;).

Das nennt man

NEVER CHANGE A RUNNING SYSTEM

gp

Moin.

Angesichts der miserablen Qualitätskontrolle bei Patches durch Microsoft in den letzten 18 Monaten (oder länger?) lasse ich die Updates (mind.) bis zum Ende des Monats, in dem sie veröffentlich wurden, "reifen". Früher reichten mal zwei, drei Tage aus - da waren die katastrophalen Fehler und die passenden Workarounds schon im Netz zu finden.

Je nachdem, welche Anwendungen man so auf seinen Servern betreibt, spielen hier auch Abhängigkeiten eine große Rolle: wenn also auf Server A ein fehlerhafter Patch Funktion X lahmlegt, wie verhalten sich dann Server B und C usw. Daran hängt dann eben die Entscheidung, einen Patch einzuspielen oder weiter zu warten (und das bezieht sich nicht nur auf die per Windows Update verteilten Patches, sondern auch und gerade auf URs/CUs für Applikationen).

Natürlich schlafe ich besser, wenn ich meine Server auf dem neuesten Patchlevel (und somit vermeintlich "sicher") weiß, aber das halt auch nur dann, wenn die Funktionalität sichergestellt ist und die User entsprechend arbeiten können. Am Ende des Tages ist es nämlich genau das, was ich sicherstellen muss - den User an sich interessiert es nullkommagarnicht, ob da jetzt das letzte Update auf dem Server installiert ist oder nicht. Der User will/muss/soll arbeiten und produktiv sein...

Die Installation selbst erfolgt bei uns via SCCM, teils manuell (per Task Sequence), teils automatisch, aber immer inkl. Reboot (auch hier: Abhängigkeiten der Server untereinander beachten!). Was niemals passieren darf: Updates installiert, Neustart nicht gemacht - das ist ein gefährliches Szenario, dass man auf Clients "dulden" kann, weil die sowieso abends runtergefahren werden (oder den Reboot per GPO/Policy aufgezwungen bekommen), aber auf einem Server tunlichst zu vermeiden ist. Also wenn Update, dann auch Neustart.

Eine pauschale Aussage dazu, was jetzt "gut" und was "schlecht" ist in punkto Update-Zyklus, kann man wohl nicht geben - s. oben, da gibt's einfach zu viele Abhängigkeiten und individuelle Vorgaben/Anforderungen. Lediglich machen muss man es, irgendwann.

Last but not least: Never change a running system - das ist die falscheste und schlechteste Herangehensweise überhaupt, zumindest in Bezug auf das Updaten von Servern. Es mag vereinzelte Szenarien geben, in denen z.B. das ERP-System mit sechstelligem Kaufpreis nur unter ganz gewissen Bedingungen lauffähig ist und entsprechend das OS darunter nicht gepatcht werden darf. Aber wenn da so ist, dann muss ich diesen Server (oder die Serverfarm) eben netzwerktechnisch entsprechend schützen etc. Nix tun war und ist schon immer blöd...

Cheers,
jsysde

Hallo SeaStorm,

...um Deine Rückfragen zu beantworten und Deine Kommentare zu kommentieren:

Überschaubar. Aus Windows-Sicht (WSUS-Server) sind es sieben Server und 30 Clients,
dazu kommen noch etwa zehn Apples und diverse "Blackboxes" die hier nicht Thema sind.

Wer hat denn festgelegt, dass das der Betrieb festlegt?
Das lege ich, im Einzellfall in Absprache mit dem betroffenen Mitarbeiter, fest.
Wie schon erwähnt, sind bei uns die Arbeitszeiten sehr unterschiedlich und nicht vorhersehbar.

Hier geht etwas die Phantasie mit Dir durch, bei der Interpretation meiner Worte.

Doch...
Aber wenn mir irgendwann nicht früh genug ist, dann mache ich es.
Heißt "wtf" interpretiert und ausgeschrieben: "wozu denn das"? ...dann war die Antwort darauf schon geschrieben.
Wer oder was ist der Wartungszeitraum? Nicht jeder Arbeitsplatzrechner steht in einem 9-to-5-Büro und nicht jeder Rechner hat Feierabend, nur weil sein Benutzer auf dem Heimweg ist.

Meinst Du die, die Microsoft nach Belieben mit den Updates hinzufügt und entfernt?
Aber ja, das Meiste lässt sich mit GPO und/oder Reg/Batch usw. regeln und auch wenn man keinen DC und AD nutzt.

Vermutlich stimmt das und damit würden aus seltenen und lösbaren Schwierigkeiten Seltenere und Lösbarere werden.

Wenn ich Patches sofort (automatsch) freigabe, sind Deine genannten Ausnahmen mit abgedeckt und ich muss mir keine Vorwürfe machen, dass ich den einen oder anderen Patch doch lieber einen Tag früher hätte gemehmigen sollen.

Da muss ich zustimmen, mein sehr einschränkendes "nur" ist hier definitiv falsch.

Das mag ja sein, aber kein "Nichtmensch" nimmt einem diese Aufgabe ab.

Not of planet Earth, trifft insofern zu, dass ich einiges in meiner IT nicht so handhabe wie Bill es vielleicht vorgesehen hat oder wie es allgemein als Best-Practice annerkannt ist.
Gwaihir fragte ja, wie wir es handhaben und bei "wir" bin auch ich gemeint.

Ja, einfach freigeben.
"Treiber nicht mehr vorhanden" hatte ich noch nicht.
"Virenscanner nicht kompatibel" ist mir einmal passiert. Das war einer der erwähnten, seltenen aber lösbaren Schwierigkeiten, was mich allerdings ein paar Stunden beschäftigt hatte.
Unsere WaWi könnte nur sehr indirekt von Windowsupdates beeinträchtigt werden und kann jederzeit (inkl. aktueller Daten) sofort auf jeden anderen Rechner umziehen.
Unseren WSUS betreibe ich jetzt seit gut 10 Jahren mit autoapprove *.* und sehe für mich keinen Anlass das zu ändern.

Wer einen Nicht-SSD-Rechner hat, der ist doch Kummer gewohnt, was Wartezeiten angeht.
Deine 20%-Fehlschlagserfahrung finde ich gruselig.
Ich komme eventuell auf eineinhalb und mache diesbezüglich sicher auch nichts anders oder besser als Du.

Gut, dann habe ich es auch nicht so aufgefasst und hoffe Deine Fragen sind beantwortet.
Falls nicht, stünde ich für Weitere zur Verfügung.
(Anm.: Die Fragen in meinen Kommentaren sind alle rhetorischer Natur und erwarten keine Antwort.)

Gruß Frank

Mahlzeit

Hatte ich bei 1/2 Kleinumgebungen (je 1 Server und 5 Clients) mit eigenem WSUS auch mal gemacht.
IMHO selbst dort nicht zu empfehlen.
Tagelange Fehlersuche bis dann endlich klar war, welches KB dafür verantwortlich war, das der ERP-Client unbrauchbar wurde.
Erst das Deinstallieren und Verbot der automatischen Installation dieses KB hat den Fehler behoben.
Nach ca. 4 Wochen gab es einen Patch für den Patch.

Natürlich wird man für solche Tätigkeiten nicht bezahlt, schließlich ist die automatische WSUS-Konfiguration ja durch mich (meine Firma) eingerichtet worden.

Ansonsten fahre ich sehr gut damit alle 6-12 Wochen die Server und Clients der Kundennetze mit WSUS zu patchen, die ich betreue, jedoch nur Patches, die max. vom Vormonat sind.
Auch wenn ich mal länger als 3 Monate keine Windows Updates genehmigt (und auf Servern auch noch installiert) habe, kann ich ruhig schlafen.