Win.desy.de Status April 2021 - Reinhard Baltrusch Hamburg, 13.04.2021 - DESY Indico
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
win.desy.de Status April 2021 Reinhard Baltrusch Hamburg, 13.04.2021 Termine : - Windows-Wartungstag/Patchday : Mi. 21.04.2021
Windows 10 [20H2] Rollout
Status
Windows 10 Enterprise [20H2] :
Nach domainweiter Freigabe des Feature Updates aktuell auf 5546 Systemen.
Auch wenn die Installation des FU 20H2 für ältere Hardware noch funktioniert hat, ist dennoch ein Ersatz
einzuplanen (z.B. für DQ67SW, kein Hersteller-Support seit Nov. 2019, im Prinzip alle Rechner, die seit
2019 kein BIOS-Update mehr erhalten haben; ältestes unterstütztes Latitude : E7470).
Restanten (Windows 10 [1909] + [1809]) :
Nominell noch 580 Windows 10 [1909] Systeme in Domäne. Karteileichen und Problemfälle werden
herausgefiltert und sind entsprechend zu behandeln (-> Mail an Gruppenadmins am 29.03.21) :
1. längere Zeit inaktive Rechner, Rechner im Home-Office ohne regelmässige VPN-Verbindung zum DESY-Netz, "Karteileichen"
2. durchgehend/regelmässig aktive Rechner mit Update-Problemen (korrupte Update Dienste, Inkompatibilitäten/Rollback ausgelöst, zu wenig
Speicherplatz etc.)
3. durchgehend/regelmässig aktive Rechner mit Report-/Rückmelde-Problemen (gegenüber dem Active Directory und/oder WSUS)
Etwa 31 noch domainseitig existierende [1809] Systeme werden mit Support-Ablauf am 11.05.2021, nicht
mehr geduldet (werden gelöscht und müssen neu aufgesetzt werden, falls noch unterstützte Hardware).
Windows Usermeeting | Reinhard Baltrusch, 13.04.2021 Seite 2Windows 10 [20H2]
Neuigkeiten/Probleme
Im Internet berichtete Probleme mit dem regulären kumulativen März-Update (KB5000802, BSODs in
Zusammenhang mit Druckertreibern, Druckvorgängen etc.), spielten auf den meisten Domain-Rechnern
offensichtlich keine Probleme (auch nicht im NOF-Ring gemeldet). Akute Probleme damit wurden nur aus
zwei Gruppen gemeldet. Von Microsoft zur Problembehebung nacheinander veröffentlichte Out-of-band
Updates (KB5001567 und KB5001649), haben die Situation auf vorher weniger betroffenen Rechnern
eher noch verschlimmbessert.
Das umfangreichere, in der Preview Version schon getestete kumulative April Update, behebt
voraussichtlich die Systemabstürze bei Druckvorgängen etc., das wird vorab intensiver im NOF-Ring zu
prüfen sein.
Das “April Update” beseitigt eine längere Liste an Bugs und sorgt endgültig für einen Austausch/eine
Entfernung des “Legacy Edge Browsers” (https://techcommunity.microsoft.com/t5/microsoft-365-blog/new-
microsoft-edge-to-replace-microsoft-edge-legacy-with-april-s/ba-p/2114224).
Sicherheitsschwachstellen behebende Inhalte des Updates werden heute Abend (Di. 13.04.) von Microsoft
veröffentlicht.
Windows Usermeeting | Reinhard Baltrusch, 13.04.2021 Seite 3McAfee Aktualisierungen
ENS “Februar Update”, McAfee Agent, Zertifikate
Das im Februar angekündigte Endpoint Security 10.7 Update ist auf ca. 4800 Rechnern (HH+ZN)
ausgerollt. Ältere Versionen sind als sicherheitskritisch zu betrachten, verpasste Aktualisierungen (bei
inaktiven Rechnern) werden nicht garantiert automatisch nachgezogen.
Die Aktualisierung des McAfee Agents auf Version 5.7.2.162 läuft aktuell an.
In Kürze erfolgt vermutlich die Veröffentlichung des “April 2021 Updates” der Endpoint Security.
Wegen eines sicherheitsbedingten Updates für den Verwaltungsserver (ePO, Apache Tomcat Austausch),
ist eine Zertifikatsaktualisierung auf den verwalteten Clienten nötig (für die gesicherte Verbindung
zwischen Server und Client). Vor Aktivierung des Zertifikats erfolgt eine automatische Verteilung auf die
aktiven Rechner. Längere Zeit inaktive/nicht mit den ePO-Servern verbundene Rechner müssen
gebenenfalls durch Neuverteilung des McAfee Agents wieder eingefangen werden, um zukünftig Updates
etc. vom Server erhalten zu können.
Aus der Windows Domäne herausgefallene Rechner werden natürlich nicht neu erfasst und müssen
ohnehin aus mehreren Gründen neu aufgesetzt werden. Ein Zurückbringen einer “veralteten”
Rechnerinstallation in die Windows Domäne ist nicht zulässig (veraltete Versionsstände von OS,
Virenscanner, DSM und darüber installierte/nicht entfernte sicherheitskritische und lizenzpflichtige
Applikationen).
Windows Usermeeting | Reinhard Baltrusch, 13.04.2021 Seite 4Windows Infrastruktur
Systemänderungen etc.
Home Directories - “Windows 7 – Application Data”
Seit der Migration auf Windows 10 ist das für Windows 7 auf den H-Laufwerken angelegte Verzeichnis
“Application Data” überflüssig. Für Windows 10 wurde zur Abgrenzung das Verzeichnis “AppData”
angelegt.
Die Altlast “Application Data” würden wir gerne entfernt sehen, weil dieses Verzeichnis parallel zu
“AppData” zu Verwirrung beiträgt und im großen Ganzen Speicherplatz frei macht (inklusive Verbrauch für
“Previous Versions” und reguläre Backups).
Vor etwaiger Löschung (durch Nutzer direkt selbst, auslösbar durch einen DSM Ablauf oder anderweitig
automatisiert), ist gegebenenfalls zu prüfen ob aktive Applikationen nicht vorgesehen auf das alte
Verzeichnis “H:\Application Data” ausgerichtet worden sind. Den Aufwand und die Möglichkeiten einer
zentral gesteuerten Löschung werden wir vorher eroieren.
Home Directories – My Documents\Downloads etc.
Bei Malware-Scans in Homedirs immer wieder auffällig, das Verzeichnis H:\My Documents ist nicht dazu
da dort Downloads abzuspeichern, insbesondere unerwünschte Software, die auch noch ins Backup
kommt. Dem Virenscanner bekannte unerwünschte Software (PUP, Adware, Crapware etc.) wird ohne
Nutzerbenachrichtung auch in diesem Verzeichnis automatisch gelöscht.
Windows Usermeeting | Reinhard Baltrusch, 13.04.2021 Seite 5Sie können auch lesen
