WSUS

Das Windows-Betriebssystem und verschiedene andere Microsoft-Produkte müssen regelmäßig aktualisiert werden, um auf dem neuesten Stand zu bleiben und neu entdeckte Sicherheitslücken zu schließen. Die GWDG unterhält einen eigenen Windows Server Update Service (WSUS), um die Verteilung dieser Updates im universitären Bereich zu kontrollieren und auch Geräte ohne Internetzugang zu versorgen. Die Auswahl der unterstützten Produkte richtet sich nach den Anforderungen der Institute; auf privaten Computern sollte daher der vorinstallierte „Windows Update“-Dienst genutzt werden.

Um einzelne Windows Server oder Workstations (keine Home-Versionen!) auf den WSUS-Server auszurichten, müssen Sie die lokalen Richtlinien bearbeiten; im Active Directory können Sie Gruppenrichtlinien nutzen. Die Konfiguration erfolgt in beiden Fällen über die selben Richtlinien: Öffnen Sie den Editor mit „gpedit.msc“ und navigieren Sie anschließend zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update.

Aktivieren Sie nun die Richtlinie Internen Pfad für den Microsoft Updatedienst angeben und tragen Sie bei „Interner Updatedienst zum Ermitteln von Updates“ und „Intranetserver für die Statistiken“ die folgende Adresse ein:

https://wsus.gwdg.de:8531

Anschließend muss über die Richtlinie „Clientseitige Zielzuordnung aktivieren“ eine Zielgruppe gewählt werden. Reguläre Updates für Windows und andere Microsoft Produkte wie Edge und Defender werden in allen Zielgruppen automatisch direkt nach Release durch Microsoft freigegeben. Die monatlichen Sicherheitsupdates geben wir hingegen gestaffelt in mehreren Ring-Zielgruppen - Ring-0 bis Ring-5 - frei. Diese Updates werden bei Release am Patch-Tuesday (2. Dienstag im Monat, 19 Uhr Winterzeit, 18 Uhr Sommerzeit) ohne Verzögerung in Ring-0, und danach mit jeweils 24 Stunden Verzögerung in den weiteren Ringen freigegeben. So haben wir mehr Zeit, auf Probleme mit Updates zu reagieren, bevor sie kritische Systeme erreichen.

Wir schlagen folgende Nutzung vor:

• Ring-0: Freigabe am 2. Dienstag des Monats direkt nach Release durch Microsoft. Empfohlen für Testsysteme.
• Ring-2: Freigabe Donnerstagabend. Empfohlen für Workstations.
• Ring-5: Freigabe Sonntagabend. Empfohlen für Server mit Reboot in der Nacht auf Montag.

WSUS-Clients kontaktieren den Server, sofern nicht anders konfiguriert, alle vier Stunden, um nach neuen Updates zu suchen. Zusätzlich gibt es eine zufällige Verzögerung von bis zu 30 Minuten, um zu verhindern, dass zu viele Clients gleichzeitig den Server anfragen. Daher kann es einige Stunden dauern, bis Updates nach der Freigabe im Ring tatsächlich von einem Client heruntergeladen und installiert werden. Zudem verschiebt sich der Zeitpunkt des Update-Releases durch Microsoft je nach Winter- oder Sommerzeit um eine Stunde. Wir empfehlen daher, insbesondere bei automatischen Server-Neustarts zum Abschluss der Installation, einen großzügigen Zeitpuffer von 6 Stunden einzuplanen.

Funktionsupdates: Alle Zielgruppen befinden sich auf der finalen Windows 10 Version 22h2. Für Windows 11 veröffentlicht Microsoft Funktionsupdates jedoch nur noch gebundelt mit einem In-Place-Upgrade von Windows 10 auf 11. Um Ihre Clients nicht ungewünscht zu upgraden, können wir die Funktionsupdates für Windows 11 somit zur Zeit nur in einer separaten Zielgruppe Win11 freigeben. Bitte achten Sie darauf, dass die ursprüngliche Release-Version von Windows 11, 21h2, nur bis zum 10.10.2024 unterstützt wird und kümmern Sie sich rechtzeitig um ein Upgrade der betroffenen Clients.

In-Place-Upgrade: Der Mainstream-Support für Windows 10 endet am 14.10.2025. Wir empfehlen, das In-Place-Upgrade bereits jetzt auf so vielen Clients wie möglich durchzuführen und den Ersatz für inkompatible Computer zu planen. Bis zum Ende des Mainstream-Supports bieten wie das In-Place-Upgrade über WSUS als Opt-In-Lösung an - ordnen Sie dafür einfach Ihre Windows 10 Clients in die Zielgruppe Win11 ein. Die monatlichen Sicherheitsupdates für Windows 11 erhalten Sie anschließend auch in den regulären Ring-Zielgruppen.

Alte Zielgruppen: Alle Computer, die zuvor mit den Zielgruppen „ServerAll“ und „ServerAll-FU“ konfiguriert waren, wurden in „Ring-2“ eingeordnet. Bitte verwenden Sie diese Zielgruppen nicht mehr.

Neue Server-Adresse: Im Zuge der Umstellung auf die neue WSUS-Umgebung hat sich die IP-Adresse des Servers auf 134.76.16.243 geändert. Bitte prüfen Sie bei Update-Problemen die Erreichbarkeit dieser Adresse über Port 8531 und 8530.

Ports: WSUS nutzt Port 8531 (HTTPS) um die Meta-Daten der Updates verschlüsselt zu übertragen. Der tatsächliche Update-Content wird signiert über Port 8530 (HTTP) heruntergeladen. Bitte achten Sie darauf, dass Ihre Clients den WSUS-Server über beide Ports kontaktieren können. Die früher genutzten Ports 443 und 80 werden nicht länger unterstützt.