» Home » Verschiedenes » Update/Patch

Update und Patchmanagement

WSUS, der Nachfolger von SUS wurde am 6. Juni 2005 freigegeben.
Siehe auch WSUS.

Sie betreiben Windows Server, Windows Workstations, Exchange, Office und viele anderen Systeme und täglich erfahren Sie, dass Software Fehler hat. Nicht dass Sie das erschrecken würde oder ich ihnen etwas völlig neues erzähle, aber die Frage der Verteilung und Kontrolle von Updates müssen Sie dennoch lösen.

Nicht erst seit "Windows Update" ist jedem bekannt, dass auch ein Betriebssystem ab und an einen Patch benötigt. Auch die Probleme von Exchange 5.5 mit Outlook 2003 und andere Dinge zeigen, dass Sie sich langsam zu einem Patchmanagement durchringen sollten. Und dieses fängt beim Betriebssystem erst an !!.

Wie wichtig aktuelle Patches sind, zeigt auch die Top20 des SANS unter http://www.sans.org/top20. Schauen wir doch mal, welche Optionen wir hier haben:

Was ist zu patchen ?

• Security (Windows Betriebssystem Sicherheitslöcher)
  Damit sind Patches für bekannte sicherheitskritische Programme gemeint, die einem Angreifer das Leben einfacher machen. Darunter fallen auch Servicepacks. Oftmals sind auch kritische Updates für den Internet Explorer dabei, obwohl dieser ja eigentlich nicht zum Betriebssystem gehört.
• Betriebssystem (Windows Komponente)
  Zusätzlich verteilt Microsoft über die Windows Update Seite immer mal wieder Update für Media Player aber auch Dinge wie den Movie Player, .NET-Framework, MSN Messenger und andere Zusatzprogramme, die nicht direkt was mit Sicherheitslücken zu tun haben.
• Treiber
  Manchmal bietet ihnen Windows Update auch aktuellere Treiber für ihr Betriebssystem an, z.B. für Netzwerkkarten oder Grafikkarten
• Desktop Anwendungen
  Nicht über Windows Update, sondern über Office Update finden sie alle Update für Microsoft Office. Vermutlich hat es rechtliche Gründe, dass Microsoft diese Funktion nicht in "Windows Update" mit integriert hat. Man erinnere sich an die Streitigkeiten vor einigen Jahren. Das ist sicher einer der negativen Auswirkungen, wenn ein Hersteller dinge trennen muss, die zusammen viel einfacher sein könnten.
• Server Anwendungen
  Auf Windows Servern hingegen sind Exchange, SQL und andere Dienste installiert, die natürlich auch nicht "fehlerfrei" sind und ab und an ein Update benötigen.
• Drittanwendungen
  Da Microsoft nicht der einzige Hersteller von guter Software ist, finden sich auf ihrem Server auch solche Programme, für die es eigene Wege der Aktualisierung gibt.

Egal wie sie es drehen, sie müssen sich Gedanken machen wie Sie Informationen über notwendige Updates erhalten, diese dann herunterladen und auf die Systeme verteilen, auf denen diese Update erforderlich sind. Dabei ist Rücksicht auf die Sprache, die Reihenfolge und eventuelle Fremdprodukte zu nehmen.

Womit kann ich das tun ?

Um die Updates auf Ihr System zu bringen, gibt es gleich mehrere Wege, die leider nicht direkt vergleichbar sind und auch nicht alles erledigen:

• Windows Update Webseite
  Gehen Sie einfach auf http://windowsupdate.Microsoft.com, laden das ActiveX Control und sie können die Update in der richtigen Reihenfolge installieren. Wunderbar für Privatanwender aber ungeeignet für Firmen. Jeder PC würde die Daten selbst herunter laden, Sie haben keine Kontrolle darüber welcher PC wie aktuell ist und die Anwender haben sicher nicht die Zeit für "so was". Und bei Update für Office, Exchange oder SQL hilft es ihnen ebenso wenige weiter wie bei der Kontrolle ihrer Server
• Windows Update Webseite - Katalog
  Auf der gleichen Webseite können Sie die Patches auch "einzeln" herunter laden und dann von Hand intern verteilen. Nett gemeint, nur hilft ihnen die Webseite weder bei der Installation noch der Reihenfolge. Auch gibt es kein Automatismus, um die Patches automatisch in einer Verzeichnis zu spiegeln
• Windows Update Dienst
  Seit Windows 2000SP3 gibt es den kleinen Dienst, der selbst bei Microsoft "nachschaut" und über Updates informiert. Er kann diese sogar alleine herunter laden und sogar nach Zeitplan installieren. Für PCs ist das nett aber mit viel Internetverkehr verbunden. Eine Kontrolle fehlt und für ihre Server möchten Sie sicher keine automatischen Neustarts. Leider hinterlässt sich der Dienst weder im Eventlog noch im Performance Counter, so dass er nicht mal als Wachhund dienen kann. Ich lauf nicht jeden Tag zu jedem Server, um auf das kleine Icon in der Taskleiste zu schauen. Sie etwa ?
• Windows Update Dienst mit SUS
  Damit die Verteilung nicht aus dem Internet erfolgt, gibt es seit einiger Zeit den SUS (Software Update Service). Kostenfrei von Microsoft holt sich dieser Dienst alle "critical" Updates (also keine Treiber etc.) und stellt diese Intern bereit. Über eine Gruppenrichtlinie kann man wunderbar auch alle PCs anweisen, von diesem Server die freigegebenen Update zu beziehen.
  Leider kann man mit SUS keine Updates "forcieren" und die Auswertefunktionen sind sehr gering. Auch dass der Windows Update Client keine Infos per SNMP, SMTP, Perfmon oder Eventlog meldet ist ungenügend.
• WSUS - der Nachfolger von SUS
  Im Juni 2005 hat Microsoft den Nachfolger WSUS veröffentlich, der SUS ablöst und nun nicht nur Windows, sondern auch Exchange, SQL etc. patchen kann und auch ein besseres Reporting erlaubt.
• MBSA und HFNETCHK
  Der Microsoft Baseline Security Analyser ist mehr als nur ein "Patchprüfer". MBSA prüft ihr komplettes System nach bestimmten Vorgaben. Es erkennt Benutzer ohne Kennworte, zuviele Administratoren und neben fehlenden Windows Patches prüft MBSA auch Office, Exchange und SQL-Server auf ihre Aktualität. Das ganze funktioniert sogar "netzwerkweit", solange die PCs eingeschaltet und Sie dort Administrator sind. Leider lädt MBSA keine Patches herunter und noch weniger kann es Patche und Update verteilen. Schade eigentlich.
• SMS mit SUS-Erweiterung
  Wer einen Microsoft Systems Management Server sein Eigen nennt, kann mit dem optionalen AddOn SUS für SMS elegant aus der Management Konsole heraus Updates herunterladen und über SMS verteilen. Leider hat nicht jeder SMS.
• UpdateExpert, HFNetChk und andere
  Daher gibt es genug Platz für Dritthersteller, die selbständig eigene Datenbanken und Programme pflegen. Die bekanntesten sind sicherlich HFNETCHK von Shavlik  (Heute noch Teil von MBSA) und UpdateExpert. Diese Programme sind keine vollständige Softwareverteilung sondern versprechen eine Verteilung von Updates und Patches mittels einem zentralen Download der Update und einer Patchdatenbank des Herstellers. Oftmals muss der Administrator diese Programm aktiv ausführen und bedienen. Ausgeschaltete Systeme können meist nicht gescannt werden und Update können nicht in einer Art Warteschlange hinterlegt werden.
• Windows Update Services
  Als Nachfolger von SUS wird Microsoft Windows Update Services veröffentlichen. Noch ist nicht so viel bekannt, was es da geben wird.
  http://www.Microsoft.com/windowsserversystem/sus/wusbeta.mspx
  http://www.Microsoft.com/wus
• ????
  Kann das alles sein ? Am Ende dieser Seite finden Sie ein paar Ideen, die aber noch nicht umgesetzt sind.

Patch Matrix

Die Leser der Seite Exchange Installation Matrix oder Internetanbindung mit Exchange wissen nun schon was kommt: Eine kleine Tabelle, die schnell einen Überblick für die verschiedenen Dinge geben soll. Ich erhebe keinen Anspruch auf Vollständigkeit:

• A = automatisiert möglich
• M = Manuell anstoßen
• I = Information
• SMS = Funktion von SMS, keine Funktion von Windows Update
• = nicht möglich
• S = Nur Scannen und Fehlen anzeigen
• leer = keine gesicherten Angaben dazu

Bedingt durch die laufenden Entwicklungen kann es sein, dass die Angaben nicht mehr korrekt sind.

Software	Security	OS	Treiber	Exchange SQL etc.	Office	3rd Party
Windows Update Web	M	M	M
Windows Update Katalog	M	M
Windows Update Dienst	A
Windows Update + SUS	A
MBSA, HFNETCHK	S	S	S	S	S
SMS + SUS AddOn	A	A	SMS	SMS	SMS	SMS
Update Expert	A I M	A I M	A I M	A I M	A I M	A I M
???? Wunsch	A I M	A I M		I	A I M	A I M
WUS (Windows Update Server)	A	A	A	A	?	?
Heise Offline Update	A	A

Wie sie bereits sehen, geht mit den kostenfreien Bordmitteln von Windows (Windows Update Webseite, Windows Update Dienst, SUS) nicht allzu viel, so dass Alternativen gefragt sind. Dazu gibt es dann komplette Softwareverteillösungen wie SMS, NetInstall, LanDesk und andere Produkte, die zum Teil den Administrator beim Download und Verteilen der Updates unterstützen

Weiterhin gibt es Programme wie UpdateExpert, HFNetChk und andere, deren Fokus allein auf dem Verteilen von Updates liegt, die günstiger sind, aber keine klassische Softwareverteilung anderer Produkte erlauben.

Windows Update Client mit SUS

Das Dilemma des Windows Update Clients wird ersichtlich, wenn man abhängig von den Einstellungen der Gruppenrichtlinien erkennt, wie die Patches verteilt werden.

	Modus 2			Modus 3			Modus 4
Wer ist angemeldet? A=Admin, B=Benutzer, N=Niemand
Neue Updates suchen
Trayicon vor Download
Trayicon nach Download
Einzelne Updates Ablehnen
Automatischer Download
Automatische Installation

• Angemeldet als Administrator
• Angemeldet als Benutzer
• Computer eingeschaltet ohne interaktive Anmeldung

Die automatische Installation erfolgt nur im Modus 4 inklusive Neustart. Für Arbeitsplätze ist dies tolerierbar aber nicht für Server. Allerdings kann nur der Administrator anstehende Updates installieren. Ein normaler Anwender kann keine Updates installieren.

Windows Server Update Services - WSUS

Microsoft SUS 1.1 ist schon einigen Monate alt und der Erscheinungstermin von SUS 2.0 hat sich Monat für Monat raus geschoben. Erst im Februar 2004 gab es erste Anzeichen, dass sich auch hier etwas tut. Mitte März 2004 wurde auf http://www.Microsoft.com/wus dann der baldige Release von MUS bekannt gegeben um einige Wochen später wieder gestoppt zu werden. Erst im November 2004 wurde dann eine öffentliche Betaphase für WUS gestartet die dann am 7 Juni 2005 in der Freigabe endete.

Die Seite WSUS beschreibt die Details.

Patchen ohne WSUS = C't Offline Update

Mehrfach haben Sie schon das "???" Zeichen gesehen und sich gewundert, was nun kommt. Vermutlich Sie sind genauso darüber betrübt, dass Microsoft keine brauchbaren Updatewege für mehrere Einzelpersonen als CD oder zum Download von Patchpaketen bereit stellt. Viele Personen haben mehrere PCs oder möchten einfach auf einem PC mit DSL die Patches saugen und mit einer CD auf anderen PCs installieren.

• So hat Microsoft im Oktober 2003 und auf der CeBIT2004 eine CD verteilt, auf der sehr viele Update samt einem Installationsprogramm sind. Leider ist so eine CD aber immer schnell veraltet. Einen Weg diese Aktuell zu halten und sich immer mal wieder selbst zu brennen gibt es aber nicht
• Auch der Heise Verlag hatte einen Artikel, in dem im wesentlichen ein Batchfile die richtigen Updates installiert hat. Netter Ansatz aber nicht flexibel genug. In der Ausgabe 13/2004 gab es eine neue Auflage mit dynamischen Download von der Microsoft Seite. Ganz perfekt war das aber doch noch nicht.

Für den Einsatz eines WSUS brauchen Sie einen Server und entsprechende Clients. Welche Lösung gibt es aber für Systeme, die nicht an einem WSUS-Server angebunden werden können wie z.B.:

• Einzelplatz PCs zuhause ohne DSL
• neu installierte Systeme ohne Wartezeit
• virtuelle Maschinen ohne Internetverbindung
• Server in abgeschotteten Netzwerk
• Server, die ungepatched gar nicht erst an das Netzwerk dürfen
• Netzwerke ohne WSUS ?

Wer mit seinem PC das Internet erreichen kann, kann über die Webseite http://windowsupdate.microsoft.com/ natürlich alle Updates erhalten. Aber bei einem frisch installierten Server betragen die erforderlichen Downloads schon mehrer 100 MByte. Nicht jeder hat eine DSL-Verbindung oder möchte solange warten. Und es eine menge Handarbeit.

Hier hat nun die Zeitschrift c't des Heise Verlag mit dem Projekt "Offline Update" einen wichtigen Schritt voran getan. Statt der früher genutzten statischen Batchfiles gibt es nun eine fast automatische Lösung.

• 1. Schritt: Download
  Laden Sie sich die Software bei Heise herunter und entpacken Sie das Archiv in ein leeres Verzeichnis. Die Festplatte sollte schon 5 GB freien Platz für die später herunter geladenen Patches haben.

http://www.heise.de/ct/ftp/projekte/offlineupdate/
http://www.wsusoffline.net/

• 2. Schritt: Download der Update
  Starten Sie das Programm "DownloadStarterGUI.exe" um die gewünschten Updates für die Zielsysteme herunter zu laden.
  
  Das Programm holt sich dann per WGET die XML-Dateien von Microsoft. Holt von dort die Liste der erforderlichen Updates ausgehend von der "originalCD" (also SP0 Level) und lädt dann alle Updates in eine Verzeichnisstruktur. Das Programm können Sie immer wieder aufrufen. Es holt dann immer nur die Updates.
  Das Programm erstellt optional ISO-Images zum Brennen (man kann aber auch einfach das Unterverzeichnis "client" brennen oder das Verzeichnis über einen USB-Stick, USB-Disk o.ä. mitführen.
• Zielsystem patchen mit "UpdateStarterGUI.exe"
  Zum Update des Zielsystems starten Sie einfach die EXE im CLIENT Verzeichnis oder legen die gebrannte CD/DVD ein, welche bei aktiviertem Autorun sogar sofort startet.
  
  Er installiert nun alle fehlenden Patches, bootet bei Bedarf auch mehrfach, so dass das System am Ende ziemlich aktuell ist.

Allerdings gibt es beim Einsatz natürlich Einschränkungen. Es werden im wesentlichen die Windows Updates über diesen Weg verteilt. Ein Update anderer Komponenten (z.B. Office, Exchange etc.), welche Microsoft mittlerweile über "Microsoft Update" ebenfalls mitverteilt, ist auf diesem Weg (noch) nicht möglich.

Weitere Links

• Liste aller von Microsoft bereit gestellten RSSFeeds zu Knowledgebase Artikeln
  http://support.Microsoft.com/selectindex/?target=rss
  Interessant kann z.B.: sein:
  Aktuelle Microsoft SecurityInfos als RSS http://www.Microsoft.com/technet/security/bulletin/secrss.aspx
  Windows Update http://support.Microsoft.com/common/rss.aspx?rssid=8512&ln=en-us
  Security Bulletins http://www.Microsoft.com/technet/security/bulletin/secrss.aspx
• 894192 Detection and deployment guidance for the February 8, 2005, security update release cycle
  http://support.Microsoft.com/?kbid=894192
• 894193 How to obtain and use the Enterprise Update Scanning Tool
• 840183 Outlook Web Access clients cannot open mailboxes after Software Update Services is installed on a computer that is running Exchange 2000 or Exchange 2003
• MBSA
  Microsoft Baseline Security Analyser
• MBSA 2.0 Beta
  http://go.Microsoft.com/?linkid=2167605
• Microsoft Windows Update V5
  http://v5.windowsupdate.Microsoft.com
• Eine Übersicht aller deutschsprachigen Sicherheitsmeldungen
  http://go.Microsoft.com/?linkid=415238
• Informationen zum kostenfreien Microsoft Security Notification Service
  http://go.Microsoft.com/?linkid=415239
• How Microsoft Does IT - Sicherheitspatch-Verwaltung mit Systems Management Server 2003 http://go.Microsoft.com/?linkid=415263
• Handbuch zu Microsoft Systems Management Server Software Update Services
  http://go.Microsoft.com/?linkid=415249
• CAB Datei von MBSA mit den aktuellen Patches
  http://go.Microsoft.com/fwlink/?LinkId=18121
• MS Patching News
  http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/news/custsec.asp
• SUS Update White Paper
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=38d7e99b-e780-43e5-aa84-cdf6450d8f99&displaylang=en
• Patch Management, Security Updates, and Downloads
  http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/patch/secpatch/Default.asp
• Security Bulletin Notification Service
  http://www.Microsoft.com/technet/security/bulletin/notify.asp
• Windows Update Service
  http://www.Microsoft.com/wus und http://www.Microsoft.com/windowsserversystem/sus/wusbeta.mspx
• Update.exe - der Paketinstaller für Windows und Windows-Komponenten
  Whitepaper zu Update.exe, dem für die Installation von Service Packs oder Updates. http://go.Microsoft.com/?linkid=463008
• 282784 Qfecheck.exe Verifies the Installation of Windows 2000 and Windows XP Hotfixes
• 894192 Detection and deployment guidance for the February 8, 2005, security update release cycle
• Office Update Inventory Tool 2.1
  überprüfen Sie den Updatestatus Ihrer Office-Installation http://go.Microsoft.com/?linkid=1730692
  http://office.Microsoft.com/en-us/assistance/HA011402491033.aspx
• Beschreibung des neuen Windows Update Installer Package
  http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/
  deployment/winupdte.mspx, mit dem Microsoft zukünftig wohl die meisten Patche verteilen will.
• Windows Update Agent API
  http://msdn.Microsoft.com/library/en-us/wua_sdk/wua/portal_client.asp
  Seit Windows Update 5 gibt es endlich auch eine API-Beschreibung für den Client.
• Inside Update.exe
  http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx
• Windows Auto Update API
  http://msdn.Microsoft.com/library/en-us/dnwmi/html/mngwmi.asp
  Vielleicht der erste Schritt für eine eigene Update Engine ?
• Winbits
  http://www.darvin.de/
  WUS nutzt BITS als Dienst zur Übertragung von Dateien im Hintergrund. WinBits ist eine GUI um diesen ansonsten im verborgenen arbeitenden Dienst mit einer GUI für eigene Tests und Übertragungen zu nutzen.

Alternative kostenfreie Patchtools

Viele andere Administratoren haben sich überlegt, wie Sie Patches einfacher verteilen können. Hier einige der interessantesten Links:

• Michael Dunn liefert einen sehr guten Ansatz ab auf:
  A GUI Front-End for Microsoft's Hotfix Checker Utility
  http://www.codeproject.com/samples/whotfixcheck.asp
  An Advanced Windows Hotfix Manager
  http://www.codeproject.com/tools/whotfixcheck2.asp
  Leider nutzt es "nur" HFNETCHK statt MBSA und lädt und installiert bei Bedarf die fehlenden Patches lokal.
• MBSAFU
  http://sourceforge.net/projects/mbsafu/ Patchen mit MBSA und einigen Skripten.
• VBSHF
  http://uphold2001.brinkster.net/vbshf/forum/boxx/links.asp?ID=6&Cat=Scripting
• Vinny's Critical Updater script
  http://www.halo5.net/~vinny/updater/
  Etwas grober als Batchfile und nicht mehr aktuell
• CTUpdate. Ein Projekt des Heise Verlags
  http://www.heise.de/ct/ftp/projekte/offlineupdate/
• Umfangreicher Erfahrungsbericht eines Admins
  http://groups.google.de/groups?q=shavlik&hl=de&lr=&selm=ecM6ojM6BHA.2112%40tkmsftngp02&rnum=8

Dritthersteller

• http://www.patchmanagement.org
  Allgemeine Seite zum Thema Patch Management
• UpdateExpert
  http://www.stbernard.com/products/updateexpert
• Écora Patchmanager
  http://www.ecora.com/ecora/products/patchmanager.asp
• Shavlik HFNetChk
  http://www.shavlik.com/
• Landeks Patch Manager 8
  http://www.landesk.com/products/product.php?pid=4
• Altiris Patch Management Solution
• Autonomic Software ANSA
• AutpProf Policy Maker Software for Update
• BigFix Patch Enterprise Suite
• BindView Patch Deployment
• baramundi Patch Management
  http://www.baramundi.de/index.php?id=8
• Configuresoft Security Update Manager
• Everdream Patch Management
• Everdream PatchControl
• Executive Software Sitekeeper 3.1
• GFI LANGuard Network Security Scanner
• Gravity Storm Service Pack Manager 2000
• InstallShield Software Patch Impact Manager
• ManageSoft Security Patch Management
• Marimba Patch Management from BMC Software
• Microsoft SMS Server 2003
• New Boundary Technologies Prism Patch Manager
• OnDemand Software WinINSTALL 8.50
• PatchLink Update
• Quest Patch Management for Microsoft

Keywords:

SUS WindowsUpdate Patchmanagement Hotfix Patch MBSA MBSAFU

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Kerberos
  • Schattenkopien
  • Imagebackup
  • Client Management
  • Update/Patch
  • Bluescreen
  • WSUS
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • Security
  • 802.1x
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Podcast
  • MSBlaster
  • Privat PC Sicherheit
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Wurmmails
  • Filesync
  • Contoso
  • GUIDAccess
  • ISDNTechnik
  • Meine erste Facharbeit
  • 6h Lader
  • Bluefritz! Umbau
  • 220V Adapterstecker
  • Hauptschalter
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages