Inhalt

• Bereitstellung der Windows-Updates

• Voraussetzungen für die Installation

• Automatische Installation der Windows-Sicherheits-Updates

• Manuelle Installation der Windows-Sicherheits-Updates

• Installation der Windows-Feature-Updates

• Arbeitsweisen im Home-Office in Bezug auf Windows-Updates

• Hilfe / Weitere Informationen

 

Um die Sicherheit der Arbeitsrechner sowie der  DESY-IT-Infrastruktur zu gewährleisten, sind die Windows-Updates von enormer Wichtigkeit und müssen zeitnah installiert werden. Die Installation von Windows-Updates wird am DESY grundsätzlich zentral forciert, Nutzer*innen von Windows Rechnern sind allerdings gehalten, die erfolgreiche Aktualisierung Ihrer Arbeitsgeräte sicherzustellen, um Sicherheitsrisiken für die gesamte Infrastruktur so gering wie möglich zu halten.

Nachfolgend wird daher erklärt, wie die zentrale Bereitstellung der Windows-Updates am DESY funktioniert, was dabei zu beachten ist und wie Sie gegebenenfalls Einfluss auf die Installation der Windows-Updates nehmen können. Außerdem  wird erläutert, wie mit den Updates im Home-Office zu verfahren ist.

Bereitstellung der Windows-Updates

Es gibt zwei Arten von Windows-Updates. Einmal im Monat gibt es am DESY die sogenannten Sicherheits-Updates, diese werden normalerweise am 3. Mittwoch jedes Monats bereitgestellt.  Über das monatliche Sicherheits-Update werden Sie einen oder zwei Tage vorher per E-Mail informiert. Der Titel der E-Mail lautet: „[DESY] Monatliche Wartung - Microsoft Windows / Monthly Maintenance - Microsoft Windows“.

Ein Feature-Update stellt eine ganz neue Version von Windows10 dar und wird am DESY einmal im Jahr für die Arbeitsplatzrechner bereitgestellt. Auch hierüber werden Sie per E-Mail informiert. Die Gruppenadministrator*innen einer Gruppe sind im Vorfeld darüber in Kenntnis gesetzt und sollten in der Gruppe eventuell anfallende Vorbereitungen getroffen haben. Die Windows-Gruppenadministrator*innen sind daher die Ansprechpartner*innen für Update-Fragen vor Ort.

Voraussetzungen zur Installation

Der zentrale WSUS-Server  (Windows-System Update Service) stellt für alle Windows-Rechner der win.desy.de-Domäne die notwendigen Updates zentral bereit. Damit ein Windows-Rechner diesen Server erreichen kann, muss er eine Verbindung zum internen DESY-Netzwerk haben. Dies ist der Fall bei  einer Verbindung per Kabel im Büro, bei einer WLAN-Verbindung ins interne DESY-Netzwerk oder bei einer Verbindung per VPN.

Zur Erleichterung der  Überprüfung, ob Updates zur Verfügung stehen oder ob der Rechner alle Updates korrekt installiert hat, liegt eine Verknüpfung zu den Update-Einstellungen auf dem Desktop Ihres Rechners (siehe Abbildung 1).

 

 

In den Einstellungen zu den Windows-Updates können Sie sehen, ob Updates anstehen bzw. nach Updates suchen und sich den Update-Verlauf anzeigen lassen (siehe Abbildung 2).

 

 

 

 

 

Automatische Installation der Windows-Sicherheits-Updates

Wenn Sie am DESY arbeiten und Ihr Rechner sich im DESY-internen Netzwerk befinden, melden Sie sich am besten am Vorabend des Patch-Day von Ihrem Rechner ab und lassen den Rechner über Nacht eingeschaltet.

Die Updates werden dann vor 6 Uhr morgens runtergeladen und automatisch ohne Ihr Zutun installiert. Bitte beachten Sie, sollten Sie bereits um diese Uhrzeit an Ihrem Rechner angemeldet sind,  kann kein automatischer Neustart  durchgeführt werden und Sie erhalten eine  entsprechende Nachricht diesen selber durchzuführen. Dieser Neustart ist unbedingt notwendig, um die Installation der Updates abzuschließen.

Sollten Sie Ihren Rechner nicht sofort neustarten, erfolgt eine Meldung, in wieviel Tagen der Rechner zum Neustart gezwungen wird, zum Beispiel  wie in Abbildung 3 dargestellt.

Sie werden darauf hingewiesen, dass ein Neustart in x Tagen geplant ist und können sich innerhalb dieser Frist einen Termin aussuchen. Sie können den Neustart über einen Klick auf "Restart now" bzw. "Jetzt neustarten" auch sofort durchführen.

 

 

 

Falls Sie die Meldung wegklicken, gibt es weitere Hinweise, die Sie darauf aufmerksam machen, dass Sie einen Neustart des Rechners durchführen müssen. Solche Hinweise sind z.B. ein Icon mit orangenem Punkt in der Taskleiste rechts und im Startmenü, sowie in Ihren Windows-Update-Einstellungen, auf die Sie mit der oben genannten Desktop-Verknüpfung gelangen. In den nebenstehenden Abbildungen sind diese Hinweise markiert (siehe Abbildung 4 und 5).

Bei einem Klick auf das Windows Icon in der Taskleiste (Abbildung 4) haben Sie neben einer Aktualisierung und anschließendem Neustart auch die Möglichkeit, den Rechner zu aktualisieren und herunterzufahren, was sich bei Dienstschluss gegebenenfalls anbietet, sofern Sie später nicht aus der Ferne auf das Gerät zugreifen müssen.

 

 

Manuelle Installation der Windows-Sicherheits-Updates

Es gibt Situationen, in denen anstehende Updates nicht automatisch heruntergeladen werden, zum Beispiel im Falle von niedrigen Verbindungs-Bandbreiten. In so einem Fall klicken sie bei bestehendem Kontakt zur Windows-Domäne auf die in Abbildung 1 abgebildete Verknüpfung auf Ihrem Desktop und laden sich die Updates manuell herunter. Bei geringer Netzwerkbandbreite wird das Herunterladen wesentlich mehr Zeit in Anspruch nehmen, achten Sie deshalb auf die Stromversorgung Ihres Laptops.

Auf diese Weise verfahren Sie bitte auch, wenn der Rechner am Patch-Day nicht eingeschaltet war und daher keine Updates beziehen konnte.

Installation der Windows-Feature-Updates

Der Ablauf zur Installation der Windows-Feature-Updates ist der gleiche, wie bei den Sicherheits-Updates. Es ist allerdings mit einer weitaus längeren Installationsdauer zu rechnen, schließlich wird auf den Rechner eine neue Version von Window 10 installiert.

Neben den Hinweisen in der Benachrichtigungsleiste, dem Icon mit orangenem Punkt in der Taskleiste rechts und im Startmenü sowie in den Windows-Update-Einstellungen, wird Ihnen eine Meldung im sog. Actions Center angezeigt (siehe Abbildung 6).

Das System wird bis maximal sieben Tage nach Freigabe der Updates darauf warten, dass Sie selbst den Neustart initiieren. Wenn dies nicht geschieht, tritt  hier nach spätestens sieben Tagen die sogenannte „Grace Period“ von zwei Tagen ein, in der ein Neustart erzwungen wird. Der Neustart wird  auch durchgeführt, wenn Sie am Rechner angemeldet sind oder eine Anwendung offen haben. Es wird lediglich vom System ein Zeitpunkt in diesen zwei Tagen für den Neustart berechnet, an dem möglichst geringe Benutzer-Aktivitäten stattfinden.

Es kann auch vorkommen, dass Sie für diese neue Betriebssystemversion bereits Sicherheits-Updates nachinstallieren müssen. Kontrollieren Sie  daher nach einem Feature-Update, ob nachfolgende Updates installiert werden müssen. Verwenden Sie dafür bitte wie oben beschrieben die Verknüpfung auf Ihrem Desktop (Abbildung 1).

Arbeitsweisen im Home-Office in Bezug auf Windows-Updates

Generell gilt, auch wenn Sie mit Ihren privaten Geräten im Home-Office Verbindungen zum DESY (z.B. per ssh) herstellen, muss gewährleistet sein, dass auf diesen privaten Rechnern immer die aktuellen Updates installiert sind. Bitte sorgen Sie dafür.

Wie bei den speziellen Verbindungstypen zum DESY verfahren werden soll, wird im Folgenden beschrieben.

Verbindung zum DESY Rechner via SSH-Tunnel

Wenn Sie regelmäßig eine Remoteverbindung zu Ihrem Windows-Rechner am DESY durchführen, ist das Gerät am DESY kontinuierlich an und am Netz. Dies bedeutet, dass die Updates automatisch installiert werden und der Rechner am DESY den Standardablauf durchläuft. Zur Vergewisserung können Sie jederzeit mittels der erwähnten Verknüpfung auf dem Desktop (s. Abbildung 1) in den Update-Verlauf blicken.

Sie sollten allerdings beachten, dass Sie den Bürorechner zum Abschluss der Update-Installation nicht herunterfahren, sondern nur einen Neustart durchführen. So ist gewährleistet, dass Sie sich weiterhin aus der Ferne anmelden können. Falls das Gerät doch herunterfährt, ist es erforderlich, dass Sie Kontakt zu Ihren Kolleg*innen vor Ort aufnehmen, um das Gerät wieder einschalten zu lassen.

Nicht im DESY Netz z.B. SSH-Proxy-Verbindung

Wenn Sie hingegen längere Zeit keine Verbindung zum internen DESY-Netzwerk haben, müssen die Updates direkt von Microsoft bezogen werden. Hierfür ist das Vorgehen wiefolgt:

1. Sie öffnen in die Update-Einstellungen und klicken dort auf „Online nach Updates von Microsoft Update suchen“
2. Installieren Sie die angezeigten Sicherheits-Updates

Bitte beachten Sie aber, dass bestimmte Software-Updates nur im internen DESY-Netzwerk verfügbar sind. Hierzu zählen Updates für Adobe Produkte und für über DSM installierte Anwendungen.

VPN Verbindung (von DESY-exterenem Netz auf DESY-internes Netz)

Wenn Sie von einem DESY-Rechner über VPN  zum DESY verbunden sind, sollten die Windows-Sicherheits-Updates manuell heruntergeladen und installiert werden. Gehen Sie dazu  bitte wie im Abschnitt "Manuellen Installation von Windows-Sicherheitsupdates" beschrieben vor.

Hilfe / Weitere Informationen

Falls Ihre Fragen in der Dokumentation nicht beantwortet wurden oder Probleme mit Windows-Updates auftreten, wenden Sie sich bitte an Ihre zuständigen Windows-Gruppen-Administrator*innen. Die für Sie zuständigen Ansprechpartner finden Sie auf folgender Webseite:

https://it.desy.de/dienste/uco/windows_gruppenadmins

Weiterführende Informationen, insbesondere für Windows-Gruppenadministrator*innen sind zu finden auf folgender Webseite: https://confluence.desy.de/display/W10/