[English]Mit der Installation der Sicherheitsupdates von Juni 2021 gibt es in Windows 10 Probleme, denn die Patches lassen sich nicht installieren. Ich hatte das Ganze bereits vor einiger Zeit nach Leserhinweisen im Blog im aufgegriffen. Zufällig bin ich diese Woche darauf gestoßen, dass Microsoft diesen Sachverhalt im Zusammenhang mit ConfigMgr (SCCM) bestätigt hat.
Das SSU-Problem in Windows 10
Administratoren von Windows 10 Version 2004, 20H2 sowie 21H1, die kumulative Updates selektiv installieren, müssen aufpassen und die Installationsvoraussetzungen einhalten. Voraussetzung zur Installation der Juni 2021-Updates ist ein installiertes Update KB5003173 vom 11. Mai 2021.
Das Ganze hängt damit zusammen, dass Microsoft die Servicing Stack Updates (SSU) für Windows 10 Version 2004, 20H2 sowie 21H1 in die kumulativen Updates (Latest Cumulative Update, LCU) integriert hat. Das LCU soll zwar kumulativ sein, fehlt aber ein SSU, schlägt die Installation des kumulativen Updates fehl. Ich hatte im Blog-Beitrag Windows 10 SSU: Klippen, Bugs und neue Version KB5003974 (15.6.2021) bereits auf diesen Sachverhalt hingewiesen. Zitat aus dem Artikel:
Das heißt, dass alle WSUS / ConfigMgr-Admins aufpassen müssen, dass das Mai-Update nicht abläuft oder declined, also abgelehnt wird. Sonst ist ein Rechner zukünftig nämlich unpatchbar, wenn MSFT diesen Fehler nicht behebt und in einem zukünftigen Update wieder ALLES inkludiert.
Das ist natürlich eine doofe Falle in verwalteten Umgebungen. Das Update kann man manuell herunterladen und zur Not mit anderen Mitteln verteilen.
Microsoft bestätigt den Sachverhalt
Auf Twitter bin ich die Woche über nachfolgenden Tweet gestolpert. Im Techcommunity-Beitrag Known Issue: The June 2021 Windows 10 security update is reported as not applicable vom 22. Juni 2021 geht Microsoft auf genau den obigen Sachverhalt ein.
Im Techcommunity-Beitrag bestätigt Microsoft, dass Problem, dass die alten Mai 2021-Updates, die eigentlich noch gebraucht sind, als „expired“ in den Verwaltungsumgebungen wie WSUS oder SCCM gekennzeichnet werden. Microsoft macht folgende Vorschläge für die Szenarien, dass das Mai 2021-Update noch nicht, oder schon, als abgelaufen gekennzeichnet ist:
- The May 2021 Windows 10 Security Update is not yet expired: To prevent the May 2021 security update from being marked as expired before all your devices are updated, ensure that the supersedence rule’s “Months to wait before a superseded software update is expired” setting is set to the default of 3 months, or to an interval long enough to get the update installed on all required devices.
- The May 2021 Windows 10 Security Update has already been expired: If you still need to deploy the May 2021 security update and it has been marked as expired, follow the directions in Supersedence and Expired Software Updates to recover an expired update.
Bei Bedarf könnt ihr die Ausführungen Microsofts im Techcommunity-Beitrag im Detail nachlesen.
Es ist mir ein Rätsel, warum es andauernd diese Servicing Stack Updates (SSU) geben muss. Die sollten doch seit Jahren längst komplett ausgereift sein.
Wo liegt denn das Problem?
Was muss das SSU denn großartiges leisten, außer die neuen Updates ins System zu bringen?
Offensichtlich ist jeder Paketmanager unter Linux dem Windows-SSU weit überlegen.
Ich glaube, Microsoft ist durchaus bewusst, dass die Größe der Updates und die Installationszeiten nicht gut sind. Der Updateprozess ändert sich dauernd. Im Moment basteln, und da gibt es kein anderes Wort dafür, die an der Integration der SSU in die LCU. Dafür muss halt der Servicing Stack angepasst werden, dass der das kann. Wenn das die Leute machen, die sich das Juni-Update einfallen lassen haben, weiß man, warum das jedes Monat gefixt werden muss.
Entschuldigung wenn ich das so sage, aber da waren sie jetzt mal so richtig blöd. Es würde mich echt einmal interessieren, was sich die eigenen Leute aus den anderen Abteilungen bei Microsoft so denken. Wie z. B. David James, der Boss der ConfigMgr-Gruppe usw., die dann ihre eigenen Produkte verbiegen müssen, um den Schwachsinn wieder halbwegs auszubügeln. Die Windows- bzw. Update-Mannschaft machen es den Teams, die die Verwaltungswerkzeuge bauen, echt nicht einfach. Ob die intern auch mal streiten oder so? Jetzt muss das nächste Windows schon umgetauft werden, weil Windows 10, nach dem Internet Explorer, marketingmäßig nicht mehr zu retten ist. Da stellen sich Leute hin und versuchen mit Händen und Füßen das Ding zu vermarkten und dann sowas, kurz vor der Präsentation. Abgesehen davon, dass ich dem Panay einfach nicht zuhören kann, sollte der mal auf den Tisch hauen und dafür sorgen, dass die das auf die Reihe bekommen. Sonst haben wir bald Windows 12.
Ist doch egal wenn das Update nicht instaliert wird, denn es ist leider wieder Mist. Ist jetzt das dritte oder vierte Update in Folge das dafür sorgt das Spiele zur Ruckelorgie werden. Das Energiesparprofil Hohe-Leistung (das dann halt kaum Energie mehr spart) aktivieren ist für mich einfach keine Lösung. Microsoft hat den Laden einfach nicht im Griff. Anstatt endlich wieder Funktion vor Featureritis zu stellen haut man halt lieber das nächste Scheiß Windows zusätzlich raus. Ist sicher der Qualität extrem zuträglich wenn man noch eine Version mehr warten muss.
Dann hätte MS das Mai Patch einfach mal nicht als „superseded“ (durch das Juni Patch) markieren sollten.
Auch gibt es das mMn größere Problem, dass bei Upgrades von 1909 auf 20H2 per WSUS, der Patchlevel bei manchen Systemen auf November 2020 hängen bleibt (WSUS verteilt beim 20H2 Upgrade leider immer noch nur die Nov.2020 Patch Version). Danach meinen einige Systeme sie hätten das Mai und Juni Patch schon installiert (taucht im QFE auf) und WSUS meldet es als installiert und nicht benötigt. Effektiv sind diese Systeme aber immer noch auf dem Stand von Nov 2020.
Wenn man diese betroffenen System extern bei MS suchen lässt werden die Mai und Juni Patches erneut gefunden und dann sauber installiert.
Welche System betroffen sind scheint zufällig.
Danke für die Ergänzung. Bin gespannt, was andere Admins dazu schreiben.
Kannst du mal schauen, ob die betroffenen Systeme das KB4598481 anfordern? Das ist das letzte eigenständige SSU und wurde durch die späteren CUs auch als superseded gekennzeichnet, obwohl es Voraussetzung für diese blieb.
Das SSU bringt auch nichts, hatte ich schon versucht. Wird gefunden und installiert oder auch nicht, Problem bleibt aber in beiden Fällen.
Lustigerweise wird das SSU teilweise auch von neuinstallieren Systemen (~April 2021 ISO vom MS), die auch schon sauber auf Mai oder Juni 2021 gepatcht sind, gefunden und somit das einzel SSU definitiv nicht brauchen.
Ich frage mich, woran diese ganzen Probleme mit den Updates (und es scheint kaum noch ein Update zu geben, dass nicht weitere Probleme verursacht) liegen? Ist Microsoft zu gross, dass ein Team nicht weiß, was das andere macht und alles zu unkoordiniert abläuft oder ist der Windows-Code mit seinen ganzen Hinterlassenschaften aus der Vergangenheit zu gewaltig und dessen Aufbau zu schlecht archiviert, dass niemand mehr weiss, welche Konsequenzen es an anderen Stellen hat, wenn man an einer Stelle herumprogrammiert?
Ich bin schon ins Schwitzen geraten, habe dann aber gemerkt, dass 20H2 nicht betroffen ist? Warum 21H1 und 20H1, 20H2 aber nicht?
20H2 ist ebenfalls betroffen. Ist wohl ein Schreibfehler, es gibt keine 20H1.
Ja, war mein Tippfehler – soll 20H2 heißen (20H1 wäre die 2004).
Dann war meine Verwirrung ja berechtigt. Samstags weniger an Montag denken hilft da vielleicht auch schon. ;)
apropos
https://www.neowin.net/news/google-exposes-windows-privilege-escalation-bug-following-botched-fix/
Ich hatte es gesehen, aber es ist Wochenende. Mal schauen, ob ich Montag was schreibe.
Schade dass der Moderator die Wahrheit löscht. Ich brauche diese Seite gar nicht mehr betreten wer die Wahrheit verstecken wird ihr wisst doch ganz genau warum die Rechner lahm sind und jeglicher Versuch das klarzustellen wird gelöscht. Also bleibt mein Wissen für mich
Entweder enthielt dein Post nur wirres Zeug, was ich meinen Lesern nicht zumuten wollte. Oder der Post wurde wegen (SEO) Links oder Inhalt als SPAM gelöscht. Spätestens wenn Leute hier mit „Wahrheit wird gelöscht“ aufschlagen, bin ich doppelt sensitiv. Ich lösche nur sehr zurückhaltend – aber alles in Richtung Verschwörungstheorien fliegt raus. Speziell, wenn es anonym gepostet wird (was ich zulasse, wenn Substanz im Kommentar ist).