Patch Management

Das Patch Management ermoeglicht die zentrale Steuerung von Windows Updates ueber alle Hosts hinweg. Statt alle Updates blind zu installieren, koennen Sie ueber Patch Policies gezielt steuern, welche Updates automatisch genehmigt, manuell geprueft oder blockiert werden.

Konzept

Update-Kategorien

Windows Updates werden von Microsoft in verschiedene Kategorien eingeteilt. Jede Kategorie hat einen anderen Zweck:

Kategorie	Beschreibung	Empfehlung
Security Updates	Sicherheitspatches, die bekannte Schwachstellen (CVEs) beheben. Kritisch fuer den Schutz vor Angriffen.	Approve
Critical Updates	Nicht-sicherheitsrelevante Fixes fuer kritische Fehler, die Stabilitaet oder Datenverlust betreffen.	Approve
Definition Updates	Signatur-Updates fuer Windows Defender und andere Sicherheitssoftware. Werden taeglich veroeffentlicht.	Approve
Update Rollups	Sammlungen mehrerer Updates in einem Paket. Oft monatliche kumulative Updates.	Manual
Service Packs	Grosse Update-Pakete, die alle bisherigen Patches zusammenfassen (selten bei modernen Windows-Versionen).	Manual
Feature Packs	Neue Windows-Funktionen (z.B. .NET Framework-Versionen, Windows-Features). Koennen Kompatibilitaetsprobleme verursachen.	Deny
Drivers	Geraetetreiber-Updates ueber Windows Update (Grafik, Netzwerk, Speicher, etc.). Koennen bestehende Treiber-Konfigurationen ueberschreiben.	Deny
Tools	Diagnose- und Wartungstools von Microsoft (z.B. Malicious Software Removal Tool).	Manual
Updates	Allgemeine nicht-sicherheitsrelevante Verbesserungen und Bugfixes.	Manual

Severity-Level

Microsoft bewertet Sicherheitsupdates nach Schweregrad:

Severity	Beschreibung
Critical	Schwachstelle kann ohne Benutzerinteraktion ausgenutzt werden (z.B. Wurm-Verbreitung, Remote Code Execution). Sofort patchen!
Important	Schwachstelle kann Vertraulichkeit, Integritaet oder Verfuegbarkeit gefaehrden (z.B. Privilege Escalation, Datendiebstahl).
Moderate	Auswirkungen werden durch Faktoren wie Authentifizierung oder ungewoehnliche Konfigurationen gemildert.
Low	Minimales Risiko, schwer auszunutzen oder mit geringen Auswirkungen.
Unspecified	Kein Severity-Level von Microsoft vergeben (haeufig bei nicht-sicherheitsrelevanten Updates).

Approval-Status

Jedes ausstehende Update erhaelt basierend auf der geltenden Patch Policy einen Approval-Status:

Status	Bedeutung
Approved	Update darf installiert werden. Wird bei "Install Approved" automatisch mitinstalliert.
Denied	Update ist blockiert und wird nicht installiert.
Manual	Update muss manuell genehmigt oder abgelehnt werden. Wird bei "Install Approved" uebersprungen.

Patch Policies

Policy-Hierarchie

Policies werden hierarchisch aufgeloest. Die spezifischste Policy gewinnt:

Gruppe - Policy, die einer Host-Gruppe zugeordnet ist (hoechste Prioritaet)
Kunde - Policy, die einem Kunden zugeordnet ist
Global Default - Die Standard-Policy (niedrigste Prioritaet, immer vorhanden)

Beispiel

Ein Windows-Host gehoert zur Gruppe "Produktionsserver" und zum Kunden "ACME GmbH". Wenn die Gruppe eine eigene Patch Policy hat, gilt diese. Andernfalls wird die Kunden-Policy geprueft. Existiert auch keine Kunden-Policy, gilt die globale Default Policy.

OS-Filter (Workstation/Server)

Jede Policy kann auf einen bestimmten Betriebssystemtyp eingeschraenkt werden:

Filter	Beschreibung
Alle	Policy gilt fuer alle Windows-Hosts (Standard)
Workstations	Policy gilt nur fuer Windows Workstations (Windows 10/11)
Server	Policy gilt nur fuer Windows Server (inkl. Domain Controller)

Dies ermoeglicht unterschiedliche Patch-Strategien fuer Server und Workstations. Beispiel: Treiber-Updates auf Workstations genehmigen, aber auf Servern blockieren.

Approval-Aufloesung

Fuer jedes einzelne Update wird der Approval-Status in folgender Prioritaet bestimmt:

Blockierte KBs - Steht die KB-Nummer auf der Blocklist? → Denied (hoechste Prioritaet)
Genehmigte KBs - Steht die KB-Nummer auf der Genehmigungsliste? → Approved
Kategorie-Regel - Gibt es eine Regel fuer die Update-Kategorie? → Approve/Deny
Severity-Regel - Gibt es eine Regel fuer den Schweregrad? → Approve/Deny
Fallback → Manual

Default Policy

Bei der ersten Einrichtung wird automatisch eine Default Policy erstellt:

Severity-Regeln:

Critical: Approve
Important: Approve
Moderate: Manual
Low: Manual
Unspecified: Manual

Kategorie-Regeln:

Security Updates: Approve
Critical Updates: Approve
Definition Updates: Approve
Update Rollups: Manual
Drivers: Deny
Feature Packs: Deny
Service Packs: Manual
Tools: Manual
Updates: Manual

Empfehlung

Die Default Policy ist bewusst konservativ konfiguriert. Sicherheitsupdates werden automatisch genehmigt, waehrend Treiber und Feature-Packs blockiert werden, um unerwuenschte Aenderungen zu vermeiden.

Policy erstellen

Navigieren Sie zu Windows → Patch Management → Policies
Klicken Sie auf Neue Policy
Konfigurieren Sie:
- Name - Aussagekraeftiger Name (z.B. "Produktionsserver - Konservativ")
- Ziel - Kunde oder Gruppe (oder leer fuer zusaetzliche globale Policy)
- OS-Filter - Alle, Workstations oder Server
- Severity-Regeln - Approve/Deny/Manual pro Schweregrad
- Kategorie-Regeln - Approve/Deny/Manual pro Kategorie
- Blockierte KBs - Einzelne KB-Nummern sperren
- Genehmigte KBs - Einzelne KB-Nummern manuell genehmigen
- Reboot-Policy - Neustartverhalten nach Installation
- Auto-Install - Approved Updates bei naechstem Schedule automatisch installieren
Klicken Sie auf Speichern

KB blockieren

Einzelne Updates koennen unabhaengig von Severity und Kategorie blockiert werden:

Oeffnen Sie die Policy im Editor
Geben Sie die KB-Nummer ein (z.B. KB5034441)
Klicken Sie auf den Block-Button
Das Update wird sofort als "Denied" markiert

Dies ist nuetzlich, wenn ein bestimmtes Update Probleme verursacht (z.B. Blue Screen, Kompatibilitaetsprobleme).

KB manuell genehmigen

Updates mit dem Status "Manual" koennen direkt in der Updates-Uebersicht genehmigt werden:

Ueber die Updates-Tabelle:

Navigieren Sie zu Windows → Patch Management → Updates
Finden Sie das Update mit Status "Manual"
Klicken Sie auf das gruene Haekchen-Icon in der Aktionsspalte
Das Update wird sofort als "Approved" markiert

Ueber die Policy:

Oeffnen Sie die Policy im Editor
Fuegen Sie die KB-Nummer unter Manuell genehmigte KBs hinzu
Speichern Sie die Policy

Per-Host Genehmigung

Auch im Detail-Modal eines Windows-Hosts (Tab Windows Updates) koennen Updates mit "Manual"-Status direkt genehmigt oder blockiert werden.

Globale Updates-Uebersicht

Die Ansicht Windows → Patch Management → Updates zeigt alle ausstehenden Windows Updates ueber alle Hosts hinweg, aggregiert nach KB-Nummer.

Zusammenfassung

Am oberen Rand werden Kennzahlen angezeigt:

Hosts gesamt - Anzahl aller Windows-Hosts
Mit Updates - Hosts mit ausstehenden Updates
Approved - Genehmigte Updates
Manual - Updates, die manuell geprueft werden muessen
Denied - Blockierte Updates

Updates-Tabelle

Spalte	Beschreibung
Status	Approval-Status (Approved/Denied/Manual) mit farbigem Badge
KB	Microsoft KB-Nummer
Titel	Vollstaendiger Update-Name
Severity	Schweregrad mit farbigem Badge
Kategorie	Update-Kategorie(n)
Hosts	Anzahl betroffener Hosts (klickbar fuer Details)
Aktion	Approve/Deny-Buttons fuer Updates mit Status "Manual"

Filter

Approved / Manual / Denied / Alle - Nach Approval-Status filtern
Suchfeld - Nach KB-Nummer oder Titel suchen

Approved installieren

Der Button Approved installieren erstellt Update-Tasks auf allen Hosts, die genehmigte Updates ausstehen haben. Dabei werden nur die als "Approved" markierten KBs installiert - nicht alle Updates.

Compliance

Die Ansicht Windows → Patch Management → Compliance zeigt den Patch-Status pro Host:

Status	Bedeutung
🟢 Gruen	Keine ausstehenden approved Updates
🟡 Gelb	1-4 ausstehende approved Updates
🔴 Rot	5 oder mehr ausstehende approved Updates

Pro Host wird angezeigt:

Hostname und Kunde
Anzahl ausstehender approved Updates
Installieren-Button fuer sofortige Installation

Reboot-Policy

Die Reboot-Policy in der Patch Policy steuert das Neustartverhalten nach der Update-Installation:

Policy	Verhalten
Nie	Kein automatischer Neustart. Updates, die einen Reboot erfordern, werden erst nach manuellem Neustart wirksam.
Bei Bedarf	Der Agent prueft nach der Installation, ob Windows einen Neustart anfordert. Nur dann wird ein Reboot in 60 Sekunden geplant.
Immer	Nach jeder Update-Installation wird automatisch neu gestartet, unabhaengig ob ein Reboot erforderlich ist.

Vorsicht bei "Immer"

Die Reboot-Policy "Immer" startet den Server nach jeder Update-Installation sofort neu. Verwenden Sie diese Einstellung nur fuer Hosts, bei denen ein ungeplanter Neustart akzeptabel ist.

Per-Host Updates

Im Detail-Modal eines Windows-Hosts zeigt der Subtab: Windows Updates zusaetzlich:

Approval-Status pro Update (Approved/Denied/Manual Badge)
Policy-Name - Welche Patch Policy fuer diesen Host gilt
Approved installieren - Button zum Installieren aller genehmigten Updates auf diesem einzelnen Host

MCP-Integration

Das Patch Management ist auch ueber den MCP Server verfuegbar:

Tool	Beschreibung
`get_windows_updates`	Globale Update-Uebersicht mit Approval-Status
`install_approved_updates`	Genehmigte Updates auf einem Host installieren

Siehe MCP (AI-Integration) fuer Details.

Patch Management ​

Konzept ​

Update-Kategorien ​

Severity-Level ​

Approval-Status ​

Patch Policies ​

Policy-Hierarchie ​

OS-Filter (Workstation/Server) ​

Approval-Aufloesung ​

Default Policy ​

Policy erstellen ​

KB blockieren ​

KB manuell genehmigen ​

Globale Updates-Uebersicht ​

Zusammenfassung ​

Updates-Tabelle ​

Filter ​

Approved installieren ​

Compliance ​

Reboot-Policy ​

Per-Host Updates ​

MCP-Integration ​