Betriebssystemupdates

  • Artikel

Verbinden Geräte die Herausforderung neuer Sicherheitsbedrohungen haben, sind Updates ein wesentliches Tool, um dies zu beheben.

Das Microsoft Security Response Center (MSRC) ist Teil der Defender-Community und in der Frontzeile der Entwicklung der Sicherheitsreaktion. Die Mission von MSRC besteht darin, Kunden vor sicherheitsrelevanten Sicherheitsrisiken in den Produkten und Diensten von Microsoft zu schützen. Durch die Erstellung Ihrer Lösung mit Windows IoT Enterprise haben Sie das Engagement des Microsoft Security Response Centers gegenüber Sicherheit. Überprüfen Sie den Sicherheitsupdate-Leitfaden , um sicherzustellen, dass Ihre Geräte auf dem neuesten Stand sind und gesichert sind.

Windows Update-Vorteil:

  • Hält das Gerät mit kritischen Sicherheitsupdates auf dem neuesten Stand
  • Nutzen der bewährten und skalierbaren Infrastruktur von Microsoft
  • Updates können von Gerätebesitzern einfach verwaltet und gesteuert werden.

Windows IoT Enterprise bietet Ihnen die Möglichkeit, Updates je nach Geräte- und Organisationsanforderungen zu verwalten und zu steuern.

Steuern Sie Windows-Updates

Einer der häufigsten Anforderungen von Gerätepartnern ist das Steuern automatischer Updates auf Windows IoT Enterprise-Geräten. Es liegt in der Natur von IoT-Geräten, dass unerwartete Unterbrechungen, etwa durch ein ungeplantes Update, zu einem schlechten Geräteerlebnis führen können.

Fragen, die Sie sich stellen sollten, wenn Sie überlegen, wie Sie Windows-Updates steuern können:

  • Ist das Geräteszenario so, dass eine Unterbrechung des Arbeitsablaufs nicht akzeptabel ist?
  • Wie werden Updates vor der Bereitstellung validiert?
  • Wie ist die Update-Benutzererfahrung auf dem Gerät selbst?

Wenn Sie über ein Gerät verfügen, auf dem eine Unterbrechung der Benutzererfahrung nicht akzeptabel ist, sollten Sie erwägen, Updates nur auf bestimmte Stunden zu beschränken, automatische Updates zu deaktivieren oder Updates manuell oder über eine kontrollierte Geräteverwaltungslösung von Drittanbietern bereitzustellen.

Beschränken Sie Neustarts von Updates

Sie können die Gruppenrichtlinie für aktive Stunden, MDM oder die Registrierungseinstellung verwenden, um Updates auf bestimmte Stunden zu beschränken.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows Update und öffnen Sie die Richtlinieneinstellung Automatischen Neustart für Updates während aktiver Stunden deaktivieren. Aktivieren Sie die Richtlinie, damit Sie die Start- und Endzeiten für aktive Stunden festlegen können.
  2. Legen Sie die Start- und End-Zeiten im Fenster „Aktive Stunden“ fest. Legen Sie beispielsweise fest, dass die aktiven Stunden um 4:00 Uhr beginnen und um 2:00 Uhr enden. Dadurch kann das System zwischen 2:00 und 4:00 Uhr von Aktualisierungen neu gestartet werden.

Automatische Windows-Updates deaktivieren

Sicherheit und Stabilität stehen im Mittelpunkt eines erfolgreichen IoT-Projekts, und Windows Update stellt Updates bereit, um sicherzustellen, dass Windows IoT Enterprise über die neuesten Sicherheits- und Stabilitätsupdates verfügt. Möglicherweise haben Sie jedoch ein Geräteszenario, in dem die Aktualisierung von Windows vollständig manuell durchgeführt werden muss. Für diese Art von Szenario empfehlen wir, die automatische Aktualisierung über Windows Update zu deaktivieren. In früheren Versionen von Windows konnten Gerätepartner den Windows Update-Dienst beenden und deaktivieren, aber dies ist nicht mehr die unterstützte Methode zum Deaktivieren automatischer Updates. Windows verfügt über eine Reihe von Richtlinien, mit denen Sie Windows-Updates auf verschiedene Arten konfigurieren können.

So deaktivieren Sie die automatische Aktualisierung von Windows mit Windows Update vollständig:

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows update\Configure Automatic Updates.
  2. Legen Sie die Richtlinie explizit auf Deaktiviert fest. Wenn diese Einstellung auf "Deaktiviert" festgelegt ist, müssen alle verfügbaren Updates von Windows Update heruntergeladen und manuell installiert werden, die Sie in der Einstellungen-App unter Update & Sicherheitsupdate > ausführen können.

Deaktivieren Sie den Zugriff auf die Benutzeroberfläche von Windows-Update

In manchen Szenarien reicht das Konfigurieren automatischer Updates nicht aus, um eine gewünschte Geräteerfahrung beizubehalten. Ein Endbenutzer kann z. B. weiterhin Zugriff auf die Windows Update-Einstellungen haben, wodurch manuelle Updates über Windows Update zugelassen werden. Sie können Gruppenrichtlinien konfigurieren, um den Zugriff auf Windows-Update über die Einstellungen zu verbieten.

So verbieten Sie den Zugriff auf das Windows-Update:

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows Update\Remove um alle Windows-Update-Funktionen zu nutzen.
  2. Legen Sie diese Richtlinie auf Aktiviert fest, um die Option „Nach Updates suchen“ für Benutzer zu verhindern. Hinweis: Alle Aktualisierungs-Scans, Downloads und Installationen im Hintergrund funktionieren weiterhin wie konfiguriert. Diese Richtlinie hindert den Benutzer einfach daran, auf die manuellen Check-Through-Einstellungen zuzugreifen. Führen Sie die Schritte im vorherigen Abschnitt aus, um auch Scans, Downloads und Installationen zu deaktivieren.

Wichtig

Stellen Sie sicher, dass Sie eine gut durchdachte Wartungsstrategie für Ihr Gerät haben. Durch das Deaktivieren der Windows Update-Funktionen bleibt das Gerät in einem anfälligen Zustand, wenn Ihr Gerät keine Updates auf andere Weise erhält.

Vollständiges Deaktivieren von Windows-Updates

Sie können Windows Update auf verschiedene Arten konfigurieren. In der Regel erfordern IoT-Geräte besondere Aufmerksamkeit für die Wartungs- und Verwaltungsstrategie, die auf den Geräten verwendet werden soll. Wenn Ihre Wartungsstrategie darin besteht, alle Windows Update-Features zu deaktivieren, haben Sie zwei mögliche Ansätze. Sie können Updates über Gruppenrichtlinien oder über die Registrierung deaktivieren.

Hinweis

Durch Festlegen dieser Richtlinie wird auch die Ausführung von Updates von anderen Computern im lokalen Netzwerk beendet. Um dieses Verhalten zu bestätigen, können Sie auch die Übermittlungsoptimierung deaktivieren, die das Subsystem zum Abrufen von Updates von anderen Benutzern in Ihrem lokalen Netzwerk ist.

Weitere Ressourcen