Dies ist die häufigste Frage, die wir von IT-Administratoren erhalten, die Deep Freeze evaluieren. Und ehrlich gesagt, ist es die richtige Frage.
"Wenn Deep Freeze alle Änderungen beim Neustart löscht, wie zum Teufel halte ich Windows auf dem neuesten Stand? Wie installiere ich neue Software? Wie installiere ich Sicherheitspatches?"
Berechtigte Sorge. Wenn Deep Freeze wirklich alles dauerhaft löschen würde, wäre das ein Albtraum für die Sicherheit: Sie wären für immer dazu verdammt, veraltete, anfällige Systeme zu betreiben. Offensichtlich funktioniert es nicht so.
Die kurze Antwort: Deep Freeze verfügt über integrierte Wartungsfenster, die Ihre Systeme vorübergehend auftauen, Updates anwenden und automatisch wieder einfrieren. Sie können es planen, automatisieren und es weitgehend vergessen.
Aber die kurze Antwort erzählt nie die ganze Geschichte. Lassen Sie uns genau durchgehen, wie das funktioniert, welche Optionen Sie haben und welche Fehler wir bei Administratoren im Laufe der Jahre beobachtet haben.
Warum Updates standardmäßig nicht bestehen bleiben (und warum das der Sinn der Sache ist)
Zuerst wollen wir verstehen, was tatsächlich unter der Haube passiert.
Wenn Deep Freeze aktiv ist – was wir als "eingefrorenen" Zustand bezeichnen – leitet es alle Schreibvorgänge an eine temporäre Zuordnungstabelle um, anstatt an die eigentliche Festplatte. Die ursprünglichen Systemdaten bleiben unberührt. Wenn Sie neu starten, verwirft Deep Freeze diese Zuordnungstabelle und die ursprüngliche Basislinie erscheint wieder.
Das ist genau das, was Deep Freeze so effektiv macht. Malware kann sich nicht festsetzen. Benutzerfehler werden gelöscht. Konfigurationsdrift ist unmöglich. Jeder Neustart kehrt zu Ihrem bekannten guten Zustand zurück.
Aber das bedeutet auch, dass, wenn Sie Windows-Updates installieren, während das System eingefroren ist, diese Updates nur in der temporären Zuordnungstabelle existieren. Neustart, und sie sind weg – das System kehrt zu seinem vorherigen (nicht gepatchten) Zustand zurück.
Das ist kein Fehler. Das ist die Kernfunktion. Die Frage ist: Wie erlauben Sie selektiv bestimmten Änderungen (wie Updates), dauerhaft zu werden, während Sie gleichzeitig vor allem anderen geschützt sind?
Hier kommt der Wartungsmodus ins Spiel.
Wie der Wartungsmodus funktioniert: Auftauen, Aktualisieren, Wieder einfrieren
Das Grundkonzept ist einfach: Um dauerhafte Änderungen an einem eingefrorenen System vorzunehmen, müssen Sie es vorübergehend "auftauen". Während es aufgetaut ist, verhält sich das System wie jede normale Windows-Maschine: Änderungen werden direkt auf die Festplatte geschrieben und bleiben über Neustarts hinweg bestehen. Wenn Sie fertig sind, frieren Sie es wieder ein, und dieser neue Zustand wird zur Basislinie.
Sie können dies manuell tun: anmelden, Ihr Administratorpasswort eingeben, die Maschine auftauen, Ihre Updates ausführen und dann wieder einfrieren. Das haben wir alle schon in der Not getan. Aber manuelles Auftauen skaliert nicht. Wenn Sie 50, 200 oder 2.000 Maschinen verwalten, benötigen Sie Automatisierung.
Deep Freeze bietet mehrere Möglichkeiten, dies zu automatisieren:
Geplante Auftauperioden.Sie definieren ein Fenster – sagen wir, jeden Mittwoch um 2 Uhr morgens –, in dem die Maschine automatisch in einem aufgetauten Zustand neu gestartet wird. Während dieses Fensters werden Ihre Updates ausgeführt. Wenn das Fenster schließt, startet die Maschine neu und friert mit der neuen Basislinie wieder ein.
Windows Update-Aufgaben.Deep Freeze Cloud und Enterprise verfügen über einen speziellen Aufgabentyp für Windows Update. Er ist intelligenter als ein einfaches Auftauf-Fenster: Er kann Updates herunterladen, während das System noch eingefroren ist (lokal zwischenspeichern), und dann nur lange genug auftauen, um sie zu installieren. Sobald die Installation abgeschlossen ist, friert er automatisch wieder ein. Keine feste Endzeit erforderlich.
Batch-Datei-Aufgaben.Für Updates von Drittanbieter-Software oder benutzerdefinierte Skripte können Sie Batch-Dateien planen, die während aufgetauter Perioden ausgeführt werden. Deep Freeze taut die Maschine auf, führt Ihr Skript aus und friert es nach Abschluss wieder ein.
Auftauen bei Bedarf.Von der Konsole oder der mobilen App aus können Sie das Auftauen auf bestimmten Maschinen oder Gruppen manuell auslösen. Nützlich für Notfall-Patches oder einmalige Softwareinstallationen.
Die wichtigste Erkenntnis ist diese: Deep Freeze bekämpft keine Updates, sondern gibt Ihnen präzise Kontrolle darüber, wann und wie sie stattfinden.
Best Practices für Windows-Updates mit Deep Freeze
Nach jahrelanger Unterstützung von Organisationen, die Deep Freeze im großen Stil betreiben, haben wir gelernt, was funktioniert und was Kopfschmerzen verursacht. Hier ist unser empfohlener Ansatz:
Wartung außerhalb der Geschäftszeiten planen.Das scheint offensichtlich, aber es lohnt sich zu erwähnen: Führen Sie Ihre Update-Fenster aus, wenn Benutzer nicht an den Maschinen sind. Für Schulen sind das Abende oder Wochenenden. Für Bibliotheken über Nacht. Für 24/7-Umgebungen finden Sie Ihr Fenster mit der geringsten Auslastung. Das Letzte, was Sie wollen, ist, dass eine Maschine mitten in einer Sitzung neu startet.
"Wenn Windows Update abgeschlossen ist" verwenden anstelle von festen Endzeiten.Frühe Versionen von Deep Freeze erforderten, dass Sie ein festes Wartungsfenster einstellten – sagen wir, 2 bis 4 Uhr morgens. Das Problem? Manchmal dauern Updates 20 Minuten. Manchmal drei Stunden. Wenn das Fenster schließt, bevor die Updates abgeschlossen sind, riskieren Sie Boot-Schleifen oder unvollständige Installationen. Moderne Versionen lassen Sie "Wenn Windows Update abgeschlossen ist" auswählen; die Maschine bleibt aufgetaut, bis alles ordnungsgemäß installiert ist, und friert dann automatisch wieder ein. Verwenden Sie diese Option.
Lassen Sie Deep Freeze Updates herunterladen, während es eingefroren ist.Deep Freeze kann Windows-Updates zwischenspeichern, auch wenn das System eingefroren ist. Die eigentliche Installation erfordert ein Auftauen, aber der Download nicht. Das bedeutet, dass Ihr Auftauf-Fenster für die Installation genutzt wird und nicht auf Multi-Gigabyte-Downloads gewartet werden muss. Das ist deutlich schneller.
Wake-on-LAN für ausgeschaltete Maschinen verwenden.Das Energiemanagement von Deep Freeze kann Maschinen für geplante Wartungsarbeiten aufwecken, auch wenn sie ausgeschaltet sind. Konfigurieren Sie dies so, dass Ihre nächtlichen Updates tatsächlich stattfinden und nicht fehlschlagen, weil jemand den PC ausgeschaltet hat.
WSUS für mehr Kontrolle in Betracht ziehen.Wenn Sie einen WSUS-Server betreiben, integriert sich Deep Freeze damit. Der Vorteil? Sie kontrollieren genau, welche Updates bereitgestellt werden. Die native Windows Update-Aufgabe von Deep Freeze wendet standardmäßig kritische und Sicherheitsupdates an, aber WSUS ermöglicht es Ihnen, bestimmte Patches zu genehmigen, Feature-Updates zu verschieben oder zu testen, bevor Sie sie breitflächig bereitstellen.
Wartungsfenster staffeln.Planen Sie nicht, dass alle 200 Maschinen genau um 2 Uhr morgens aktualisiert werden. Staffeln Sie sie: Gruppe A um 2 Uhr morgens, Gruppe B um 2:30 Uhr morgens und so weiter. Dies reduziert die Belastung Ihres Netzwerks und Ihrer Update-Server und bedeutet, dass Sie, wenn etwas schiefgeht, es bemerken, bevor die gesamte Infrastruktur betroffen ist.
Neustarts planen, auch ohne Updates.Auch wenn keine ausstehenden Updates vorhanden sind, stellen periodische Neustarts Ihre eingefrorene Basislinie wieder her und löschen alle angesammelten Sitzungsdaten. Viele Organisationen planen tägliche oder wöchentliche Neustarts als Standardpraxis.
Drittanbieter-Software aktualisieren, ohne Probleme zu verursachen
Windows Update kümmert sich um das Betriebssystem. Aber was ist mit Chrome, Firefox, Adobe Reader, Java, Zoom und den Dutzenden anderer Anwendungen auf Ihren Maschinen?
Das gleiche Prinzip gilt: Updates müssen während des Auftauens erfolgen. Aber Updates von Drittanbietern erfordern etwas mehr Überlegung, da Deep Freeze sie nicht direkt verwaltet.
Option 1:Verwenden Sie Ihre vorhandenen Bereitstellungstools.Wenn Sie bereits SCCM, Intune, PDQ Deploy oder ähnliches verwenden, nutzen Sie diese weiterhin. Planen Sie Ihre Bereitstellungen so, dass sie mit den Auftauf-Perioden von Deep Freeze zusammenfallen. Stellen Sie Software im aufgetauten Zustand bereit und lassen Sie Deep Freeze dann mit den neuen Anwendungen in der Basislinie wieder einfrieren.
Option 2:Verwenden Sie die Batch-Datei-Aufgaben von Deep Freeze.Sie können Batch-Dateien oder PowerShell-Skripte planen, die während aufgetauter Perioden ausgeführt werden. Schreiben Sie ein Skript, das Ihre wichtigsten Anwendungen stillschweigend aktualisiert, planen Sie es als Batch-Datei-Aufgabe, und Deep Freeze kümmert sich automatisch um den Auftau-Ausführungs-Wieder-Einfrier-Zyklus.
Option 3:Verwenden Sie den Software Updater von Deep Freeze Cloud.Wenn Sie bestimmte Deep Freeze Cloud-Bundles verwenden, kann die Funktion "Software Updater" gängige Anwendungen von Drittanbietern automatisch verwalten. Sie prüft auf Updates und wendet sie während der Wartungsfenster an.
Kritischer Tipp:automatische Updates in Anwendungen deaktivieren.Viele Anwendungen versuchen, sich selbst automatisch zu aktualisieren. Auf einer eingefrorenen Maschine werden diese Updates heruntergeladen, teilweise installiert und verschwinden dann beim Neustart, was Bandbreite verschwendet und potenziell seltsames Verhalten verursacht. Deaktivieren Sie die automatischen Update-Funktionen in den Anwendungen selbst und verwalten Sie Updates stattdessen zentral während der Auftauf-Perioden.
Antivirus-Definitionen sind ein Sonderfall.Ihre AV-Software aktualisiert wahrscheinlich mehrmals täglich die Definitionen. Einige AV-Produkte können Definitionen auf einer aufgetauten Partition speichern (mehr dazu unten), sodass Updates bestehen bleiben, ohne das gesamte System auftauen zu müssen. Alternativ planen Sie die Definition-Updates während Ihrer Auftauf-Perioden. Koordinieren Sie sich mit der Dokumentation Ihres AV-Anbieters, um die besten Ergebnisse zu erzielen.
Häufige Fehler, die Kopfschmerzen verursachen
Wir unterstützen Deep Freeze-Bereitstellungen seit fast 30 Jahren. Dies sind die Update-bezogenen Fehler, die wir am häufigsten sehen:
Updates im eingefrorenen Zustand durchführen und sich wundern, warum es nicht funktioniert hat.Das passiert häufiger, als man denkt, besonders bei neuen Administratoren. Sie installieren Updates, starten neu, und die Updates sind weg. Dann installieren sie erneut, starten erneut, das gleiche Ergebnis. Überprüfen Sie Ihren Einfrierstatus, bevor Sie Updates ausführen. Das Eisbär-Symbol in der Taskleiste zeigt es an: animiert bedeutet eingefroren, statisch bedeutet aufgetaut.
Vergessen, nach manuellem Auftauen wieder einzufrieren.Sie tauen eine Maschine auf, um etwas zu installieren, werden abgelenkt und lassen sie tagelang aufgetaut. Diese Maschine ist nun ungeschützt: Sie sammelt Änderungen an, nimmt potenziell Malware auf, driftet von Ihrer Basislinie ab. Frieren Sie immer sofort wieder ein, wenn Sie fertig sind. Wenn Sie dazu neigen, es zu vergessen, verwenden Sie geplante Auftauf-Perioden mit automatischem Wieder-Einfrieren anstelle von manuellem Auftauen.
Festlegung zu kurzer Wartungsfenster.Ein zweistündiges Fenster mag für den monatlichen Patch-Dienstag ausreichen. Aber wenn eine Maschine wochenlang ausgeschaltet war und Dutzende von ausstehenden Updates hat, reichen zwei Stunden nicht aus. Verwenden Sie die Option "Wenn Windows Update abgeschlossen ist", um dieses Problem vollständig zu vermeiden.
Updates vor der Massenbereitstellung nicht testen.Das ist nicht spezifisch für Deep Freeze, aber es ist auch hier wichtig. Testen Sie Updates zuerst an einer Pilotgruppe. Wenn etwas schiefgeht, wollen Sie es wissen, bevor es Ihre gesamte Infrastruktur betrifft.
Windows-Feature-Updates ignorieren.Ab Windows 10 veröffentlicht Microsoft ein- bis zweimal jährlich große Feature-Updates. Diese sind groß, zeitaufwendig und ändern manchmal Dinge erheblich. Deep Freeze handhabt sie, aber Sie sollten längere Wartungsfenster einplanen und erwägen, sie zu verschieben, bis Sie gründlich getestet haben.
Verwendung von Drittanbieter-Update-Tools ohne Koordination.Deep Freeze unterdrückt den Windows Update-Dienst, während es eingefroren ist, um Konflikte zu vermeiden. Wenn Sie ein Drittanbieter-Patch-Tool verwenden, das auf Windows Update angewiesen ist, funktioniert es möglicherweise nicht richtig, es sei denn, es wird während der Auftauf-Perioden ausgeführt. Koordinieren Sie Ihre Tools mit Ihrem Deep Freeze-Wartungsplan.
Ein Hinweis zu ThawSpaces und aufgetauten Partitionen
Sie fragen sich vielleicht: Gibt es eine Möglichkeit, bestimmte Daten persistent zu halten, ohne das gesamte System auftauen zu müssen?
Ja. Deep Freeze bietet ThawSpaces und aufgetaute Partitionen für genau diesen Zweck.
ThawSpacessind virtuelle Partitionen, die auch dann beschreibbar bleiben, wenn das System eingefroren ist. Daten, die in einem ThawSpace gespeichert werden, bleiben über Neustarts hinweg bestehen. Sie sind nützlich für Dinge wie Benutzerdokumente, AV-Definitionen oder Anwendungsdaten, die Neustarts überstehen müssen.
Aufgetaute Partitionensind ganze Laufwerke, die Deep Freeze ignoriert. Wenn Ihre Maschine ein D:-Laufwerk hat, das als aufgetaut eingestellt ist, bleibt alles, was dort gespeichert wird, unabhängig vom Einfrierstatus bestehen.
Allerdings – und das ist wichtig – können Sie ThawSpaces oder aufgetaute Partitionen nicht verwenden, um Windows-Updates persistent zu machen. Die Windows-Systemdateien befinden sich auf der eingefrorenen Systempartition. Updates müssen diese Dateien ändern, was das Auftauen der Systempartition selbst erfordert.
ThawSpaces sind für Benutzerdaten und spezifische Anwendungsdaten. Systemupdates erfordern ordnungsgemäße Auftauf-Perioden.
Häufig gestellte Fragen
Können Windows-Updates vollständig automatisch installiert werden?
Ja. Konfigurieren Sie eine Windows Update-Aufgabe in Faronics Cloud Deep Freeze, legen Sie sie für die Ausführung außerhalb der Geschäftszeiten fest und wählen Sie "Wenn Windows Update abgeschlossen ist". Deep Freeze lädt Updates herunter, während es eingefroren ist, taut zur geplanten Zeit automatisch auf, installiert Updates, führt alle erforderlichen Neustarts durch und friert am Ende wieder ein. Keine manuelle Intervention erforderlich.
Wie oft sollte ich Wartungsfenster planen?
Das hängt von Ihrer Umgebung ab. Die meisten Organisationen planen Windows Update-Aufgaben wöchentlich, oft zeitgleich mit dem Patch-Dienstag (zweiter Dienstag jedes Monats) plus ein oder zwei zusätzliche Durchläufe, um alles zu erfassen, was mehrere Neustarts erfordert. Für Umgebungen mit starker Nutzung oder hoher Sicherheitsanforderung sollten Sie erwägen, die Wartung zweimal wöchentlich durchzuführen. Für Umgebungen mit geringerem Risiko kann alle zwei Wochen ausreichen.
Können Benutzer Software selbst aktualisieren?
Standardmäßig nein, und das ist beabsichtigt. Jede Software, die Benutzer im eingefrorenen Zustand installieren, verschwindet beim Neustart. Wenn Sie möchten, dass Benutzer Software persistent installieren können, müssten Sie ihnen Auftauf-Zugriff gewähren, was den Zweck des Schutzes zunichtemacht. Bessere Praxis: Lassen Sie Benutzer Software über Ihre normalen IT-Kanäle anfordern und stellen Sie sie zentral während der Wartungsfenster bereit.
Was passiert, wenn eine Maschine ihr Wartungsfenster verpasst?
Wenn eine Maschine während ihrer geplanten Wartung ausgeschaltet ist, werden die Updates nicht ausgeführt. Optionen: Aktivieren Sie Wake-on-LAN, damit Deep Freeze die Maschine aufwecken kann, oder planen Sie ein "Nachhol"-Fenster während der Tagesstunden als Fallback. Faronics Cloud Deep Freeze zeigt den Status der Wartungsaufgaben in der Konsole an, sodass Sie Maschinen identifizieren können, die ihr Fenster verpasst haben.
Wie gehe ich mit Maschinen um, die unterschiedliche Update-Zeitpläne benötigen?
Erstellen Sie mehrere Richtlinien. Deep Freeze ermöglicht es Ihnen, verschiedene Konfigurationen für verschiedene Maschinengruppen zu definieren. Ihre Computerräume könnten wöchentlich mittwochs aktualisiert werden, während die öffentlichen PCs in der Bibliothek täglich über Nacht aktualisiert werden. Richten Sie Gruppen in Ihrer Konsole ein und weisen Sie jeder Gruppe die entsprechenden Richtlinien zu.
Was ist mit WSUS? Funktioniert Deep Freeze damit?
Ja. Sie können Deep Freeze so konfigurieren, dass es Updates von Ihrem WSUS-Server bezieht und nicht direkt von Microsoft. Der Vorteil ist die Kontrolle: WSUS ermöglicht es Ihnen, bestimmte Updates zu genehmigen, vor der Bereitstellung zu testen und zu verwalten, welche Updates welche Maschinen erreichen. Deep Freeze installiert alle von WSUS genehmigten Updates während des Wartungsfensters.
Kann ich Deep Freeze selbst aktualisieren, während das System eingefroren ist?
Nein. Deep Freeze-Updates erfordern, dass das System aufgetaut ist. Sie können Deep Freeze-Updates von der Konsole während der Wartungsfenster pushen oder sie als Teil Ihres regulären Wartungszyklus planen.
Fazit: Updates und Deep Freeze arbeiten zusammen
Die Sorge, dass Deep Freeze Updates verhindert, ist einer der häufigsten Einwände, die wir hören: und einer der am einfachsten zu behebenden.
Ja, Deep Freeze löscht standardmäßig Änderungen. Das ist der Sinn der Sache. Aber es bietet Ihnen auch kontrollierte Fenster, um bei Bedarf dauerhafte Änderungen vorzunehmen. Updates werden im eingefrorenen Zustand heruntergeladen. Maschinen tauen automatisch zu geplanten Zeiten auf. Updates werden installiert. Maschinen frieren mit der aktualisierten Basislinie wieder ein.
Das Ergebnis? Sie erhalten die Sicherheits- und Konsistenzvorteile von Reboot-to-Restore und halten gleichzeitig vollständig gepatchte, aktuelle Systeme. Sie müssen sich nicht entscheiden.
Richten Sie Ihre Wartungsfenster ordnungsgemäß ein, nutzen Sie die von uns integrierten Automatisierungsfunktionen, und Updates werden zu einem Nicht-Thema. Wir haben Organisationen, die Tausende von eingefrorenen Maschinen mit vollständig automatisiertem Patching betreiben. Es funktioniert.
Wenn Sie sich immer noch nicht sicher sind, wie das in Ihrer Umgebung funktionieren würde, holen Sie sich eine Testversion und testen Sie es. Konfigurieren Sie ein Wartungsfenster, führen Sie einige Updates aus, sehen Sie, wie der Prozess in der Praxis funktioniert. Das ist mehr wert als jede Dokumentation.
Bereit, es in Aktion zu sehen?
Testen Sie Faronics Cloud Deep Freeze 30 Tage kostenlos. Richten Sie ein Wartungsfenster ein, führen Sie einige Updates aus und sehen Sie, wie nahtlos es ist.
