In Windows 10 Fall Creators Update gibt es das Problem, dass Gruppenrichtlinien fehlerhaft arbeiten. So kann man durch Zurückstellen von Funktionsupdates auch die Verteilung von Sicherheitsupdates ungewollt blocken.
Das Microsoft Gruppenrichtlinien abschafft oder recht eigenwillig interpretiert, haben wir ja schon häufiger erlebt. Jetzt bin ich auf einen Fall gestoßen, der die Sicherheit von Windows 10-Systemen in Unternehmen beeinflusst.
Das Szenario
Ein Administrator hat eine Maschine mit Windows 10 Fall Creators Update, möchte aber nicht, das Vorabversion von Updates und Funktionsupdates auf diese Maschine installiert werden. Also stellt er dies per Gruppenrichtlinie ein.
Hierzu findet sich im Gruppenrichtlinien-Editor gpedit.msc unter Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Windows Update –> Windows Update für Unternehmen die Richtlinie Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdate auswählen.
Dort lässt sich vorgeben, um wie viele Tage Vorabversionen und Funktionsupdate zurückzustellen sind. Wenn man dies jedoch per GPO regelt, blockiert man ungewollt auch die Zustellung von Sicherheitsupdates für die gewählte Zeitspanne. Diese geht aus diesem Technet-Forenthread hervor, wo dieses fehlerhafte Verhalten inzwischen bestätigt wird. Nutzer konnten dies mit neuen Installationen von Windows 10 V1709 in virtuellen Maschinen mit folgenden Schritten nachvollziehen:
1) Install Win 10 v1709 in a Hyper-V virtual machine with no network connection. Use a Media Creation tool ISO, that contains v1709 Build 16299.15
2) Set the Local Group Policy „Select when Preview Builds and Feature Updates are received“: „Windows Readiness Level:“ „Semi-Annual Channel“ „After a Preview Build or Feature Update is released, defer receiving it for this many days:“ „365“ Days.
3) Connect the VM to the network
4) Search for Updates
5) Only the latest Flash Player Update and the Malicious Software Removal Tool will be installed. Cumulative Updates are nowhere to be seen ;)
6) Search for updates again, no further updates will be found…
7) Set „After a Preview Build or Feature Update is released, defer receiving it for this many days:“ „0“ (Zero) Days.
8) Search for updates one more time, now the 2017-11 Cumulative Update (KB4048955) magically appears and is installed. Windows is updated to Build 16299.64.
Vielleicht hilft dies dem einen oder anderen Administrator aus der Patche, wenn er sich wundert, dass die Windows 10 V1709 Clients plötzlich keine kumulativen Updates mehr bekommen. (via)
Sehr interessant, hatte sehr ähnliche Probleme mit dem Meltdown Update KB4056892, das nicht angeboten wurde. Mehr Infos in meinem Blog (auf Englisch):
http://techie-blog.blogspot.de/2018/01/gpo-blocks-windows-meltdown-spectre-update-kb4056892.html
Grüße,
Anguel