Nieuw updateregime Windows 7 en 8.1 van kracht

De updates die Microsoft verspreidt, worden voortaan verpakt in twee pakketjes die iedere maand worden aangeboden: alleen de maandelijkse security-patches en een verzameling updates inclusief alle security-patches en functionele verbeteringen die eerder zijn uitgebracht (de roll-up).

Daarnaast publiceert Microsoft maandelijks een preview van de functionele updates die voor de volgende update op het programma staan. Die komt drie weken voor de echte update, die zoals gebruikelijk op de tweede dinsdag van de maand wordt verspreid. Hoe bedrijven daar gebruik van kunnen maken, wordt niet helemaal duidelijk. De naam suggereert dat deze roll-up een mogelijkheid creëert om functionele aanpassingen te testen voordat men ze bedrijfsbreed uitrolt. Maar hoe je de uitrol ervan dan kunt beperken tot geselecteerde machines, is onduidelijk.

Overigens is het wel mogelijk om het updatemechanisme zo in te stellen dat alleen de patches en updates die nog niet eerder aangebracht zijn geïnstalleerd worden. Dat beperkt het netwerkverkeer in bedrijfsomgevingen natuurlijk aanzienlijk.

Alles of niets

Belangrijkste verschil met de bestaande praktijk is, dat updaten voortaan alles of niets is. Men kan niet meer kiezen welke beveiligingspatches men wel of niet wil installeren, en er kan ook niet gekozen worden of men bepaalde functionele aanpassingen wel of niet wil doorvoeren. Bij dat laatste is nog van belang dat Microsoft in een niet van een precieze datum voorziene de toekomst ook oudere functionele updates in de roll-up gaat verwerken.

Op dat laatste zijn twee uitzonderingen: Microsoft zal niet ongevraagd een nieuwe versies van Internet Explorer of van het .Net Framework installeren. De updates voor Internet Explorer blijven – zoals bekend - wel beperkt tot versie 10 (op Windows Server 2012) dan wel versie 11 (op Windows 7, 8.1 en Server 2012 R2).

Thuisgebruikers kunnen niet alleen security-patches krijgen

Daarnaast is een belangrijk verschil dat thuisgebruikers niet meer kunnen kiezen om alleen de beveiligingspatches te installeren – tenzij ze thuis een serverversie van Windows draaien. De ‘security-patches-only’-bundel wordt namelijk alleen aangeboden via Windows Server Update Services, die alleen draait op Windows Server.

Thuisgebruikers en anderen die Windows Update gebruiken om up-to-date te blijven, hoeven in principe geen wijzigingen aan te brengen. De instellingen (Automatisch installeren, downloaden maar mij de keus laten wanneer ze geïnstalleerd worden, attenderen maar niet downloaden en Nooit) blijven werken zoals ze altijd deden. Ook de mogelijkheid om met een vinkje aan te geven of aanbevolen updates moeten worden meegenomen, blijft bestaan.

Advies Microsoft: niet alle pc's tegelijk updaten

Microsoft is zich bewust van de angst bij beheerders dat er problemen ontstaan met patches en updates. De ervaring met Windows 10 – waar dit updateregime al geldt – zijn niet onverdeeld gunstig. Het adviseert daarom updates binnen de organisatie in golven uit te rollen, te beginnen op de IT-afdeling zelf. Dan kan men als er zich problemen voordoen de update de-installeren voordat dat onoverkomelijk veel problemen oplevert. Organisaties kunnen ook overwegen deel te nemen aan het Security Update Validation Program. Daarmee kan men op en beperkt aantal pc’s binnen de organisatie updates testen voordat Microsoft die algemeen beschikbaar maakt.

Meer informatie over het nieuwe regime is te vinden op Microsofts Technet.