Patch Tuesday: Microsoft, dein Feind und Helfer
Einmal im Monat beginnt bei den Administratoren das große Bangen - es ist wieder Patch-Tuesday. Das ist der Name für den zweiten Dienstag im Monat, an dem Microsoft kumulative Updates für Windows veröffentlicht. Eigentlich sollte das ein guter Tag sein, denn damit werden Fehler und Sicherheitslücken behoben, und das ist ja grundsätzlich erst einmal etwas Gutes.
Aber es gibt eine ganze Reihe von Gründen, die uns Administratoren dieses Datum verleiden.
Im Jahr 2015 führte Microsoft Windows 10 ein und leitete damit eine Transformation zu agiler Softwareentwicklung ein. Aus dem Grund wurde 2014 auch das Team aufgelöst, das für die Qualitätssicherung zuständig war. Man befand sich damals wohl in dem Irrglauben, dass sich Qualitätsprobleme durch die agilen Prozesse von selbst erledigten.
Aus demselben Grund wurden mit Windows 10 auch Feature-Releases eingeführt, ein (damals) halbjährliches Windows-Update, das die installierte Windows-Version komplett durch ein neues Windows - das Feature-Release - ersetzt. Dieser neue Updateprozess stellt Unternehmen aber vor enorme Probleme.
Bis Windows 10 konnte man ein Betriebssystem über viele Jahre verwenden, bevor man auf eine neue Version wechseln musste - es gab zehn Jahre Support für jede Betriebssystemversion sowie die Möglichkeit, gegen Gebühr drei weitere Jahre Updates zu erhalten. Mit Windows 10 schränkte Microsoft den Supportzeitraum massiv ein - am Anfang waren es zwei Jahre für Kunden, welche die Enterprise-Edition im Einsatz haben, mit Windows 11 sind es jetzt drei Jahre.
Da es sich mit jedem Feature-Release um ein neues Betriebssystem handelt, muss man aber vor der Einführung jedes Updates testen, ob die neue Windows-Version immer noch kompatibel zur Hardware und den Unternehmensanwendungen ist.
Das Testen auf die Kunden abgewälzt
Microsoft machte es sich hier einfach. Anstatt seine Produkte selbst eingehend zu prüfen, wälzte es das Testen auf die Kunden ab. Damit das handhabbar ist, wurde in Redmond das Konzept der Updateringe erdacht. Updates werden in Wellen installiert, wobei in der ersten Welle nur einige wenige Rechner der Administratoren betroffen sind. Wenn diese problemlos laufen oder auftretende Probleme beseitigt sind, wird das Update an die nächste Gruppe von Benutzern verteilt.
Das wäre grundsätzlich machbar gewesen, wenn die Updates nicht zusehends schlechter geworden wären. Das liegt zum einen an der fehlenden Qualitätskontrolle, zum anderen machte Microsoft den Entwicklern Druck, alle sechs Monate ein neues, unzureichend geprüftes Feature-Release herauszubringen - was darin kulminierte, dass selbst hartgesottene Microsoft-Fans auf die Barrikaden gingen.
Schließlich hatte der Softwarekonzern ein Einsehen. Unter Windows 11 gibt es nur noch ein Update pro Jahr, und das ist weder auf ein spezifisches Datum terminiert noch beinhaltet es auch nur annähernd so viele Änderungen wie Windows 10. Tatsächlich muss man sagen, dass unter Windows 11 die Welt stehengeblieben zu sein scheint. Denn schaut man sich die Änderungen an, die Microsoft von Windows 11 21H2 bis Windows 11 24H2 am Betriebssystem vornahm, stellt man fest, dass sich eigentlich bis auf kosmetische Änderungen nichts mehr geändert hat. Das ist krass, wenn man bedenkt, dass dieser Zeitraum früher von Microsoft für den Zeitraum zwischen zwei Windows-Versionen eingeplant war. Ist jetzt also alles gut? Leider nein.
Probleme mit Updates motivieren nicht zum Updaten
Was die Entwickler bei Microsoft mit der vielen freien Zeit machen, die sie nicht mehr in die Entwicklung neuer Funktionen stecken, weiß wohl nur CEO Satya Nadella. Die Softwarequalität scheint sich jedenfalls nicht zu verbessern. Hier musste es erst zu einem GAU wie dem Crowdstrike-Desaster im Juli 2024 kommen, bevor Microsoft versprach, wieder mehr in sichere Software zu investieren .
Bereits im Februar 2002 ließ Bill Gates aufgrund der steigenden Gefahren aus dem Internet vier Wochen jegliche Entwicklungsarbeit an Windows einstellen und schickte alle Programmierer zur Nachhilfe, um sichere Programmiertechniken zu lernen. Warum Microsoft trotz ständig steigender Bedrohungen durch Malware und staatlich finanzierte Angreifer erst jetzt wieder bereit für eine Sicherheitsoffensive ist, kann man wohl nur dadurch erklären, dass das Stopfen von Sicherheitslöchern kein Geld einbringt, das Verkaufen von Sicherheitslösungen aber schon.
Microsoft ist mit Windows Defender for Endpoint und Microsoft Sentinel nicht nur zu einem der größten Anbieter für Sicherheitslösungen avanciert, der Konzern benutzt auch regelmäßig Sicherheitslücken in seinen Produkten als Sales Pitch für die Cloudprodukte. So entschuldigte sich Microsoft im vergangenen Jahr nicht etwa bei den Kunden für eine gefährliche Sicherheitslücke im Exchange-Server, sondern riet ihnen, ihre Infrastruktur besser in die Cloud zu verlagern.
Mindestens genauso ärgerlich ist die Art und Weise, wie Microsoft Kunden dabei unterstützt, Sicherheitsupdates auszurollen - wird uns doch (zu Recht) immer wieder gepredigt, dass das zeitnahe Einspielen von Updates die wichtigste Maßnahme zur Absicherung unserer Netzwerke sei.
Davon abgesehen, dass die ständig auftretenden Probleme mit Updates Kunden nicht dazu animieren, ein Update direkt nach Erscheinen zu installieren, erfordern die dafür vorgesehenen Dienste entweder eine Internetanbindung (was bei vielen Servern nicht wünschenswert ist) oder man verwendet die Windows Server Update Services (WSUS), die Microsoft aber gerade abkündigte und die sich voraussichtlich bis höchstens 2034 weiterhin nutzen lassen. Wenn Microsoft keine Änderungen am Windows-Updatevorgang vornimmt, denn in seinem jetzigen Status werden die WSUS nicht mehr aktualisiert werden.
WSUS sind schon seit einiger Zeit veraltet
Prinzipiell kann man verstehen, dass die WSUS abgekündigt wurden - sie sind schon seit einiger Zeit unzureichend und veraltet. Denn seit Microsoft Windows Update for Business einführte , wurde das dafür vorgesehene Werkzeug, die WSUS, von Microsoft nicht mehr aktualisiert. Und das, obwohl das Produkt schon vorher nicht gut war.
Wie funktionieren die WSUS?
Bevor ich anfange, die Probleme aufzulisten, möchte ich die Funktionsweise und Architektur der Windows Server Update Services (WSUS) kurz zusammenfassen. Sie sind im Prinzip ein Updatedienst, wie Microsoft ihn selbst betreibt, allerdings im eigenen Unternehmen. Die Kommunikation zwischen Clients und Server findet dabei über http beziehungsweise https statt.
WSUS bestehen aus drei Komponenten: einer SQL-Server-Datenbank, einem Webservice, der per IIS bereitgestellt wird, und einer Menge Speicherplatz, auf dem die Updates lokal zwischengespeichert werden. Aufgabe ist es, den Clients die Updates bereitzustellen sowie den Updatestatus der Clients zu speichern.
Nachdem die WSUS installiert sind, kontaktieren sie in regelmäßigen Abständen Microsoft Update und holen sich von dort eine Liste aller verfügbaren Updates. Diese werden allerdings nicht automatisch an die Clients verteilt, sondern müssen von den Administratoren erst freigegeben werden.
Für welche Microsoft-Produkte die WSUS Updates bereitstellen, entscheiden Administratoren bei der Installation, indem sie aus einer Liste der von Microsoft unterstützten Produkte die auswählen, die bei ihnen zum Einsatz kommen. Außerdem müssen sie entscheiden, welche Typen von Updates sie bereitstellen wollen - dafür müssen sie aus einer Liste von Kategorien auswählen, der jedes Update zugeordnet ist.
Leider sind die Kategorien nicht einmal ansatzweise eindeutig benannt. So gibt es die Kategorie Wichtige Updates. Anders als der Name suggeriert, handelt es sich dabei aber nur um einfache Bugfixes der Produkte. Alle sicherheitsrelevanten Updates sind in der Kategorie Sicherheitsupdates zusammengefasst. Feature-Release verbergen sich in der Kategorie Upgrades.
Microsoft hat leider noch nicht mal eine produktübergreifend eindeutige Benennung für Updates. Der Begriff kumulatives Update hat je nach Produkt eine komplett andere Bedeutung. Unter Windows ist ein kumulatives Update ein Update, das alle Updates beinhaltet, die seit dem Erscheinen des Feature-Release erschienen sind. Bis Windows 10 wurde genau dies noch als Service Pack bezeichnet. Es gibt technisch keinen Unterschied zwischen einem Service Pack und einem kumulativen Update - außer, dass kumulative Updates jetzt geplant einmal im Monat erscheinen.
Beim SQL-Server gibt es auch kumulative Updates. Dort bezeichnet ein kumulatives Update aber ein Updatepaket, das alle Updates beinhaltet, die seit dem Release des Service-Packs erschienen sind. Man muss also immer zuerst ein Service-Pack installieren, um dann das kumulative Update nachzuziehen. Als ob das nicht schon verwirrend genug wäre, bezeichnet der Begriff kumulatives Update beim Exchange-Server eine komplette Installation - mit dem kumulativen Update installiert man den kompletten Server neu. Das zieht weitere Probleme nach sich, auf die ich noch zu sprechen komme.
Obwohl die WSUS die Liste gar nicht mitbringen, sondern erst bei der Installation synchronisieren, finden sich dort etliche Produkte, die schon vor mehr als einem Jahrzehnt von Microsoft eingestellt wurden. Das bläht die Liste auf und macht sie unübersichtlich.
Wir finden darauf zum Beispiel den Biztalk-Server 2002, den Host Integration Server 2000 oder den Exchange Server 2000. Weshalb es Microsoft nicht schafft, die Liste von allen Produkten zu bereinigen, die seit Ewigkeiten keine Updates mehr erhalten, ist mir ein Rätsel. Schlimmer ist aber, dass es auch keine einheitliche Produktbenennung gibt.
So gibt es in der Liste einen Windows Server 2012 R2, 2016 und 2019, aber keinen Windows Server 2022. Stattdessen hat Microsoft mit Windows Server 2022 die Feature-Releases für Server, die es für Windows Server 2016 schon einmal gab, wieder eingeführt, und nennt den Windows Server 2022 jetzt Microsoft Server Operating System-21H2.
Bei einem meiner Kunden führte das dazu, dass er auf einigen Servern seit Monaten keine Updates mehr einspielte, da er die entsprechende Kategorie nicht mit Windows Server 2022 in Verbindung brachte und stattdessen Windows Server 2022 Hotpatch Category wählte. Für Windows 10 und Windows 11 hat Microsoft das besser gelöst, dort gibt es eine Oberkategorie Windows 10 beziehungsweise Windows 11, die alle Feature-Releases beinhaltet.
Schwieriger Überblick über Produkte und Clients
Warum es - schon aus Sicherheitsgründen - nicht möglich ist, die Produkte automatisch anhand der Rechner auszuwählen, die sich an den WSUS anmelden, anstatt die Konfiguration von Hand zu machen (und mit jedem neuen Produkt von Hand nachzusteuern), was fehleranfällig ist und zu riesigen Sicherheitsproblemen führt, ist nicht nachvollziehbar.
Und wo wir gerade beim Thema nicht mehr unterstützte Software sind: Will man sich eine Übersicht über installierte Produkte oder nicht aktuelle Clients verschaffen, kann man dazu den SQL Server Reporting Service benutzen. Die dazu passenden Reports kann man sich einfach in der WSUS-Konsole ziehen, benötigt dann allerdings den SQL Server Report Viewer - 2012 (!).
Den kann man bei Microsoft aber gar nicht mehr direkt herunterladen, und supportet wird er auch nicht mehr, weil der SQL-Server 2012 EOL (End of Life) ist. Auf einem sicherheitskritischen Produkt eine Software vorauszusetzen, die nicht mehr sicher ist, ist schon Realsatire.
Wer kein WSUS-Experte ist, wird übrigens früher oder später auf das Problem stoßen, dass die WSUS-Konsole sich im Laufe der Zeit immer langsamer öffnet, bis sie unbenutzbar wird. Ich kenne Firmen, die deshalb die WSUS in regelmäßigen Abständen neu installieren. Die Ursache ist bei Microsoft aber bekannt und lässt sich leicht beheben. Dafür müssen drei Optimierungsmaßnahmen vorgenommen werden:
- Es sollten zwei zusätzliche Indizes auf der SUSDB im SQL-Server gesetzt werden.
- Die Datenbank fragmentiert und sollte daher regelmäßig defragmentiert werden (wir reden hier nicht von Festplattenfragmentierung!).
- Updates, die durch neuere Updates abgelöst sind, sogenannte Superseeded Updates, sollten declined (also abgelehnt) werden, um die Datenbank und den Festplattenplatz in einem überschaubaren Rahmen zu halten.
Übrigens werden auch nicht alle Updates per WSUS bereitgestellt. Manche kritischen Lücken fixt Microsoft durch sogenannte Out-of-band-Updates. Diese sind so wichtig, dass Microsoft nicht auf das kumulative Update wartet, um sie zu veröffentlichen.
Ein prominentes Beispiel ist die Printnightmare-Sicherheitslücke . Als Printnightmare wird eine Remote-Code-Execution-Verwundbarkeit auf Druckservern bezeichnet, durch die Malware über das Netzwerk auf dem Druckserver installiert werden kann, ohne dass Berechtigungen notwendig sind. Diese Updates müssen dann manuell heruntergeladen und auf dem WSUS-Server importiert werden.
Seit August 2023 geht das aber nicht mehr über die dafür vorgesehene grafische Oberfläche im WSUS, mit der man das Update direkt aus dem Updatekatalog heraussuchen und importieren konnte. Stattdessen muss das Update jetzt aus dem Katalog heruntergeladen werden, um es anschließend über ein Powershell-Skript zu importieren.
Dass kritische Updates nicht automatisch synchronisiert werden, sondern der Administrator selbst herausfinden muss, dass es ein kritisches Update gibt, um es dann manuell zu installieren, halte ich für grob fahrlässig. Welcher Administrator hat schon die Zeit, sich ständig über die aktuellsten Sicherheitslücken zu informieren, um sie dann manuell zu installieren? Das führt die Funktion des WSUS ad absurdum.
Kunden müssen die Lösung selbst finden
Von all diesen Problemen weiß Microsoft und stellt Skripte zur Verfügung. Werden die WSUS über den System Center Endpoint Configuration Manager verwaltet, kann man diese Maßnahmen sogar automatisch implementieren lassen.
Man muss sich an dieser Stelle fragen, warum Microsoft es nicht schafft, diese minimalen Anpassungen bei der WSUS-Installation gleich mit zu implementieren, anstatt die Kunden die Lösung selbst finden und implementieren zu lassen - zumal nicht jeder Administrator SQL-Experte ist. Speziell in Verbindung mit der Windows Internal Database sind die Änderungen auch nicht trivial zu implementieren.
Ein letzter Punkt, den ich hier ansprechen möchte, auch wenn mir noch mehr einfallen, ist die Tatsache, dass Update-Ringe, wie Microsoft sie vorschlägt, sich im WSUS nicht automatisiert freigeben lassen, wie es mit Windows Update for Business passiert.
Auch der Windows Update Client läuft nicht optimal
Will man also Update-Ringe im WSUS nutzen, muss man entweder wieder alle Updates von Hand freigeben (was ansonsten automatisiert möglich ist) oder sich mit einem Powershell-Skript behelfen, was aber nicht ganz trivial ist, wie ich selbst feststellen musste.
Insofern muss man sich also grundsätzlich nicht wundern, dass Microsoft die WSUS nicht mehr weiter supporten möchte, ist das Produkt doch eine gefühlte Ewigkeit vernachlässigt worden. Das Produkt einfach abzukündigen und nur noch Lösungen zur Verfügung zu stellen, die eine Internet-Anbindung voraussetzen, ist für etliche Kunden aber ein Problem.
Vor allem Windows-Systeme, die zur Maschinensteuerungen genutzt werden, können normalerweise nicht automatisch gepatcht werden und haben oft aus gutem Grund keine direkte Internetanbindung. Davon ab sind bis auf Windows Update for Business alle Alternativen, die Microsoft anbietet, kostenpflichtig.
Kommen wir zum Abschluss zum Windows Update Client, denn auch der läuft leider nicht optimal. In letzter Zeit hatte ich immer wieder das Problem, dass sich ein kumulatives Update auf einem einzelnen Client einfach nicht installieren ließ - und das, obwohl das Update auf etlichen anderen Maschinen mit gleichem Hard- und Softwarestand völlig problemlos durchlief.
Der Windows-Update-Dienst wirft dann nur eine kryptische Fehlernummer aus, die sich nach einigem Googeln als generischer Fehler herausstellt, der zehn verschiedene Ursachen nennt, die alle nicht auf den Client zutreffen.
Die üblichen Maßnahmen wie das Löschen des Ordners %windir%\Softwaredistribution oder das Scannen des Windows Component Store mit dem Befehl sfc /scannow lösen das Problem ebenso wenig wie das Aufrufen des Windows-Problemlösungsassistenten. Man kann den Client dann nur neu installieren oder zwei bis drei kumulative Updates abwarten, denn irgendwann scheint Microsoft das Problem behoben zu haben und plötzlich aktualisiert sich der Client wie von Zauberhand wieder problemlos.
Würde es sich nicht um sicherheitskritische Updates handeln, wäre das nicht so schlimm, denn der Client läuft auch ohne das Update weiter. Dummerweise verstößt man dann aber gegen die oberste Sicherheitsregel, die Microsoft selbst aufgestellt hat, nämlich Updates immer so zeitnah wie möglich einzuspielen.
Grundsätzlich habe ich sogar Verständnis dafür, dass es mit Updates immer mal ein Problem geben kann. Ich würde es aber begrüßen, wenn Windows Update nicht nur nichtssagende Fehlernummer ausgäbe. Die andere Quelle zur Fehlersuche, das WindowsUpdate.log, ist an dieser Stelle ebenfalls wenig hilfreich, da es nicht sinnvoll zu lesen ist und meistens trotzdem keine hilfreichen Informationen bereitstellt.
Ich weiß, dass ich nicht allein bin mit meinen Problemen. Leider kann Microsoft nicht für die Probleme in Haftung genommen werden, die seine schlechten Prozesse verursachen. Daher gibt es keine Handhabe, Microsoft zu zwingen, das Windows-Update endlich auf einen Stand zu bringen, der es uns ermöglicht, Windows wirklich sicher zu aktualisieren.
Und so träume ich weiter von einer Welt, in der sicherheitskritische Updates sich zeitnah und automatisch installieren lassen und man keine Angst haben muss, hinterher vor einem Haufen nicht mehr lauffähiger Rechner zu stehen ...
Holger Voges ist seit 25 Jahren als Trainer und Berater für Windows-Netzwerke tätig. Er beschäftigt sich mit Active Directory, Hyper-V, SQL-Server, Office 365, Azure und Powershell. Außerdem ist er Autor des Buchs Verwaltung von Windows 10 mit Gruppenrichtlinien und Intune. Seit 2012 betreibt er in Hannover die Firma Netz-Weise(öffnet im neuen Fenster) , die IT-Schulungen und Consulting anbietet.