Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Windows-Patch-Verwaltung: FAQ

Thema

Dieser Artikel beantwortet häufig gestellte Fragen zur Windows-Patch-Verwaltung. 

Weitere Artikel zum Thema Patching in NinjaOne finden Sie in unserem Patching Resource Catalogue.

Umgebung

  • NinjaOne Patch Management
  • Windows-Betriebssystem

Beschreibung

FAQ zu allgemeinen Fragen

FAQ zu allgemeinen Fragen

Wie werden die Registry-Einstellungen für WSUS-Server in NinjaOne geschrieben?

Wenn der "Kontroll"-Modus in NinjaOne deaktiviert ist, werden die automatischen Betriebssystem-Updates deaktiviert. Wenn Sie in NinjaOne Änderungen an WSUS konfigurieren, werden diese Änderungen auch in der Registrierung übernommen.

Funktioniert NinjaOne noch, um das Betriebssystem zu patchen, wenn wir Windows-Updates in GPO deaktivieren? 

Wenn Sie nicht möchten, dass die Benutzer Windows Update manuell ausführen, können Sie dieses GPO verwenden: https://learn.microsoft.com/en-us/windows/deployment/update/waas-wu-settings#remove-access-to-use-all-windows-update-features.

Gibt es eine Begrenzung für die Anzahl der Sprachen, in die die von NinjaOne und dem Systray-Symbol ausgelösten Aufforderungen zum Neustart übersetzt werden können? Gibt es eine Möglichkeit, die übersetzten Sprachen zu erfahren? 

Diese spezielle Meldung (und ihre Variationen, je nachdem, ob der Neustart in einer bestimmten Zeitspanne erfolgt) ist in allen von uns unterstützten Sprachen verfügbar: Englisch, Deutsch, Französisch, Spanisch, Italienisch, Niederländisch, Schwedisch, Norwegisch, Dänisch, Portugiesisch, Polnisch und Russisch.

Ist der NinjaRMM-Agent mit Windows 11 kompatibel?

NinjaOne hat den NinjaRMM Agent und seine integrierten Komponenten sowohl auf neuen als auch auf aktualisierten Installationen von Windows 11 getestet und wir haben es als unterstütztes Betriebssystem in unsere Systemanforderungen und OS Support Dokumentation aufgenommen. Wenden Sie sich an den Support, wenn Sie auf Probleme stoßen.

Wie wird Windows den Patch und das Upgrade auf Windows 11 einstufen?

Laut dem Windows 11-Übersichtsartikel von Microsoft wird das Windows 11-Upgrade als Funktionsupdate eingestuft:

Für Administratoren, die Geräte im Namen ihrer Organisation verwalten, wird Windows 11 über die gleichen vertrauten Kanäle verfügbar sein, die Sie heute für Windows 10 Feature-Updates verwenden. Auch können bestehende Verteilungs- und Management-Tools wie Windows Update für Business, Microsoft Endpoint Manager und Windows Autopilot weiterverwendet werden. Weitere Informationen finden Sie inPlan für Windows 11.

Wie kann ich sicherstellen, dass meine Windows 10-Geräte nicht auf Windows 11 aktualisiert werden?

Windows Updates funktionieren wie folgt: Windows-10-Geräten wird das Feature Update für Windows 11, 22H2, vorgeschlagen. Wenn Sie diesem Funktionsupdate zugestimmt haben, wird NinjaOne Ihre Windows 10 Geräte auf Windows 11 aktualisieren. Um dies zu verhindern, müssen Sie in der lokalen Windows-Updates-GUI die Option "Vorerst auf Windows 10 bleiben" auswählen.

Sie können das folgende Skript verwenden, um den Befehl zu automatisieren:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 1reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersionInfo /t REG_SZ /d 22H2reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v ProductVersion /t REG_SZ /d "Windows 10"

Verwenden Sie diese Zeile, um den Befehl freizugeben:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 0

In NinjaOne finden Sie die Genehmigungseinstellungen für den Patch-Typ "Feature-Updates" unter Windows PatchesErweiterte Genehmigung(en) in den Einstellungen Ihrer OS-Patch-Management-Richtlinie.

  • Ablehnen blockiert die Installation des Patches (und aller anderen Funktionsupdates) auf den verwalteten Computern, wenn das System ihn bei einer Überprüfung findet.
  • Approve überträgt den Patch während des nächsten Anwendungszyklus auf die verwalteten Rechner, nachdem das System ihn bei einem Scan gefunden hat.
  • Mit der Option Manuell können Sie wählen, ob der Patch abgelehnt oder genehmigt werden soll, wenn das System ihn bei einer Überprüfung findet.

policy_windows patches_feature updates_edit approval.png 
1. Screenshot: Bearbeitung der Genehmigung für Funktionsaktualisierungen auf Richtlinienebene in NinjaOne

Siehe Policies: Windows-Patchverwaltung – hier finden Sie weitere Information zum Konfigurieren der genannten Einstellungen.

Wie funktioniert NinjaOnes Tool für die Windows-Patchverwaltungs?

Die ausführbare Datei für NinjaOne's Patch Management Tool befindet sich im Installationsverzeichnis des NinjaOne Agenten. Diese ausführbare Datei übernimmt die Erkennung und Installation von Patches über die Windows Update Agent API. Je nach Richtlinienkonfiguration führt ein typischer WPM-Scan-Zyklus bis zu drei Scans durch:

  • Ein Scan nach empfohlenen Updates berücksichtigt alles, was als Wichtig im Abschnitt Genehmigungen der Richtlinieneinstellungen für Betriebssystempatches aufgeführt ist.
  • Ein Scan nach Optionalen Updates und Feature Updates (falls aktiviert).
  • Ein Scan nach Treibern (falls aktiviert).

Wann wird der Windows-11-Upgrade-Patch über NinjaOnes Windows-Patchverwaltungs-Tool für die von mir verwalteten Rechner zur Verfügung stehen?

Siehe  Windows Patch Management: Patch-Verfügbarkeit für weitere Informationen. 

Worin besteht der Unterschied zwischen dem Windows Patchverwaltungs-Tool von NinjaOne und Windows Updates?

NinjaOne's Windows Patch Management und Windows Updates beziehen beide direkt aus dem Windows Update Katalog aller verfügbaren Patches. NinjaOne erkennt während eines Scans den Patch-Verlauf und führt jene Patches auf, die außerhalb von NinjaOne per Windows Updates installiert wurden. Es ist jedoch wichtig zu wissen, dass NinjaOne nicht verhindern kann, dass ein Kunde einen Patch über Windows Update installiert.

Was geschieht, wenn Microsoft einen neuen Patch veröffentlicht? 

Microsoft verteilt neu veröffentlichte Patches über die Servicekanäle. Wenn das Gerät das Update während eines lokalen Update-Scans erkennt, kann NinjaOne diese Patches auch während des nächsten Patch-Management-Scans erkennen. Wenn das Gerät den Patch nicht erkennt, zeigt NinjaOne ihn auch nicht an, da NinjaOne die Ergebnisse und Daten von Windows Updater verwendet.

NinjaOne erkennt Patches nur, wenn sie verfügbar sind, wenn Sie einen Windows Patch Scan durchführen. Es ist wichtig zu beachten, dass ein lokaler Patch-Scan auf einem Gerät alle in NinjaOne konfigurierten Windows-Patch-Management-Richtlinieneinstellungen umgeht.

Ich habe ein Sicherheitsupdate gefunden, das über Microsoft verfügbar ist, aber von den Patch-Scan-Zyklen von NinjaOne nicht erfasst wird. Was ist der Grund dafür?

In einigen Fällen kann es zu einer Verzögerung zwischen der Veröffentlichung eines Sicherheitsupdates durch Microsoft und dem Zeitpunkt kommen, zu dem das Patch direkt über Windows Update verfügbar ist. Der Windows Update-Katalog fügt normalerweise am zweiten Dienstag eines jeden Monats Patches hinzu. NinjaOne kann diese Patches während eines Scan-Zyklus nicht aufspüren, bis Windows Update sie dem Katalog hinzufügt.

Klicken Sie hier, um eine Liste der neuesten Patches zu erhalten, die über Windows Update und damit über die Patch-Management-Funktion von NinjaOne verfügbar sind. Weitere Informationen zur Patch-Verfügbarkeit finden Sie unter Windows Patch Management: Patch-Verfügbarkeit.

Wie kann ich verhindern, dass ein bestimmter Patch auf meinen Geräten installiert wird?

Um zu verhindern, dass ein Patch, der bei einem Scan noch nicht gefunden wurde, auf Ihren Geräten installiert wird, können Sie auf Richtlinien- oder globaler Ebene eine präemptive Ablehnung für die KB hinzufügen. Alternativ können Sie einen Patch für Ihre Geräte/Richtlinien manuell ablehnen, wenn NinjaOne ihn bei einem Scan findet. Siehe Windows Patch Management: Genehmigung und Ablehnung von Patches für weitere Informationen. 

Wie muss ich NinjaOne konfigurieren, um Treiber- oder Feature Updates anzuwenden?

Sie können das Patchen von Treiber- und Funktionsupdates ähnlich wie andere Patch-Typen konfigurieren. Navigieren Sie unter den Richtlinieneinstellungen für Windows-Patches zum Abschnitt Erweiterte Genehmigung , aktivieren Sie die Kästchen neben Treiber- und/oder Feature-Updates und geben Sie die gewünschte Genehmigungsoption an (genehmigen, manuell oder ablehnen).

Wenn Sie es vorziehen, Funktionsupdates außerhalb von NinjaOne's Patch-Management-Funktionalität zu verteilen, verwenden Sie die folgende Skript-Ressource: Benutzerdefiniertes Skript: Upgrade Windows 10 build.

Kann ich meine Windows Patchverwaltungs-Einstellungen so konfigurieren, dass Windows Defender keine Patches bereitstellt (z. B. Definitions-Updates)?

Nein. NinjaOne's Windows Patch Management Tool kann Windows Defender nicht daran hindern, Patches zu verteilen.

Welche Windows-Versionen sind mit NinjaOne's Windows Patch Management Tool kompatibel?

Die meisten der in unserer Dokumentation zu Systemanforderungen und Betriebssystemunterstützung aufgeführten Betriebssysteme sind mit unserem Windows-Patch-Management kompatibel. Viele Versionen von Windows Vista, Windows 7 und Windows Server 2008 unterstützen jedoch keine Windows-Patch-Verwaltung, da Microsoft einen veralteten Endpunkt des Windows Update-Dienstes eingestellt hat(Windows Update SHA-1-basierte Endpunkte werden für ältere Windows-Geräte nicht mehr angeboten).

Sie können Geräte mit Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 aktualisieren, um die Windows-Patch-Verwaltung gemäß den Schritten in dem oben verlinkten Microsoft-Artikel zu ermöglichen.

Woher stammen die Daten im Feld Neustart erforderlich in der Liste der ausstehenden/genehmigten/abgelehnten Patches?

Diese Daten werden direkt aus dem Microsoft Update-Verzeichnis für jeden Patch abgerufen.

Was bedeuten die Daten in dem Feld Installiert/Installationsversuch durch beim Betrachten der Liste für installierte/fehlgeschlagene Patches?

  • Ein Wert, der als NinjaRMM Geplantes Update aufgeführt ist, bedeutet, dass der Patch während eines geplanten Windows Patch Management Update-Zyklus gemäß den Richtlinieneinstellungen des Geräts installiert wurde.
  • Ein Wert, der als NinjaRMM: <Techniker-Name> aufgeführt ist, bedeutet, dass der betreffende Techniker einen Ad-hoc-Update-Zyklus für die Windows-Patch-Verwaltung ausgelöst hat, wodurch der Patch auf dem Gerät installiert wurde.
  • Ein Wert, der als NinjaRMM Update Engine aufgeführt ist, bedeutet, dass der Patch von NinjaOne's Legacy Update Engine installiert wurde.
  • Sonstige Werte zeigen an, dass der Patch nicht durch das Windows-Patchverwaltung-Tool von NinjaOne installiert wurde.

Falls der Patch nicht durch NinjaOne installiert wurde, hängt der gelistete Wert komplett von der Entität ab, welche die Software installiert hat (dieses Feld kann bspw. leer sein). Im Folgenden einige Beispiele für sonstige Werte, die hier gegebenenfalls angezeigt werden:

Wie kann man die Sprache der im Rahmen der Windows Patchverwaltung angezeigten Neustartaufforderung ändern?

Die Aufforderung zum Neustart von Windows Patch Management wird in der Sprache des installierten Betriebssystems angezeigt. Zurzeit werden die Sprachen Französisch, Deutsch, Spanisch und Englisch unterstützt.

Warum bleiben Patches in NinjaOne manchmal in der Installiert-Liste aufgeführt, obwohl ich sie auf dem Rechner lokal deinstalliert habe?

Das hat mit der Natur des Microsoft-Verlaufs zu tun. In einigen Fällen bleiben auch Patches, die auf einem Rechner lokal deinstalliert wurden, weiterhin in der in NinjaOne angezeigten Installiert-Liste aufgeführt.

Nachdem Funktionsaktualisierungen auf Rechnern durchgeführt wurden, erscheint die Liste Installiert leer. Woran liegt das?

Das liegt an der Funktionsweise von Windows, aufgrund derer es dazu kommen kann, dass nach Installation eines Feature-Updates der lokale Patching-Verlauf von einem Rechner gelöscht wird. In einem solchen Fall ist die angezeigte Liste der installierten Patches leer, doch aktualisiert sich die Betriebssystemversion des Gerätes, so dass die erwartete Windows-Version angezeigt wird.

Wenn die Option, ein System zum Patchen aufzuwecken, aktiviert ist, wie weckt NinjaOne das Gerät auf?

Diese Option verwendet eine Windows-API-Funktion, um die Aufwachzeit eines Geräts festzulegen. Geräte können aus dem Ruhezustand aufgeweckt werden. Damit diese Funktion funktioniert, muss der Weckdienst aktiviert sein.

Ist es möglich festzulegen, dass Geräte nach einem Scan neu starten statt das Update installieren sollen?

Ab Version 9.0 lösen die Scan-Zyklen keine Neustarts mehr aus. Dies verhindert unerwartete Neustarts des Geräts und macht die Durchführung von Scans sicher.  

Spiegelt das Datum der letzten Überprüfung, das unter "Updateverlauf anzeigen" in der lokalen Windows Update Anwendung aufgeführt ist, die über NinjaOne durchgeführten Überprüfungen wider?

Nein. NinjaOne kann das Datum des letzten Scans in der Windows Update Anwendung nicht aktualisieren. Dieses Datum spiegelt das letzte Mal wider, als eine manuelle Patch-Überprüfung von Windows Update und nicht von NinjaOne durchgeführt wurde. 

Erscheinen NinjaOne Patches lokal auf dem Gerät unter “Update-Verlauf anzeigen“?

Mittels NinjaOne installierte Patches werden nicht angezeigt. Lokal installierte Patches werden jedoch weiterhin unter "Aktualisierungsverlauf" auf dem Gerät angezeigt.

Warum wird ein manueller Scan- und Anwendungsauftrag zeitlich verzögert?

Die in der Richtlinie eingestellte Dauer gilt ebenso für manuelle Scans/Anwendungszyklen.

Führt NinjaOne BIOS-Updates durch?

NinjaOne kontrolliert alle von Microsoft bereitgestellten Patches, zu denen gelegentlich auch BIOS-Updates gehören. Aus Gründen der Konsistenz empfehlen wir die Verwendung von benutzerdefinierten Skripten für BIOS-Updates, die Sie in unserem Script Share finden können: Patch-Verwaltung

FAQ zur Patch-Planung

  • Kann ich einen Windows Patch-Scan und ein Windows Update so planen, dass beide gleichzeitig ausgeführt werden?
  • Wird ein Scanzyklus unmittelbar vor einem Anwendungszyklus ausgeführt?
  • Warum erhalte ich die Nachricht, dass für das Windows Patching ein Neustart erforderlich sei, und kann ich den automatischen Neustart verhindern? 

Kann ich einen Windows Patch-Scan und ein Windows Update so planen, dass beide gleichzeitig ausgeführt werden?

Wir haben empfohlen, die Zeitpläne für die Überprüfung und die Aktualisierung um mindestens eine Stunde zu verschieben, damit genügend Zeit bleibt, um die eine Aktion abzuschließen, bevor die andere beginnt. Wenn Sie Ihre Scan- und Aktualisierungszyklen so planen, dass sie zur gleichen Zeit ausgeführt werden, oder wenn ein Anwendungszyklus beginnt, bevor der Scan-Zyklus abgeschlossen werden konnte, wird der Scan übersprungen oder beendet, und der Aktualisierungszyklus hat Vorrang.

Wird ein Scanzyklus unmittelbar vor einem Anwendungszyklus ausgeführt?

Ja. Während eines Windows-Patch-Management-Anwendungszyklus wird vor der Anwendung von Updates ebenfalls eine Überprüfung durchgeführt.

Warum erhalte ich die Nachricht, dass für das Windows Patching ein Neustart erforderlich sei, und kann ich den automatischen Neustart verhindern? 

die Benachrichtigungen "Neustart erforderlich" werden von den auf der Richtlinienebene eingerichteten Patch-Management-Optionen ausgelöst. Techniker können hier aus verschiedenen Optionen auswählen, nämlich dass der Endbenutzer einen Neustart erst akzeptieren muss oder ein Neustart nach Benachrichtigung oder aber automatisch erfolgt. Wenn Ihre Patch-Verwaltung so eingestellt war, dass ein Nutzer zum Neustart aufgefordert wird, hat der Techniker zusätzlich die Möglichkeit, nach einer bestimmten Zahl von Aufforderungen einen Neustart zu erzwingen. 

Im Folgenden finden Sie ein Beispiel für eine Benachrichtigung über einen erforderlichen Neustart, wie sie der Endbenutzer sieht, und die Optionen für die Neustart-Einrichtung, wie sie der Techniker sieht. Techniker haben auch die Möglichkeit, benutzerdefinierte Meldungen hinzuzufügen, so dass die Meldung über den erforderlichen Neustart je nach Kundenwunsch variieren kann. 

NewUI_PebootDialog.png 
2. Screenshot: beispiel für die Aufforderung "Neustart erforderlich" (zum Vergrößern anklicken)

reboot req prompt ex.png 
3. Screenshot: Beispiel für die Konfiguration der Aufforderung "Neustart erforderlich" (zum Vergrößern anklicken)

FAQ zur Patch-Verfügbarkeit

Im Folgenden finden Sie eine Liste häufig gestellter Fragen zur Patch-Verfügbarkeit mit NinjaOnes Windows-Patch-Management-Tool.

Woher weiß NinjaOne, welche Patches nötig sind?

Microsoft verteilt neu veröffentlichte Patches über die Servicekanäle.

  • Wenn das Gerät das betreffende Update während eines normalen, lokalen Update-Scans erkennen kann, kann NinjaOne diese Patches auch während des nächsten Patch-Management-Scans erkennen.
  • Wenn das Gerät den Patch nicht erkennt, zeigt NinjaOne ihn auch nicht an, da NinjaOne die Ergebnisse und Daten von Windows Updater verwendet.

NinjaOne kann Patches nur dann auffinden, wenn sie bei der Ausführung eines Windows-Patches verfügbar sind. Es ist wichtig zu beachten, dass ein Windows-Patch, der lokal auf einem Gerät ausgeführt wird, alle in NinjaOne konfigurierten Windows-Patch-Management-Richtlinieneinstellungen umgeht (d.h. Patches werden nicht gemäß den konfigurierten Richtlinieneinstellungen genehmigt oder abgelehnt).

Was geschieht, wenn ein Patch nicht verfügbar ist?

In einigen Fällen kann es zu einer Verzögerung zwischen der Veröffentlichung eines Sicherheitsupdates durch Microsoft und dem Zeitpunkt kommen, zu dem das Patch direkt über Windows Update verfügbar ist. Microsoft verteilt Patches im Laufe der Zeit langsam an alle Windows-Geräte, weshalb sie auf einem Gerät verfügbar sind, auf einem anderen jedoch nicht, selbst wenn Sie ein manuelles Update direkt auf den Geräten ausführen. Hier finden Sie eine Liste der Sicherheits-Updates von Microsoft.

Microsoft fügt dem Windows Update-Katalog in der Regel am zweiten Dienstag eines jeden Monats Patches hinzu. Bevor diese Patches nicht hinzugefügt wurden, kann NinjaOne sie während eines Scan-Zyklus nicht aufspüren. Klicken Sie hier, um eine Liste der neuesten Patches zu erhalten, die über Windows Update und damit über die Patch-Management-Funktion von NinjaOne verfügbar sind.

Wie kann ich einen Patch installieren, wenn er in NinjaOne nicht verfügbar ist?

Wenn der Windows Update-Dienst des Geräts das von Microsoft bereitgestellte Patch noch nicht erkennt, müssen Sie das Patch manuell installieren.

Wenn Sie nicht darauf warten möchten, dass Microsoft dem Gerät mitteilt, dass der Patch für dieses Gerät verfügbar ist, gibt es zwei Möglichkeiten:

  • Führen Sie Windows Update manuell auf dem/den Gerät(en) aus, um den Patch zu erhalten, sobald er verfügbar ist. Möglicherweise müssen Sie diesen Vorgang mehrmals wiederholen, wenn der Patch von Microsoft noch nicht verfügbar ist.
  • Laden Sie den Patch aus dem Microsoft Update-Katalog herunter und installieren Sie ihn manuell über die Befehlszeile oder ein benutzerdefiniertes Skript.

Warum muss das manuell geschehen?

  • NinjaOne unterhält kein Patch-Repository für die Bereitstellung von Patches für Geräte.
  • NinjaOne nutzt den lokalen Windows-Update-Dienst auf dem einzelnen Gerät, der wiederum die Microsoft-Server kontaktiert, um herauszufinden, welche Patches auf der Grundlage mehrerer Faktoren für das Gerät verfügbar sind. Sobald der Update-Service seinerseits den Katalog verfügbarer Patches erhält, informiert NinjaOne das Gerät über den Zeitpunkt der Installation der Updates, gemäß den von Ihnen in der NinjaOne-Konsole vorgenommenen Einstellungen.

Erfolgt ein geplanter automatischer Neustart auch dann, wenn die Benutzer zwar angemeldet sind, den Computer aber nicht aktiv nutzen?

Nein. Wir raten auch davon ab, einen Computer im Leerlauf neu zu starten, da Sie wichtige ungespeicherte Daten und offene, unvollendete Arbeiten verlieren könnten.

FAQ

Nächste Schritte