De maandelijkse rollups groeiden in een jaar tijd met 70 procent. Voor de x86-versie van het OS gingen de updates van 72 MB in oktober vorig jaar naar 124,4 MB en voor de 64 bit-versie groeide het in 12 maanden van 119,4 MB naar 203,2 MB.

Groei updates

Microsoft kondigde vorig jaar al aan dat updates zouden groeien, omdat elke rollup de updates van de maanden ervoor gebruikte. Volgens Microsoft-chef Nathan Mercer konden de updates uiteindelijk groeien naar 500 MB. Maar dat is een optimistische schatting. Met dit tempo groeien de updates naar 350 MB volgend jaar rond deze tijd en naar 600 MB tegen de tijd dat het pensioen van Windows 7 in zicht is.

"Die groei is een zorg", zegt beveiligingschef Chris Goettle van beveiligingsbedrijf Ivanti. "Met de groei naar 300 of zelfs 500 MB hebben sommige bedrijven - vooral organisaties die locaties met lage bandbreedtes hebben - niet de tijd om de updates elke maand e3fficiënt te downloaden en uit te rollen." Hij noemt bijvoorbeeld een winkel die, zonder moderne (glas)internetverbinding, een update van 500 MB moet verwerken. "Dat betekent dat kostbare bandbreedte zwaar wordt gebruikt voor de updates."

Twee smaken

Microsoft heeft twee updates beschikbaar voor Windows 7. De ene is een rollup en de andere 'security only' met alleen de beveiligingspatches en niets meer. Die updates zijn veel kleiner. De 64 bit-versie was in juli maar 30 MB en de 32 bit-versie zelfs 19. De rollups die maand waren respectievelijk 194 en 119 MB. Vorig jaar december was het verschil nog opvallender: 900 KB en 1,4 MB voor de security only-updates; 125,1 en 204,7 MB voor de rollups.

Hierna: Maar er zijn meer redenen voor groei - en IT'ers hebben een manier om updates over te slaan.

De rollups zijn niet alleen groter omdat ze hun hele geschiedenis meezeulen, maar omdat ook bugfixes die niet onder de beveiligingspatches vallen worden toegevoegd. Soms worden deze gebundeld met de securitypatches, waarmee de grootte van de updates nog verder toeneemt.

Geen keus

Ook kan niet iedere machine kiezen voor de kleinere secutity only-updates: die zijn alleen mogelijk met WSUS of third party-tools die WSUS gebruiken voor content, of Microsofts eigen beheertool SCCM. Alle andere Windows 7-apparaten, inclusief de pc's van consumenten en kleine organisaties die Windows Update gebruiken, hebben geen keus en krijgen de rollups.

Gemiddeld genomen waren de security only-updates dit jaar een zesde van de grootte van de rollups. Volgens Goettl zijn ze dezelfde grootte in totaal als de losse patches die Microsoft vroeger uitbracht. Maar grootte is niet de enige reden dat security only beter is voor bedrijven. "Het geeft je flexibiliteit", zegt Goettl, verwijzend naar de mogelijkheid om updates uit te stellen.

Alleen beveiliging

Omdat de rollups cumulatief zijn - ze bevatten alle patches uit het verleden naast de nieuwe - kun je geen nieuwe updates los installeren zonder álles sinds oktober 2016 toe te passen. Als een van al die patches een applicatie in de soep gooit of een workflow blokkeert, moeten alle rollups die volgen worden stopgezet.

Door alleen security only-updates te installeren, kunnen IT'ers bijvoorbeeld de patches van deze maand toepassen zelfs als november niet is uitgerold vanwege een roet in het eten gooiende patch. Dat lijkt iets meer op het systeem van vroeger, waar je individuele patches kon weigeren. Volgens Goettl is de security only-update een manier om bedrijven tevreden te houden na het nieuwe beleid vorig jaar. "De klap van de cumulatieve update-aankondiging werd verzacht door deze bundel. In Windows 10 heb je deze optie niet."

Op de laatste pagina: Je kunt kleinere delta's uitrollen naar pc's in het netwerk.

Goettl vertelt bedrijven dat ze het beter bij de kleine updates kunnen houden. "Veel van de onderbrekende problemen komen aan het eind van elke maand mee met de non-security fixes", zegt hij over de patches die worden toegevoegd aan de rollups van de volgende maand. "Hier gaat et mis. Deze maand zaten er een hoop non-security fixes in de rollups en - vooral voor pc's met gevoelige software - daarom raden we security only-updates aan."

Delta-techniek

Niet iedere Windows 7-machine hoeft voor de zware rollups te gaan, in WSUS heb je de optie voor expressbestanden die zorgen voor een kleiner bandbreedteverbruik binnen je lokale netwerk. Die gebruiken een delta-techniek: alleen de bits die het verschil maken tussen de vorige en de nieuwe versie worden gebruikt om de update toe te passen.

Maar daar kleeft een nadeel aan. Die delta's zorgen voor een efficiëntere interne uitrol, maar de updates naar de lokale WSUS-server worden aanzienlijk groter. Volgens Microsoft kan die grootte zelfs verdriedubbelen en moet je dus investeren in bandbreedte om de kleinere pakketjes te kunnen verspreiden. Dat komt omdat de installatiebestanden delta's bevatten voor alle mogelijke varianten die moeten worden bijgewerkt.

Het voordeel is dat je daarna clients binnen je netwerk kunt updaten zonder het hele zakelijke netwerk zwaar te moeten belasten. Microsoft geeft een voorbeeld waarin een rollup van 100 MB voor de WSUS-server 300 MB oplevert, maar het transport intern naar clients kan dan zo klein zijn als 30 MB per systeem. Zonder deze feature is het 100 MB voor de WSUS-server, maar ook 100 MB voor elke pc in het netwerk.

Het is belangrijk op te merken dat dit niet hetzelfde systeem is als je wellicht kent van Windows 10, waar ook een delta-systeem wordt gebruikt voor interne updates. Bij Windows 10 zijn zelfs hele onderdelen-updates aan het OS (die elk half jaar uitkomen) te verspreiden en dat kan hele gigabytes schelen.