WSUS: Microsoft schaltet alten Sync-Endpunkt ab

Microsoft wird am heutigen 8. Juli 2019 fe2.update.microsoft.com/v6 als Endpunkt für das Synchronisieren von Patches des Windows Server Update Services (WSUS) abschalten, hat das Unternehmen angekündigt. Das sollte laut Microsoft in den meisten Fällen keine Probleme verursachen. Allerdings wird es einmalig eine langsame Synchronisierung geben, die typischerweise einige Minuten benötigt.

Für den Fall, dass es dennoch Probleme geben und die WSUS nicht in der Lage sein sollte, eine Synchronisierung durchzuführen, verweist Microsoft auf einen älteren Knowledge-Base-Artikel. Tatsächlich hat Microsoft den Endpunkt fe2.update.microsoft.com/v6 schon vor einer Weile offiziell außer Betrieb genommen, ihn aber aus Kompatibilitätsgründen weiterhin erreichbar gelassen. Als Alternative steht https://sws.update.microsoft.com als Endpunkt zur Verfügung.

Wichtig ist auch, dass Microsoft die Praxis der Dual-Signierung (SHA-1/2) für Windows-Updates aus Sicherheitsgründen weiter einschränkt. Microsoft arbeitet seit Monaten daran, die alte Signierung einzustellen, ohne dabei bei den Clients Probleme auszulösen, die die Updates abrufen sollen. Am 9. Juli 2019 ist der nächste Schritt zu erwarten. Dann wird auch die Dual-Signierung für Windows Server 2008 SP2 deaktiviert. Eine Woche später sind diverse Windows-10-Versionen an der Reihe. Probleme sind nicht zu erwarten; zum einen ist Windows 10 ein modernes System, das schon immer mit SHA-2-signierten Updates umgehen konnte, und zum anderen ist die Zielgruppe des Server technisch versiert.

Der nächste Schritt im August könnte kritischer sein. Denn dann ist die Masse der Windows-7-Clients betroffen. Die notwendigen Patches, damit Windows 7 die neuen Signaturen versteht, hat Microsoft zwar schon im März veröffentlicht. Sollten diese jedoch fehlen, werden Windows-Updates auf diesen Systemen fehlschlagen.