Updates in WSUS (automatisch) genehmigen

    Status der Updates in WSUSHat man WSUS auf einem Server instal­liert und ihm die Clients per GPO oder Registry-Eintrag zuge­ordnet, dann em­pfängt er zwar schon Updates von Micro­soft, aber diese gibt er nicht an die End­geräte weiter. Dazu muss man die Updates näm­lich erst frei­geben. Das kann man explizit oder auto­matisch über Regeln tun.

    Wenn sich ein Administrator dafür entscheidet, PCs nicht mehr direkt über Microsoft Update, sondern über eine interne WSUS-Lösung zu aktualisieren, dann über­nimmt er damit die Verantwortung für einen sicheren Zustand der Rechner. Vergisst er nämlich, neue Updates für die Installation zu genehmigen, dann erhalten die Clients beispielsweise auch keine Sicherheits-Updates.

    Differenziertes Update-Regime möglich

    Mit der stärkeren Kontrolle über das Update-Management ergeben sich andererseits aber auch zusätzliche Möglichkeiten, die Verfügbarkeit und Stabilität der Rechner zu verbessern. So lassen sich Updates über Verteiler­ringe nach und nach im Unternehmen ausrollen. Eine Pilotgruppe von unkritischen Systemen könnte dann die Patches erst testen, bevor sie später an wichtige Rechner ausgeliefert werden.

    Nach der Erstsynchronisierung warten zahlreiche Updates auf ihre Genehmigung.

    Abhängig davon, für wie viele Produkte ein WSUS-Server die Updates empfängt, kann deren Liste schnell ziemlich lang und unübersichtlich werden. Das gilt vor allem dann, wenn WSUS viele alte Updates herunterlädt, die dann ohnehin durch nachfolgende kumulative Updates ersetzt werden.

    Updates über Filter eingrenzen

    Aus diesem Grund sollte man ausgiebig von den Filtern Gebrauch machen, mit denen man in der WSUS-Konsole die Zahl der Updates eingrenzen kann. Das vereinfacht es, den Überblick zu behalten und verhindert, dass man wichtige Updates übersieht.

    Die Ansichten lassen sich durch Filter für die Genehmigung und den Status eingrenzen.

    Wenn man zum ersten Mal die Ansicht Updates => Alle Updates öffnet, dann ist dort der Filter auf Nicht genehmigt und Fehlerhaft oder erforderlich eingestellt. Das Gleiche gilt für die Ansichten Wichtige Updates, Sicherheits­updates und WSUS-Updates.

    Letztere sind nach der Klassifizierung der Updates, aber nicht nach Produkten gefiltert. Daher können sie je nach Anzahl der abonnierten Produkte immer noch eine längere Liste von Updates enthalten, für Alle Updates gilt das erst recht.

    Individuelle Ansichten für Produkte

    Bei Bedarf kann man daher noch eigene Ansichten erstellen, welche die Liste nicht nur über den Status und die Klassi­fizierung eingrenzen, sondern auch über das Produkt. Dazu führt man unter Aktionen den Befehl Neue Updateansicht aus, nachdem man in der Navigation eine der vorhandenen Ansichten markiert hat.

    Neue Ansicht für Windows 10 erstellen

    Dieser öffnet einen einfachen Query Builder, in dem man die Option Updates sind für ein bestimmtes Produkt aktiviert. Folgt man dem Link beliebiges Produkt, dann kann man hier die Auswahl auf bestimmte Software einschränken.

    Durch Einfügen zusätzlicher Spalten kann man Updates nach weiteren Kriterien sortieren, etwa nach Datum.

    Hilfreich ist es zudem, wenn man in den Ansichten zusätzliche Eigenschaften der Updates sichtbar macht, indem man die entsprechenden Spalten­überschriften anzeigt. Die Ansicht lässt sich dann anhand dieser zusätzlichen Spalten sortieren.

    Wesentliche Informationen in diesem Zusammenhang sind etwa das Datum, an dem ein Update erschienen ist, ob ein Update ein anderes ersetzt bzw. selbst ersetzt wird oder der Installations­status.

    Updates manuell freigeben

    Hat man jene Updates identifiziert, die man freigeben möchte, dann kann man diese einzeln oder zu mehreren markieren und aus ihrem Kontextmenü den Befehl Genehmigen ausführen. Dieser öffnet einen Dialog mit allen Gruppen, die man für die Computer definiert hat.

    Updates durch den entsprechenden Befehl aus dem Kontextmenü zur Installation genehmigen.

    Hier kann man nun die Updates für ausgesuchte Gruppen von Computern zur Installation genehmigen. Bei einer verschachtelten Struktur erben alle untergeordneten Gruppen den Genehmigungsstatus einer übergeordneten Gruppe.

    Updates lassen sich für alle Computer oder nur bestimmte Gruppen freigeben.

    Weist man jedoch einer Gruppe weiter unten in der Hierarchie einen Status für bestimmte Updates explizit zu, dann überschreibt dieser die Vererbung. Explizit gesetzte Genehm­igungen in unter­geordneten Gruppen lassen sich aber durch den Befehl Auf untergeordnete Elemente anwenden aufheben.

    Updates automatisch genehmigen

    Angesichts des permanenten Aufwands zur Prüfung neuer Updates und der Gefahr, wichtige Patches womöglich zu verpassen, könnte man auf die Idee kommen, alle Sicherheits- und wichtigen Updates automatisch zu genehmigen. Gerade wenn man viele Produkte über WSUS aktualisiert, führt ein solches Vorgehen aber schnell zur Übertragung und Speicherung großer Datenmengen.

    Updates lassen sich anhand von Filterregeln automatisch freigeben.

    Der Query Builder, der zum Anlegen neuer Ansichten dient, lässt sich daher auch nutzen, um die Updates einzugrenzen, welche automatisch genehmigt werden sollen. Er ist unter Optionen => Automatische Genehmigungen erreichbar.

    Dort findet sich bereits eine Standardregel, die alle wichtigen und Sicherheits-Updates für alle Computer automatisch zur Installation freigibt. Sie ist jedoch nicht aktiviert. Legt man eine neue Regel an, dann kann man die Updates anhand der Kriterien Produkte, Klassifizierung und Stichtag eingrenzen (Letzterer lässt sich im Dialog für Genehmigungen definieren).

    Auch automatische Updates lassen sich auf Gruppen anwenden. Dadurch könnte man etwa Updates, die einer bestimmten Klassifizierung entsprechen, für eine Pilotgruppe automatisch zur Installation genehmigen und später das eigentliche Rollout manuell anstoßen. Typische Kandidaten für eine generell automatisierte Genehmigung wären etwa Definitions-Updates für den Virenscanner.

    Keine Kommentare