Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Windows-Patch-Verwaltung: FAQ

Thema

Dieser Artikel beantwortet häufig gestellte Fragen zum Windows-Patch-Management. 

Weitere Artikel zum Thema Patching in NinjaOne finden Sie in unserem Patching-Ressourcenkatalog.

Umgebung

  • NinjaOne-Patch-Management
  • Windows-Betriebssystem

Beschreibung

Allgemeine FAQ

Allgemeine FAQ

Wie werden die Registrierungseinstellungen für WSUS-Server in NinjaOne geschrieben?

Wenn der „Control“-Modus in NinjaOne deaktiviert ist, sind automatische Betriebssystem-Updates deaktiviert. Wenn Sie Änderungen an WSUS in NinjaOne konfigurieren, werden diese Änderungen auch in der Registrierung übernommen.

Funktioniert NinjaOne weiterhin zur Aktualisierung des Betriebssystems, wenn wir Windows-Updates in GPO deaktivieren? 

Wenn Sie nicht möchten, dass Benutzer Windows Update manuell ausführen, können Sie diese GPO verwenden: https://learn.microsoft.com/en-us/windows/deployment/update/waas-wu-settings#remove-access-to-use-all-windows-update-features.

Gibt es eine Begrenzung hinsichtlich der Anzahl der Sprachen, in die die von NinjaOne ausgelösten Neustart-Aufforderungen und das Systray-Symbol übersetzt werden können? Gibt es eine Möglichkeit, die übersetzten Sprachen zu erfahren? 

Diese spezifische Meldung (und ihre Varianten, je nachdem, ob der Neustart nach einer bestimmten Zeit erfolgt) ist in allen von uns unterstützten Sprachen verfügbar: Englisch, Deutsch, Französisch, Spanisch, Italienisch, Niederländisch, Schwedisch, Norwegisch, Dänisch, Portugiesisch, Polnisch und Russisch.

Ist der NinjaRMM-Agent mit Windows 11 kompatibel?

NinjaOne hat den NinjaRMM-Agenten und seine integrierten Komponenten sowohl auf neuen als auch auf aktualisierten Installationen von Windows 11 getestet und das Betriebssystem als unterstützt in unsere Dokumentation „NinjaOne Endpoint Management: Systemanforderungen und Kompatibilität“ aufgenommen. Wenden Sie sich an den Support, falls Probleme auftreten.

Wie stuft Windows das Patch und das Upgrade auf Windows 11 ein?

Laut dem Übersichtsartikel zu Windows 11 von Microsoft wird das Windows 11-Upgrade als Feature-Update klassifiziert:

Für Administratoren, die Geräte im Auftrag ihrer Organisation verwalten, wird Windows 11 über dieselben vertrauten Kanäle verfügbar sein, die Sie heute für Windows 10-Feature-Updates nutzen. Sie können vorhandene Bereitstellungs- und Verwaltungstools wie Windows Update for Business, Microsoft Endpoint Manager und Windows Autopilot verwenden. Weitere Informationen finden Sie unter „Planen für Windows 11“.

Wie stelle ich sicher, dass meine Windows 10-Geräte nicht auf Windows 11 aktualisiert werden?

Windows-Updates funktionieren wie folgt: Das Feature-Update für Windows 11, 22H2, wird für Windows 10-Geräte vorgeschlagen. Wenn Sie dieses Feature-Update genehmigt haben, führt NinjaOne ein Upgrade Ihrer Windows 10-Geräte auf Windows 11 durch. Um dies zu verhindern, müssen Sie in der lokalen Windows-Update-Benutzeroberfläche die Option „Vorerst bei Windows 10 bleiben“ auswählen.

Sie können das folgende Skript verwenden, um den Befehl zu automatisieren:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 1
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersionInfo /t REG_SZ /d 22H2
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v ProductVersion /t REG_SZ /d "Windows 10"

Verwenden Sie diese Zeile, um den Befehl zu entsperren:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 0

In NinjaOne finden Sie die Genehmigungs-Einstellungen für den Patch-Typ „Feature Updates“ unter „Windows-Patches“„Erweiterte Genehmigungen“ in Ihren Richtlinien-Einstellungen für das Betriebssystem-Patch-Management.

  • „Ablehnen“ verhindert, dass der Patch (und alle anderen Feature-Updates) auf Ihren verwalteten Rechnern installiert wird, wenn das System ihn während eines Scans findet.
  • „Genehmigen“ sorgt dafür, dass der Patch im nächsten Anwendungszyklus auf Ihre verwalteten Rechner übertragen wird, nachdem das System ihn bei einem Scan gefunden hat.
  • Mit „Manuell“ können Sie wählen, ob Sie den Patch ablehnen oder genehmigen möchten, wenn das System ihn während eines Scans findet.

policy_windows patches_feature updates_edit approval.png
Abbildung 1: Genehmigungen für Feature-Updates auf Richtlinienebene in NinjaOne bearbeiten

Weitere Informationen zur Konfiguration dieser Einstellungen finden Sie unter „Richtlinien: Windows-Patch-Management “.

Wie funktioniert das Windows-Patch-Management-Tool von NinjaOne?

Die ausführbare Datei für das Patch-Management-Tool von NinjaOne befindet sich im Installationsverzeichnis des NinjaOne-Agenten. Diese ausführbare Datei übernimmt die Erkennung und Installation von Patches über die Windows Update Agent API. Je nach Richtlinienkonfiguration führt ein typischer WPM-Scanzyklus bis zu drei Scans durch:

  • Ein Scan nach empfohlenen Updates, der alle Elemente unter „Wichtig“ im Abschnitt „Genehmigungen“ der OS-Patching-Richtlinieneinstellungen umfasst.
  • Einen Scan nach optionalen Updates und Feature-Updates (sofern aktiviert).
  • Ein Scan nach Treibern (sofern aktiviert).

Wann wird der Windows 11-Upgrade-Patch für meine verwalteten Rechner über das Windows-Patch-Management-Tool von NinjaOne verfügbar sein?

Weitere Informationen finden Sie unter „NinjaOne Endpoint Management: Systemanforderungen und Kompatibilität“ aufgeführten Betriebssysteme sind mit unserem Windows-Patch-Management kompatibel. Viele Versionen von Windows Vista, Windows 7 und Windows Server 2008 unterstützen das Windows-Patch-Management jedoch nicht, da Microsoft einen veralteten Windows Update-Service-Endpunkt eingestellt hat (SHA-1-basierte Windows Update-Endpunkte für ältere Windows-Geräte wurden eingestellt).

Sie können Geräte mit Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 aktualisieren, um das Windows-Patch-Management zu ermöglichen, indem Sie die Schritte im oben verlinkten Microsoft-Artikel befolgen.

Woher stammen die Daten im Feld „Neustart erforderlich“, wenn die Liste der ausstehenden/genehmigten/abgelehnten Patches angezeigt wird?

Diese Daten werden direkt aus dem Microsoft Update-Katalog für jeden Patch abgerufen.

Was bedeuten die Daten im Feld „Installiert/Versucht von“, wenn die Liste der installierten/fehlgeschlagenen Patches angezeigt wird?

  • Ein Wert, der als „NinjaRMM Scheduled Update“ aufgeführt ist, zeigt an , dass der Patch während eines geplanten Windows-Patch-Management-Aktualisierungszyklus gemäß den Richtlinieneinstellungen des Geräts installiert wurde.
  • Ein Wert, der als „NinjaRMM: <Techniker-Name>“ aufgeführt ist, bedeutet , dass der betreffende Techniker einen Ad-hoc-Windows-Patch-Management-Update-Zyklus ausgelöst hat, durch den der Patch auf dem Gerät installiert wurde.
  • Ein Wert, der als „NinjaRMM Update Engine“aufgeführt ist, bedeutet, dass der Patch von der alten Update-Engine von NinjaOne installiert wurde.
  • Jeder andere Wert bedeutet, dass der Patch nicht vom Windows-Patch-Management-Tool von NinjaOne installiert wurde.

Wenn der Patch nicht von NinjaOne installiert wurde, hängt der angezeigte Wert vollständig von der Instanz ab, die die Software installiert hat (dieses Feld kann beispielsweise leer sein). Hier sind einige Beispiele für andere Werte, die hier angezeigt werden können:

Wie können Sie die Sprache in der Neustart-Eingabeaufforderung von Windows Patch Management ändern?

Die Aufforderung zum Neustart von Windows Patch Management verwendet die Sprache des installierten Betriebssystems. Derzeit werden Französisch, Deutsch, Spanisch und Englisch unterstützt.

Warum erscheinen Patches manchmal immer noch in der Liste „Installiert“ in NinjaOne, obwohl ich sie lokal vom Rechner deinstalliert habe?

Dies liegt an der Art der Protokollierung durch Microsoft. In einigen Fällen werden Patches, die lokal auf einem Rechner deinstalliert wurden, weiterhin in der Liste „Installiert“ in NinjaOne angezeigt.

Nachdem Feature-Updates auf den Computern durchgeführt wurden, erscheint die Liste „Installiert“ leer. Warum tritt dies auf?

Dies liegt an einer Windows-Funktion, die möglicherweise den lokalen Patch-Verlauf von einem Rechner löscht, wenn ein Feature-Update installiert wird. In diesem Fall wird die Liste „Installierte Patches“ als leer angezeigt, aber die Betriebssystemversion für das Gerät wird aktualisiert, um die erwartete Windows-Version anzuzeigen.

Wie weckt NinjaOne das Gerät, wenn die Option zum Wecken eines Systems für die Patch-Installation aktiviert ist?

Diese Option nutzt eine Windows-API-Funktion, um die Weckzeit eines Geräts festzulegen. Geräte können aus dem Ruhezustand geweckt werden. Damit diese Funktion funktioniert, müssen im System Weck-Timer aktiviert sein.

Ist es möglich, dass Geräte nach einem Scan-Zyklus statt nach einem Anwendungszyklus einen Neustart benötigen?

Ab Version 9.0 lösen Scan-Zyklen keine Neustarts mehr aus. Dies verhindert unerwartete Geräte-Neustarts und sorgt für eine sichere Ausführung der Scans.  

Spiegelt das unter „Update-Verlauf anzeigen“ in der lokalen Windows Update-Anwendung angezeigte Datum des letzten Scans die über NinjaOne durchgeführten Scans wider?

Nein. NinjaOne kann das Datum des letzten Scans in der Windows Update-Anwendung nicht aktualisieren. Dieses Datum gibt das letzte Mal wieder, zu dem ein manueller Patch-Scan von Windows Update und nicht von NinjaOne ausgeführt wurde. 

Werden NinjaOne-Patches lokal auf dem Gerät unter „Update-Verlauf anzeigen“ angezeigt?

Über NinjaOne installierte Patches werden nicht angezeigt. Lokal installierte Patches werden jedoch weiterhin unter „Update-Verlauf“ auf dem Gerät angezeigt.

Warum läuft ein manueller Scan- und Anwendungsauftrag ab?

Die in der Richtlinie festgelegte Dauer gilt auch für manuelle Scan- und Anwendungszyklen.

Führt NinjaOne BIOS-Updates durch?

NinjaOne steuert alle über Microsoft bereitgestellten Patches, zu denen gelegentlich auch BIOS-Updates gehören. Aus Gründen der Konsistenz empfehlen wir die Verwendung benutzerdefinierter Skripte für BIOS-Updates, die Sie in unserem Artikel „Script Share: Patch Management“ finden. 

FAQ zur Patch-Planung

Kann ich einen Windows-Patch-Scan und einen Update-Zyklus so planen, dass sie gleichzeitig ausgeführt werden?

Wir empfehlen, die Scan- und Update-Zeitpläne um mindestens eine Stunde voneinander zu trennen, damit genügend Zeit bleibt, eine Aktion abzuschließen, bevor die andere beginnt. Wenn Sie Ihre Scan- und Update-Zyklen dennoch so planen, dass sie gleichzeitig ausgeführt werden, oder wenn ein Anwendungszyklus beginnt, bevor der Scan-Zyklus abgeschlossen werden konnte, wird der Scan übersprungen oder abgebrochen, und der Update-Zyklus hat Vorrang.

Wird ein Scan-Zyklus unmittelbar vor einem Anwendungszyklus ausgeführt?

Ja. Während eines Anwendungszyklus für das Windows-Patch-Management wird vor dem Anwenden der Updates ebenfalls ein Scan durchgeführt.

Warum erhalte ich eine Benachrichtigung „Neustart erforderlich“ für Windows-Patches, und kann ich den automatischen Neustart verhindern? 

Benachrichtigungen zum „erforderlichen Neustart“ werden durch die auf Richtlinienebene eingerichteten Patch-Management-Optionen ausgelöst. Techniker können aus mehreren Optionen wählen, darunter die Entscheidung, ob der Endbenutzer einen Neustart akzeptieren darf, ob ein Neustart mit Benachrichtigung erfolgen soll oder ob ein automatischer Neustart durchgeführt wird. Wenn Ihr Patch-Management-Zeitplan so eingerichtet wurde, dass der Benutzer zum Neustart aufgefordert wird, hat der Techniker eine zusätzliche Option, um nach einer bestimmten Anzahl von Aufforderungen einen Neustart zu erzwingen. 

Nachfolgend finden Sie ein Beispiel für eine Benachrichtigung über einen erforderlichen Neustart, wie sie der Endbenutzer sieht, sowie die Einstellungsoptionen für den Neustart, wie sie der Techniker sieht. Techniker verfügen außerdem über ein Dialogfeld zum Hinzufügen benutzerdefinierter Meldungen, sodass die Benachrichtigung über den erforderlichen Neustart je nach Kundenspezifikationen variieren kann. 

NewUI_PebootDialog.png
Abbildung 2: Beispiel für die Aufforderung „Neustart erforderlich“ (zum Vergrößern anklicken)

reboot req prompt ex.png
Abbildung 3: Beispiel für die Konfiguration der Aufforderung „Neustart erforderlich“ (zum Vergrößern anklicken)

FAQ zur Patch-Verfügbarkeit

Im Folgenden finden Sie eine Liste häufig gestellter Fragen zur Patch-Verfügbarkeit mit dem Windows-Patch-Management-Tool von NinjaOne.

Woher weiß NinjaOne, welche Patches installiert werden müssen?

Microsoft verteilt neu veröffentlichte Patches über Service-Kanäle.

  • Wenn das Gerät das betreffende Update während eines normalen, lokalen Update-Scans erkennen kann, kann NinjaOne diese Patches auch beim nächsten Patch-Management-Scan erkennen.
  • Wenn das Gerät den Patch nicht erkennen kann, zeigt NinjaOne ihn auch nicht an, da NinjaOne die Ergebnisse und Daten von Windows Updater nutzt.

NinjaOne erkennt Patches nur, wenn sie zum Zeitpunkt der Durchführung eines Windows-Patch-Scans verfügbar sind. Es ist wichtig zu beachten, dass ein lokal auf einem Gerät ausgeführter Windows-Patch alle in NinjaOne konfigurierten Windows-Patch-Management-Richtlinieneinstellungen umgeht (d. h., Patches würden nicht gemäß den konfigurierten Richtlinieneinstellungen genehmigt oder abgelehnt).

Was passiert, wenn ein Patch nicht verfügbar ist?

In seltenen Fällen kann es zu einer Verzögerung zwischen der Veröffentlichung eines Sicherheitsupdates durch Microsoft und der direkten Verfügbarkeit dieses Patches über Windows Update kommen. Microsoft rollt Patches nach und nach auf alle Windows-Geräte aus, weshalb sie auf einem Gerät verfügbar sind, auf einem anderen jedoch nicht, selbst wenn Sie ein manuelles Update direkt auf den Geräten durchführen. Klicken Sie hier für eine Liste der Sicherheitsupdates von Microsoft.

Microsoft fügt Patches in der Regel am zweiten Dienstag jedes Monats zum Windows Update-Katalog hinzu. Bevor diese Patches hinzugefügt werden, kann NinjaOne sie während eines Scan-Zyklus nicht erfassen. Klicken Sie hier, um eine Liste der aktuellen Patches aufzurufen, die über Windows Update und damit auch über die Patch-Management-Funktion von NinjaOne verfügbar sind.

Wie kann ich einen Patch installieren, wenn er in NinjaOne nicht verfügbar ist?

Wenn der Windows Update-Dienst des Geräts den von Microsoft bereitgestellten Patch noch nicht erkennt, müssen Sie den Patch manuell installieren.

Wenn Sie nicht darauf warten möchten, dass Microsoft dem Gerät mitteilt, dass der Patch für dieses Gerät verfügbar ist, gibt es zwei Möglichkeiten:

  • Führen Sie Windows Update manuell auf dem/den Gerät(en) aus, um den Patch zu erhalten, sobald er verfügbar ist. Möglicherweise müssen Sie dies mehrmals tun, wenn der Patch bei Microsoft noch nicht verfügbar ist.
  • Laden Sie den Patch aus dem Microsoft Update-Katalog herunter und installieren Sie ihn manuell über die Befehlszeile oder ein benutzerdefiniertes Skript.

Warum muss dies manuell erfolgen?

  • NinjaOne unterhält kein Patch-Repository für die Bereitstellung von Patches auf Geräten.
  • NinjaOne nutzt den lokalen Windows Update-Dienst auf dem jeweiligen Gerät, der wiederum die Microsoft-Server kontaktiert, um anhand verschiedener Faktoren herauszufinden, welche Patches für das Gerät verfügbar sind. Sobald der Update-Dienst seinen Katalog mit verfügbaren Patches erhalten hat, teilt NinjaOne dem Gerät anhand Ihrer Einstellungen in der NinjaOne-Konsole mit, wann diese installiert werden sollen.

Findet ein geplanter automatischer Neustart auch dann statt, wenn Benutzer noch angemeldet sind, den Computer aber nicht aktiv nutzen?

Nein. Wir raten auch davon ab, einen im Leerlauf befindlichen Computer neu zu starten, da Sie wichtige, nicht gespeicherte Daten und geöffnete, unvollendete Arbeiten verlieren könnten.

FAQ

Nächste Schritte