Mai 2022
Autor:in des Beitrags
Antonio
Consultant
Projects – Cloud
Veröffentlicht am
16.05.2022 von Antonio
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter

Azure AD Application Proxy: Funktionsweise, Installation des Connectors und Vergleich mit klassischen Reverse Proxys

Windows VMs sollten auch in Azure möglichst 24/7 laufen können, um jederzeit produktive Dienste anzubieten. Die Installation von Windows Updates führt jedoch zu Unterbrechungen, diese sind wiederum unerlässlich um Sicherheitslücken zu schließen.

Daher ist der bessere Ansatz die Zeiten für die Installationen vorzugeben und diese eben auf die Zeiten zu legen, bei der kein erhöhter Bedarf erwartet wird. Wird Zugriff auf ein Windows System benötigt, welcher nur aus einer zeitlichen Zone erfolgt, ist eine Update-Installation mit Neustart um 4:00 Uhr weniger störend als um 14:00 Uhr.

Auch bei redundanten loadbalanced Systemen sollten die einzelnen Maschinen unterschiedliche Update-Zeiten (Tag und Uhrzeit) erhalten, damit immer nur eine Maschine updated.

 

Im Folgenden wird gezeigt, wie mit Azure Windows VMs die Microsoft Update Zeiten koordiniert (orchestriert) werden können.

Azure bietet zwei Optionen für das Orchestrieren der Windows Updates:

  1. „AutomaticByPlatform“, hier wird das Patchen über Azure direkt gesteuert mithilfe von weiteren Azure Ressourcen und Diensten.
  2. „AutomaticByOS“, welches exklusiv Windows VMs zur Verfügung steht. Hier werden die Windows Updates über GPOs gesteuert, die wiederum entsprechende Registry Keys setzen, es werden keine zusätzlichen Ressourcen benötigt.

Nachfolgend wird die Konfiguration über „AutomaticByOS“ erläutert.

Status Quo

WIE FINDE ICH HERAUS WELCHE ORCHESTRIERUNG AKTUELL KONFIGURIERT IST?

Über die Azure CLI (Installation: Installieren der Azure CLI | Microsoft Docs) können die Stati abgefragt werden.

Hierzu wird nur die Azure Resource Group (g) und der Name (n) der Windows VM benötigt.

Abfrage Kommando:

az vm get-instance-view -g <resource-group> -n <win-vm-name> | ConvertFrom-Json | Select-Object -expandProperty "osProfile"| Select-Object -ExpandProperty "windowsConfiguration"
Gewünschte Ausgabe:
Bleibt die Ausgabe leer, ist diese Option nicht konfiguriert:

 

HINWEIS

Die enableAutomaticUpdates Eigenschaft kann man NICHT nachträglich aktivieren, daher verbleibt nur noch eine Neuprovisionierung der Azure Virtual Maschine, wenn man dieses Feature nutzen will.

Ist hingegen enableAutomaticeUpdates auf „True“ gesetzt, der patchMode aber auf „AutomaticByPlatform“, lässt sich dies über die Azure CLI anpassen.

AZ VM patchMode Update Kommando:

az vm update --resource-group <resource-group> --name  <win-vm-name> --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform

Konfiguration des Windows Update Zeitplans

Die Einstellungen werden über zwei Group Policy Objects (GPOs) vorgenommen.

  1. Configure Automatic Updates
  2. Always automatically restart at the scheduled time

Configure Automatic Updates: Hier finden sich verschiedene Optionen zum planen von Windows Updates.

Pfad im Group Policy Object Editor:

Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure Automatic Updates

Diese Richtlinie muss „enabled“ sein.

Die Option 4 sorgt dafür, dass Updates automatisch gedownloaded und installiert werden zur vorgegebenen Zeit.

Bei den Zeiten kann man den Wochentag, die Uhrzeit der Installation und ob diese Tage/Zeiten jede Woche im Monat oder nur in bestimmten Wochen des Monats ausgeführt werden soll. Zusätzlich können Updates von Microsoft Produkten gleich mit berücksichtigt werden z. B. Visual Studio.

 

Always automatically restart at the scheduled time: Diese Option ist wichtig, damit auch tatsächlich ein Neustart ausgeführt wird und z. B. etwaige User die noch eingeloggt sind abgemeldet werden, damit diese nicht den Neustart blockieren.

Hier wählt man den mindestwert von 15min.

Diese Policy findet sich unter:

Computer Configuration > Administrative Templates > Windows Components > Windows Update > Always automatically restart at the scheduled time

Läuft Windows Update überhaupt?

Per default wird die Feineinstellung hier bereits ausreichen. Wie bereits erwähnt, steuert der Windows Update Service die Ausführung der Updates, dieser Service muss dementsprechend laufen und das unter dem Startup Type „Manual“ (default Typ).

„Manual“ bedeutet dabei nicht, dass der User die Windows Update manuell starten muss, sondern lediglich dieser Service manuell getriggert werden kann z. B. über unsere GPO.

Die Option „Automatic“ unterscheidet sich lediglich darin, dass der Windows Update Service zusätzlich automatisch einmal gestartet/getriggert wird beim Startup des Systems.

 

Zu finden unter Services:

 

Die Einstellungen müssen den folgenden entsprechen:

 

Das wars, Updates sollten jetzt termingetreu installiert werden.

Verifizierung von Neustarts

Neustarts kann man dem Event Viewer entnehmen (Windows Logs > System) und hier die Events mit der ID 1074 prüfen.

Fazit & Ausblick

Mit der Konfiguration von lediglich 2 GPOs lassen sich die Installationen und Neustarts, ausgelöst von Windows Updates, effektiv steuern.

So lässt sich mit wenig Aufwand das Aufkommen von ungewünschten Downtimes reduzieren. Diese Konfiguration benötigt keine zusätzlichen Dienste, Ressourcen oder Personenaufwand und stellt gleichzeitig sicher, dass Sicherheitsrisiken minimiert werden.

Da diese Lösung Windows nativ ist sollte sie auch für viele weitere Umgebungen funktionieren (Verifiziert innerhalb von azure- und aws-Umgebungen).

Hast du Fragen?

Melde dich gerne.

Zum detaillierter Updateprozess hast du weitere Fragen. Dann melde dich gerne bei mir

MATTHIAS BRAUN | Cloud Architekt

+49 89 71040920

matthias@provectus.de

Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter