Kurze Frage in die Runde der Administratoren in Bezug auf die Sicherheitsupdates vom 9. August 2022. Hat jemand bei euch zwangsweise Installationen dieser Updates auf Windows Server-Systemen beobachtet? Mir liegt eine entsprechende Meldung eines Nutzer vor, die ich aktuell noch nicht wirklich einschätzen kann. Rückmeldungen aus der Leserschaft bezüglich ähnlicher Beobachtungen wären hilfreich.
Anzeige
Auto-Installationen beobachtet
Blog-Leser Peter R. hat sich heute per E-Mail gemeldet und von einer Beobachtung berichtet, die ich noch nicht richtig fassen kann (ist es eine falsche Einstellung, oder hat Microsoft was gedreht). Peter schrieb:
Sehr geehrter Herr Born!
Ich lese schon lange bei Ihrem Blog mit und möchte zu den aktuellen Microsoft Updates vom August noch etwas anmerken.
Bei uns wurden die Windows Server 2019 und Server 2022, sowie die Exchange 2019-Updates im August von selbst installiert.
(alles Standard-Versionen)
Auch unser externer EDV-Techniker kann das bestätigen und hat weitere Fälle in seinem Umfeld.
Die Server wurden zum Teil in der Nacht von 09. auf 10. von selbst durchgestartet und ein weiterer Teil wurde heute Nacht (von 10. auf 11.) durchgestartet.Die Bezeichnung „Nacht" ist hier nur teilweise richtig, weil manche Server schon gegen 18 Uhr und andere gegen 3 Uhr nach der Zwangs-Installation der aller August-Updates neu gestartet wurden.
Insgesamt sind es bei uns 12 virtuelle Serverinstallationen in 2 verschiedenen Domänen, die hier ohne jegliches Zutun aktualisiert und neu gestartet wurden.
Wir finden das gerade nicht so lustig, was hier Microsoft aufführt.
Vor allem wenn zu Uhrzeiten die Server neu gestartet werden, wo der eine oder die andere noch am Abend arbeitet!
Spannende Frage: Kann dies mit Gruppenrichtlinien oder Einstellungen zusammen hängen? Aus der Mail geht nicht hervor, ob ein WSUS verwendet wird oder ob Windows Update mit GPOs zum Einsatz kommt. Hat noch jemand diese Erfahrungen gemacht?
Ergänzung: Peter hat mich informiert, dass ein WSUS und GPO's verwendet werden. Er hat mir noch obigen, von seinem Dienstleister angefertigten, Screenshot, zugeschickt. Dort greift eine Richtlinie, dass die Updates zwar automatisch heruntergeladen werden, dann aber eine Installationsbereitschaft bestätigt werden soll.
Anzeige
Anzeige
Also bei unseren Servern (allesamt noch 2012R2, wird Anfang 2023 umgestellt) musste ich wie gehabt das Update und den Neustart von Hand anstoßen.
Ich kann das bei mir nicht bestätigen.
20 Windows 2012 und 2019 DataCenter als VM im Einsatz. Bei keinen der Server wurden die Updates automatisch installiert.
Ich habe auch bei den Servern keine GPO für die Updates konfiguriert und WSUS ist auch keiner im Einsatz.
LG
Gandhi
Hallo Herr Born,
kann ich nicht bestätigen.
Ich verteile Updates per WSUS. Weder ein Server 2022, noch 2019 wurden automatisch gepatcht.
Bitte einmal per SCONFIG (Admin CMD) schauen, was unter Punkt 5 eingetragen ist .. eventuell ist das deren Problem.
Wir hatten dies in unserer IT-Landschaft nicht (phys./virtuell)
Hmm bei uns steht
5) Einstellungen aktualisieren: "Nicht konfiguriert"
Was sollte hier am Besten eingetragen sein?
Habe 2 Kundennetze ohne WSUS, beide haben keinerlei Installation oder gar Neustart durchgeführt.
WS2016 + WS2012R2, GPO-gesteuert ("autom. herunterladen aber vor Installation benachrichtigen", "erneut zum neustart auffordern" aktiv, "keinen automatischen neustart wenn user angemeldet" aktiv)
Meine 5 2019er Server (4 virtuell / 1 physisch) ziehen die Updates direkt bei MS. Per GPO ist festgelegt, dass die Updates zwar automatisch runtergeladen, aber manuell installiert werden. Meine Server haben auch in dieser Updaterunde genau wie gewünscht gehandelt. Ich konnte kein Zwangsupdate beobachten.
Hier habe ich (mit WSUS) nichts derartiges beobachtet. 50% der Server habe ich gemacht, der Rest wartet brav.
Client-Updates wollte ich morgen freigeben.
Kann ich hier in einer größeren Umgebung nicht bestätigen. Updates laufen hier über WSUS. GPOs fest darauf eingestellt.
Ich habe hier einen WSUS mit dem die Server gepatcht werden. Für einen Teil der Server wurden die August patches nicht freigegeben dennoch haben Server am WSUS vorbei die August patches installiert, jedoch nicht alle!
Kann also bestätigen, dass da was nicht ganz sauber gelaufen sein muss.
Ergänzung: Server sind alle auf download only gesetzt.
Im Eventlog findet man dann auch:
The process C:\Windows\system32\svchost.exe (Server) has initiated the restart of computer Server on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:
Für mich also nicht nachvollziehbar, wie der Server pltzlich von alleine zu Microsoft kommt, die Updates installiert und dann sogar rebootet!
Um sowas zu verhindern, haben wir zusätzlich in der GPO bei Delivery Optimization den Download Mode auf Bypass gesetzt. Damit machen die Clients/Sever kein Peer-to-Peer bei den Updates (trotz WSUS bzw. am WSUS vorbei) mehr. Sobald nämlich ein Rechner Updates gezogen hat (kann auch ein Testserver sein, der noch nicht auf den WSUS konfiguriert ist), verteilt er die fröhlich im Netzwerk.
Gute Idee, aber dazu müsste ein Admin erst einmal explizit bei MS anklopfen.
Abgesehen davon würde das dann ja durchaus öfter auftreten, was nicht der Fall ist.
Bei den Clients habe ich genau aus diesem Grund die Option "by group" gewählt. Der Gang zu MS ist dort gänzlich unterbunden.
Das schlimme ist, dass das ganze Zeug inzwischen dermaßen komplex ist und man aufpassen muss wie wild, dass nicht eventuell doch der WSUS umgangen wird.
Ich bilde mir ein, dass wenn auch immer bei MS ein Feature Upgrade vor der Tür steht genau solche Effekte auftreten. Zumindest kann ich das anhand von clients eindeutig nachvollziehen, da diese teilweise OS Versionen haben, die wir nie freigegeben haben. Irgend etwas löst dann einen Scan gegen MS aus und man hat verloren.
"dualscan" issue?
DisableDualScan=1
Ist auf allen Clients und allen Servern gesetzt.
Ist somit auch auszuschließen.
ergänzung:
bei uns sind nur Server 2016 davon betroffen.
Kann es sein, dass die 2016er im AD und/oder WSUS organisatorisch zusammengefasst wurden und unerwartet Einstellungen einer oder sogar mehrerer GPO erben, die eigentlich nicht für sie gedacht sind?
Siehe folgende Diskussion, erster und vorletzter Beitrag:
https://community.spiceworks.com/topic/2303523-unexpected-automatic-server-restarts
Ansonsten gibt es hier ebenfalls keine Probleme dieser Art. Vier Server 2019, keiner hat die Updates automatisch installiert und neu gestartet.
Kann ich auch ausschließen. Die Server haben eigene GPOs. Test und Produktionssysteme sind voneinander komplett getrennt und werden auch getrennt gepatcht.
Ich kann jedenfalls auf den betroffenen 2016er Servern eindeutig nachvollziehen, dass sie bei Microsoft waren und nicht beim WSUS, trotz deaktiviertem DualScan.
Sieht man, weils am WSUS kein KB zum entfernen bösartiger Software gibt.
Das Problem konnte ich allerdings bis jetzt immer nur bei clients beobachten. Bei Servern ist das allerdings neu.
Ich weiß, dass diese Diskussion schon etwas länger zurück liegt, aber vielleicht liest hier doch noch der eine oder andere mit.
Im Zusammenhang mit GPOs für das Updateverhalten bin ich über eine Sache gestolpert, die doch ein wenig verwundert. Zunächst möchte ich auf die folgende Seite verweisen, auf der über das Thema Dual Scan und mögliche Einstellungen referiert wird:
https://www.manishbangia.com/dual-scan-impact-on-wufb-policies/
Innerhalb des Textes möchte ich auf den letzten Abschnitt "Dual scan no longer supported – Use Windows scan source policy" verweisen, und dort besonders auf die Abbildung zur GPO "Specify source service for specific classes of Windows Updates". Dort steht in der Beschreibung zum Support: "At least Windows Server 2016, Windows 10 Version 2106". Ich gehe jetzt mal davon aus, dass diese Abbildung nicht manipuliert wurde und ein echter Screenshot ist.
Wenn ich mir die entsprechende GPO auf unserem Server 2019 (Core) ansehe, dann steht da erstaunlicherweise auf Deutsch: "Mindestens Windows Server 2022 oder Windows 10 Version 2004". Wir haben hier einen leicht veralteten Patch-Stand auf dem 2019er und sind noch nicht ganz aktuell.
Wenn das allerdings so stimmt wie oben dargestellt, dann wurde die Unterstützung dieser GPO auf Server 2016/2019 abgeschaltet. Vielleicht sind auch andere GPOs davon betroffen oder waren es temporär zu einem gewissen Patchstand.
Moin,
Firmenlandschaft mit mehreren Servern (4 phys. / 18 virt.) per GPO und WSUS konfiguriert / versorgt.
Automatisch herunterladen, aber nicht installieren oder Neustarten. Soweit alles wie gewollt, wir sehen die Updates in der Pipeline auf den Servern, aber keine Installation oder Neustarts.
Wir haben hier dasselbe Verhalten festgestellt. Windows-Server 2019.
8 von 40 Server installierten die Updates automatisch ohne Interaktion unsererseits. Unser IT-Dienstleister ist noch an der Analyse wieso dies der Fall war. Sollte eigentlich per GPO deaktiviert sein. Es sind alles virtuelle Server.
Bin aber froh dies hier zu lesen, dass wir nicht die einzigen sind.
Falls wir etwas finden melde ich mich wieder.
Moin, wurden die Updates per WSUS frei gegeben aber auf den Server noch nicht manuell installiert? Ich habe irgendwie im Hinterkopf, dass wir dieses Verhalten bei einem 2019er hatten, ist aber derzeit auch unser einziger 2019er.
Habe im Labor 2 2019er Server ohne Update-Einstellungen über Gruppenrichtlinie
Einer davon mit Exchange 2019
Bei keinem der beiden wurden Updates automatisch installiert. Werden nur angezeigt.
Bei weiteren Servern 2016-2022 mittels GPO auf "nur laden" wurde auch nichts automatisch installiert.
Meine Beobachtungen zum Patchday vom August 2022:
Windows Server 2012 R2:
– Update direkt über Microsoft Update
– Updates wurden nicht automatisch installiert obwohl so eingestellt
– Eine manuelle Updatesuche hat die Updates direkt installiert und ohne Vorwarnung einen Neustart ausgelöst
Windows Server 2016:
– Update direkt über Microsoft Update
– Updates wurden automatisch installiert
– Nach dem Neustart und einer erneuten Updatesuche tauchte ein weiteres Update KB5012170 (2022-08 Sicherheitsupdate für Windows Server 2016 für x64-basierte Systeme) auf. Das Update konnte ohne Neustart installiert werden
ich habe die Einstellung aktiv: Automatische Updates sofort installieren
das wirkt für Updates, die keinen Neustart erfordern sollen (Definitionsupdates u.ä.) aber leider sind manchmal Updates nicht richtig geschlüsselt. Daher gebe ich so etwas im WSUS erst frei, wenn ich die Updates installieren will.
dass die manuelle Updatesuche gerne sofort loslegt finde ich auch nicht nett, habe die zugehörige Gruppenrichtline aber noch nicht gesucht/gefunden…
Welche admx verwendest Du? In denen für Windows 11 hat sich im Bereich automatische Updates etliches getan – was vermutlich auch für Server 2022 gilt.
Bei den Update 07-2022 konnte ich sowas schon beobachten. Das alle Clients aktuell gewesen sind obwohl im WSUS noch nichts Freigegeben.
Der einzige Unterschied ist über GPO gewesen:
Do not allow update deferral policies to cause scans against Windows Update
Eine Umgebung WSUS ohne Dual Scan Policy Enable – Patches Nur über WSUS
Eine Umgebung WSUS mit Default Dual Scan Aktiv – Updates wurden am WSUS vorbei direkt installiert.
Habe allerdings dann "Do not allow update deferral policies to cause scans against Windows Update" gesetzt und in beiden Umgebungen das gleiche Ergebniss nur WSUS bis jetzt.
Haben hier alles von 2016 bis 2022 in DC und STD…überall "nö, nix automatisch passiert".
Zwei Ideen
1) Es gibt ja die Option https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsUpdate::ImmediateInstall_Title
Erfahrungsgemäß klappen die Checks von MS hier (mindestens unregelmäßig) nicht, daher hab ich das bei uns vor Jahren schon wieder disabled.
2) Für XCH hatte sich MS doch die Option reingebaut, das aus der Ferne zu patchen
Und vllt. ist "aus der Ferne patchen" dann einfach nur "mach ne Runde WSUS?
Hier keine Zwangsbeglückung: virtuelle Windows 2019 Server und Exchange 2019 über WSUS. Updates werden im WSUS gelistet, aber sind nicht freigegeben und sind nicht installiert. Also alles so wie es sein soll.
Kann ich nicht bestätigen. Kein Server (2012 R2/2019) hat Patches/Updates ohne unser Zutun installiert.
Verwaltet werden die Patches über einen 2012 R2 WSUS, wo sie aber auch noch nicht genehmigt wurden.
Unsre knapp 500 Server tuen alle wie gewünscht. Eine größere Anzahl gestaffelt an verschiedenen Tagen auch automatisch, sonst ist eine so große Zahl Server in einem Monat nicht zu schaffen.
70 2019 Server, davon 65 mit WSUS. Keiner hat automatisch upgedatet.
ACHTUNG!!!! Auch bei uns ist das grade aufgetreten, 3 Server (von 70) haben eben nach der Installation vom WSUS einfach rebooted!!!! Wir haben den WSUS im Griff, das muss tatsächlich an den Updates liegen.
Ich hab mehrere Server davor manuell nach den Updates gestartet, es passiert also nicht sofort nach der Installation.
ENTWARNUNG! Die Restarts wurden von einer falsch konfigurierten ESET Policy ausgelöst. Hat nichts mit Windows Updates/WSUS zu tun.
Ich habe den Eindruck, dass Server (2016), die das Juli-Update bekommen haben, aber noch nicht neu gestartet/installiert sind, automatisch das August – Update versuchen zu installieren, ohne das es via WSUS explizit frei gegeben wurde, das klingt alles nach Voodoo, aber ich flicke grade etliche Server, die WSUS-technisch aus dem Ruder sind… die weigern sich nun SSU vom August zu installieren…(schlägt immer wieder fehl) manuelles installieren geht dann aber…dauert ewig… ich bin noch am Anfang.. aber ich wüsste nicht, woher die überhaupt schon mit dem August-Update rumwursteln…. nicht vom wsus , merkwürdig.
Kann mal bitte jemand sagen, wie ich dieses "Peer to Peer" – Update verhindern kann? (Hatte ich aber bisher nicht)
DisableDualScan auf 1 setzen und zusätzlich alle 3 Felder mit dem Namen des WSUS beglücken: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsUpdate::CorpWuURL&Language=de-de
Interner Updatedienst zum Ermitteln von Updates:
Intranetserver für die Statistik:
Alternativen Downloadserver festlegen:
Und den BITS nutzen mit der Option 100: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.DeliveryOptimization::DownloadMode
Keiner unserer 200 Server 2016 hat von alleine etwas gemacht. Um etwas ohne Eingriff zu installieren, muss der Server zu MSFT kommen. Keiner unserer Server kommt ins Internet. Und Updates geben wir manuell frei.
Dafür herzlichst bedankt.
Es scheint in diesem Bereich (um die 100-200 Server) sehr viele Kollegen zu geben, die ausschließlich manuell ihre Updates frei geben und manuell installieren. Ich habe bisher mit Gruppierungen gearbeitet, "Schnullisysteme" bekommen ihre Updates automatisch, Perimeter-/Frontend- systeme manuell danach, der Rest automatisch (nach Freigabe im WSUS), was grob einer Drittelung entspricht. Selbst das macht so viel Aufwand, dass dies personell kaum zu machen ist, in einer Kleinabteilung.
Silvio