Beschreiben der Updateverwaltung

  • 6 Minuten

Updates für Windows sind natürlich eine wiederkehrende Serie von Ereignissen. Updates können schnell und häufig vorgenommen werden, wenn neu erkannte Sicherheitslücken oder Angriffsvektoren behoben werden. Updates werden auch regelmäßig auf der Grundlage von Ereignissen wie Änderungen an Gerätetreibern oder geplanten Rollouts neuer Systemfunktionen durchgeführt.

Die Mitarbeiter des IT-Supports von Contoso sind sich darüber im Klaren, dass es keine festgelegte Zeit gibt, zu der ein dringendes Sicherheitsupdate verfügbar ist, und dass es in vielen Fällen zwingend erforderlich ist, ein solches Update so schnell wie möglich bereitzustellen. Diese Vorgehensweise gilt unabhängig davon, ob es sich bei dem System um einen physischen Host, eine lokale VM oder eine Azure-VM handelt. Sie müssen bei der Überprüfung von Windows-Updates für ihre Azure-VMs wachsam sein.

Azure Automation und -Updateverwaltung

Azure Automation unterstützt Sie bei der Verwaltung von Betriebssystemupdates für Azure-VMs, die das Windows-Betriebssystem ausführen. Das Feature „Updateverwaltung“ ist kostenlos. Die einzigen Kosten, die anfallen, sind die Kosten für die Protokollspeicherung in Azure Log Analytics.

In der folgenden Tabelle wird beschrieben, wie Updateverwaltungsfeatures bei Updates für Ihre Azure-VMs helfen können.

Funktion Hilfreich bei
Überprüfen des Status von Updates auf Ihren VMs Der Dienst umfasst eine cloudbasierte Konsole, in der Sie den Status von Updates in Ihrer Azure-Organisation und für eine bestimmte VM überprüfen können.
Konfigurieren dynamischer Gruppen von VMs als Ziel Ermöglicht das Definieren einer Abfrage basierend auf einer Computergruppe. Eine Computergruppe ist eine Gruppe von Computern, die auf der Grundlage einer anderen Abfrage definiert oder aus einer anderen Quelle (z. B. WSUS oder Microsoft Endpoint Configuration Manager) importiert werden.
Durchsuchen von Azure Monitor-Protokollen Die Updateverwaltung erfasst Datensätze aus den Azure Monitor Protokollen.

Wenn Sie die Azure-Updateverwaltung in Ihrer Hybridumgebung implementieren möchten, müssen Sie die folgenden Schritte auf hoher Ebene ausführen:

  1. Erstellen eines Azure Automation-Kontos
  2. Aktivieren der Updateverwaltung.
  3. Durchführen des Onboardings von lokalen Servern.
  4. Auswählen der zu verwaltenden Computer.
  5. Planen von Updates

Hinweis

Diese Schritte sind für lokale physische Server und VMs sowie Azure-VMS mit Windows Server identisch.

Interaktion mit Windows Update

Die Azure Automation-Updateverwaltung verwendet den Windows Update-Client, um Windows-Updates herunterzuladen und zu installieren. Beim Herstellen einer Verbindung mit WSUS oder Windows Update werden vom Windows Update-Client bestimmte Einstellungen verwendet. Viele dieser Einstellungen können Sie wie folgt verwalten:

  • Verwenden des lokalen Gruppenrichtlinien-Editors
  • Verwenden von Gruppenrichtlinien
  • Verwenden von Windows PowerShell
  • Direktes Bearbeiten der Registrierung

Die Updateverwaltung berücksichtigt viele der Einstellungen, die zum Steuern des Windows Update-Clients angegeben werden.

Tipp

Wenn Sie Einstellungen für die Aktivierung Windows-fremder Updates verwenden, verwaltet die Updateverwaltung diese Updates ebenfalls.

Konfigurieren von WSUS für die Verwaltung von Updates

WSUS verbessert die Sicherheit der Systeme bei Contoso, indem Sicherheitsupdates für Microsoft-Produkte und Produkte von Drittanbietern zeitnah angewendet werden. Die Anwendung stellt die Infrastruktur zum Herunterladen, Testen und Genehmigen von Sicherheitsupdates bereit. Das schnelle Anwenden von Sicherheitsupdates trägt dazu bei, Sicherheitsvorfälle zu verhindern, die durch bekannte Sicherheitslücken verursacht werden. Bei der Implementierung von WSUS müssen Sie die Hardware- und Softwareanforderungen für WSUS, die zu konfigurierenden Einstellungen und die zu genehmigenden oder zu entfernenden Updates entsprechend den Anforderungen von Contoso berücksichtigen.

Die Updateverwaltung in Azure unterstützt WSUS-Einstellungen. Sie können entsprechend den Anweisungen in Internen Pfad für den Microsoft Updatedienst angeben Quellen für die Suche nach und das Herunterladen von Updates angeben. Standardmäßig ist der Windows Update-Client so konfiguriert, dass Updates von Windows Update heruntergeladen werden. Wenn Sie einen WSUS-Server als Quelle für Ihre Computer angeben, schlägt die Update-Bereitstellung fehl, sofern die Updates in WSUS nicht genehmigt werden.

Screenshot des Gruppenrichtlinien-Editors in Windows. Der Administrator ist zum Ordner „Windows Update“ navigiert und hat die Werte „Automatische Updates konfigurieren“, „Internen Pfad für den Microsoft Updatedienst angeben“ und „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ konfiguriert.

Tipp

Um Computer auf den internen Updatedienst zu beschränken, aktivieren Sie Keine Verbindungen mit Windows Update-Internetadressen herstellen.