Tags: WSUS, Datei-Management, Sicherheit
Hat man WSUS auf einem Server installiert und ihm die Clients per GPO oder Registry-Eintrag zugeordnet, dann empfängt er zwar schon Updates von Microsoft, aber diese gibt er nicht an die Endgeräte weiter. Dazu muss man die Updates nämlich erst freigeben. Das kann man explizit oder automatisch über Regeln tun.
Wenn sich ein Administrator dafür entscheidet, PCs nicht mehr direkt über Microsoft Update, sondern über eine interne WSUS-Lösung zu aktualisieren, dann übernimmt er damit die Verantwortung für einen sicheren Zustand der Rechner. Vergisst er nämlich, neue Updates für die Installation zu genehmigen, dann erhalten die Clients beispielsweise auch keine Sicherheits-Updates.
Differenziertes Update-Regime möglich
Mit der stärkeren Kontrolle über das Update-Management ergeben sich andererseits aber auch zusätzliche Möglichkeiten, die Verfügbarkeit und Stabilität der Rechner zu verbessern. So lassen sich Updates über Verteilerringe nach und nach im Unternehmen ausrollen. Eine Pilotgruppe von unkritischen Systemen könnte dann die Patches erst testen, bevor sie später an wichtige Rechner ausgeliefert werden.
Abhängig davon, für wie viele Produkte ein WSUS-Server die Updates empfängt, kann deren Liste schnell ziemlich lang und unübersichtlich werden. Das gilt vor allem dann, wenn WSUS viele alte Updates herunterlädt, die dann ohnehin durch nachfolgende kumulative Updates ersetzt werden.
Updates über Filter eingrenzen
Aus diesem Grund sollte man ausgiebig von den Filtern Gebrauch machen, mit denen man in der WSUS-Konsole die Zahl der Updates eingrenzen kann. Das vereinfacht es, den Überblick zu behalten und verhindert, dass man wichtige Updates übersieht.
Wenn man zum ersten Mal die Ansicht Updates => Alle Updates öffnet, dann ist dort der Filter auf Nicht genehmigt und Fehlerhaft oder erforderlich eingestellt. Das Gleiche gilt für die Ansichten Wichtige Updates, Sicherheitsupdates und WSUS-Updates.
Letztere sind nach der Klassifizierung der Updates, aber nicht nach Produkten gefiltert. Daher können sie je nach Anzahl der abonnierten Produkte immer noch eine längere Liste von Updates enthalten, für Alle Updates gilt das erst recht.
Individuelle Ansichten für Produkte
Bei Bedarf kann man daher noch eigene Ansichten erstellen, welche die Liste nicht nur über den Status und die Klassifizierung eingrenzen, sondern auch über das Produkt. Dazu führt man unter Aktionen den Befehl Neue Updateansicht aus, nachdem man in der Navigation eine der vorhandenen Ansichten markiert hat.
Dieser öffnet einen einfachen Query Builder, in dem man die Option Updates sind für ein bestimmtes Produkt aktiviert. Folgt man dem Link beliebiges Produkt, dann kann man hier die Auswahl auf bestimmte Software einschränken.
Hilfreich ist es zudem, wenn man in den Ansichten zusätzliche Eigenschaften der Updates sichtbar macht, indem man die entsprechenden Spaltenüberschriften anzeigt. Die Ansicht lässt sich dann anhand dieser zusätzlichen Spalten sortieren.
Wesentliche Informationen in diesem Zusammenhang sind etwa das Datum, an dem ein Update erschienen ist, ob ein Update ein anderes ersetzt bzw. selbst ersetzt wird oder der Installationsstatus.
Updates manuell freigeben
Hat man jene Updates identifiziert, die man freigeben möchte, dann kann man diese einzeln oder zu mehreren markieren und aus ihrem Kontextmenü den Befehl Genehmigen ausführen. Dieser öffnet einen Dialog mit allen Gruppen, die man für die Computer definiert hat.
Hier kann man nun die Updates für ausgesuchte Gruppen von Computern zur Installation genehmigen. Bei einer verschachtelten Struktur erben alle untergeordneten Gruppen den Genehmigungsstatus einer übergeordneten Gruppe.
Weist man jedoch einer Gruppe weiter unten in der Hierarchie einen Status für bestimmte Updates explizit zu, dann überschreibt dieser die Vererbung. Explizit gesetzte Genehmigungen in untergeordneten Gruppen lassen sich aber durch den Befehl Auf untergeordnete Elemente anwenden aufheben.
Updates automatisch genehmigen
Angesichts des permanenten Aufwands zur Prüfung neuer Updates und der Gefahr, wichtige Patches womöglich zu verpassen, könnte man auf die Idee kommen, alle Sicherheits- und wichtigen Updates automatisch zu genehmigen. Gerade wenn man viele Produkte über WSUS aktualisiert, führt ein solches Vorgehen aber schnell zur Übertragung und Speicherung großer Datenmengen.
Der Query Builder, der zum Anlegen neuer Ansichten dient, lässt sich daher auch nutzen, um die Updates einzugrenzen, welche automatisch genehmigt werden sollen. Er ist unter Optionen => Automatische Genehmigungen erreichbar.
Dort findet sich bereits eine Standardregel, die alle wichtigen und Sicherheits-Updates für alle Computer automatisch zur Installation freigibt. Sie ist jedoch nicht aktiviert. Legt man eine neue Regel an, dann kann man die Updates anhand der Kriterien Produkte, Klassifizierung und Stichtag eingrenzen (Letzterer lässt sich im Dialog für Genehmigungen definieren).
Auch automatische Updates lassen sich auf Gruppen anwenden. Dadurch könnte man etwa Updates, die einer bestimmten Klassifizierung entsprechen, für eine Pilotgruppe automatisch zur Installation genehmigen und später das eigentliche Rollout manuell anstoßen. Typische Kandidaten für eine generell automatisierte Genehmigung wären etwa Definitions-Updates für den Virenscanner.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Datendiebstahl verhindern: Risikoanalyse und Data Loss Prevention mit Safetica NXT
- WSUS: Fixes für fehlerhafte Security-Updates erscheinen als einfache Updates
- Dateien für Updates in WSUS auflisten mit PowerShell
- WSUS für SSL-Verbindung konfigurieren
- Updates für Windows 7 und 8.1: Security-Fixes, Rollups und Rollup-Previews in jedem Monat
Weitere Links