Publisher Advisory Services

Windows Autopatch – Die Zukunft des Patch-Managements?

default-male-contact
Jochen BernersCloud Solution Architect
publisher-advisory-unsplash-on7rzpz6n9y-blog-hero

Seit Anbeginn meiner Tätigkeit als Consultant im Bereich Endpoint Management ist das Thema „Patch Management“ Bestandteil von Assessments und Implementierungen. Häufig erlebe ich, dass Patch Management leider aber „nicht vorhanden“ ist oder aber mit „keine Zeit“ oder auch als „zu kompliziert“ abgetan wird. Gerade in der heutigen, unsicheren Zeit sollte dies aber der Vergangenheit angehören und die Sicherheit der Clients, also auch der Patch-Stand, mehr in den Fokus rücken.

Am 05. April diesen Jahres hat Microsoft in Rahmen eines Windows 11-Announcements auch „Windows Autopatch“ angekündigt. Als ein Feature inkludiert in Windows Enterprise E3 soll es dazu beitragen, dass IT-Professionals mehr Zeit haben, sich um andere Dinge zu kümmern, da Microsoft das Patch Management für Windows und Office vollautomatisiert übernimmt.
Dafür muss Microsoft natürlich ein paar Dinge im Tenant überprüfen:

  1. Intune Settings
  2. Azure Active Directory Settings
  3. Microsoft 365 Apps for Enterprise Settings
Figure-1--Readiness Assessment fr Autopatch

Intune Settings prüfen und für Autopatch konfigurieren

Dieses Assessment wird innerhalb von Intune gestartet und checkt die vorangegangenen Settings. Sind die Settings gesetzt, erhalten sie den Status „Ready“, sind sie noch zu überprüfen werden sie auf den Status „Advisory“ gesetzt. Schlussendlich werden die nicht gesetzten Settings mit „Not ready“ geflaggt.

Figure-2--Readiness Check innerhalb Intune

Hat man danach die Änderungen getätigt und einen erfolgreichen Check durchgeführt, ist Autopatch im Tenant fertig konfiguriert – mehr muss von Kundenseite aus nicht getan werden.

Figure-3--Successful check

Policies und Gruppen für Clients patchen

Microsoft wiederum kreiert alle benötigten Policies sowie Gruppen, die für die Clients benötigt werden. Dadurch wird auf Kundenseite enorm viel Zeit eingespart!

Da Microsoft aber auch weiß, dass beim Patchen von Windows und Office immer mal wieder etwas schief gehen kann, muss man für vier Bereiche Kontaktpersonen angeben, die von Microsoft kontaktiert werden können, falls eben etwas schief gehen sollte.

Figure-4--Kontaktpersonen

Im Grunde genommen macht Microsoft nichts anderes, als ein übliches Patch Management zu etablieren. Dafür werden vier Ringe angelegt und mit Clients bestückt: Test Ring, First Ring, Fast Ring und der Broad Ring. Die Anzahl der Clients differiert mit dem Ring.

Figure-5--Windows Autopatch Ring-Deployment
Figure-6--Anzahl der Gerte pro Ring

Telemetriedaten für das Ring-Deployment

Doch woher weiß Microsoft, welcher Client sich am Besten in welchem Ring befindet? Dazu werden Telemetriedaten benutzt, welche beispielsweise auch für Windows Update for Business oder Endpoint Analytics benötigt werden. Dadurch hat Microsoft die Möglichkeit, z.B. die Start-Performance vorher und nachher zu vergleichen oder auch App-Crashes vor und nach dem Update zu analysieren.

Falls in einem der oben genannten Ringe Probleme mit einem Patch auftauchen sollten, werden die Clients aus diesem Ring automatisiert entfernt und in den nächsten Ring verschoben. Damit möchte Microsoft Probleme mit diesem oder auch mehreren PCs in den darauffolgenden Patch Tuesdays umgehen. Zusätzlich, je nach Art des Problems, ist ein vollautomatischer Rollback des installierten Patches möglich. Sollten also die App oder Windows ein erhebliches Problem „melden“, wird der Patch deinstalliert und die App/Windows laufen wieder wie vorher.

Nach diesem Rollback setzt sich Microsoft mit dem Kunden in Verbindung und nimmt gegebenenfalls weitere Informationen entgegen, um das Problem genauer zu analysieren.

Autopatch: Automatismen und Eingriffsrechte des Admins

Dieser Automatismus kann auch umgangen werden: jeder IT-Admin hat die Möglichkeit, bewusst Clients aus vordefinierten Gruppen zu verschieben, aufgrund seiner Erfahrung z.B. mit darauf installierter, problematischer Software, wie ein .Net Framework zum Beispiel.

Aber nicht nur die monatlichen Qualitätsupdates werden über Windows Autopatch deployed, sondern auch die jährlichen Feature-Updates. Auch dabei werden von Microsoft automatisiert Deployment-Ringe definiert, angelegt und mit Clients bestückt. Jedoch wird hier ein größerer zeitlicher Spielraum angelegt, sodass der Kunde mehr Zeit zum Testen hat und – falls nötig - ein Rollback durchzuführen.

Figure-7--Feature-Updates ber Autopatch

Dabei werden monatlich die Ringe ausgeweitet, sodass spätestens drei Monate nach dem Release die Infrastruktur auf der neuen Version von Windows 10/11 läuft.

Letztlich bedeutet der Einsatz von Windows Autopatch für die Kunden, dass ein schnelleres Deployment von Statten gehen wird, damit einher natürlich auch eine erhöhte Sicherheit der Clients. Die IT-Admins haben hingegen mehr Zeit, sich um Projekte oder sonstige Dinge zu kümmern und letztlich geht die TCO über die komplette Infrastruktur runter.

Figure-8--TCO und Autopatch

Die nächsten Monate werden zeigen, ob diese Versprechen von Seiten Microsoft eingehalten werden, ich verspreche mir sehr viel von Autopatch, da durch Telemetrie etc. Microsoft in der Lage ist, genau die relevanten Daten auszuwerten und für Autopatch zu nutzen. Einige meiner Kunden haben sich schon zur Public Preview angemeldet und zur Zeit wird Autopatch ausgiebig getestet, sodass in den nächsten Wochen/Monaten mit den ersten Ergebnissen zu rechnen ist.

cubes-getty-1172023060-cta-banner

Haben wir Ihr Interesse geweckt?

Um mehr über das Thema Patch Management zu erfahren, treten Sie mit uns in Kontakt. Unsere Experten beantworten gerne Ihre offenen Fragen.

Haben wir Ihr Interesse geweckt?

Um mehr über das Thema Patch Management zu erfahren, treten Sie mit uns in Kontakt. Unsere Experten beantworten gerne Ihre offenen Fragen.

Autor

default-male-contact
Jochen Berners
Cloud Solution Architect