Windows Package Publisher: Software von Drittanbietern mit WSUS patchen


    Tags: ,

    Windows Package PublisherMicrosoft stellt mit den Windows Server Update Services (WSUS) zwar eine Lösung bereit, mit der sich die Software aus Redmond auf dem neuesten Stand halten lässt. Produkte anderer Anbieter bedür­fen aber eben­falls regel­mäßiger Updates. Der Windows Package Publisher versetzt WSUS dazu in die Lage.

    Die meiste Standard-Software verfügt zwar mittlerweile über eigene Mechanismen, um die neuesten Versionen herunter­zuladen und zu installieren. Dabei handelt es sich zumeist um so genannte Auto-Updater, wie man sie etwa von Adobe Reader, Java oder den meisten Web-Browsern kennt.

    Alternative zu etablierten Patch-Management-Systemen

    Für eine verwaltete Umgebung stellen sie jedoch keine gute Lösung dar. Zum einen lädt jeder Client separat die Updates über das Internet herunter, und zum anderen können die Benutzer diese Tools deaktivieren oder Updates ablehnen. Damit ist nicht gewährleistet, dass Sicherheits­lücken zügig geschlossen werden.

    Gerade kleinere Firmen, die kein ausge­wachsenes Client-Management-System einsetzen, können sich daher mit dem kostenlosen Windows Package Publisher (WPP) behelfen, um ein zentrales Patch-Management für Drittanbieter-Software auf Basis von WSUS einzurichten.

    Features von WPP

    Der WPP erlaubt es, externe Software in den WSUS-Patch-Prozess aufzunehmen, um somit auch Microsoft-fremde Programme zu verteilen und auf dem aktuellen Stand zu halten. Neben dem Verteilen von Software bietet der WPP noch weitere Features:

    • Veröffentlichen, Genehmigen, Löschen und Überprüfen von Updates
    • Report-Generierung über installierte Updates in der Umgebung
    • Verwalten von Clients, welche an die WSUS-Infrastruktur angebunden sind
    • Erstellen eigener MSI-Pakete

    Neben 3rd-Party-Software wie Java, Firefox, Viren-Scannern oder Monitoring-Agents lassen sich auch Hardware-Treiber aus den Software-Katalogen der Anbieter importieren.

    Installation

    Zu Beginn lädt man den WPP von Github herunter. Nach dem Download muss man das Archiv nur entpacken, eine Installation entfällt.

    Entpacken der heruntergeladenen Dateien von Windows Package Publisher

    Beim ersten Öffnen von "Wsus Package Publisher.exe" erkennt das Tool automatisch den WSUS-Server, wenn es direkt auf diesem ausgeführt wird (dies ist die empfohlene Konfiguration).

    Beim ersten Start erkennt der Windows Package Publisher die WSUS, wenn er auf dem gleichen Server läuft.

    Über den Connect-Button stellt man eine Verbindung zum ausgewählten Server her (über das Textfeld kann man sicher darüber hinaus mit weiteren WSUS-Servern verbinden).

    Verbindung mit dem WSUS-Server herstellen

    Beim ersten Anmelden erscheint außerdem der Hinweis, dass noch kein Zertifikat hinterlegt ist. Ein solches hier zwingend erforderlich, und zwar um die Updates vor ihrer Verteilung zu signieren.

    Ein selbst-signiertes Zertifikat können wir unter Tools => Certificate erstellen oder alternativ ein vorhandenes importieren.

    Über die WPP-Konsole kann man ein selbstsigniertes Zertifikat erzeugen

    Das Zertifikat kann man bei Bedarf über den Dialog Manage Certificate speichern oder aber auch über das MMC-Zertifikate-Snapin aus dem eigenen Zertifikatspeicher unter WSUS exportieren.

    Danach muss der WSUS-Server neu gestartet werden.

    Zertifikat auf die Clients verteilen

    Alle Systeme, welche die vom WPP signierten Updates erhalten, müssen das dafür verwendete Zertifikat anerkennen. Bei einem selbst-signierten Zertifikat bietet sich daher an, dieses mittels GPO in "Trusted Publishers" und "Trusted Root Certification Authorities" ("Vertrauenswürdige Stamm­zertifizierungs­stellen") zu importieren.

    Zertifikat auf den Clients in "Vertrauenswürdige Stamm­zertifizierungs­stellen" importieren

    Zusätzlich muss man für die Ziel-Computer die Einstellung Allow signed content from intranet Microsoft update service location unter Computer Configuration => Administrative Templates => Windows Components => Windows Update auf Enabled setzen.

    Gruppenrichtlinie "Allow signed content from intranet Microsoft update service location" auf die Clients anwenden

    Die grundsätzlichen Voraussetzungen für die Freigabe von 3rd-Party-Updates sind nun geschaffen und unser Server ist somit startklar, um diese zu empfangen.

    Systemvoraussetzungen und Verfügbarkeit

    Voraussetzungen für die Nutzung des WPP ist eine WSUS-Infrastruktur ab Windows Server 2012 mit einem WSUS-Release ab 6.2. Des Weiteren muss das .NET Framework 4 installiert sein.

    Der WPP kann zwar auf einem Client ausgeführt werden. Der Hersteller empfiehlt jedoch, das Tool bevorzugt auf dem WSUS-Server zu nutzen, da es etwa durch unterschiedliche Versionen der WSUS-Konsolen zu Fehlern kommen kann.

    Der Windows Package Publisher unterliegt der MIT-Open-Source-Lizenz und kann von Github heruntergeladen werden.

    1 Kommentar

    Karl Wester-Ebb... sagt:
    27. August 2020 - 15:24

    Moin Philip Lorenz,
    danke für den Beitrag. Es ist nicht mehr empfehlenswert dieses Tool zu implementieren. Ich glaube man sieht an dessen GUI aus welchem Zeitalter es stammt. WSUS selbst ist auch auf dem absteigenden Ast

    Gründe siehe u.a. hier:
    https://techcommunity.microsoft.com/t5/windows-it-pro-blog/security-best...

    Einige Jahre haben wir damit Acrobat Reader oder Flashplayer (End of Support 2020) verteilt. Java darf man ohne Lizenz nicht mehr verteilen.

    Die Auswertbarkeit welcher Client welchen Softwarestand hat ist recht begrenzt über die Reports des Tools / WSUS.
    Insb. wenn man dann auch irgendwann die alten Pakete entfernen möchte um Platz zu sparen.