Patchmanagement - Pakete -Windows 11 APP- Pakete Patchen - Updaten

[lordjadencorr]

Hallo Community,

wir stehen vor einer Herausforderung, die wir bisher nicht lösen konnten, und im Zuge einer geplanten Windows 11-Migration ist es für uns besonders wichtig, das Vorgehen mit Matrix42/Empirum zu klären.

Da Windows 11 noch immer stark auf APPX-Apps setzt, stellt sich für uns die Frage, wie andere Unternehmen den Umgang mit diesen Apps handhaben, insbesondere im Hinblick darauf, dass Empirum keine APPX-Updates im Patchmanagement durchführt.

Unser Problem: Hin und wieder haben wir das Problem, dass Apps wie Sticky Notes oder die Fotos-App defekt sind und repariert werden müssen. Da unser Unternehmensnetzwerk jedoch den Microsoft Store und Windows Update aus Datenschutz- und Sicherheitsgründen blockiert, können wir diese Apps nicht einfach neu installieren oder updaten.

Unsere Patchmanagement-Lösung läuft zentral über Empirum und wird mittels Staging (Test-Piloten, dann Produktivsetzung) ausgeführt. Wir möchten vermeiden, dass jeder Rechner individuell Updates direkt aus dem Internet herunterlädt.

Unsere Frage an die Community: Wie stellt ihr in euren Unternehmen sicher, dass Microsoft Store-Apps (APPX-Pakete) neu installiert oder aktualisiert werden können, wenn der Store und Windows Update blockiert sind? Und wie handhabt ihr das mit Matrix42/Empirum?

Eine mögliche Alternative wäre Intune, das solche Updates parallel abwickeln könnte. Allerdings wollen wir dies nur ungern zusätzlich einführen.

Wir sind uns der Möglichkeit bewusst, über Seiten wie store.rg-adguard.net Pakete anhand der IDs herunterzuladen, jedoch stellt sich uns die Frage, ob das rechtlich einwandfrei ist.

Zudem ist es über den Package-Wizard in Empirum zwar möglich, einzelne Pakete zu installieren, jedoch ist dieser Prozess unhandlich und häufig scheitern wir an nicht kompatiblen Versionen, was dazu führt, dass das Paket nicht läuft.

Aussage von Matrix42: Laut Matrix42 gibt es derzeit keine Pläne, APPX-Updates ins Patchmanagement zu integrieren, da Microsoft keine offiziellen Downloadmöglichkeiten für Drittanbieter-Lösungen anbietet.

Feedback von unserem Microsoft-Dienstleister: Es gibt eine Möglichkeit, WinGet zu nutzen, um Apps aus dem Store zu installieren oder zu aktualisieren, allerdings benötigt dies den Zugriff auf den Windows Update-Dienst. Wenn man den Zugriff darauf sperrt, verhindert man zwar ungewollte Installationen durch die Benutzer, gleichzeitig wird aber auch die Möglichkeit genommen, bereits installierte Apps zu aktualisieren, was zu veralteten Versionen und Compliance-Problemen führt.

Darüber hinaus lassen sich Apps wie Sticky Notes, Calculator oder Snip & Sketch nur im User-Kontext und nicht im System-Kontext installieren oder aktualisieren. Dies widerspricht den gängigen Deployment-Methoden von Matrix42 und Co.

Zusätzlich ist anzumerken, dass die oben genannte Lösung nicht CISCAT-konform ist, da CISCAT eine strikte Sperrung des Stores und WinGets auf Benutzer- und Computerebene fordert.

Abschließender Gedanke: Es scheint, dass die einzige konforme Lösung, die sowohl Sicherheits- als auch Compliance-Anforderungen erfüllt, die Nutzung von Intune ist.

Wir haben zudem ein interessantes Open-Source-Projekt auf GitHub entdeckt (mjishnu/alt-app-installer), das es ermöglicht, Store-Apps als APPX-Pakete herunterzuladen. Der Quellcode ist offen einsehbar, was es potenziell zu einer sichereren Alternative macht als andere Tools wie store.rg-adguard.net. Installation erfolgt dann via PowerShell-Befehl Add-AppxProvisionedPackage.

Habt ihr ähnliche Herausforderungen und wie geht ihr damit um? Gibt es Alternativen zu Intune oder andere Best Practices, die wir vielleicht übersehen haben?

Vielen Dank vorab für eure Rückmeldungen!

Viele Grüße

[Odom]

Guten Morgen Andreas,

ich stehe eigentlich vor dem gleichen Problem wie Du.

Momentan haben wir Win 10 Clients und der Microsoft Store wird geblockt, weil man es so wollte.
Wir benutzen den MS Defender als AV und sind daher gezwungen in Richtung Intune zu gehen. Die Schulung habe ich vor ein paar Monaten dazu bekommen.

Ich arbeite jetzt an einem Win 11 image für die Clients und stehe vor dem Problem, wie soll es weiter gehen? Matrix Verwaltung? Per Intune? Irgendwie beides?

In der Schulung wurde mir gesagt das es blödsinn sei den MS Store zu blockieren, da man so auch die Updates blockiert die darüber im Windows sind. Und natürlich kam auch die Empfehlung alles über Intune zu machen, war ja auch eine offizielle MS Schulung...

Per Intune kann man die installieren, das geht auch sehr einfach. Allerdings weiss ich nicht ob diese auch aktualisiert werden. Man sucht eigentlich nur das MS Store Programm aus und weist es zu. Ich weiss nicht ob somit später dann auch aktuellere Versionen installiert werden. Aber dann muss man die Updates & Pakete in Matrix pflegen, und zusätzlich dazu auch noch im Intune.

Mir würde es auch interessieren, wie andere in der Situation vorgehen.

Beste Grüße,
Odom

[G23]

Hi,

wir haben den Windows Store auch gesperrt. Bei defekten APPX bei Clients in der Vergangenheit haben wir diese manuell über PowerShell gelöst. Hier ist der Prozess, den wir verwendet haben:

1. Das funktionierende APPX-Paket von einem alternativen Rechner verwenden, auf dem die Installation erfolgreich war.

2. Über einen PowerShell-Befehl installieren. (Bei komplexeren Paketen sind gegebenenfalls auch zusätzliche, abhängige Pakete erforderlich.)

powershell: Add-AppxPackage -Path "C:\Pfad\Dateiname.appx"


Windows Updates werden über Patch Management verteilt.