Update und Patchmanagement
WSUS, der Nachfolger von SUS wurde am 6. Juni 2005
freigegeben.
Siehe auch WSUS.
Windows Update macht einen
recht guten Job. aber manchmal klemmt es auch.
dann hilft eventuell:
MicrosoftFixit50202 and the problem is für now
solved.
http://go.microsoft.com/?linkid=9665683
KB971058 How do I reset Windows Update
components?
Manchmal reicht es auch den Windows Update
Dienst zu stoppen, das Verzeichnis
C:\Windows\SoftwareDistribution zu leeren und
dann Windows Update wieder zu starten.
Sie betreiben Windows Server, Windows Workstations, Exchange, Office und viele anderen Systeme und täglich erfahren Sie, dass Software Fehler hat. Nicht dass Sie das erschrecken würde oder ich ihnen etwas völlig neues erzähle, aber die Frage der Verteilung und Kontrolle von Updates müssen Sie dennoch lösen.
Nicht erst seit "Windows Update" ist jedem bekannt, dass auch ein Betriebssystem ab und an einen Patch benötigt. Auch die Probleme von Exchange 5.5 mit Outlook 2003 und andere Dinge zeigen, dass Sie sich langsam zu einem Patch-Management durchringen sollten. Und dieses fängt beim Betriebssystem erst an !!.
Wie wichtig aktuelle Patches sind, zeigt auch die Top20 des SANS unter http://www.sans.org/top20. Schauen wir doch mal, welche Optionen wir hier haben:
Was ist zu patchen ?
- Security (Windows Betriebssystem Sicherheitslöcher)
Damit sind Patches für bekannte sicherheitskritische Programme gemeint, die einem Angreifer das Leben einfacher machen. Darunter fallen auch Servicepacks. Oftmals sind auch kritische Updates für den Internet Explorer dabei, obwohl dieser ja eigentlich nicht zum Betriebssystem gehört. - Betriebssystem (Windows Komponente)
Zusätzlich verteilt Microsoft über die Windows Update Seite immer mal wieder Update für Media Player aber auch Dinge wie den Movie Player, .NET-Framework, MSN Messenger und andere Zusatzprogramme, die nicht direkt was mit Sicherheitslücken zu tun haben. - Treiber
Manchmal bietet ihnen Windows Update auch aktuellere Treiber für ihr Betriebssystem an, z.B. für Netzwerkkarten oder Grafikkarten - Desktop Anwendungen
Nicht über Windows Update, sondern über Office Update finden sie alle Update für Microsoft Office. Vermutlich hat es rechtliche Gründe, dass Microsoft diese Funktion nicht in "Windows Update" mit integriert hat. Man erinnere sich an die Streitigkeiten vor einigen Jahren. Das ist sicher einer der negativen Auswirkungen, wenn ein Hersteller dinge trennen muss, die zusammen viel einfacher sein könnten. - Server Anwendungen
Auf Windows Servern hingegen sind Exchange, SQL und andere Dienste installiert, die natürlich auch nicht "fehlerfrei" sind und ab und an ein Update benötigen. - Drittanwendungen
Da Microsoft nicht der einzige Hersteller von guter Software ist, finden sich auf ihrem Server auch solche Programme, für die es eigene Wege der Aktualisierung gibt.
Egal wie sie es drehen, sie müssen sich Gedanken machen wie Sie Informationen über notwendige Updates erhalten, diese dann herunterladen und auf die Systeme verteilen, auf denen diese Update erforderlich sind. Dabei ist Rücksicht auf die Sprache, die Reihenfolge und eventuelle Fremdprodukte zu nehmen.
Womit kann ich das tun ?
Um die Updates auf Ihr System zu bringen, gibt es gleich mehrere Wege, die leider nicht direkt vergleichbar sind und auch nicht alles erledigen:
- Windows Update Webseite
Gehen Sie einfach auf http://windowsupdate.Microsoft.com, laden das ActiveX Control und sie können die Update in der richtigen Reihenfolge installieren. Wunderbar für Privatanwender aber ungeeignet für Firmen. Jeder PC würde die Daten selbst herunter laden, Sie haben keine Kontrolle darüber welcher PC wie aktuell ist und die Anwender haben sicher nicht die Zeit für "so was". Und bei Update für Office, Exchange oder SQL hilft es ihnen ebenso wenige weiter wie bei der Kontrolle ihrer Server - Windows Update Webseite - Katalog
Auf der gleichen Webseite können Sie die Patches auch "einzeln" herunter laden und dann von Hand intern verteilen. Nett gemeint, nur hilft ihnen die Webseite weder bei der Installation noch der Reihenfolge. Auch gibt es kein Automatismus, um die Patches automatisch in einer Verzeichnis zu spiegeln - Windows Update Dienst
Seit Windows 2000SP3 gibt es den kleinen Dienst, der selbst bei Microsoft "nachschaut" und über Updates informiert. Er kann diese sogar alleine herunter laden und sogar nach Zeitplan installieren. für PCs ist das nett aber mit viel Internetverkehr verbunden. Eine Kontrolle fehlt und für ihre Server möchten Sie sicher keine automatischen Neustarts. Leider hinterlässt sich der Dienst weder im Eventlog noch im Performance Counter, so dass er nicht mal als Wachhund dienen kann. Ich lauf nicht jeden Tag zu jedem Server, um auf das kleine Icon in der Taskleiste zu schauen. Sie etwa ? - Windows Update Dienst mit SUS
Damit die Verteilung nicht aus dem Internet erfolgt, gibt es seit einiger Zeit den SUS (Software Update Service). Kostenfrei von Microsoft holt sich dieser Dienst alle "critical" Updates (also keine Treiber etc.) und stellt diese Intern bereit. Über eine Gruppenrichtlinie kann man wunderbar auch alle PCs anweisen, von diesem Server die freigegebenen Update zu beziehen.
Leider kann man mit SUS keine Updates "forcieren" und die Auswertefunktionen sind sehr gering. Auch dass der Windows Update Client keine Infos per SNMP, SMTP, Perfmon oder Eventlog meldet ist ungenügend. - WSUS - der Nachfolger von SUS
Im Juni 2005 hat Microsoft den Nachfolger WSUS veröffentlich, der SUS ablöst und nun nicht nur Windows, sondern auch Exchange, SQL etc. patchen kann und auch ein besseres Reporting erlaubt. - MBSA und HFNETCHK
Der Microsoft Baseline Security Analyser ist mehr als nur ein "Patchprüfer". MBSA prüft ihr komplettes System nach bestimmten Vorgaben. Es erkennt Benutzer ohne Kennworte, zuviele Administratoren und neben fehlenden Windows Patches prüft MBSA auch Office, Exchange und SQL-Server auf ihre Aktualität. Das ganze funktioniert sogar "netzwerkweit", solange die PCs eingeschaltet und Sie dort Administrator sind. Leider lädt MBSA keine Patches herunter und noch weniger kann es Patche und Update verteilen. Schade eigentlich. - SMS mit SUS-Erweiterung
Wer einen Microsoft Systems Management Server sein Eigen nennt, kann mit dem optionalen Add-on SUS für SMS elegant aus der Management Konsole heraus Updates herunterladen und über SMS verteilen. Leider hat nicht jeder SMS. - UpdateExpert, HFNetChk und andere
Daher gibt es genug Platz für Dritthersteller, die selbständig eigene Datenbanken und Programme pflegen. Die bekanntesten sind sicherlich HFNETCHK von Shavlik (Heute noch Teil von MBSA) und UpdateExpert. Diese Programme sind keine vollständige Softwareverteilung sondern versprechen eine Verteilung von Updates und Patches mittels einem zentralen Download der Update und einer Patchdatenbank des Herstellers. Oftmals muss der Administrator diese Programm aktiv ausführen und bedienen. Ausgeschaltete Systeme können meist nicht gescannt werden und Update können nicht in einer Art Warteschlange hinterlegt werden. - Windows Update Services
Als Nachfolger von SUS wird Microsoft Windows Update Services veröffentlichen. Noch ist nicht so viel bekannt, was es da geben wird.
http://www.Microsoft.com/windowsserversystem/sus/wUSBeta.mspx
http://www.Microsoft.com/wus - ????
Kann das alles sein ? Am Ende dieser Seite finden Sie ein paar Ideen, die aber noch nicht umgesetzt sind.
Patch Matrix
Die Leser der Seite Exchange Installation Matrix oder Internetanbindung mit Exchange wissen nun schon was kommt: Eine kleine Tabelle, die schnell einen Überblick für die verschiedenen Dinge geben soll. Ich erhebe keinen Anspruch auf Vollständigkeit:
-
A = automatisiert möglich
-
M = Manuell anstoßen
-
I = Information
-
SMS = Funktion von SMS, keine Funktion von Windows Update
-
= nicht möglich
- S = Nur Scannen und Fehlen anzeigen
- leer = keine gesicherten Angaben dazu
Bedingt durch die laufenden Entwicklungen kann es sein, dass die Angaben nicht mehr korrekt sind.
Software | Security | OS | Treiber | Exchange SQL etc. |
Office | 3rd Party |
---|---|---|---|---|---|---|
Windows Update Web |
|
|
|
|
|
|
Windows Update Katalog |
|
|
|
|
|
|
Windows Update Dienst |
|
|
|
|
|
|
Windows Update + SUS |
|
|
|
|
|
|
MBSA, HFNETCHK |
S |
S |
S |
S |
S |
|
SMS + SUS Add-on |
|
|
|
|
|
|
update Expert |
|
|
|
|
|
|
???? Wunsch |
|
|
|
|
|
|
WUS (Windows Update Server) |
|
|
|
|
? |
? |
Heise Offline Update |
|
|
|
|
|
|
Wie sie bereits sehen, geht mit den kostenfreien Bordmitteln von Windows (Windows Update Webseite, Windows Update Dienst, SUS) nicht allzu viel, so dass Alternativen gefragt sind. Dazu gibt es dann komplette Softwareverteillösungen wie SMS, NetInstall, LanDesk und andere Produkte, die zum Teil den Administrator beim Download und Verteilen der Updates unterstützen
Weiterhin gibt es Programme wie UpdateExpert, HFNetChk und andere, deren Fokus allein auf dem Verteilen von Updates liegt, die günstiger sind, aber keine klassische Softwareverteilung anderer Produkte erlauben.
Windows Update Client mit SUS
Das Dilemma des Windows Update Clients wird ersichtlich, wenn man abhängig von den Einstellungen der Gruppenrichtlinien erkennt, wie die Patches verteilt werden.
|
Modus 2 |
Modus 3 |
Modus 4 |
||||||
Wer ist angemeldet? |
|
|
|
|
|
|
|
|
|
Neue Updates suchen |
|
|
|
|
|
|
|
|
|
Trayicon vor Download |
|
|
|
|
|
|
|
|
|
Trayicon nach Download |
|
|
|
|
|
|
|
|
|
Einzelne Updates Ablehnen |
|
|
|
|
|
|
|
|
|
Automatischer Download |
|
|
|
|
|
|
|
|
|
Automatische Installation |
|
|
|
|
|
|
|
|
|
-
Angemeldet als Administrator
-
Angemeldet als Benutzer
-
Computer eingeschaltet ohne interaktive Anmeldung
Die automatische Installation erfolgt nur im Modus 4 inklusive Neustart. für Arbeitsplätze ist dies tolerierbar aber nicht für Server. Allerdings kann nur der Administrator anstehende Updates installieren. Ein normaler Anwender kann keine Updates installieren.
Windows Server Update Services - WSUS
Microsoft SUS 1.1 ist schon einigen Monate alt und der Erscheinungstermin von SUS 2.0 hat sich Monat für Monat raus geschoben. Erst im Februar 2004 gab es erste Anzeichen, dass sich auch hier etwas tut. Mitte März 2004 wurde auf http://www.Microsoft.com/wus dann der baldige Release von MUS bekannt gegeben um einige Wochen später wieder gestoppt zu werden. Erst im November 2004 wurde dann eine öffentliche Betaphase für WUS gestartet die dann am 7 Juni 2005 in der Freigabe endete.
Die Seite WSUS beschreibt die Details.
Patchen ohne WSUS = WSUS Offline Update
Mehrfach haben Sie schon das "???" Zeichen gesehen und sich gewundert, was nun kommt. Vermutlich Sie sind genauso darüber betrübt, dass Microsoft keine brauchbaren Updatewege für mehrere Einzelpersonen als CD oder zum Download von Patchpaketen bereit stellt. Viele Personen haben mehrere PCs oder möchten einfach auf einem PC mit DSL die Patches saugen und mit einer CD auf anderen PCs installieren.
- So hat Microsoft im Oktober 2003 und auf der CeBIT2004 eine CD verteilt, auf der sehr viele Update samt einem Installationsprogramm sind. Leider ist so eine CD aber immer schnell veraltet. Einen Weg diese Aktuell zu halten und sich immer mal wieder selbst zu brennen gibt es aber nicht
- Auch der Heise Verlag hatte einen Artikel, in dem im wesentlichen ein Batchfile die richtigen Updates installiert hat. Netter Ansatz aber nicht flexibel genug. In der Ausgabe 13/2004 gab es eine neue Auflage mit dynamischen Download von der Microsoft Seite. Ganz perfekt war das aber doch noch nicht.
Für den Einsatz eines WSUS brauchen Sie einen Server und entsprechende Clients. Welche Lösung gibt es aber für Systeme, die nicht an einem WSUS-Server angebunden werden können wie z.B.:
- Einzelplatz PCs zuhause ohne DSL
- neu installierte Systeme ohne Wartezeit
- virtuelle Maschinen ohne Internetverbindung
- Server in abgeschotteten Netzwerk
- Server, die ungepatched gar nicht erst an das Netzwerk dürfen
- Netzwerke ohne WSUS ?
Wer mit seinem PC das Internet erreichen kann, kann über die Webseite http://windowsupdate.microsoft.com/ natürlich alle Updates erhalten. Aber bei einem frisch installierten Server betragen die erforderlichen Downloads schon mehrer 100 MByte. Nicht jeder hat eine DSL-Verbindung oder möchte solange warten. Und es eine menge Handarbeit.
Hier hat nun die Zeitschrift c't des Heise Verlag mit dem Projekt "Offline Update" einen wichtigen Schritt voran getan. Statt der früher genutzten statischen Batchfiles gibt es nun eine fast automatische Lösung.
- 1. Schritt: Download
Laden Sie sich die Software bei Heise herunter und entpacken Sie das Archiv in ein leeres Verzeichnis. Die Festplatte sollte schon 5 GB freien Platz für die später herunter geladenen Patches haben.
http://www.heise.de/ct/ftp/projekte/offlineupdate/
http://www.wsusoffline.net/
- 2. Schritt: Download der Update
Starten Sie das Programm "DownloadStarterGuI.exe" um die gewünschten Updates für die Zielsysteme herunter zu laden.
Das Programm holt sich dann per WGET die XML-Dateien von Microsoft. Holt von dort die Liste der erforderlichen Updates ausgehend von der "originalCD" (also SP0 Level) und lädt dann alle Updates in eine Verzeichnisstruktur. Das Programm können Sie immer wieder aufrufen. Es holt dann immer nur die Updates.
Das Programm erstellt optional ISO-Images zum Brennen (man kann aber auch einfach das unterverzeichnis "client" brennen oder das Verzeichnis über einen USB-Stick, USB-Disk o.ä. mitführen. - Zielsystem patchen mit "UpdatestarterGuI.exe"
Zum Update des Zielsystems starten Sie einfach die EXE im CLIENT Verzeichnis oder legen die gebrannte CD/DVD ein, welche bei aktiviertem Autorun sogar sofort startet.
Er installiert nun alle fehlenden Patches, bootet bei Bedarf auch mehrfach, so dass das System am Ende ziemlich aktuell ist.
Allerdings gibt es beim Einsatz natürlich Einschränkungen. Es werden im wesentlichen die Windows Updates über diesen Weg verteilt. Ein Update anderer Komponenten (z.B. Office, Exchange etc.), welche Microsoft mittlerweile über "Microsoft Update" ebenfalls mit verteilt, ist auf diesem Weg (noch) nicht möglich.
Weitere Links
- Liste aller von Microsoft bereit gestellten RSSFeeds zu
Knowledgebase Artikeln
http://support.Microsoft.com/selectindex/?target=rss
Interessant kann z.B.: sein:
Aktuelle Microsoft SecurityInfos als RSS http://www.Microsoft.com/technet/security/bulletin/secrss.aspx
Windows Update http://support.Microsoft.com/common/rss.aspx?rssid=8512&ln=en-us
Security Bulletins http://www.Microsoft.com/technet/security/bulletin/secrss.aspx - 894192 Detection and deployment guidance für the February 8, 2005,
security Update release cycle
http://support.Microsoft.com/?kbid=894192 - 894193 How to obtain and use the Enterprise Update Scanning Tool
- 840183 Outlook Web Access clients cannot open mailboxes after Software Update Services is installed on a computer that is running Exchange 2000 or Exchange 2003
-
MBSA
Microsoft Baseline Security Analyser - MBSA 2.0 Beta
http://go.Microsoft.com/?linkid=2167605 - Microsoft Windows Update V5
http://v5.windowsupdate.Microsoft.com - Eine Übersicht aller deutschsprachigen Sicherheitsmeldungen
http://go.Microsoft.com/?linkid=415238 - Informationen zum kostenfreien Microsoft Security Notification
Service
http://go.Microsoft.com/?linkid=415239 - How Microsoft Does IT - Sicherheitspatch-Verwaltung mit Systems Management Server 2003 http://go.Microsoft.com/?linkid=415263
- Handbuch zu Microsoft Systems Management Server Software Update
Services
http://go.Microsoft.com/?linkid=415249 - CAB Datei von MBSA mit den aktuellen Patches
http://go.Microsoft.com/fwlink/?LinkId=18121 - MS Patching News
http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/security/news/custsec.asp - SUS Update White Paper
http://www.Microsoft.com/downloads/details.aspx?FamilyID=38d7e99b-e780-43e5-aa84-cdf6450d8f99&displaylang=en - Patch Management, Security Updates, and Downloads
http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/security/topics/patch/secpatch/Default.asp - Security Bulletin Notification Service
http://www.Microsoft.com/technet/security/bulletin/notify.asp - Windows Update Service
http://www.Microsoft.com/wus und http://www.Microsoft.com/windowsserversystem/sus/wUSBeta.mspx - Update.exe - der Paketinstaller für Windows und Windows-Komponenten
Whitepaper zu Update.exe, dem für die Installation von Service Packs oder Updates. http://go.Microsoft.com/?linkid=463008 - 282784 Qfecheck.exe Verifies the Installation of Windows 2000 and Windows XP Hotfixes
- 894192 Detection and deployment guidance für the February 8, 2005, security Update release cycle
- Office Update Inventory Tool 2.1
überprüfen Sie den Updatestatus Ihrer Office-Installation http://go.Microsoft.com/?linkid=1730692
http://office.Microsoft.com/en-us/assistance/HA011402491033.aspx - Beschreibung des neuen Windows Update Installer Package
http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/
deployment/winupdte.mspx, mit dem Microsoft zukünftig wohl die meisten Patche verteilen will. - Windows Update Agent API
http://msdn.Microsoft.com/library/en-us/wua_sdk/wua/portal_client.asp
Seit Windows Update 5 gibt es endlich auch eine API-Beschreibung für den Client. - Inside Update.exe
http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx - Windows Auto Update API
http://msdn.Microsoft.com/library/en-us/dnwmi/html/mngwmi.asp
Vielleicht der erste Schritt für eine eigene Update Engine ? - Winbits
http://www.darvin.de/
WUS nutzt BITS als Dienst zur Übertragung von Dateien im Hintergrund. WinBits ist eine GuI um diesen ansonsten im verborgenen arbeitenden Dienst mit einer GuI für eigene Tests und Übertragungen zu nutzen. - Infoseiten zu Bits
http://www.verboon.info/index.php/2010/01/tooltip-bits-gui-admin/ - BITS GuI Admin
http://maton.com.ua/en/bitsguiadmin/download
Alternative kostenfreie Patchtools
Viele andere Administratoren haben sich überlegt, wie Sie Patches einfacher verteilen können. Hier einige der interessantesten Links:
- WSUS Offline Update
http://www.wsusoffline.net/
http://www.heise.de/ct/ftp/projekte/offlineupdate/ - Michael Dunn liefert einen sehr guten Ansatz ab auf:
A GuI Front-End für Microsoft's Hotfix Checker utility
http://www.codeproject.com/samples/whotfixcheck.asp
An Advanced Windows Hotfix Manager
http://www.codeproject.com/tools/whotfixcheck2.asp
Leider nutzt es "nur" HFNETCHK statt MBSA und lädt und installiert bei Bedarf die fehlenden Patches lokal. - MBSAFu
http://sourceforge.net/projects/mbsafu/ Patchen mit MBSA und einigen Skripten. -
VBSHF
http://uphold2001.brinkster.net/vbshf/forum/boxx/links.asp?ID=6&Cat=Scripting - Vinny's Critical Updater script
http://www.halo5.net/~vinny/updater/
Etwas grober als Batchfile und nicht mehr aktuell -
umfangreicher Erfahrungsbericht eines Administratoren
http://groups.google.de/groups?q=shavlik&hl=de&lr=&selm=ecM6ojM6BHA.2112%40tkmsftngp02&rnum=8
Dritthersteller
-
http://www.patchmanagement.org
Allgemeine Seite zum Thema Patch Management - Wuinstall
http://www.wuinstall.com/ - UpdateExpert
http://www.stbernard.com/products/updateexpert - Écora Patchmanager
http://www.ecora.com/ecora/products/patchmanager.asp - Shavlik HFNetChk
http://www.shavlik.com/ - Landeks Patch Manager 8
http://www.landesk.com/products/product.php?pid=4 - Altiris Patch Management Solution
- Autonomic Software ANSA
- AutpProf Policy Maker Software für Update
- BigFix Patch Enterprise Suite
- BindView Patch Deployment
- baramundi Patch Management
http://www.baramundi.de/index.php?id=8 - Configuresoft Security Update Manager
- Everdream Patch Management
- Everdream PatchControl
- Executive Software Sitekeeper 3.1
- GFI LANGuard Network Security Scanner
- Gravity Storm Service Pack Manager 2000
- InstallShield Software Patch Impact Manager
- ManageSoft Security Patch Management
- Marimba Patch Management from BMC Software
- Microsoft SMS Server 2003
- New Boundary Technologies Prism Patch Manager
- OnDemand Software WinINSTALL 8.50
- PatchLink Update
- Quest Patch Management für Microsoft