Hat der Patch-Tuesday ausgedient?
Zahlreiche Ankündigungen und Voraussagen von Sicherheitsexperten haben die Markteinführung von Windows 10 sowie Windows Update for Business begleitet: Patches und neue Funktionen, so die Expertenmeinungen dürften künftig bei Privatanwendern schneller aufgespielt werden als bisher. Microsoft nutzt dabei seine Erfahrungen aus Office 365 und der Distribution neuer Versionen seiner mobilen Apps. Kunden die mit Windows 10 Pro und Enterprise sowie den Server-Lösungen für Unternehmen arbeiten, können aber auch mit längeren Release-Zyklen rechnen. Hat der „Patch-Tuesday“ nun ausgedient, oder nicht?
Der „Patch Tuesday“, also jeder zweite Dienstag eines Monats ist traditionell der Tag, an dem Redmond die neuesten Sicherheitsupdates für seine Betriebssysteme Windows, Windows Server und alle übrigen Software-Produkte von Microsoft veröffentlicht. Ein Tag, der seit 2003 einen festen Platz im Kalender eines jeden Systemadministrators hatte - bis zur Ankündigung von Windows 10. Seither überschlagen sich Sicherheitsexperten mit Spekulationen über die künftige Ausgestaltung der Release-Zyklen von Windows 10 und Windows Update for Business (WUB).
Tatsächlich hat Microsoft bereits zu Beginn dieses Jahres einige dringend notwendige Änderungen innerhalb seiner Entwicklungsteams durchgeführt. Das Unternehmen kündigte zum Beispiel einen vierteljährlichen Release-Plan an, um den herum es seine Entwicklerteams ausrichten wird. Microsoft arbeitet daneben daran, die Komplexität von Updates seiner Produkte zu reduzieren. Diese Veränderungen werden es den Teams letztlich ermöglichen, Software-Releases in einem vierteljährigen Turnus zu erarbeiten. Sobald sie vorbereitet sind, können sie dann auch direkt frei gegeben werden. Denn letztlich entstehen durch Code, der schon getestet und bereit zur Veröffentlichung ist, aber nicht distribuiert wird, Kosten. Hier hat sich ein grundlegender Wandel vollzogen, bedenkt man, dass der feste Patch-Day seinerzeit aus dem gleichen Grund, also die Senkung von Kosten für das Einspielen von Sicherheitsupdates, eingeführt wurde.
Was verändert sich nun für den Nutzer? Neue Funktionen und Sicherheitspatches werden künftig deutlich schneller verfügbar sein. Dies ist insofern sinnvoll, da sich gerade Unternehmensanwender auf ihr Betriebssystem zu hundert Prozent verlassen müssen. Ein gutes Beispiel für die Zukunft der Bereitstellung von Anwendungen durch Microsoft bietet Office 365. Neue Funktionen werden viel häufiger als in der On-premise-Version geliefert. Der Nutzer profitiert dementsprechend auch schneller von diesen Patches. Endanwender kennen diese Art der Distribution bereits von Software-Updates ihrer Mobilgeräte wie Smartphones und Tablets. Microsoft überträgt nun diese Nutzererfahrung auch auf Desktop-Anwendungen. Dieser Übergang wird vermutlich jedoch nicht für alle Produkte für Unternehmenskunden in der gleichen Geschwindigkeit vollzogen werden. Gerade die Betriebssystem- und Server-Lösungen, wie SQL Server, Team Server oder SharePoint Server, werden erst einmal noch nicht auf diese vierteljährlichen Release-Zyklen migriert. Das heißt also, dass zumindest für sie über einen längeren Zeitraum der bewährte Rhythmus des Patch-Dienstags erhalten bleiben wird.
Veränderungen auch bei Updates
Mit Windows 10 verändert Microsoft auch die Art und Weise, wie Updates an Systeme ausgeliefert werden. Das Unternehmen integriert dazu neue Funktionen in eine Anwendung, die künftig den Namen „Windows Update for Business“ (WUB) tragen wird. Diese neuen Funktionen geben Unternehmen die Möglichkeit, die Geschwindigkeit zu kontrollieren, mit der sie Aktualisierungen auf ihre Systeme aufspielen. Eine der wesentlichsten Neuerungen stellen so genannte „Update-Ringe“ dar. Es handelt sich um variable Zeiträume, in denen Updates geliefert werden. Über diese Ringe können Unternehmen vor allem selbst bestimmen, zu welchem Zeitpunkt ihre Software aktualisiert wird.
Erste Ankündigungen von Microsoft Anfang des Jahres sowie Aussagen auf der Hausmesse Ignite 2015, lassen vermuten, dass drei oder mehr Ringe geplant sind, die sich in WUB konfigurieren lassen. Ein „Current Branch“, also ein aktueller Pfad, sowie ein „Long Term Servicing Branch“, ein langfristiger Service-Ring, wurden bereits bestätigt. Auf der Ignite wurde zudem ein so genannter „Ludicrous Branch“ angekündigt. Dieser „aberwitzige Zweig“ soll Updates in einer – entsprechend seines Namens – irrsinnig hohen Geschwindigkeit bereitstellen. Für Privatanwender der Windows 10 Home Editionen wird ausschließlich nur eine Update-Variante für das entsprechende System verfügbar sein. Diese Heimanwender Editionen dürften sich dabei, gemäß dem Current Branch (CB), ziemlich schnell aktualisieren. Dieser erhält neue Funktionen, Bugfixes und Sicherheitsupdates, sobald sie über Windows Update zur Verfügung stehen. Für die Mehrheit der Privatnutzer dürfte dies die ideale Einstellung sein.
Windows 10 für Unternehmen
Die Windows 10 Professional Editionen für Unternehmensanwender werden dagegen bereits Möglichkeiten für die Nutzung mehrerer Ringe enthalten: einen Current Branch beziehungsweise einen Current Branch for Business (CBB). Die zusätzliche Variante CBB bietet Unternehmen eine höhere Flexibilität, wann die neuen Funktionen, Bugfixes und Sicherheitsupdates auf ihre Systeme angewendet werden sollen. Unternehmen, die Microsofts kostenfreie Lösungen Windows Update for Business (WUB) oder Windows Server Update Services (WSUS) einsetzen, erhalten zudem die Möglichkeit, Funktionsupdates für Windows 10 für einen bestimmten Zeitraum zu verschieben. Microsoft wird neben dem Current auch einen „Previous Branch“ (vorausgegangenen Zweig) anbieten. Kunden können über diese Option ihre aktuelle Konfiguration beibehalten und werden über eine gewisse Zeit mit Updates unterstützt. Nach dieser Zeit, also sobald der nächste Update-Branch gestartet wird, müssen Unternehmen auf den nächsten Current oder den dadurch entstehenden neuen Previous Branch migrieren. Detaillierte Informationen darüber, wie lange es dauert, bis Unternehmen auf diesem Weg zu einem Update aufgefordert werden, gibt es von offizieller Seite bislang noch nicht.
Für diejenigen Unternehmen, die Windows 10 Enterprise nutzen, werden zusätzliche Optionen verfügbar sein. So werden diese Kunden künftig die Möglichkeit erhalten, CB und CBB miteinander zu mischen und abzugleichen. Auch sollen sie Zugriff auf einen Long Term Servicing Branch erhalten. Dieser erlaubt es, nur Sicherheitsupdates zu übernehmen. Neue Funktionen sowie nicht auf Sicherheit bezogene Fixes können auf einen späteren Zeitpunkt verschoben werden. Letztlich haben Kunden von Windows 10 Enterprise damit die Auswahl aus verschiedenen Update-Zweigen, damit sie den individuellen Eigenschaften ihrer Systemlandschaft Rechnung tragen können. Der Current Branch eignet sich dabei beispielsweise für Anwender, deren Arbeit von neuen Funktionen nicht beeinflusst wird. Der Current Branch for Business lässt sich demgegenüber für Nutzergruppen anwenden, die spezifischere Anforderungen an ihre Applikationen haben und daher sensibler auf neue Funktionen, Änderungen und Verhaltensweisen eines Programms reagieren. CBB gibt IT-Administratoren mehr Zeit, die Anwender auf künftige Funktionsänderungen vorzubereiten und auf eventuell auftretende Probleme zu reagieren. Der Long Term Servicing Branch wiederum eignet sich ideal für Server und andere geschäftskritische Systeme, die zwar die entsprechenden Sicherheitsupdates benötigen, aber vor allem eines erfüllen müssen – schlicht ohne Unterbrechung zu funktionieren. Änderungen an diesen Systemen werden traditionell eher konservativ durchgeführt. Administratoren, die sich über die verschiedenen Optionen informieren möchten, sollten einen Blick auf eine gute und vollständige FAQ-Liste der Microsoft Community werfen, die die beschriebenen Möglichkeiten und Informationen detailliert beschreibt.
Fazit
Windows Update for Business kann die Verantwortung für eine zeitnahe Verteilung von Sicherheitsupdates für Unternehmenskunden kostenfrei übernehmen. Ist damit also der Patch-Dienstag tot? Laut Microsoft nicht, denn Kunden, die Updates selbst oder durch einen Patch-Management-Anbieter verteilen möchten, „erhalten weiterhin die Updates am zweiten Dienstag des Monats.“ Für Endanwender ist der Patch-Dienstag sowieso keine Frage, da ihre Systeme Updates aufspielen, sobald diese zur Verfügung stehen – ähnlich wie auf einem mobilen Endgerät. Einige davon kommen möglicherweise am Patch-Dienstag, andere nach Verfügbarkeit. Für Kunden von Windows 10 Professional und Enterprise, die WUB, WSUS oder SCCM nutzen, werden Sicherheitsupdates und andere Aktualisierungen weiterhin am zweiten Dienstag des Monats bereitstehen. Allerdings mit der Option diese direkt zu nutzen oder für eine gewisse Zeit die bestehenden Systeme unverändert zu betreiben. Damit behalten sie die Kontrolle darüber, was ausgerollt wird und wann Veränderungen an der Applikationslandschaft erfolgen.