Anwender: Überlasst Microsoft die Verwaltung der Updates …

Windows UpdateHeute noch was im Hinblick auf Microsoft und die von denen herausgegebenen Updates. Microsoft ist der Meinung, dass die Anwender dem Unternehmen vertrauen, und die Updates einfach installieren lassen sollten.


Anzeige

Zum Hintergrund

Nächste Woche ist ja wieder Patchday bei Microsoft und wir werden jede Menge Updates erhalten. Bei Windows 10 ist es ja so, dass Microsoft selbst entscheidet, welche Updates wann ausgerollt werden. Anwender von Windows 10 Home haben dann keine Möglichkeit mehr, die Updates zu blocken – Sicherheits-Updates werden in allen Windows 10-Versionen immer zeitnah installiert. Über die Folgen habe ich im Blog ja berichtet.

Bei älteren Windows-Versionen kann man den Update-Modus dagegen so einstellen, dass Updates blockiert, manuell heruntergeladen und/oder installiert werden. Und ab Oktober sollen ja Rollup-Updates kommen, die in einem Patch das System aktualisieren. Führt dazu, dass viele Anwender die Windows-Update-Einstellungen anpassen oder abschalten, um automatische Update-Installationen zu verhindern.

Sicherheit in Unternehmen, Interview mit Brad Anderson von Microsoft

Im Umfeld der vorigen Monat stattgefundenen Ignite 2016-Konferenz hat The Register ein Interview mit Brad Anderson, Corporate Vice President of Enterprise Client and Mobility bei Microsoft geführt. Im Interview werden verschiedene Fragen angerissen und es geht von Mobilgeräte-Sicherheit bis hin zur Update-Steuerung.

Anderson blickt 10 Jahre zurück, wo es einfach war: Es gab per Firewall geschützte Netzwerke und Windows PCs. Microsofts System Center, oder andere IT-Administrations-Tools übernahmen die Verwaltung dieser PCs (z.B.über Gruppenrichtlinien). Die PCs konnten also zentral verwaltet werden. Heute sieht das, laut Anderson, etwas differenzierter aus,

"Now I have got my cloud services outside of the perimeter and that network-based perimeter is no longer effective" .

Also: Durch die Cloud-Einbindung funktionieren die alten Ansätze nicht mehr. Microsoft entwickelt einen anderen Ansatz, den man "identity-based security" nennt. Dieser setzt auf Azure Active Directory (AAD) auf und übernimmt die Synchronisation mit dem AAD mittels verschiedener Tools.

All of our cloud services build on top of Azure Active Directory for authentication and access, We do more than 45 billion authentications every month through AAD, which is largely driven by usage of office 365.

What we have been building is this concept of what we call the Microsoft security graph. With these cloud services, there are signals or telemetry that comes back, that allows us to see what is working, what is not working, what is being used. We have taken all that signal and we call that the intelligent security graph.

Über Telemetrie- oder Anmeldedaten lässt sich verfolgen, was an Geräten und Diensten im Cloud-Bereich arbeitet. Das kann an einem intelligenten Security Graph verfolgt werden. Laut Anderson gehen 3/4 der Sicherheitsprobleme (data breaches) mit kompromittierten Anmeldedaten einher:

We know that more than 75 per cent of breaches come from compromised user credentials. So one of the core things that organisations have to do is to ensure that when someone presents a set of credentials it actually is who the person says they are.

Zur Absicherung wird die Anmeldung verwendet und man prüft über verschiedene Faktoren, ob es wirklich der Benutzer ist, der sich gemäß den vorgegebenen Anmeldedaten in der Cloud tummelt. Der Zugang wird nun über "Conditional Access" gesteuert. Bei Zweifeln an der Identität eines Geräts oder Benutzers kann automatisch eine Mehrfaktor-Authentifizierung durchgeführt werden.

Ein Feature in Microsofts Enterprise Mobility Suite, ist der Azure AD Application Proxy. Dieser ermöglicht im Firmenumfeld die Verwendung der gleichen Mechanismen für on-premises (Server-basierende  Software) Web-Anwendungen samt Authentifizierung per Active Directory.


Anzeige

Microsofts Meinung: Lasst uns mal machen

Im Interview ging es dann um die Frage der Verwaltung von PCs, die heute mittels Gruppenrichtlinien erfolgt. Die zweite Geschichte ist die Verwaltung von Mobilgeräten (Mobile Device Management, MDM), ein aktuell stark nachgefragtes Thema in Unternehmen (Donnerstag war ich auf kurz auf dem Enterprise Mobile Summit 2016). Auf die Frage, ob die Bedeutung von Gruppenrichtlinien zugunsten von MDM abnehme, antwortete Anderson:

Our long term vision on Windows 10 management is that organisations should rely on Microsoft to do more for them on their behalf. Let us worry about your images. Let us keep your devices updated through Windows Update for Business. Rather than you approving which patches you want, we are saying let them all flow because the way organisations get the most secure, the most compliant, the most reliable and most performance devices is to stay updated with all of our updates,

Es ging um die Frage der Update-Steuerung mittels Windows Update for Business. Auf die Frage, dass Updates die Kompatibilität von Hard- und Software brechen können, gab es folgende Antwort:

There is years of experience that IT pros have, sometimes we release updates that break something. As we build confidence with IT pros around the world that our updates are solid they will get more comfortable with just letting the patches go through, in Windows Update for Business you have the ability to say, I want to delay these updates, so you have some level of control. You don't have the degree where you can say I want to deploy these three but not these 10.

Die Kurzfassung: Ja, gelegentlich rutscht uns ein Update durch, welches Kompatibilitätsprobleme verursacht. Aber Microsoft ist sich sicher, dass man Vertrauen in Bezug auf Updates bei IT Professionals aufbauen könne. In Windows Update for Business ließen sich ja Updates von der Installation zurückstellen. Im System Center Configuration Manager gibt es, laut Anderson, die Möglichkeit, Updates per Auto-Approve herunterladen und installieren zu lassen.

What we are telling people is, as you get confident with us turn on auto-approve, let all the updates flow down because that is the way that you are going to have the most predictable, the most secure, the most reliable, the most compatible devices. Then as we continue to enrich that MDM layer, organisations will move to that model of management, but that is going to take them some time. There is a bit of a cultural change there. Because you can't control the same number of settings that you can with Group Policy and Config Manager.

Seine Kernaussage ist:

'Rather than you approving which patches you want, we are saying let them all flow'

Also: Anwender sollten nicht mehr einzelne Updates freigeben, sondern alle Updates, wie sie von den Microsoft Update-Server angeboten werden, herunterladen und installieren lassen. Seine Argumentation: Die Absicherung der Systeme ist recht komplex geworden und Microsoft kann das Updaten übernehmen. Es wäre eine Änderung der Update-Kultur, aber er ist optimistisch, dass das klappt.

Übrigens, gefragt, ob Microsoft über die immer noch vorausgelieferten Windows 7-PCs für die Industrie frustriert sei, kam die Antwort:

We are very pleased with the rate of adoption that we are seeing, it is the fastest that we have ever seen,

Keine Aussage zur "Frustration" – Microsoft ist zufrieden mit der Adaptionsrate von Windows 10 – seine Interpretation "der schnellste Wechsel, den Microsoft jemals bei einem Betriebssystem gesehen habe". Bleibt zu hoffen, dass die Angaben in meinem Blog-Beitrag Windows Marktanteile September 2016 – Windows 10 stagniert ein statistischer Ausrutscher waren. Das ganze Interview (in Englisch) lässt sich bei The Register nachlesen.

Ähnliche Artikel:
Windows 8.1: Optionales Update KB2976978 (4. Oktober 2016)
Office-Updates für Oktober 2016
Windows 7/8.1: Sonder-Updates KB2952664/KB3055343
Kumulative Update für Windows 7/8.1 ohne IE patches
Anwender: Überlasst Microsoft die Verwaltung der Updates …
Windows 7/8.1: Wann Kompatibilitäts-Updates /KB2952664, KB2976978) zu

Englische Version des Beitrags


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Anwender: Überlasst Microsoft die Verwaltung der Updates …

  1. Remo sagt:

    Na Prima. M$ weiss wieder mal haargenau, was den Anwendern gut tut.

    Wenn die Kiste nach den mittlerweile gefürchteten Patchdays noch einwandfrei funktioniert, mag das ja schon irgendwie stimmig sein.

    Nur blendet M$ zum x-ten Mal die vielen Anwender aus, welche nach einer Update Orgie damit beschäftigt sind, ihren PC wieder in einen lauffähigen Zustand zu bringen bzw. bringen zu lassen.
    Der Unterhaltungswert solcher ewigen Reparatur-Frickeleien ist sicherlich auch nicht gerade riesig.

    Sollen diese M$Figuren mal den geplagten Anwendern von Angesicht zu Angesicht ihre hilfreichen Ideen kund tun. Die würden denen von M$ dann was husten.

  2. Holger K. sagt:

    Das Vertrauen ist in meinen Augen hinüber und lässt sich auch nicht so schnell wiederherstellen, egal ob aus Sicht eines Heimanwenders oder aus Unternehmenssicht. Da hat es zu viele Ärgernisse, Versäumnisse, Ungereimtheiten und Pannen in den letzten anderthalb Jahren gegeben.

    Man sollte bei Microsoft besser statt lauwarmen Worten Taten folgen lassen.

  3. Nils sagt:

    Prinzipiell bin ich auch der Meinung, man sollte wie bei Apple oder Android auch, Microsoft die Installation der Updates komplett überlassenen.

    Allerdings muss das dann auch wirklich zuverlässig funktionieren.
    So wie es im Moment läuft, kann es nicht weitergehen. Da sind wir uns denke ich alle einig.

    • Mivo sagt:

      Punkt 2 ist richtig, da sind wir uns alle einig. Bei Punkt 1 sehe ich das anders. Die Updates müssen auch vom User konfigurierbar bleiben. Die Windows PC welt ist eine völlig andere, als es zB bei Apple ist. Es gibt Millionen verschiedener Hardware und Software Versionen, da sind Fehler durch Updates vorprogrammiert, und der Benutzer sollte eine Handhabe dafür haben, problematische Updates auszublenden. Und nicht wue jetzt bei Windows 10, wo man ständig immer wieder Problemupdates in einer Art Reboot installiert bekommt.

      Ich finde, das kann man auch gar nicht mit geschlossenen Systemen wie Bei Apple vergleichen, wo Software und Hardware aufeinander abgestimmt sind. Und selbst bei Apple kann man die Updates ganz offiziell deaktivieren, falls man auf Probleme läuft.

      Der zweite grosse Punkt, der mich immer wieder stört…. In dem Artikel wird ständig über (Zwangs) Updates und Sicherheit gequasselt.

      Und warum werden dann Feature Uogrades und auch die Treiber Updates automatisch und zwanghaft über Windows 10 Update mit verteilt, auch wenn man das nicht möchte oder Probleme damit hat ?!

      Sorry, aber für doof muss ich mich von Microsoft nicht verkaufen lassen.

      Die wollen alles kontrollieren, mehr nicht. Und das statistische Ergebnis von Windows 10 schön zu reden bzw den miserablen Marktanteil, trotz einem ganzen Jahr Gratis Zwangsupgrade ist bei denen doch das normalste der Welt. Sollen die wirklich sagen "alles schrott, wir machen den Laden dicht…" ?! ;)

      Die wissen, das das Ergebnis nicht gut ist. Hätte es das Gratis Upgrade nicht gegeben, wäre es ein Desaster. Und die, die unbedingt wechseln wollten, haben das sicherlich auch schon getan. Erst recht, da es gratis war.

      Von den stagnierten Hardware Verkäufen gewinnt man keine grosse Windows 10 User zahlen mehr…

      Selbst Schuld, Microsoft. Ignoranz gegenüber dem Kunden und seinen Wünschen wird irgendwann abgestraft.

    • Tim sagt:

      "oder Android auch…"

      was "ältere" Geräte aber auch mal schnell unbrauchbar machen kann, wie eben auch bei Android schon passiert und sogar nur reine Google Apps betreffend.
      Bei Apple Geräten kennt man unbrauchbar nach, oder wegen Updates auch…

      Android ist aber ein geniales Beispiel dafür, was die Auswirkungen betrifft, wenn Systeme nicht gepatcht werden… gibt ja genug… und was passiert? Nix! Genau!
      Normal müssten doch auch die ganzen aktiven XP Nutzer schon verschwunden sein…
      Wenns so schlimm wäre, wie behauptet, ohne Updates… bei den "möglichen Gefahren".

      Überlässt man Microsoft die Updates, überlässt man auch die Entscheidung wann und welche Hardware genutzt werden muss eben auch Microsoft und dessen Partnern. Das Thema Sicherheit wird hier nur vorgeschoben und ist bei einer Wanderbaustelle wie Windows 10 echt lächerlich. Jedes Update ist doch momentan ein Sicherheitsrisiko für den Betrieb und Microsoft stellt sich hin und "sometimes we release updates that break something", als wäre das ein Normalzustand.
      Seit Windows 8 ist diese Scheißegal-Mentalität extrem zu spüren, ja! Braucht der nicht extra erzählen.

      Wenn die Probleme heutiger Netzwerke in Verbindung mit den tollen Cloud Diensten stehen, steht die echte Aussage doch schon im Raum.
      Cloud hat mehr unkalkulierbare Nachteile, wie Vorteile und Sicherheit ist damit jetzt schon ein Problem, obwohls noch nicht mal alle mitmachen.

      Aber Firmen wie Microsoft, oder auch Amazon verdienen damit halt ihr Geld…
      Amazon angeblich mit der Cloud mehr, wie mit dem Handel, also sind das wohl schon ordentliche Hausnummern…

      Spätestens bei Problemen mit dem Netzbetreiber ist die Cloud aber eh Geschichte und man hängt richtig in den Seilen.

  4. deo sagt:

    Ich betreue einen PC, der seit Jahren mit Vista SP2 läuft und wenn ich da mal hinkomme, ist das Windows Update stets aktuell. Die optionalen Updates werden allerdings nicht installiert. Windows Defender ist auch immer aktuell. Das mag daran liegen, dass Vista das vergessene Betriebssystem von MS ist, das deshalb auch keine Experimente mehr zu ertragen hat. Im Mai 2017 endet aber auch diese glückliche Zeit.
    Am 11. April soll es letztmalig neue Sicherheitsupdates geben.

  5. Alexander sagt:

    Das Problem ist, dass die Patches durch Heimanwender "vorgetestet" werden. Die haben normalerweise nicht die businesskritischen Anwendungen zuhause, die durch einen nicht qualitätsgeprüften Hotfix in der Firma kaputt gehen können.

    • Janami25 sagt:

      Und wozu gibt es dann das "Insider Programm", wenn nun doch die Final User als Testaffen für Beta Software benutzt werden? Das wurde doch gross und breit so verkauft, das dann kaum noch Fehler in den Finals sind.

      Und ob ich als Endnutzer mein System zum arbeiten brauche, oder für eine Firma tätig bin, ist "systemkritisch" genau das gleiche. Ich erwarte als Home User ebenso, das mir mein System nicht kaputt gepatcht wird, und ich damit "leben" muss.

      Das hat ja auch bis Windows 8.1 einwandfrei funktioniert… Bis Windows 10 mit seinen Zwangsupdates und dem Alibi namens Insider kam… Sicherheit, das ich nicht lache. Da wird mehrfach und ignorant seitens MS in Kauf genomnen, das Systeme nicht mehr funktionieren.

      Genau… Das sicherste OS ist es dann, wenn es nicht mehr funktioniert.

      Die Prioritäten sind hier völliger Blödsinn. Zuerst hat der Rechner zu funktionieren, ergo sollte die Qualitätskontrolle an erster Stelle stehen, und anschließend die Sicherheit.

      Wobei, ich glaube es gibt keine Qualitätssicherung mehr bei MS und as a Service macht Microsoft nur für sich selber und nicht für uns User oder Kunden.

  6. anwender sagt:

    Zum Thema Cloud – no way. Meine Daten werden nicht in einer Cloud liegen, die nicht mir selber gehört. Die Firmen weltweit haben gezeigt, dass sie entweder nicht in der Lage sind, die notwendige Sicherheit zu gewährleisten oder das Geld dafür scheuen.

    Und MS die Kontrolle über mein System zu geben. Unter einer Bedingung – volle Kostenerstattung direkter und indirekter Verluste. PC geht nach Update in Endlosschleife und mir entgeht ein Auftrag. Wenn MS mir dann 20.000 Euro überweist könnten wir mal über einen entsprechenden Vertrag reden. Ansonsten hat MS in der letzten Zeit einfach zu oft versagt, wenn es um Updates und Kunden ging.
    Oder wie man in deren Land sagen würde: you dropped the ball!

  7. Es ist sehr schwierig da den richtigen Mittelweg zu finden, Sicherheitsupdates sollten meiner Meinung nach Automatisch installiert werden dürfen, der ganze Rest hingegen sollte dem Anwender überlassen werden ob sie Automatisch oder Anwendungsspezifisch Manuell installiert werden.

    So wie es gerade läuft wie bei den letzten größeren Updates kann es zumindest nicht mehr weiter gehen, Microsoft sollte da mal seine Scheuklappen abnehmen und genau schauen was der Anwender möchten und diese Rechthaberei endlich mal ablegen.

    Und ich möchte mich nicht nach jeden größeren Update so manch älterem Gerät Stundenlang hinsetzten müssen um Windows als auch diverse Programme wieder zum laufen zu bringen, bereits deinstallierte Apps wieder von neuem Deinstallieren, Dateien erneut einer spezifischen Anwendung zuweisen und Datenschutzeinstellungen erneut Konfigurieren.

    • Janami25 sagt:

      Tja, man hätte die Sicherheitsupadtes einfach von den anderen Updates entflechten können, und nur diese automatisch installieren lassen.

      Mit den "kumulative Updates" ist dies aber schlecht möglich, wäre aber an sich kein grösseres Problem für Microsoft, diese daraus zu extrahieren, und separat installierbar zu machen. Meist sind die Sicherheitsfixes ja auch nicht so gross.

      Und alles andere eben optional.

      Aber glaubst Du wirklich, Microsoft geht es um die Sicherheit ?! Ich denke, man möchte die Kontrolle haben über das System, damit kann man praktisch alles machen was man will. GPO's beschneiden, Integration von Werbung, Telemetrie und Datenerfassung.

      Da ist "des Users Wille" absolut zweitrangig. Eben drum boykottiere Ich persönlich auch Windows 10, solange das so bleibt.

      • Bei so Programmen wie WhatsApp oder einem Dienst wie Facebook geht das Relativ einfach sie zu Boykottieren einfach durch nicht Nutzung oder nicht Installation, jedoch bei einem Betriebssystem ist das recht Schwierig, klar kann man einfach ein anderes Installieren, nur leider funktionieren diverse Programme nur unter Windows und lassen sich nicht unter Linux per Wine Emulieren, wir sind da schon zu Abhängig und die Software Industrie ebenfalls.

  8. christian sagt:

    Diese Bevormundung macht das Leben der Benutzer einfacher aber es sorgt auch dafür, dass man verblödet und kein Interesse mehr daran hat, zu wissen wie eine Sache funktioniert und die einzelnen Fakten zu lernen.
    Ich bin MS dankbar für diese Herangehensweise. Es erleichtern den Umstieg/Weggang ungemein. Alleine dieses Jahr habe ich aus Familien- und Freundeskreisen 19 Rechner bzw. Notebooks auf Linux umgestellt – entweder komplett oder dualboot wegen der Spiele.
    Den meisten fiel der Umstieg sehr leicht, da sie mit Windows genau so wenig umgehen konnten wie mit Linux. Die restlichen Benutzer sind Gewohnheitstiere. Man benutzt Programm XY weil man das schon immer so gemacht hat. Alternativen haben sie oftmals nicht in Betracht gezogen. Oder die Aussage 'es ist alles halb so schlimm mit dieser Bevormundung und Überwachung' steht im Raum.
    Müsste ich mich nicht auch noch beruflich mit MS herumschlagen, dann würde ich an MS keinen einzigen Gedanken mehr verschwenden.

    Dieses Gewohnheitstier-Verhalten gibt es ja in allen Bereichen. Ähnliches gibt es derzeit bei den WhatsApp Benutzern. Meine Frau wollte WhatsApp unbedingt loswerden und auf Threema umsteigen. Von den 37 Kontakten an die Sie geschrieben hatte mit dem Hinweis, dass sie umsteigt, warum sie umsteigt und welche Nachteile WhatsApp mit sich bringt, haben nur 9 Kontakte überhaupt auf ihre Nachricht reagiert – die meisten davon mit Kommentaren wie 'Ich hab das schon seit dem es da ist benutzt. Und was wollen die schon mit meinen Daten anfangen?' – und nur 2 von 37 Kontakten sind tatsächlich umgestiegen. Alle anderen nutzen trotz der recht ausführlich beschriebenen Fakten und der negativen Presse in den Medien fleißig weiterhin WA – schon immer so gemacht und wir haben nichts zu verbergen :)

  9. Janami25 sagt:

    Sorry, aber ich verstehe diese Vergleiche einfach nicht. Mir zB geht es überhaupt gar nicht darum, mich auf neue Dinge einstellen zu müssen. Hier geht's um essentielle Dinge, wie das zB dem User dank der Zwangsupdates auch jede Möglichkeit zur Problemlösung genommen wird. Das gat man bestens beim letzten Update registrieren können, wo es ganz schlimme Probleme verursacht hatte, und nach der Deinstallation immer wieder neu installiert wurde.

    Das hat doch gar nichts mit Ängsten vor etwas neuem zu tun.

    Man hätte das ja weiterhin für die User als automatische Installation belassen können, aber für Treiber und Fehlerbehebungen eine manuelle Eingrifssmöglichkeit einbauen, klar und transparent.

    Der Ottonormal User hat doch gar kein Plan, wie sein System wieder laufen soll, selbst die Erfahrenen haben damit erhebliche Probleme.

    Meistens wird hinterher viel mehr kaputt gemacht durch irgendwelche Tools oder Registry eingriffe, das nachher gar nichts mehr funktioniert.

    Ja, solange alles reibungslos läuft, beschwert sich auch keiner. Aber gerade Probleme sind in der vielschichtigen PC und Windows Welt an der Tagesordnung. Und da braucht man Möglichkeiten, selbst einzugreifen, und nicht tage ider Wochen auf einen Patch für den Patch warten zu müssen.

Schreibe einen Kommentar zu Tim Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.