Diesmal sind es nicht wir, sondern Sie, Microsoft. Ihr Patching-Prozess und fehlerhafte Updates verursachen immer noch Probleme.

Microsoft? Wir müssen reden. In letzter Zeit hast du mich enttäuscht. Sie haben diesen Monat drei Sicherheitsupdates für meine Windows 10-Maschinen veröffentlicht. Der erste Satz von Updates (KB5000802 für die Versionen 2004/20H2) löste blaue Bildschirme des Todes aus, als ich versuchte, auf Ricoh- und Kyocera-Druckern zu drucken, da Probleme mit Dymo-Etiketten verursacht wurden. Wie Sie selbst bemerkt haben: "Nach der Installation dieses Updates erhalten Sie möglicherweise einen APC_INDEX_MISMATCH-Fehler mit einem blauen Bildschirm, wenn Sie in einigen Apps versuchen, auf bestimmten Druckern zu drucken."

Der zweite Satz von Updates (KB5001567 für 2004/20H2-Versionen) sollte diese Probleme beheben, behebt jedoch nur einige der BSODs und behebt keine Probleme mit Dymo-Etikettendruckern oder Druckern, die Bilder erstellen (z. B. Strichcodedrucker). Sie sagten es: „Nach der Installation von Updates, die am 9. März 2021 oder 15. März 2021 veröffentlicht wurden, können Sie beim Drucken aus einigen Apps unerwartete Ergebnisse erhalten. Mögliche Probleme können sein: Elemente des Dokuments werden möglicherweise als durchgehende schwarze/farbige Felder gedruckt oder fehlen möglicherweise, einschließlich Barcodes, QR-Codes und Grafikelemente wie Logos. Tabellenzeilen können fehlen. Andere Ausrichtungs- oder Formatierungsprobleme können ebenfalls vorhanden sein. Das Drucken von einigen Apps oder auf einigen Druckern kann zu einer leeren Seite oder einem leeren Etikett führen.“

Dann haben Sie eine dritte Version der Updates veröffentlicht, die angeblich das Problem mit Dymo-Etikettendruckern und Bild- oder Barcodedruckern beheben würde. Man könnte meinen, dass wir nach drei Versuchen das perfekte und feste Update bekommen. KB5001649 für die Versionen 2004/20H2 sollte das letzte und perfekte Update sein.

[Verwandt: Wie die IT die Windows 7-PCs von Remotemitarbeitern schützen kann]

Nicht so schnell. Wie von Postern auf Reddit festgestellt, konnte das Update nicht installiert werden. Es gibt sogar Social-Media-Beiträge, die zeigen, dass damit Probleme auftreten.

Normalerweise haben wir mit Patch Tuesday nie Patch-Perfektion. Es gibt immer jemanden, der unter einer zufälligen Nebenwirkung der normalen Computerverrücktheit leidet, die zwar nicht direkt mit dem Aktualisierungsprozess zusammenhängt, aber aufgrund von Zufall für Aktualisierungen verantwortlich gemacht wird. Ich habe oft gesehen, dass sich Benutzer über etwas auf ihrem Computer beschweren und auf Windows-Updates als Auslöser hinweisen; Oftmals ist es nur ein Neustart, der zugrunde liegende Probleme aufdeckt, nicht der Patch-Prozess selbst. (In Best Practices für Server wird häufig empfohlen, dass Sie ein System neu starten, bevor Sie ein Update installieren, um sicherzustellen, dass Ihr System funktionsfähig ist.)

Ich habe auch gesehen, wo sich Malware in ein System einfügt und wenn ein Patch installiert wird, ist das aktualisierte System jetzt instabil und liefert einen BSOD. Vor einigen Jahren war ein auf vielen Windows-Systemen installiertes Rootkit von einem Sicherheitsupdate betroffen, das eine neue Version des Windows-Kernels installiert hatte; Beim Neustart des Systems löste die Interaktion zwischen dem Rootkit und dem neuen Kernel-Update einen Bluescreen aus. Während wir also auf den Sicherheitspatch als Problem hingewiesen haben, hat er in Wirklichkeit dazu beigetragen, die Rootkits zu entlarven.

Aber es beunruhigt mich, dass wir in den mehr als 20 Jahren, in denen ich Maschinen gepatcht und auf Nebenwirkungen überwacht habe, zwei grundlegende Probleme noch lösen müssen: Sie möchten, dass wir automatische Updates aktivieren, um sicherzustellen, dass unsere Maschinen sicher sind, aber so Probleme mit Druckern zeigt, kann ich nicht garantieren, dass die Updates dieses Monats keine Nebenwirkungen haben werden. Das ist schlichtweg falsch. Ich habe nicht mehr Selbstvertrauen beim Patchen als vor 20 Jahren: Ich sage den Leuten immer noch, sich zurückzuhalten, zu testen, auf Probleme zu achten, zu warten, keine Updates sofort zu installieren, da ich nicht garantieren kann, dass sie es nicht tun werden Probleme haben. Microsoft, das ist nicht gut genug! Wir befinden uns in einer Welt, in der Angreifer lokale Mailserver in kleinen und mittleren Unternehmen verfolgen und Web-Shells installieren, um möglicherweise Ransomware einzuschleusen. Die sofortige Installation von Qualitätsupdates ist der Schlüssel zum Schutz unserer Maschinen. Aber wenn wir das Vertrauen in den von Ihnen verwendeten Testprozess verloren haben, Microsoft, wie können wir dann an einen Ort gelangen, an dem wir Updates installieren, sobald sie herauskommen?

EMPFOHLENE WHITEPAPER

Quest Unified Endpoint Management

2 Schritte zum Erreichen der Endpunkt-Compliance mit KACE

Coveo 2021 Relevanzbericht für den Kundenservice

Dann gibt es das Problem mit dem Neustart. Um Updates zu installieren und die Originaldateien durch die festen Dateien zu ersetzen, erzwingen Sie einen Neustart unserer Systeme. Im Allgemeinen hassen Windows-Benutzer Neustarts. Es stört, woran wir arbeiten, es lässt uns unseren Platz in dem verlieren, was wir tun. Und in den zig Jahren, in denen wir Windows verwendet haben, haben wir dieses Neustartproblem noch nicht behoben. Ich habe buchstäblich gesehen, wie Berater gefragt haben, wie der Update-Mechanismus von Windows deaktiviert werden kann, da sie keine bestimmte Zeit für den Neustart von Windows-Computern festlegen können, die nicht störend ist. Wie viele von uns haben Konferenzgespräche gesehen, die durch ein Windows 10-Update unterbrochen wurden, das einen Neustart auslöste? (Anstatt Windows-Updates vollständig zu deaktivieren, empfehle ich, den Trick der „gemessenen Verbindung“ zu verwenden, damit das System Updates nur dann herunterlädt, wenn Sie dies wünschen.)

Jetzt haben wir die Nachricht, dass Sie KB5001649 für 2004/20H2 erneut veröffentlicht haben und es als optionales Update für diejenigen anbieten werden, die von den in diesem Monat eingeführten Druckproblemen betroffen sind. Microsoft, Sie empfehlen, dass wir diese optionalen Updates installieren, sollten wir betroffen sein, aber das fordert uns alle auf, die Testlast zu tragen. Das stimmt einfach nicht. Wenn Sie möchten, dass wir Updates sofort nach der Veröffentlichung installieren, müssen Sie es besser machen. Sie müssen Ihre Aktualisierungstests auf Verbraucher und nicht nur auf Unternehmen ausweiten.

Die Leute denken oft, dass der Insider-Testprozess die Qualität von Sicherheitsupdates beeinflusst. Das tun sie meiner Meinung nach nicht. Insider-Tests beziehen sich auf Funktionen, die nichts mit der Sicherheit zu tun haben. Diese beheben Sicherheitslücken, die selbst in den Insider-Versionen noch nicht behoben sind.

Vor Kurzem haben Sie angekündigt, dass Sie Ihren UserVoice-Feedbackprozess schließen werden, der es Benutzern und IT-Administratoren ermöglicht, nach neuen Funktionen zu fragen. In einer Zeit, in der Sie meiner Meinung nach mehr von Kunden hören müssen, fühlt es sich an, als würden Sie sich zurückziehen.

Wenn ich also später in dieser Woche beschließe, den Leuten zu sagen, dass sie aktualisieren sollen – oder nicht –, bin ich mir immer noch nicht sicher, was ich meinen Lesern hier bei Computerworld oder auf Askwoody.com sagen werde. Es ist mir nicht angenehm, Leuten zu sagen, dass sie NICHT aktualisieren sollen. Aber ich fühle mich auch nicht wohl dabei, ihnen zu sagen, dass sie blind Updates installieren und darauf vertrauen sollen, dass Microsoft es richtig gemacht hat. Bisher hast du mir noch nicht genug versichert, dass du es auch mit dreimal richtig gemacht hast. Und das ist schade.

Denn die Angreifer bekommen ihre Angriffe oft gleich beim ersten Mal richtig.