Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie oft Server Updates installieren?

Mitglied: Gwaihir

Gwaihir (Level 1) - Jetzt verbinden

30.11.2017 um 07:48 Uhr, 1890 Aufrufe, 14 Kommentare

Guten Morgen zusammen,

kurze Frage: Wie oft installiert Ihr neue Updates auf Euren Servern in der Firma? Einmal im Monat oder einmal im Quartal/Halbjahr?

Viele Grüße, Peter
Mitglied: SeaStorm
30.11.2017, aktualisiert um 07:57 Uhr
Morgen

Kritische Updates für bekannte Sicherheitslücken nach erscheinen.

Application-Server: Kritische Updates 1-2 Wochen nach erscheinen.
Andere Updates: Nach Prüfung, spätestens nach 2 Monaten

TerminalServer: 1-2 Wochen nach erscheinen
Bitte warten ..
Mitglied: departure69
30.11.2017, aktualisiert um 08:11 Uhr
Hallo.

Immer nach/bei Eintreffen (also eigentlich sofort):

WSUS (per GPO) -> automatische Genehmigungsregel (mit der ich bislang in 12 Jahren erst 2 mal auf die Fresse gefallen bin, war zwar jedesmal recht heftig, aber zum Glück jeweils reparabel, kein schlechte Bilanz in der langen Zeit, finde ich).

Die GPO sagt den Clients und Servern, daß Updates, die keinen Neustart erfordern, sofort ausgeführt werden sollen, und diejenigen, die einen Neustart brauchen/verlangen, werden auf Clientseite vom User vervollständigt (dadurch, daß die User am Abend herunterfahren und am nächsten Tag wieder hochfahren), bei den Servern habe ich einen Neustartzeitplan, der an den Servern per Taskscheduler abgefackelt wird (DC zuerst, dann Fileserver, dann DB-Server, dann Exchange, dann Anwendungsserver usw.).

Die Anzahl, die Du wissen wolltest, ist natürlich von Monat zu Monat unterschiedlich. Ganz früher (mehr als 10 Jahre zurück) gab es nur einen Patchday pro Monat (in der Nacht vom 2. Dienstag auf den zweiten Mittwoch), später irgendwann gab's dann einen zweiten Patchday in der Nacht vom 4. Dienstag auf den vierten Mittwoch pro Monat hinzu, für nachgeschobene Updates von MS.

Diese beiden Patchdays gibt es immer noch, jedoch hat sich da in letzter Zeit noch mehr geändert, ich meine, daß für die älteren Systeme (W7, W2K8/R2) nun auch regelmäßig am Monatsende was kommt, und dadurch, daß die Patcherei bei Microsoft in letzter Zeit leider auch immer wieder mal schiefgeht, hauen sie bei Microsoft meines Erachtens mitunter auch vogelwild Zeug raus ohne festen Termin, so mein Eindruck.

So kommen Updates zwar schneller bei den Systemen an, so richtig planbar ist da aber nicht mehr viel. Meine Methode funktioniert deshalb noch einigermaßen, weil ich gleich alles genehmige und über WSUS raushaue. Nur mein fester Neustartzeitplan für die Server spielt da oft nicht mehr mit, wenn Updates völlig ungeplant erscheinen.

Antwort ist somit: Mehrmals pro Monat.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: VGem-e
30.11.2017 um 08:56 Uhr
Moin,

sicherheitskritische Updates für die verschiedenen MS-Serverbetriebssysteme idealerweise möglichst umgehend (vlt. noch 1-2 Tage abwarten, ob in den diversen Fachforen/Homepages schon irgendwelche aktuellen Warnungen auf mögliche Installationsprobleme hinweisen).

Die nicht sicherheitskritischen Updates werden, sofern Sie nicht am WSUS geblockt wurden, halt am Patchday des nächsten Monates mit installiert.

Gruß
VGem-e
Bitte warten ..
Mitglied: nepixl
30.11.2017 um 09:31 Uhr
Hallo,

installiere wichtige Updates nach 2-3 Tagen nach Prüfung. (Recherche)
Ansonsten jeden 2ten Samstag Abend um Sonntag das System wieder zum leben zu erwecken bei Abschuss.

Gruß
Bitte warten ..
Mitglied: Pedant
30.11.2017 um 10:28 Uhr
Hallo Peter,

ich halte es damit ähnlich wie departure69.

Ich lasse alle Updates am WSUS automatisch zur sofortigen Installation genehmigen und zwar nicht nur die kritischen, sondern alle anderen auch.
Einen automatischen Neustart lasse ich aber weder für die Server noch für die Arbeitsplatzrechner ausführen, da bei uns die Arbeitszeiten sehr unterschiedlich und nicht vorhersehbar sind.
Den Neustart an den Servern mache ich manuell, wenn ich der Meinung bin, sie werden momentan nicht benötigt und ich Zeit habe auf eventuelle Probleme zu reagieren.
Den Neustart an den Arbeitsplatzrechnern, machen die Mitarbeiter irgendwann selbst, wobei ich in der Regel am Patchday die Arbeitsplatzrechner ablaufe und die Updates kontrolliere, vervollständige und eventuell veränderte Einstellungen korrigiere.
Insbesondere Windows-10-Updates bringen gerne neue Einstellungen mit und/oder setzen alte wieder zurück.

Die seltenen und bisher immer lösbaren Schwierigkeiten, die ich damit jemals hatte, hätte ich wahrscheinlich auch gehabt, wenn ich die Updates manuell genehmigen und Wochen später installieren würde.
Eine Verzögerung ist nur sinnvoll, wenn man tatsächlich alle Updates durch intensive Recherche auf potentielle Schwierigkeiten prüft, bevor man sie genehmingt und installiert, aber wer tut das schon und falls ja, kann dennoch ein Update individuell Schwierigkeiten bereiten, mit dem "alle" anderen kein Problem hatten.

Wenn es sich um wirklich kritische Systeme handelt, die keine Auffallzeit verzeihen, dann hilft nur dieses Szenario:
Man hält für jedes System ein identisch installiertes Ersatzsystem bereit und stellt diese in eine andere Genehmigungsgruppe, in der zuerst Updates installiert werden und wenn man dabei keine Schwierigkeiten hatte, installiert man die Updates auf die Produktivsysteme.

Aufwand, Riskio und potentielles Schadensausmaß muss man dabei abwägen.
Je mehr Möglichkeiten man hat, Alternativen für die Mitarbeiter und Kunden anzubieten oder schnell Ersatzmachinen bereitstellen oder Backups wiederherstellen kann, je "sorgloser" kann man agieren.

Für Dich musst Du noch zusätzlich abwägen, ob Du einen von Dir festgelegten Zeitplan benötigst, um Dich um Updates und deren Folgen zu kümmern oder ob Du zeitlich flexibel reagieren kannst.

Aus Sorge vor Schwierigkeiten mit der Updateinstallation, sollte man aber auch nicht vergessen welche Kummer man potentiell haben kann, wenn man Sicherheitslücken nicht zeitnah schließt.

Jeder Betrieb ist anders gestrickt.
Mach, was Du für den Euren am sinnvollsten hälst, was nicht heißen soll, dass es falsch war gefragt zu haben, wie die Kollegen es handhaben.

Gruß Frank
Bitte warten ..
Mitglied: clSchak
30.11.2017 um 10:45 Uhr
Hi

wir machen es ähnlich wie @PixL86, alles direkt freigeben was als kritisch eingestuft wird hat bei Windows 10 zu einige sehr bösen Überraschungen geführt (da hat MS sich in den letzten Monaten sehr oft ins Bein geschossen), für Server 2012R2/2008R2 geben wir das direkt frei, Server 2016 setzen wir nicht ein (der ist einfach kacke ).

Gruß
@clSchak
Bitte warten ..
Mitglied: SeaStorm
30.11.2017, aktualisiert um 11:12 Uhr
OK das kann ich so jetzt einfach nicht stehen lassen. Ich meins nicht böse, aber manches löst bei mir energisches Kopfschütteln aus
Zitat von Pedant:

Ich lasse alle Updates am WSUS automatisch zur sofortigen Installation genehmigen und zwar nicht nur die kritischen, sondern alle anderen auch.
Woah ... Mutig. Wie groß ist die IT denn?
Alleine schon wegen der ganzen Itanium Updates nicht. Aber auch der Lauffähigkeit der IT wegen.
Einen automatischen Neustart lasse ich aber weder für die Server
OK
noch für die Arbeitsplatzrechner ausführen, da bei uns die Arbeitszeiten sehr unterschiedlich und nicht vorhersehbar sind.
geplante Wartung nennt man das. Das wird vom Betrieb festgelegt, das Clients täglich/wöchentlich nachts um 3 eine Automatische Wartung erfahren und dazu uU für einige Minuten nicht erreichbar sind.
Den Neustart an den Servern mache ich manuell, wenn ich der Meinung bin, sie werden momentan nicht benötigt und ich Zeit habe auf eventuelle Probleme zu reagieren.
Korrekt so, sofern die Installation ein fester Bestandteil des Arbeitsablaufes sind. "Wenn ich mal Zeit und Lust habe" ist "Wird in zig Monaten mal gemacht. Vielleicht". Sorry aber nach all den apokalyptischen Virenmeldungen der letzten Jahre darf sowas einfach nicht mehr vorkommen.
Genau solche laxen Regeln haben dazu geführt, das ganze Betriebe platt gemacht wurden. Ich kann aus meinem Fenster gucken und da ist ein weltweit agierender Betrieb der 5 Wochen nicht Handlungsfähig war durch noPetya!
Den Neustart an den Arbeitsplatzrechnern, machen die Mitarbeiter irgendwann selbst
Nein ...
Das ist doch keine Sicherheitsaussage ... "irgendwann". Dafür gibt es Einstellungen. Im Wartungszeitraum holt sich der Client seine Updates, installiert diese und Startet bei bedarf neu. Da hat der User nichts mit zu reden. Gehts nach dem, läuft die Kiste durchgehend 24/7/365 ohne Neustart. Jegliche Abweichung vom "gewohnten Bild" ist teufelszeug. Und Patches sind ###, weil da ändert sich alle Jubeljahre mal was an der GUI.
wobei ich in der Regel am Patchday die Arbeitsplatzrechner ablaufe
wtf ?
und die Updates kontrolliere, vervollständige und eventuell veränderte Einstellungen korrigiere.
reden wir hier noch von Windows Updates ?
Insbesondere Windows-10-Updates bringen gerne neue Einstellungen mit und/oder setzen alte wieder zurück.
Ah .. OK
Dafür gibt es GPOs.
Die seltenen und bisher immer lösbaren Schwierigkeiten, die ich damit jemals hatte, hätte ich wahrscheinlich auch gehabt, wenn ich die Updates manuell genehmigen und Wochen später installieren würde.
Höchstwahrscheinlich nicht. Denn die KBs von MS sind nicht in Stein gemeißelt, wenn sie released wurden. MS gibt ganz oft neue Revisionen von Patches raus, die dann die Probleme der Patches behoben haben. Von daher ist Abwarten auf jeden Fall Sinnvoll, ausser
Eine Verzögerung ist nur sinnvoll, wenn man tatsächlich alle Updates durch intensive Recherche auf potentielle Schwierigkeiten prüft, bevor man sie genehmingt und installiert, aber wer tut das schon und falls ja, kann dennoch ein Update individuell Schwierigkeiten bereiten, mit dem "alle" anderen kein Problem hatten.
Eine sofortige Freigabe von Patches ist nur dann sinnvoll, wenn man damit ein kritisches Sicherheitsloch stopft, das gerade aktiv ausgenutzt wird, oder das ein aktuelles, bei einem selbst auftretendes, Problem behebt.

Wenn es sich um wirklich kritische Systeme handelt, die keine Auffallzeit verzeihen, dann hilft nur dieses Szenario:
Man hält für jedes System ein identisch installiertes Ersatzsystem bereit und stellt diese in eine andere Genehmigungsgruppe, in der zuerst Updates installiert werden und wenn man dabei keine Schwierigkeiten hatte, installiert man die Updates auf die Produktivsysteme.

Unfug. KRITISCHE Systeme, die KEINEN Ausfall dulden, sind so eingerichtet und isoliert, das sie nicht jeden Ranzpatch brauchen. Ich muss meinem SQL Server sicher keine Updates von Flash, IE, usw installieren. Hier selektiert man, was nötig ist. Jeder unnötige Zugriff von aussen ist abgeschottet.
Allgemeine OS-Updates werden bei solchen Systemen auf jeden Fall erst mal getestet an einem entsprechenden Testsystem, aber da ist auch kein unnötiger Schrott dabei. Dann gibts nen Snapshot/Backup des Systems, ein Wartungsfenster und ab gehts.
Aufwand, Riskio und potentielles Schadensausmaß muss man dabei abwägen.
Je mehr Möglichkeiten man hat, Alternativen für die Mitarbeiter und Kunden anzubieten oder schnell Ersatzmachinen bereitstellen oder Backups wiederherstellen kann, je "sorgloser" kann man agieren.

Aus Sorge vor Schwierigkeiten mit der Updateinstallation, sollte man aber auch nicht vergessen welche Kummer man potentiell haben kann, wenn man Sicherheitslücken nicht zeitnah schließt.
Das sollte bei Updates die primäre Sorge sein. Featureupdates braucht ein Betrieb idR nicht. Nice to Have, in einigen Fällen, aber kein Muss.
Jeder Betrieb ist anders gestrickt.
Mach, was Du für den Euren am sinnvollsten hälst
NNNnaaaaja ... Was Menschen für Sinnvoll _halten_ ist viel zu oft nicht das, was Sinnvol _ist_ ;)
was nicht heißen soll, dass es falsch war gefragt zu haben, wie die Kollegen es handhaben.
Das ist nie falsch


(wie gesagt, ist in keinster Weise böse gemeint. Aber das war mir jetzt zu viel "nope!!" auf einem Haufen )


Aber eine Frage: Wie machst du das mit den Windows10 Upgrades also den Upgrades von Anniversary auf Fall Creator Update usw ?
Einfach freigeben? Treiber danach nicht vorhanden, Virenscanner nicht kompatibel, WaWi kaputt. Egal, hauptsache gepatched!
oder wie?
Mal abgesehen davon, das hier bei einem Nicht-SSD Rechner erst mal >1Stunde das Update installiert und bei 20% der Rechner auch noch fehl schlägt?
Ist ja gruselig.
Bitte warten ..
Mitglied: Penny.Cilin
30.11.2017 um 16:45 Uhr
Hallo,

die Frage lässt sich so pauschal nicht beantworten. Es gibt Unternehmen, welche nur zweimal im Jahr Wartungswochenende für Windowsupdates einsetzen. Andere machen es alle Quartal und wider andere alle Monat, wenn Patchday ist.

Und welche Updates eingespielt werden, auch da gibt es unterschiedliche Sichtweisen.

Das ist alles abhängig von der Komplexität der Umgebung, den Vorgaben der Geschäftsleitung / Revision und vom Sicherheitsbewusstsein.

Deshalb meine Empfehlung: Installiert die Updates, wie die Vorgaben sind und wie IHR es in Eurem Unternehmen für richtig erachtet.

Das ist genauso die Frage nach Datensicherung (Backup):
  • Wie oft soll die Datensicherung erfolgen?
  • Was soll gesichert werden?
Auch hier kann man keine pauschale Empfehlung geben.
Auch hier meine Empfehlung:
Je nachdem wie wichtig die Daten / das System für den Einzelnen ist, die Datensicherung durchführen. das kann bei manchen täglich, bei anderen wöchentlich sein. Wiederum andere machen nach bestimmten Änderungen eine Datensicherung.
Mitunter gibt es auch kritische Daten, welche man mittels CDP (Continious Data Protection) zum Beispiel alle 1 Stunde sichert.

Ich bin derzeit hier in einem Unternehmen, wo bestimmte Anwendungsdaten stündlich gesichert werden. Nachteil davon: Es gibt kein Wartungsfenster. Wenn ein Wartungsfenster beantragt wird, muss für diese Anwendung zusätzlich zum CDP auch eine gesonderte Sicherung gemacht werden.

Gruss Penny
Bitte warten ..
Mitglied: maretz
30.11.2017 um 17:19 Uhr
Ich gehe noch nen Schritt weiter... Ich kenne Systeme da werden die Server nur alle paar Jahre ersetzt - aber ganz sicher dazwischen nichts installiert was ggf. dazu führt das die Kiste abschmiert.

Das hängt aber auch davon ab wie die gesichert sind und wer da überhaupt dran kommt... Einen Server im Büro würde ich sicher anders behandeln als einen Server auf dem man bei nem Absturz nicht mal eben was machen kann... Standardbeispiel (auch wenn ich damit nix zu tun habe ;) ): Würde jemand bei der ISS im Orbit auch sagen "ich installiere mal nen paar Updates"? Andersrum braucht man da eher keine Sorge haben das allzuviele Leute da mal "einfach was ans Netzwerk stecken", da kommen dann doch recht wenig Leute auch nur in die Nähe der Anschlüsse ;).
Bitte warten ..
Mitglied: Penny.Cilin
30.11.2017 um 17:58 Uhr
Zitat von maretz:

Ich gehe noch nen Schritt weiter... Ich kenne Systeme da werden die Server nur alle paar Jahre ersetzt - aber ganz sicher dazwischen nichts installiert was ggf. dazu führt das die Kiste abschmiert.
Das nennt man

NEVER CHANGE A RUNNING SYSTEM


gp
Bitte warten ..
Mitglied: jsysde
03.12.2017 um 10:04 Uhr
Moin.

Angesichts der miserablen Qualitätskontrolle bei Patches durch Microsoft in den letzten 18 Monaten (oder länger?) lasse ich die Updates (mind.) bis zum Ende des Monats, in dem sie veröffentlich wurden, "reifen". Früher reichten mal zwei, drei Tage aus - da waren die katastrophalen Fehler und die passenden Workarounds schon im Netz zu finden.

Je nachdem, welche Anwendungen man so auf seinen Servern betreibt, spielen hier auch Abhängigkeiten eine große Rolle: wenn also auf Server A ein fehlerhafter Patch Funktion X lahmlegt, wie verhalten sich dann Server B und C usw. Daran hängt dann eben die Entscheidung, einen Patch einzuspielen oder weiter zu warten (und das bezieht sich nicht nur auf die per Windows Update verteilten Patches, sondern auch und gerade auf URs/CUs für Applikationen).

Natürlich schlafe ich besser, wenn ich meine Server auf dem neuesten Patchlevel (und somit vermeintlich "sicher") weiß, aber das halt auch nur dann, wenn die Funktionalität sichergestellt ist und die User entsprechend arbeiten können. Am Ende des Tages ist es nämlich genau das, was ich sicherstellen muss - den User an sich interessiert es nullkommagarnicht, ob da jetzt das letzte Update auf dem Server installiert ist oder nicht. Der User will/muss/soll arbeiten und produktiv sein...

Die Installation selbst erfolgt bei uns via SCCM, teils manuell (per Task Sequence), teils automatisch, aber immer inkl. Reboot (auch hier: Abhängigkeiten der Server untereinander beachten!). Was niemals passieren darf: Updates installiert, Neustart nicht gemacht - das ist ein gefährliches Szenario, dass man auf Clients "dulden" kann, weil die sowieso abends runtergefahren werden (oder den Reboot per GPO/Policy aufgezwungen bekommen), aber auf einem Server tunlichst zu vermeiden ist. Also wenn Update, dann auch Neustart.

Eine pauschale Aussage dazu, was jetzt "gut" und was "schlecht" ist in punkto Update-Zyklus, kann man wohl nicht geben - s. oben, da gibt's einfach zu viele Abhängigkeiten und individuelle Vorgaben/Anforderungen. Lediglich machen muss man es, irgendwann.

Last but not least: Never change a running system - das ist die falscheste und schlechteste Herangehensweise überhaupt, zumindest in Bezug auf das Updaten von Servern. Es mag vereinzelte Szenarien geben, in denen z.B. das ERP-System mit sechstelligem Kaufpreis nur unter ganz gewissen Bedingungen lauffähig ist und entsprechend das OS darunter nicht gepatcht werden darf. Aber wenn da so ist, dann muss ich diesen Server (oder die Serverfarm) eben netzwerktechnisch entsprechend schützen etc. Nix tun war und ist schon immer blöd...

Cheers,
jsysde
Bitte warten ..
Mitglied: Pedant
03.12.2017 um 20:31 Uhr
Hallo SeaStorm,

...um Deine Rückfragen zu beantworten und Deine Kommentare zu kommentieren:

Zitat von SeaStorm:
Zitat von Pedant:

Ich lasse alle Updates am WSUS automatisch zur sofortigen Installation genehmigen und zwar nicht nur die kritischen, sondern alle anderen auch.
Woah ... Mutig. Wie groß ist die IT denn?
Überschaubar. Aus Windows-Sicht (WSUS-Server) sind es sieben Server und 30 Clients,
dazu kommen noch etwa zehn Apples und diverse "Blackboxes" die hier nicht Thema sind.

Einen automatischen Neustart lasse ich aber weder für die Server
noch für die Arbeitsplatzrechner ausführen, da bei uns die Arbeitszeiten sehr unterschiedlich und nicht vorhersehbar sind.
geplante Wartung nennt man das. Das wird vom Betrieb festgelegt, das Clients täglich/wöchentlich nachts um 3 eine Automatische Wartung erfahren und dazu uU für einige Minuten nicht erreichbar sind.
Wer hat denn festgelegt, dass das der Betrieb festlegt?
Das lege ich, im Einzellfall in Absprache mit dem betroffenen Mitarbeiter, fest.
Wie schon erwähnt, sind bei uns die Arbeitszeiten sehr unterschiedlich und nicht vorhersehbar.

Zitat von SeaStorm:
Zitat von Pedant:
Den Neustart an den Servern mache ich manuell, wenn ich der Meinung bin, sie werden momentan nicht benötigt und ich Zeit habe auf eventuelle Probleme zu reagieren.
Korrekt so, sofern die Installation ein fester Bestandteil des Arbeitsablaufes sind. "Wenn ich mal Zeit und Lust habe" ist "Wird in zig Monaten mal gemacht. Vielleicht". Sorry aber nach all den apokalyptischen Virenmeldungen der letzten Jahre darf sowas einfach nicht mehr vorkommen.
Genau solche laxen Regeln haben dazu geführt, das ganze Betriebe platt gemacht wurden. Ich kann aus meinem Fenster gucken und da ist ein weltweit agierender Betrieb der 5 Wochen nicht Handlungsfähig war durch noPetya!
Hier geht etwas die Phantasie mit Dir durch, bei der Interpretation meiner Worte.

Zitat von SeaStorm:
Zitat von Pedant:
Den Neustart an den Arbeitsplatzrechnern, machen die Mitarbeiter irgendwann selbst
Nein ...
Doch...
Aber wenn mir irgendwann nicht früh genug ist, dann mache ich es.
Zitat von SeaStorm:
Das ist doch keine Sicherheitsaussage ... "irgendwann". Dafür gibt es Einstellungen. Im Wartungszeitraum holt sich der Client seine Updates, installiert diese und Startet bei bedarf neu. Da hat der User nichts mit zu reden. Gehts nach dem, läuft die Kiste durchgehend 24/7/365 ohne Neustart. Jegliche Abweichung vom "gewohnten Bild" ist teufelszeug. Und Patches sind ###, weil da ändert sich alle Jubeljahre mal was an der GUI.
wobei ich in der Regel am Patchday die Arbeitsplatzrechner ablaufe
wtf ?
und die Updates kontrolliere, vervollständige und eventuell veränderte Einstellungen korrigiere.
Heißt "wtf" interpretiert und ausgeschrieben: "wozu denn das"? ...dann war die Antwort darauf schon geschrieben.
Wer oder was ist der Wartungszeitraum? Nicht jeder Arbeitsplatzrechner steht in einem 9-to-5-Büro und nicht jeder Rechner hat Feierabend, nur weil sein Benutzer auf dem Heimweg ist.

Zitat von SeaStorm:
Dafür gibt es GPOs.
Meinst Du die, die Microsoft nach Belieben mit den Updates hinzufügt und entfernt?
Aber ja, das Meiste lässt sich mit GPO und/oder Reg/Batch usw. regeln und auch wenn man keinen DC und AD nutzt.

Zitat von SeaStorm:
Zitat von Pedant:
Die seltenen und bisher immer lösbaren Schwierigkeiten, die ich damit jemals hatte, hätte ich wahrscheinlich auch gehabt, wenn ich die Updates manuell genehmigen und Wochen später installieren würde.
Höchstwahrscheinlich nicht. Denn die KBs von MS sind nicht in Stein gemeißelt, wenn sie released wurden. MS gibt ganz oft neue Revisionen von Patches raus, die dann die Probleme der Patches behoben haben. Von daher ist Abwarten auf jeden Fall Sinnvoll, ausser
Vermutlich stimmt das und damit würden aus seltenen und lösbaren Schwierigkeiten Seltenere und Lösbarere werden.

Zitat von SeaStorm:
Zitat von Pedant:
Eine Verzögerung ist nur sinnvoll, wenn man tatsächlich alle Updates durch intensive Recherche auf potentielle Schwierigkeiten prüft, bevor man sie genehmingt und installiert, aber wer tut das schon und falls ja, kann dennoch ein Update individuell Schwierigkeiten bereiten, mit dem "alle" anderen kein Problem hatten.
Eine sofortige Freigabe von Patches ist nur dann sinnvoll, wenn man damit ein kritisches Sicherheitsloch stopft, das gerade aktiv ausgenutzt wird, oder das ein aktuelles, bei einem selbst auftretendes, Problem behebt.
Wenn ich Patches sofort (automatsch) freigabe, sind Deine genannten Ausnahmen mit abgedeckt und ich muss mir keine Vorwürfe machen, dass ich den einen oder anderen Patch doch lieber einen Tag früher hätte gemehmigen sollen.

Wenn es sich um wirklich kritische Systeme handelt, die keine Auffallzeit verzeihen, dann hilft nur dieses Szenario:
Man hält für jedes System ein identisch installiertes Ersatzsystem bereit und stellt diese in eine andere Genehmigungsgruppe, in der zuerst Updates installiert werden und wenn man dabei keine Schwierigkeiten hatte, installiert man die Updates auf die Produktivsysteme.
Unfug. KRITISCHE Systeme, die KEINEN Ausfall dulden, sind so eingerichtet und isoliert, das sie nicht jeden Ranzpatch brauchen. Ich muss meinem SQL Server sicher keine Updates von Flash, IE, usw installieren. Hier selektiert man, was nötig ist. Jeder unnötige Zugriff von aussen ist abgeschottet.
Da muss ich zustimmen, mein sehr einschränkendes "nur" ist hier definitiv falsch.

Zitat von SeaStorm:
Zitat von Pedant:
Jeder Betrieb ist anders gestrickt.
Mach, was Du für den Euren am sinnvollsten hälst
NNNnaaaaja ... Was Menschen für Sinnvoll _halten_ ist viel zu oft nicht das, was Sinnvol _ist_ ;)
Das mag ja sein, aber kein "Nichtmensch" nimmt einem diese Aufgabe ab.

Zitat von SeaStorm:
...Aber das war mir jetzt zu viel "nope!!" auf einem Haufen )
Not of planet Earth, trifft insofern zu, dass ich einiges in meiner IT nicht so handhabe wie Bill es vielleicht vorgesehen hat oder wie es allgemein als Best-Practice annerkannt ist.
Gwaihir fragte ja, wie wir es handhaben und bei "wir" bin auch ich gemeint.

Zitat von SeaStorm:
Aber eine Frage: Wie machst du das mit den Windows10 Upgrades also den Upgrades von Anniversary auf Fall Creator Update usw ?
Einfach freigeben? Treiber danach nicht vorhanden, Virenscanner nicht kompatibel, WaWi kaputt. Egal, hauptsache gepatched!
oder wie?
Ja, einfach freigeben.
"Treiber nicht mehr vorhanden" hatte ich noch nicht.
"Virenscanner nicht kompatibel" ist mir einmal passiert. Das war einer der erwähnten, seltenen aber lösbaren Schwierigkeiten, was mich allerdings ein paar Stunden beschäftigt hatte.
Unsere WaWi könnte nur sehr indirekt von Windowsupdates beeinträchtigt werden und kann jederzeit (inkl. aktueller Daten) sofort auf jeden anderen Rechner umziehen.
Unseren WSUS betreibe ich jetzt seit gut 10 Jahren mit autoapprove *.* und sehe für mich keinen Anlass das zu ändern.

Zitat von SeaStorm:
Mal abgesehen davon, das hier bei einem Nicht-SSD Rechner erst mal >1Stunde das Update installiert und bei 20% der Rechner auch noch fehl schlägt?
Ist ja gruselig.
Wer einen Nicht-SSD-Rechner hat, der ist doch Kummer gewohnt, was Wartezeiten angeht.
Deine 20%-Fehlschlagserfahrung finde ich gruselig.
Ich komme eventuell auf eineinhalb und mache diesbezüglich sicher auch nichts anders oder besser als Du.

Zitat von SeaStorm:
wie gesagt, ist in keinster Weise böse gemeint.
Gut, dann habe ich es auch nicht so aufgefasst und hoffe Deine Fragen sind beantwortet.
Falls nicht, stünde ich für Weitere zur Verfügung.
(Anm.: Die Fragen in meinen Kommentaren sind alle rhetorischer Natur und erwarten keine Antwort.)

Gruß Frank
Bitte warten ..
Mitglied: goscho
04.12.2017, aktualisiert um 14:54 Uhr
Mahlzeit
Zitat von departure69:

Hallo.

Immer nach/bei Eintreffen (also eigentlich sofort):

Hatte ich bei 1/2 Kleinumgebungen (je 1 Server und 5 Clients) mit eigenem WSUS auch mal gemacht.
IMHO selbst dort nicht zu empfehlen.
Tagelange Fehlersuche bis dann endlich klar war, welches KB dafür verantwortlich war, das der ERP-Client unbrauchbar wurde.
Erst das Deinstallieren und Verbot der automatischen Installation dieses KB hat den Fehler behoben.
Nach ca. 4 Wochen gab es einen Patch für den Patch.

Natürlich wird man für solche Tätigkeiten nicht bezahlt, schließlich ist die automatische WSUS-Konfiguration ja durch mich (meine Firma) eingerichtet worden.

Ansonsten fahre ich sehr gut damit alle 6-12 Wochen die Server und Clients der Kundennetze mit WSUS zu patchen, die ich betreue, jedoch nur Patches, die max. vom Vormonat sind.
Auch wenn ich mal länger als 3 Monate keine Windows Updates genehmigt (und auf Servern auch noch installiert) habe, kann ich ruhig schlafen.
Bitte warten ..
Mitglied: Pedant
13.12.2017, aktualisiert um 12:06 Uhr
Hallo,

nur nebenbei und off-topic:

Zitat von Pedant:
...wobei ich in der Regel am Patchday die Arbeitsplatzrechner ablaufe und die Updates kontrolliere, vervollständige und eventuell veränderte Einstellungen korrigiere.
Insbesondere Windows-10-Updates bringen gerne neue Einstellungen mit und/oder setzen alte wieder zurück.

Das heutige KB4054517 "Update für Windows 10 Fall Creators Update 1709 Build 16299.125"
ist das erste kumulative Window-10-Update, dass auf meinem Zuhause-Rechner, nicht die Firewall-Ausnahmen für Cortana wieder eingeschaltet hat, was nicht heißt, dass es alle Regeln unverändert ließ, aber immerhin, die Cortana-Regeln blieben deaktiviert.

Gruß Frank
Bitte warten ..
Ähnliche Inhalte
Microsoft Office
Word 2013 stürzt oft ab
gelöst Frage von achkleinMicrosoft Office5 Kommentare

Hallo, ich habe bei einem PC Probleme mit Word 2013. Beim Arbeiten wird der Text blass und Word stürzt ...

Exchange Server

Wie oft synced die AutoReplyConfiguration Clientseitig?

gelöst Frage von ChrisDynamiteExchange Server1 Kommentar

Hallo, wir stellen hier gerade fest, dass beim Einschalten der Out-Of-Office Funktionalität unter Outlook 2016 in Kombination mit Exchange ...

Administrator.de Feedback

Hauptseite listet oft keine "aktuellen" Fragen mehr

gelöst Frage von 132692Administrator.de Feedback9 Kommentare

Hi. seit neuestem scheint es so als würde die Hauptseite oft nicht die neuesten Fragen auflisten, zumindest ist sie ...

Windows Netzwerk

Systeme aktuell halten? Wie, wie oft?

gelöst Frage von 1410640014Windows Netzwerk7 Kommentare

Hallo, folgende Frage. Wie schafft man es am besten, seine Systeme (gemischte Umgebung mit diversen Windows-Versionen ab 7 und ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 12 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 4 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 5 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Exchange Server
Exchange 2019 Wildcard geht nicht
Frage von opc123Exchange Server16 Kommentare

Hallo, ich kann mein Wildcard auf dem Exchange keine Dienste zuweisen??

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Netzwerkprotokolle
Verständnissfrage IPv6
Frage von killtecNetzwerkprotokolle15 Kommentare

Hi, ich habe mir einen Online-Kurs zu IPv6 angeschaut. Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen. Bei ...