Windows 10 gibt es inzwischen seit dem 29. Juli 2015, Zeit genug um dem rundum neuen OS aus dem Hause Microsoft inzwischen auch den Statu...

Windows 10 und SecuLution Application Whitelisting

Windows 10 gibt es inzwischen seit dem 29. Juli 2015, Zeit genug um dem rundum neuen OS aus dem Hause Microsoft inzwischen auch den Status Standard System in Unternehmen zuzuordnen. Windows 7 ist mit dem Ablauf des erweiterten Supports für SP1 am 14. Januar 2020 langsam aber sicher ein Auslaufmodell und Netzwerkadministratoren müssen sich zunehmend mit den Eigenheiten des aktuellen Windows im professionellen Umfeld befassen.

Seit dem Release 2015 hat Microsoft 4 größere Updates für Nutzer weltweit zur Verfügung gestellt. Größte Veränderung jedoch in Windows 10 waren die Unterscheidung zwischen Updates und Feature Upgrades.

Probleme mit Windows 10 und SecuLution?

Diese Neuerung ist an sich nicht problematisch, lediglich die Informationspolitik zur Verwaltung der Feature von Microsoft. Zugegeben: Ohne Whitelisting würde es überhaupt nicht auffallen, wenn unbemerkt Upgrades ohne Kenntnis des Administrators installiert würden. Verwendet man nämlich nicht die aktuellste Version des Windows Server Update Service (WSUS) so werden diese Feature Upgrades munter direkt von Microsoft geladen. Nur mit einer aktuellen Server Version und entsprechenden Gruppenrichtlinien kann der Administrator wieder die Kontrolle über alle Updates erlangen. Bis man das allerdings herausgefunden hat blockiert eine Application Whitelisting Lösung alles was sie nicht kennt. Das verursacht Unmut.

Windows 7 auch 2017 noch weit verbreitet

War Anfang 2017 die Verbreitung von Window 7 zwar unter die 50% Marke gefallen, so hält sich diese ausgereifte Version in Unternehmen jedoch hartnäckig. Mit ein Grund hierfür ist die einfache Verwaltbarkeit der Updates über den WSUS. Immer neue Überraschungen lassen Administratoren davor zurückschrecken, die neueste Windows 10 Version in ihren produktiv Netzwerken auszurollen.
Was hat das alles mit SecuLution Application Whitelisting zu tun?
Auf Grund der Funktionsweise von Whitelisting im Allgemeinen und SecuLution im Speziellen ist das grundsätzliche Verhalten von Windows 10 Feature Upgrades problematisch. Alles was nicht in der Whitelist für erlaubte Anwendungen erfasst ist funktioniert nicht. Der WSUS Server als zentrales Sammelbecken für Updates und Upgrades ermöglicht das Importieren der Hashes vor dem Rollout und somit ein reibungsloses Arbeiten. SecuLution automatisiert diese Schritte, um das manuelle Nachpflegen dieser Informationen zu vermeiden.

Man merkt jedoch erst, dass das alles so nicht mehr funktioniert, wenn man die Kombination aus nicht aktuellem WSUS, Windows 10 und SecuLution als Administrator in einem Netzwerk ausgerollt hat. Denn was Microsoft als Service versteht – neue Features wenn nötig auch mal schnell aus dem Internet direkt auf dem PC zu laden und zu installieren und auch anderen PCs mit Windows 10 im Netzwerk bereitwillig diese Updates zur Verfügung zu stellen – das gerät mit einer Application Whitelist zu einem kurzen Aussetzer. Was nicht über den WSUS kommt wird nicht automatisch erfasst. Was nicht erfasst ist, wird von der Whitelist rigeros blockiert. Die Computer stehen still.

Verständlicherweise wird hier sofort auf die IT und ihre Sicherheitsprodukte – ins diesem Fall SecuLution – geschimpft. Schließlich blockiert die Software alles was sie nicht kennt. Erst wenn sich die Wogen etwas geglättet haben merkt man, dass die ganzen blockierten Upgrades an der Misere Schuld sind.


Updates, Upgrades und WSUS

Die Verwaltbarkeit von Aktualisierungen wurde in Windows 10 zunehmend automatisiert und Microsoft geriet schnell in die Kritik, da sich sowohl Windows 10 als auch die neuen Features einfach installierten, ohne dass der Nutzer Einfluss darauf nehmen konnte. Für Firmennetzwerke bedeutete das erst mal „Finger weg!“. Die Verwaltbarkeit von Updates ist für Administratoren grundsätzlich mit dem sogenannten Windows Software Update Server, kurz WSUS, gegeben. Dort kann für alle verwalteten Computer eines Netzwerkes zentral festgelegt werden, welche Updates des Betriebssystems und seiner Komponenten ausgerollt werden. Alles was der Administrator nicht für relevant hält bleibt auch von den Systemen fern. Zudem muss er dafür sorgen, dass alle Anwendungen im Unternehmen jederzeit einwandfrei arbeiten, das kann mit einem größeren Update in Ausnahmefällen auch schief gehen. Man muss dann also warten bis entweder die Anwendung selbst mit der neueren Windows Version kompatibel ist oder das entsprechende Update zurückstellen.

Windows 10 ist ab jetzt der Administrator

Mit Windows 10 änderte sich das allerdings. Upgrades beinhalten nach dem Willen von Microsoft neue oder geänderte Betriebssystemfunktionen und unterstreichen das Vorhaben von Microsoft, Windows 10 immer wieder mit neuen oder geänderten Features zu versorgen, ohne ein neues Windows auf dem Markt zu bringen. Diese Upgrades werden daher oft auch als Feature-Upgrades bezeichnet. Optionale Updates wie noch unter Windows 7 oder Windows 8.x gibt es mit Windows 10 nicht mehr. Nur für Upgrades bietet Microsoft ab Windows 10 Professional (alle außer der Home-Edition) die Möglichkeit, sie zurückzustellen, was über Windows Update unter Einstellungen aktiviert werden kann.
Als Auswirkung bleiben die Upgrades damit 4 Monate vom System fern, bevor diese dann doch installiert werden. Wird in einem Firmennetzwerk ein WSUS oder SCCM verwendet, kann die Verteilung um weitere 8 Monate verzögert werden. Aber eben nur verzögert. Für Nutzer der Professional-Edition von Windows 10 ab Version 1709 findet sich übrigens in den Einstellungen bei „Windows Update“ - „erweiterte Optionen“ die Funktion „Updates aussetzen“. Damit können Sie Updates auf dem Gerät für bis zu 35 Tagen aussetzen.

Doch damit nicht genug. Damit z.B. das Zurückstellen der Feature Upgrades mit dem WSUS auch funktioniert, sind bestimmte Voraussetzungen zu erfüllen:
  • mindestens Windows Server 2012 oder 2012 r2 in der aktuellsten Version
  • WSUS in der Version 3.0
Server 2016 inkl. aktueller WSUS Version 3.0 war bereits nach Erscheinen dazu in der Lage mit neuen Gruppenrichtlinien auch Windows 10 Updates und Upgrades zu verwalten.

Eine Zusammenfassung findet sich direkt im Microsoft Support Center.
Die Informationen hierzu musste man sich gefälligst selbst suchen. Das führte naturgemäß zu einigen unangenehmen Überraschungen.

Fazit

Windows 10 bietet sowohl Nutzern als auch Administratoren zwar ein modernes und sicheres Betriebssystem, jedoch sind selbst nach über 2 Jahren immer noch Überraschungen für Anwender nach Updates möglich, die Windows 10 teilweise noch zur Wundertüte für Administratoren macht.

Share This