Oktober 2018 gaat de geschiedenis in als een van de slechtste patchmaanden die Microsoft ooit beleefde. Er was een dataverwijderende bug in de grote halfjaarlijkse update van Windows 10, een Windows 7 rollup die een Error 0x8000FFFF opleverde omdat de updater zichzelf niet kon updaten, drivers die BSOD's veroorzaakten en bergen fixes voor fixes die Microsoft uitrolde voor Windows 10, waarschijnlijk vanwege de mislukte Windows 10 1809-uitrol.

Begin november leek alles op z'n plek te vallen en is de tijd aangebroken om patches voor Windows en Office uit te rollen. In dit artikel gaan we in op wat er nu beschikbaar is en met welke instellingen je rekening dient te houden.

Windows 7 rollup

Op 1 november stelde Microsoft stilletjes de Windows 7 rollup, KB 4462923, beschikbaar in Windows Update. Het tijdspad van de update is wat schimmig en het was verrassend moeilijk om deze update te krijgen nadat hij uitkwam op Patch Tuesday van oktober. De patch was nooit ingetrokken uit de Microsoft Update Catalog, maar werd simpelweg opnieuw uitgebracht afgelopen donderdag.

Wellicht kostte het Microsoft die tijd om alle bugs op te ruimen in de manier waarop de patch omgaat met de installer, de zogenoemde Servicing Stack Update KB 3177467 die onlangs uitkwam als een versie 2. Het vreemde is dat ondanks die heruitgaves er niets daadwerkelijk lijkt te zijn veranderd aan KB 4462923 of KB 3177467 versie 2.

Op 18 en 24 oktober bracht Microsoft een heleboel kleine bugfixes uit die versies 1607, 1703, 1709 en 1803 aanpakten. Dat leken backports te zijn van veranderingen in versie 1809 die op schaal werden uitgeleverd voor eerdere nog ondersteunde versies.

Je krijgt deze updates pas te zien als je klikt op 'Controleer voor updates' of als je ze handmatig downloadt en installeert. Het lijkt erop dat Microsoft de Rollup Previews die we kennen uit Windows 7/8.1 implementeert in Windows 10 als kleinere secundaire cumulatieve updates die je alleen te zien krijgt als je er specifiek naar zoekt.

Netwerkkaartbugs blijven

Er zit al een bug in de rollup van Windows 7 sinds maart. Als je in maart of daarna geen netwerkproblemen had nadat je patches voor Windows 7 of Server 2008 R2 installeerde, kun je waarschijnlijk ook wat dit betreft de patches gerust installeren. Als je al die tijd aan het wachten bent, is het goed om te weten wat Microsoft erover zegt:

Symptoom: Na het toepassen van deze update is het mogelijk dat de network interface controller niet meer werkt in bepaalde clientsoftwareconfiguraties. Dit gebeurt vanwege een probleem met betrekking tot een ontbrekend bestand, oem . inf. De exacte problematische configuraties zijn momenteel onbekend.

Tijdelijke oplossing:

1. Om het netwerkapparaat te vinden, start u devmgmt.msc. Het apparaat wordt waarschijnlijk vermeld onder Overige apparaten.

2. Om automatisch de NIC opnieuw te detecteren en het stuurprogramma te installeren, selecteert u in het menu Actie de optie Zoeken naar gewijzigde apparaten.

a. U kunt ook de stuurprogramma's voor het netwerkapparaat installeren door met de rechtermuisknop op het apparaat te klikken en Bijwerken te kiezen. Kies vervolgens Automatisch naar bijgewerkte stuurprogramma's zoeken of Op mijn computer naar stuurprogramma's zoeken.

Dat is bizar omslachtig. Microsoft heeft nog niet bevestigd welke third party-software debet aan het probleem is, maar volgens verschillende meldingen is het grotendeels een VMware-probleem. Na vijf maanden is deze bug nog steeds niet opgelost. Als je je zorgen maakt over je netwerkinterface na het patchen, zorg dan in ieder geval voor een backup en volg dit advies om registersleutels aan te passen.

De Master Patch List van patchdeskundige Susan Bradley van vorige maand laat geen grote issues zien, behalve de problemen die zijn gemeld door Microsoft zelf. De officiële fixes of work-arounds bevatten geen nieuwe waarschuwingen die belangrijk zijn.

Een nieuwe tactiek

Windows 10 Pro gebruikers konden grote problemen vermijden door de geavanceerde opties van Windows Update als volgt in te stellen:

  • Kiezen wanneer updates worden geïnstalleerd: 'Semi-Annual-Kanaal'
  • Onderdelen-update 60 of 90 dagen uitstellen.
  • Kwaliteitsupdate voor 10 á 12 dagen uitstellen en patchnieuws in de gaten houden.
  • Als er problemen met de patch opduiken, het uitstellen verhogen naar de volledige 30 dagen

En klik nooit op 'Naar updates zoeken'. Nooit.

Dit lijkt de beste tussenoplossing: je vermijdt de grootste issues die we de afgelopen drie jaar hebben gezien (als patches dingen kapotmaken of als patches opnieuw worden uitgebracht of als nieuwe patches oude missers vervangen) maar het updateproces blijft nog genoeg intact om het min of meer automatisch te laten lopen.

Updaten in 3 stappen:

Klaar om het risico te lopen je NIC te vernielen? We gaan in op de drie stappen die je moet zetten om voorzichtig te patchen.

Stap 1

Maak een volledig systeemimage voor je de update installeert

Er is een kans dat de patches - zelfs de nieuwste van de nieuwe patches - je machine in de soep gooit. Dit heb je nodig nog naast het instellen van herstelpunten, want je hebt een externe back-up nodig voor het geval er driverproblemen zijn bijvoorbeeld met je SSD of andere showstoppers. Er zijn een heleboel premium back-up-producten, maar je hebt ook goede gratis versies, zoals Macrium Reflect en EaseUS Todo Backup.

Stap 2 (Windows 7 en 8.1)

Op nieuwe systemen blokkeert Microsoft de updates voor Windows 7 en 8.1 maar als je een pc hebt die 18 maanden of ouder is, volg dan deze instructies om ervoor te zorgen dat Windows Update de updates kan installeren. Als je sinds maart updates hebt geïnstalleerd en geen problemen hebt gehad met de NIC, is hij ook immuun voor de nieuwste problemen.

Als je je zorgen maakt over Microsofts telemetrie en alleen beveiligingsupdates wilt installeren, besef dan dat het steeds moeilijker wordt om je privacy te waarborgen. De oude groep B - security-only - is niet dood, maar moeilijk te bereiken voor doorsnee Windows-gebruikers. Als je handmatig alleen beveiligingsfixes wilt toepassen volg dan deze instructies en wees je bewust van de ongewenste patches en hoe je die verbergt.

Voor de meeste gebruikers raad ik m'n artikel aan over hoe je de Monthly Rollups installeert in Windows 7 en 8.1. Niet alle te verwachten patches voor oktober duiken misschien op en sommige zullen niet zijn aangevinkt. Onaangevinkte updates moet je NIET AANVINKEN. Tenzij je zeker weet wat je nodig hebt kun je beter NIET ZOEKEN naar aanvullende patches. Als je bijvoorbeeld de Monthly Rollup of Cumulative Updates van de afgelopen maand installeert heb je de slechte patches uit september niet nodig.

Als je het dataverzamelen wilt minimaliseren terwijl je nog steeds patches installeert, schakel dan het Programma voor het verbeteren van de gebruikerservaring (CEIP) uit. Ga naar Start > Configuratiescherm > Systeem en beveiliging > Onderhoudscentrum. Kies voor 'Instellingen voor Onderhoudscentrum wijzigen' onderaan bij 'Verwante instellingen' en selecteer de 'Instellingen voor het programma voor verbetering van de gebruikerservaring'. Ga voor de optie "Nee, ik wil niet deelnemen aan het programma" en klik op OK.

Als je KB 2952664 (voor Windows 7) of zijn broertje voor 8.1, KB 2976978 ziet: dit zijn patches om de upgrade naar Windows 10 makkelijker te maken. Vink ze uit, steek een staak door het hart van deze patch en sprenkel wat wijwater over je machine. Let op driver-updates, want die kun je beter los downloaden en installeren via de site van de leverancier.

Loop deze stappen door als je erop gebrand bent de dataverzameling van Microsoft te minimaliseren. Als je grondig de telemetrie wilt blokkeren, volg dan deze gedetailleerde instructies. Besef hierbij dat we niet precies weten welke informatie Microsoft verzamelt van machines met Windows 7 of 8.1, maar ik ben onder de indruk dat het ongeveer hetzelfde is als bij Windows 10.

Stap 3 (Windows 10)

Als je versie 1609, 1703 (mijn persoonlijke favoriet momenteel), 1709 of 1803 draait dan moet je zeker de onderdelen-update op dit moment blokkeren. Laat 1809 niet opeens koud op je dak vallen zonder aankondiging. Volg dit artikel over hoe je de Windows 10 October 2018 Update blokkeert. Maar dit kan zo veranderen als Microsoft weer eens besluit om instellingen simpelweg te negeren.

Als je wushowhide gebruikt om specifieke patches te blokkeren is er een addertje onder het gras: de Windows 10 installer kan verborgen updates gaan installeren. Ik weet nog niet of dit het gevolg is van de verandering in 'Naar updates zoeken', maar volg deze tactiek om het op safe te spelen en verborgen updates te blijven verbergen.

Als je Windows 10 1703 draait, zul je voor de patches van deze maand (Patch Tuesday is op 13 november) moeten upgraden naar 1709, 1803 of mogelijk 1809. Ik twijfel zelf nog heel erg en wacht even af tot er een duidelijker beeld is van welke problemen zijn opgelost en wat eraan zit te komen. Ik houd jullie op de hoogte op AskWoody.

Als je moeite hebt met het installeren van de laatste cumulatieve update, zorg er dan voor dat je kijkt wat de instellingen zijn van je antivirussoftware en volg de herontworpen Windows Update Troubleshooter.