1 2 Previous Next 23 Replies Latest reply on Jun 13, 2016 10:32 PM by maerty

    APM-Windows 10 - kumulative Update

    maerty Apprentice
      Hallo zusammen,

      vielleicht hat jemand eine Lösung für mein Problem.

      Wir fahren folgenden Ablauf im APM:

      1. Der Patch wird von Microsoft herausgebracht.
      2. Über Patch Rollout Regeln wird der neue Patch einer Test und einer Produktiv-Patchgruppe zugewiesen. Auf die Testgruppe mit einem Delay von fünf Tagen, auf die Produktivgruppe mit einem Delay von 15 Tagen.
      3. In der NCP Konfig fahren wir seit Windows 7 Zeiten die Option "Omit replaced patches from the scan result" auf yes.

      Dadurch, dass es für Windows 10 jetzt kumulative gibt, beobachten wir nach jedem Patchday das folgende Problem:

      Ein Client wir neu installiert. Dadurch, dass der Client ersetzte Sicherheitslücken nicht zurückliefert, wird der kumulative Patch des letzten Monats nicht mehr zugewiesen. Dadurch das der Startzeitpunkt erst in 15 Tagen erreicht wird, wird auch der jetzt aktuelle Patch nicht zugewiesen.

      Dadurch erhalten wir ein Windows 10 ohne jegliche Updates.

      Bleibt uns nur die Option "Omit replaced patches from the scan result" auf no zu setzen? Nur dann haben wir leider den Fall, dass wenn vorhanden, die letzten drei kumulativen Updates hintereinander ausgeführt werden, obwohl das letzte reichen würde.

      Wenn wir verzögerte Zuweisungen einsetzen, können wir mit Blick auf Neuinstallation ja nur diese Option setzen. Oder gibt es noch eine andere Möglichkeit?

      Grüße
      Patrick
        • 1. Re: APM-Windows 10 - kumulative Update
          Frank.Scholer Master
          Hallo Patrick,

          interessante Punkte... war mir bisher noch garnicht so in den Sinn gekommen, deine Überlegungen sind aber komplett logisch und nachvollziehbar und ich denke auch, dass eure Konfiguration absolut gängig ist und "best practises" entspricht, sodass ihr mit Sicherheit nicht die Einzigen seid, die von dem Problem betroffen sein dürften.

          Was fällt mir dazu ein...?

          Beim Nachdenken ist mir aufgefallen, dass das Problem ja nicht nur Windows 10, sondern auch den Adobe Reader oder eben alle Applikationen betrifft, die kumulative Updates veröffentlichen und damit die vorherigen Updates ersetzen. Das macht das Thema jetzt nicht einfacher (eher im Gegenteil), aber generischer, sodass es eventuell sinnvoll sein kann, da bei HEAT einen Feature Request aufzumachen, sodass ein Lösungsansatz im Produkt implementiert wird.

          Wie der Feature Request / das gewünschte Verhalten dann aussehen kann, steht auf nem anderen Blatt. Gewollt wäre - meines Erachtens - dass wenn es eine Sicherheitslücke gibt, für die es einen (oder mehrere) veraltete Patches mit aktiver Policy gibt und einen (oder mehrere) neuere Patches ohne Policy oder mit Policy-Startdatum in der Zukunft, dass dann für den jüngsten veralteten Patch (und nur für diesen) eine Patch-Policy-Instanz erzeugt wird. Damit würden so lange die aktuellsten zur Zeit freigegebenen Patches installiert, wie der neueste Patch noch nicht zur Installation freigegeben wurde.

          @Mel: was meinste, lohnt sich ein FR? ;-))

          Bis wir soweit sind, muss man sicherlich eine Lösung finden, wie man damit umgeht. Es ist sicherlich keine Option, dass Windows (oder was auch immer) im Rahmen einer Basisinstallation komplett ungepatcht bleibt. Daher soll also entweder der bisher gültige Patch installiert werden oder eben der ganz neue.

          Da würde ich meinen, da es ja eine bewusste Konfigurationseinstellung ist, die neuen Patches nicht sofort aktiv / produktiv werden zu lassen, müsste sich das System also so verhalten, dass eben der jüngste aktive Patch installiert wird. Da für den aber keine Instanz erzeugt wird, sobald die von dir genannte Konfigurationstabellen-Einstellung gesetzt ist, bleibt meines Erachtens tatsächlich nur, diese Einstellung zu ändern.

          Damit jetzt aber nicht alle "alten" Kumu-Patches installiert werden (was ja gerade bei Windows 10 auch ein immenses Datenvolumen bedeutet, das von allen Clients gestaged würde - von der Installationszeit ganz zu schweigen), kommt man zur Zeit meines Erachtens nicht darum herum, die tatsächlich nicht mehr benötigten Patch-Policies der Kumu-Patches manuell auf inaktiv zu stellen. Hab das gerade mal ausprobiert - wenigstens werden die Pakete auch nicht mehr gestaged.

          Eine schlauere Lösung hab ich aktuell auch nicht, aber was anderes fällt mir trotz drüber Nachdenkens erstmal nicht ein...

          Grüße Frank

          P.S.: und jetzt ein schönes Spiel ;-)
          • 2. Re: APM-Windows 10 - kumulative Update
            _Mel_ Master
            FR ist immer eine gute idee

            das einfachste wäre wohl, daß man die installationsreihenfogle der patche steuern kann, dann könnte man zumindest verhindern, daß mehrere kumu patche installiert werden indem man den neuesten zuerst installieren läßt.

            falls die nötigen infos vorhanden sind könnte das natürlich auch automatisch passieren, bzw gleich nur für die neuesten PIs angelegt werden.

            die einteilung "ersetzt ja
            ein" reicht da offensichtlich nicht; eigentlich bräuchte man "ersetzt durch tatsächlich benutzten patch"
            • 3. Re: APM-Windows 10 - kumulative Update
              derniwi Master
              Hallo zusammen,

              ja, wenn man sich (speziell bei Microsoft) mit den Patches näher beschäftigt, dann merkt man schnell, wie die teilweise ticken sollen.
              Die Listen, welcher Patch durch welche(n) anderen ersetzt wird und umgekehrt, welchen Patch oder welche Patches ein bestimmter Patch ersetzt, kann recht groß sein.

              Richtig doof wird es, wenn ein Patch in v1 vorhanden ist, und bei einer v2 die Liste der ersetzen Patches geändert bzw. korrigiert wird. Auch das kommt leider vor.

              Beim WSUS kann man ja angeben, dass Updates für einen bereits zur Installation freigegebenen Patch automatisch freigegeben wird. In wie weit das bei APM geht, kann ich nicht sagen, da ich APM nicht einsetze.

              Aber alleine schon das Deaktivieren beim "Clean Up" (WSUS) ist komplex, wenn ein Patch eigentlich weg könnte, aber dieser noch für eine Maschine vorgesehen ist. Ist dieser Rechner nicht eingeschaltet (oder hat ein Problem mit den Updates) dann müsste der Patch ja theoretisch noch installiert werden.

              Wenn Ihr also Probleme mit dem APM habt, würde ich auf jeden Fall zu einem FR raten und das Problem möglichst genau auch mit Beispielen und den KB-Nummern beschreiben.

              Letztlich müsste doch APM so funktionieren:
              1. Rechner (Windows) wird (neu) installiert.
              2. Über ein Paket wird das APM-System angestoßen und nun muss zuerst ermittelt werden, wie der Stand des Systems ist.
              3. Danach sollten die fehlenden Patches für diese Maschine (über die entsprechenden Policies) installiert werden bzw. PIs dafür erzeugt werden.
              4 Diese Vorgänge 2 und 3 müssen so lange wiederholt werden, bis keine für diese Maschine freigegebenen Patches vorhanden sind

              Letztlich müssen aber 2-4 für alle Maschinen zutreffen und eigentlich muss APM jedesmal eine komplette Prüfung durchführen. Je nach Konfiguration und Systemlandschaft kann hier ja durchaus auch etwas passieren, von dem APM so direkt nichts mitbekommt, z.B. manuell installierte Produkte...

              Gruß
              Nils
              • 4. Re: APM-Windows 10 - kumulative Update
                maerty Apprentice
                Danke für eure prompten Antworten :-)

                Wie sieht das denn dann bei PatchLink aus? Hier gibts ja nicht mehr die Möglichkeit "Omit replaced patches from the scan result" auszuschalten.
                Wie geht man denn hier vor?

                Grüße
                Patrick
                • 5. Re: APM-Windows 10 - kumulative Update
                  maerty Apprentice
                  Danke für eure prompten Antworten :-)

                  Wie sieht das denn dann bei PatchLink aus? Hier gibts ja nicht mehr die Möglichkeit "Omit replaced patches from the scan result" auszuschalten.
                  Wie geht man denn hier vor?

                  Grüße
                  Patrick
                  • 6. Re: APM-Windows 10 - kumulative Update
                    Frank.Scholer Master
                    Hi Patrick,

                    ich habe jetzt mal einen Incident / Feature Request dafür erstellt, dass es möglich sein soll, dass DSM in solch einem Fall dann automatisch eine Patch Policy-Instanz für den letzten "freigegebenen" Patch (also Patch mit aktiver Patch-Policy) erstellt und diesen auch installiert. Ich denke, das ist das, was man haben wollte bzw. erwarten würde...

                    Falls sich jemand an den FR mit dranhängen will (was die Wahrscheinlichkeit der Umsetzung erhöhen würde ;-): die Incident-ID ist #30230007.

                    Grüße Frank
                    • 7. Re: APM-Windows 10 - kumulative Update
                      maerty Apprentice
                      Hi Frank,

                      Habe aus meinem bestehenden Incident auch nen FR gemacht und mit deinem verbinden lassen.

                      Grüße
                      Patrick
                      • 8. Re: APM-Windows 10 - kumulative Update
                        derniwi Master
                        Hallo Frank,

                        ich habe jetzt mal einen Incident / Feature Request dafür erstellt, dass es möglich sein soll, dass DSM in solch einem Fall dann automatisch eine Patch Policy-Instanz für den letzten "freigegebenen" Patch (also Patch mit aktiver Patch-Policy) erstellt und diesen auch installiert. Ich denke, das ist das, was man haben wollte bzw. erwarten würde...



                        Das ist auf jeden Fall sinnvoll, denn dieses Verhalten bildet ja auch der WSUS so ab!

                        Gruß
                        Nils
                        • 9. Re: APM-Windows 10 - kumulative Update
                          maerty Apprentice
                          Hallo zusammen,

                          Und es wird noch besser: Wir haben bei den Patch Rollout Regeln Superseeded Patches in der Exclude Liste. Wenn, wie heute wieder, Patchday ist, wird die Policy des Mai Komu Updates natürlich entfernt. Durch die Einstellung der NCP wird zwar die Sicherheitslücke noch gefunden, die Policy wurde aber entfernt, sodass ich wieder ein ungepatchtes Windows 10 bei Neuinstallation habe.
                          Superseeded Patches nicht zu exkludieren ist auch keine Option, da sonst alle 24 Komu Updates (drei mal, da wir drei Sprachen fahren) heruntergeladen und assigned werden.
                          Das entwickelt sich gerade dahin, dass ich automatische verzögerte Patch Bereitstellungen mit Windows 10 nicht abgebildet bekomme.

                          Grüße
                          Patrick
                          • 10. Re: APM-Windows 10 - kumulative Update
                            derniwi Master
                            Hmmm... dann bleibt die Überlegung, ob Du vorerst dafür einen WSUS aufsetzt.
                            Das ist glücklicherweise nicht sehr kompliziert, aber der scheint das wenigstens besser zu können.
                            • 11. Re: APM-Windows 10 - kumulative Update
                              Frank.Scholer Master
                              Hi Patrick,

                              ich habe das Thema / Verhalten mit den Verantwortlichen bei HEAT schon besprochen (bin eh gerade da ;-)... insofern ist das Problem bekannt, verstanden und auch die Dringlichkeit ist klar, dass es passieren kann, dass man ungepatchte Systeme hat. Dass das nicht sein darf, ist klar. Insofern hoffe ich, dass dort halbwegs schnell eine Lösung kommt (versprechen kann ich natürlich nichts).

                              Ansonsten wäre meine Empfehlung im Moment, die superseded Patches ermitteln zu lassen, die alten Policies nicht zu entfernen und die Policies der Patches, die man nicht haben mag, manuell (oder per Script) auf inaktiv zu setzen, also per "Rollout stoppen". Ne bessere Idee habe ich zur Zeit leider nicht...

                              HTH, Grüße Frank
                              • 12. Re: APM-Windows 10 - kumulative Update
                                maerty Apprentice
                                Hallo Frank,

                                wie haben sich die Kollegen von Heat denn zu dieser Thematik denn noch geäußert?
                                Der Bug 245944 steht ja immer noch auf (A-PRC UnReviewed).
                                Wenn ich jetzt anfange die Delay-Regeln rauszunehmen, kann ich mir das Geld für APM/PL sparen und auf wieder auf WSUS zurückgreifen....

                                Grüße
                                Patrick
                                • 13. Re: APM-Windows 10 - kumulative Update
                                  SitzRieSe Expert
                                  Betrifft dieses Verhalten denn auch das PatchLink?

                                  Das liest sich für mich als mittelschwere Katastrophe.
                                  • 14. Re: APM-Windows 10 - kumulative Update
                                    SitzRieSe Expert
                                    Im Migrations Whitepaper ist das zu finden:

                                    2.4.3. Scannen nach bereits ersetzten Patches (superseded patches)
                                    APM scannt standardmäßig nach allen anwendbaren Patches auf einem System. Dies führt dazu, dass
                                    auch Patches als fehlend identifiziert und gemeldet werden, die bereits durch neuere Patches ersetzt
                                    wurden (sogenannte "superseded patches").
                                    Nachteile dieses Verhaltens sind, dass entweder Patches installiert werden, die gar nicht installiert
                                    werden müssten, da ein neuerer Patch die Sicherheitslücke ebenfalls schließt und damit die
                                    Installationsdauer verlängert wird. Oder es werden nicht mehr benötigte Patches vorgehalten, die
                                    aber nie installiert werden, da die neueren Patches in der Installationsreihenfolge zuerst eingespielt
                                    werden und daher die älteren, ersetzten Patches obsolet und nicht mehr anwendbar sind. In beiden
                                    Fällen werden daher Ressourcen unnötig verbraucht.
                                    8
                                    Es gibt zwar eine Einstellung in der Konfigurationstabelle, um ersetzte Patches aus dem Scan-Ergebnis
                                    auszuschließen (siehe Screenshot), dieses ist aber standardmäßig nicht aktiv und daher in vielen
                                    Umgebung nicht adäquat gesetzt.
                                    Im Gegensatz zu APM wird in PatchLink immer nur nach Patches gesucht, die nicht bereits ersetzt
                                    sind. Dies führt dazu, dass nur die aktuellsten Patches für eine Sicherheitslücke oder ein Update
                                    gefunden werden, und daher nur die wirklich benötigten Patches heruntergeladen, paketiert und
                                    distribuiert werden.
                                    Dies führt zu übersichtlicheren Scan-Ergebnissen, weniger Bandbreiten-Nutzung beim Download und
                                    Replizieren der Patches und Patch-Pakete sowie zu einer verkürzten Installationsdauer, da weniger
                                    Patch-Pakete installiert werden müssen.



                                    Hört sich erst mal für mich so an als ob das Problem auch in PL existiert, da ja keine älteren Patche ausgerollt werden.

                                    Gruß

                                    Alex
                                    1 2 Previous Next