Om een Windows-installatie up-to-date te houden, hoef je alleen het systeem af en toe te laten herstarten. Toch kan het geen kwaad te weten wat er achter de schermen van Windows Update gebeurt. Hier een glossary met de belangrijkste termen en hun onderlinge relatie.
Als een producent een bug in zijn software ontdekt, komt er een nieuwe versie. Of een product nieuwe functies moet krijgen. Het besturingssysteem moet dan wellicht nog wel even herstarten. Gaat het om complexere server als een besturingssysteem voor een desktop of server, dan wordt een update een serieuze aangelegenheid. Met een goed updatebeheer hoeven gebruikers zich zo weinig mogelijk om een update te bekommeren. Het werken met een pc mag er niet onder lijden. Kritieke updates moeten daarbij zo snel mogelijk geïnstalleerd worden.
Bij Windows zijn er nog meer eisen omdat het besturingssysteem ook veel bij bedrijven en kritieke situaties gebruikt wordt. Systeembeheerders moeten het tijdstip van updaten zelf kunnen bepalen. Dat moet zoveel mogelijk op momenten gebeuren als er op de computers niet gewerkt wordt. Een update moet uit te stellen zijn om hem eerst te testen. Dan kun je kijken of hij goed samenwerkt met de geïnstalleerde hard- en software. Een besturingssysteem moet ook bijgewerkt kunnen worden wanneer het niet actief is. Images voor nieuwe machines kunnen daarmee eveneens up-to-date blijven. Bovendien moeten updates alle systeembestanden updaten. Je kunt er dan vanuit gaan dat je bij het starten van een webserver ook echt de nieuwste versie hebt.
Tot uw dienst
Voor een goed updatebeleid moet je wel wat doen. Meer dan alleen een programmaatje laten draaien dat regelmatig controleert of er nieuwe pakketten zijn in elk geval. Microsoft heeft voor de gehele infrastructuur van Windows-updates de term Servicing Stack bedacht. Die stack zit in elke Windows-versie en bevat meer dan alleen programma’s en services die updates downloaden en installeren. Er zitten onder meer ook bestanden van de Package Manager bij en van de optionele Windows-onderdelen.
Onder Servicing verstaat Microsoft alles wat een besturingssysteem na het installeren aan onderhoud nodig heeft en aan wijzigingen toelaat. Naast het installeren van updates en Service Packs valt daaronder ook het toevoegen, verwijderen en in- en uitschakelen van functies. De belangrijkste tools voor Online Servicing zijn Windows Update en het venster ‘Windows- onderdelen in- of uitschakelen’.
Het is waarschijnlijk minder bekend dat je vrijwel al die operaties ook via Offline Servicing kunt uitvoeren. Met uitzondering van het installeren van Service Packs en versie-upgrades. Met de Deployment Image Servicing and Management Tool (dism) maak je een parallelle Windows-installatie of zelfs een installatieschijf. Een image is in die context een complete verzameling van alle bestanden die bij Windows horen. Zo’n image kan op een harde schijf staan of als het bestand install.wim of install.esd op een installatiemedium.
Patches
Microsoft heeft een aantal termen bedacht voor de verschillende pakketten die voor systeemonderhoud kunnen worden geïnstalleerd. Sommige daarvan brengen vrij grote veranderingen teweeg, andere slechts nuances. Een update is de verzamelterm voor allerlei pakketten met een bijgewerkte versie. Een patch is een even algemene benaming. Bij beide kan het gaan om pakketten die fouten oplossen of nieuwe functies installeren.
Een bugfix lost altijd een probleem op, functies die niet goed werken of een beveiligingslek. Een bijzondere variant is een hotfix. Microsoft verhelpt daarmee fouten die slechts een klein aantal gebruikers treffen. Dat kunnen ook ernstige fouten zijn waarop niet gewacht kan worden. Hotfixes worden niet zo uitvoerig getest als updates en zijn niet voor iedereen beschikbaar. De meeste hotfixes kunnen alleen als Knowledge Base worden gedownload. Soms moeten ze zelfs afzonderlijk worden aangevraagd.
Security
Als een patch een beveiligingslek dicht, bestempelt Microsoft hem als beveiligingsupdate. Bij Windows Update krijgt zo’n update de hoogste prioriteit. Die wordt standaard de eerstvolgende keer dan automatisch geïnstalleerd. Bij beveiligingsupdates horen ook regelmatige definitie-updates voor Windows Defender. Die updates voorzien de Windows-virusscanner van nieuwe signatures.
Updates die minder relevant zijn, worden tot en met Windows 8.1 ingedeeld in twee categorieën. Bij de Belangrijke updates horen problemen die Microsoft als ernstig beschouwt. Windows Update installeert die standaard automatisch. De Optionele updates verhelpen minder problematische bugs of voegen nieuwe functies toe. Bij Windows 7 en 8.1 kun je kiezen of je die updates installeert. Je zult dat handmatig moeten doen. Onder de optionele updates vallen ook language packs.
Alles in een
Vanaf Windows 10 worden die optionele updates meegenomen in de maandelijkse cumulatieve update. Dat is een verzamelpakket dat naast de nieuwe updates ook alle eerdere bevat. Je kunt als gebruiker niet meer bepalen welke patches je wel of niet wilt installeren. Bij een nieuwe installatie hoef je normaliter alleen de laatste cumulatieve update te installeren. Het besturingssysteem is daarna weer helemaal bij. Het gaat niet meer gepaard met talloze keren opnieuw opstarten.
Afzonderlijke updates voor Windows 7 en 8.1 en cumulatieve updates voor Windows 10 verschijnen op een vaste patchday. Dat is de tweede dinsdag van de maand. Door het tijdsverschil met de VS zijn ze voor ons pas op woensdag beschikbaar. Naast die regelmatige updates stelt Microsoft alleen nog patches beschikbaar voor problemen met een zeer hoog risicogehalte.
Service Packs
Ook de veel minder voorkomende Service Packs (SP) bevatten alle updates die ooit voor een Windows-versie zijn uitgekomen. Daarnaast kunnen ze nieuwe functies bevatten. Een SP moet uiterlijk twee jaar na verschijning geïnstalleerd zijn. Daarna zal het besturingssysteem geen updates meer krijgen. Dat geldt niet voor een rollup, die technisch gezien overigens gelijk is aan een Service Pack.
Als een update ook Windows naar een hoger versienummer tilt, heb je met een upgrade van doen. Upgrades migreren Windows 7 dus niet alleen naar bijvoorbeeld 8 (of 8.1), maar ook van versie 1511 naar versie 1607. Vanuit technisch perspectief bevatten upgrades de bijgewerkte versies van een aantal bestanden én de complete geüpdatete Windows-installatiebestanden. Tijdens het installeren wordt de oude Windows-installatie verplaatst naar de map windows.old. Vervolgens wordt Windows nieuw geïnstalleerd en worden alle programma’s, instellingen en persoonlijke bestanden uit de oude versie overgenomen.
Dat laatste ging in het verleden niet altijd goed bij upgrades. Met name die Microsoft in het kader van Windows as a Service voor Windows 10 aanbood. Voor toekomstige versies wordt daarom gewerkt aan de nieuwe infrastructuur Universal Update Platform (UUP). Upgrades worden daarmee sneller uitgevoerd en de pakketten zijn kleiner. Meer daarover staat in dit artikel.
Updatebron
Met een eigen WSUS-server kun je updates eerst testen en daarna uitrollen naar de andere computers.
De standaardbron voor Windows Update zijn de servers van Microsoft. Daarnaast kunnen systeembeheerders een eigen WSUS-server (Windows Server Update Services) gebruiken. Computers binnen een bedrijf krijgen hun updates dan niet meer via internet, maar van die server. Dat vermindert het downloadvolume. Systeembeheerders krijgen de gelegenheid updates eerst uitvoerig te testen en ze voor bepaalde tijd ‘achter de hand’ te houden.
Naast automatisch updaten kun je updates buiten een bedrijfsomgeving ook handmatig downloaden en installeren. Dat is bijvoorbeeld nodig bij een hotfix die niet via Windows Update wordt geleverd. Soms blijkt het installeren van een bepaald updatepakket de oplossing voor fouten in het automatische updateproces. Meer daarover lees je hier.
Als bron voor dergelijke updates dient de Knowledge Base of Microsoft Update-catalogus. Weet je het nummer van een bepaalde patch, bijvoorbeeld KB1234567, dan kun je beide bronnen gebruiken. Bij de Knowledge Base staat het bijbehorende artikel met downloadlink op https://support.microsoft.com/kb/1234567. De updatecatalogus (www.catalog.update.microsoft.com) heeft een zoekveld waarin je het KB-nummer kunt invoeren. Voor algemene informatie over het oplossen van een probleem met Windows is support.microsoft.com beter. Naast updates vind je daar ook uitvoerige uitleg over verholpen fouten. Ook staan op de supportpagina’s troubleshooters en handleidingen om problemen handmatig op te lossen.
Naaidoosje
De tijden waarbij een update gewoon enkele systeembestanden verving, zijn voorbij. Je hebt een veel complexere infrastructuur nodig als je ook onderdelen up-to-date wilt houden die niet ingeschakeld zijn. Windows zet alle systeembestanden eerst in een Component Store, een speciaal gedeelte op de harde schijf. De belangrijkste map is WindowsWinSxS. Daarnaast bevat de submap Catalogs de zogeheten Servicing Stack Catalogs.
De Component Store slaat alle Windows-onderdelen zodanig op dat er van elk afzonderlijk item verschillende varianten kunnen bestaan. Ook alle niet-actieve onderdelen verschijnen daar. Dat heeft als belangrijk voordeel dat je voor het installeren van onderdelen geen installatiemedium nodig hebt. Daarnaast werkt de Windows Update-functie de niet-actieve pakketten bij.
Status
Windows slaat de metadata voor die bestanden op in de map WindowsservicingPackages, oftewel de Package Store. Daar staan de concrete pakketten. Concreter: de informatie over welke bestanden precies bij een pakket horen. Een pakketdataset bestaat uit twee bestanden: een XML-bestand met .mum als extensie en een catalog-bestand, eindigend op .cat. Een pakket heeft één van de volgende drie toestanden. Met Installed wordt bedoeld dat het geïnstalleerd is, Absent geeft aan dat het niet aanwezig is. Met Staged wordt aangegeven dat een pakket op de schijf staat, maar niet geïnstalleerd is.
Zet in het Configuratiescherm bij ‘Windows-onderdelen in- of uitschakelen’ een vinkje. Dan wordt de status van de bijbehorende pakketten omgezet. Bijvoorbeeld van Staged naar Installed. Tegelijkertijd zorgt Windows ervoor dat de betreffende bestanden uit de map WinSxS ook in de goede systeemmappen komen te staan. Dat is dan System32 of Program Files. Ze worden niet gekopieerd of verplaatst, maar gekoppeld door een hardlink. Dat is overigens ook de reden waarom gangbare filemanagers de benodigde ruimte van de Windows-map meestal veel te groot inschatten. Hardlinks zijn amper van ‘echte’ bestanden te onderscheiden. Hierdoor worden de bestanden van alle geïnstalleerde Windows- onderdelen dubbel geteld.
Een ander noemenswaardig onderdeel van de Servicing Stack is de registersleutel HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionComponent Based Servicing. Windows slaat daar de status van alle pakketten op en informatie over welk pakket bij twijfel moet worden genomen. Bovendien staat er wat na een herstart met een bepaald pakket moet gebeuren.
Veiligheidsspeld
Microsoft beveiligt de Component Store dus vrij fors tegen manipulatie. Dat gebeurt dan per ongeluk of met opzet. De service TrustedInstaller heeft bij veruit de meeste bestanden als enige schrijfrechten. Normale gebruikers, je eigen Windows-account voor het lokale systeem en zelfs administrators mogen bestanden en mappen alleen lezen. Windows Update gebruikt die service voor het schrijven. Bij het installeren van grotere patches zie je die soms als enige proces in het Taakbeheer of de Broncontrole. TrustedInstaller laat het opruimen en herstructureren over aan het programma TiWorker.exe. Ook dat valt zo nu en dan op door een overijverige processor en uitgebreide schijfactiviteiten.
Op diverse websites staan verschillende handleidingen. Maar we raden je af om aan de beveiligingsinstellingen van bestanden in de Component Store te sleutelen. Daarmee zorg je vrijwel altijd voor nieuwe lekken, terwijl er voor het gemanipuleerde onderdeel gegarandeerd ooit een update komt. Het is dan een kwestie van geluk of een tip een patch dan blokkeert. Of Windows Update misschien wel helemaal lam legt.
(Hajo Schulz / Axel Vahldiek / Marcel van der Meer)
