WuInstall: Windows-Updates installieren über Kommandozeile oder Scripts

    Updates mit WuInstall von der Kommandozeile installierenDas Patchen von Systemen gehört zu den laufenden und zugleich kriti­schen Auf­gaben der System­verwaltung. Micro­soft stellt dafür zwar die Infra­struktur bereit, schafft es aber nicht, diesen Prozess anwender­freund­lich zu ge­stalten. Die hs2n GmbH möchte Admins mit Wu­In­stall daher mehr Kon­trolle über Updates geben.

    Während private Anwender kaum beeinflussen können, wann Windows Update welchen Patch aufspielt, können Admins in Unter­nehmen diesen Vorgang bessern steuern. WSUS hält Updates so lange zurück, bis sie explizit genehmigt werden. Zudem lässt sich das Verhalten der Clients über GPOs anpassen.

    Dauerproblem unerwünschte Reboots

    In der Praxis sorgt aber besonders das Neustarten der Rechner nach Updates immer wieder für Ärger. Ein Wust von rivali­sierenden Einstellungen und Konzepten wie zuletzt mit der Nutzungszeit macht es schwierig, den Zeitpunkt für den Reboot der Computer zu kontrollieren (siehe dazu: Nutzungszeit für automatischen Neustart von Windows 10 planen).

    Einstellungen in den Gruppenrichtlinien, die den automatischen Neustart unter Windows 10 beeinflussen.

    Hinzu kommen willkürliche oder undokumentierte Änderungen, wie jene, dass Windows 10 neuerdings die Einstellung "Keinen auto­mati­schen Neu­start für geplante Instal­lationen auto­ma­tischer Updates durch­führen, wenn Benutzer angemeldet sind" ignoriert. Die Folge sind PC-Neustarts während der Arbeitszeit, mit Daten­verlusten als mögliche Folge.

    Suchen, Herunterladen, Installieren von Updates

    Das Kommandozeilen-Tool WuInstall deckt mit zahlreichen Optionen den gesamten Prozess vom Suchen über das Herunter­laden bis zum Installieren von Updates ab. Besonders praktisch dabei ist, dass sich diese drei Phasen entkoppeln lassen, so dass man zum Beispiel Updates schon frühzeitig herunterlädt und sie erst später installiert. Den Zeitpunkt für einen erforderlichen Neustart kann man dann exakt festlegen.

    Automatische Updates deaktivieren über Gruppenrichtlinien

    Nutzt man das gesamte Leistungs­spektrum des Tools, dann ist es sinnvoll, die automatischen Updates über Gruppenrichtlinien zu deaktivieren. Damit verhindert man, dass der Update-Client beim Patch-Management dazwischen­funkt.

    Ausführung über Scripts oder geplante Aufgaben

    WuInstall wird man in der Regel in Scripts einbetten, die man zum Beispiel beim An- oder Abmelden des Benutzers ausführt. Möglich ist natürlich auch der Start über eine geplante Aufgabe. Für die Ausführung des Tools auf einem entfernten Rechner hat der Hersteller PAExec integriert, dem Schalter /remote muss man den Hostname und die Anmeldedaten mitgeben.

    Als Quelle für Updates nimmt WuInstall nicht nur Windows Update, sondern auch automatisch einen WSUS-Server, wenn ein solcher auf dem betreffenden Client konfiguriert wurde. Entsprechend findet das Tool dann nur solche Updates, die der Administrator am WSUS-Server genehmigt hat.

    WuInstall erkennt einen installieren WSUS-Server und beschränkt die Suche auf diesen.

    Mit eigenen Schaltern kann man WSUS temporär auch umgehen oder einen alternativen Server angeben.

    Caching von Updates

    Rechner, die keinen Zugang zum Internet oder einem WSUS-Server haben, kann die Software mit der Option offlinescan bedienen. Dabei erfolgt die Suche gegen die Datei wsusscn2.cab, die man von Microsofts Website herunterlädt und auf die betreffenden Rechner kopiert.

    Bezieht WuInstall die Patches direkt von Windows Update, wie das in kleinen Firmen oder in Außenstellen meist der Fall ist, dann kann es herunter­geladene Updates auf einem Netz­laufwerk zwischen­speichern.

    Ein solcher Cache verhindert, dass jeder PC die Updates erneut aus dem Internet holt. Außerdem versorgt er Rechner, auf denen man den Parameter offlinescan verwendet.

    Damit kann das Tool auch Delivery Optimization von Windows Update for Business (WUfB) ersetzen, wobei seine Funktion zwar simpler, aber transparenter ist als jene von Microsoft.

    Generieren von Reports

    Für die drei genannten Basis­funktionen akzeptiert WuInstall die Schalter search, download und install. Die Suche dient nur dazu, sich einen Überblick über ausstehende oder bereits installierte (mit dem Filter "IsInstalled") Updates zu verschaffen. Der Report lässt sich mit dem Parameter xmlout in eine XML-Datei schreiben.

    Die Ergebnisse der Update-Suche lassen sich als XML-Report speichern

    Während auch Standard­benutzer nach verfügbaren Updates suchen können, benötigt man für das Herunterladen und Installieren erhöhte Rechte. Im Fall von Logon- und Logoff-Scripts, die unter dem Systemkonto laufen, ist das gegeben, und auch für geplante Aufgaben lässt sich dieser Account nutzen.

    Filtern von Updates

    Die drei Schalter für die Basis­funktionen kann man um eine Fülle von Optionen ergänzen. Besonders nennens­wert sind hier die Parameter, mit denen sich die Updates anhand verschiedener Kriterien eingrenzen lassen. So kann man Patches mit match durch den Einsatz von regulären Ausdrücken filtern.

    Weitere Kriterien, mit denen WuInstall die Liste der Updates einschränken kann, sind schon von WSUS her bekannt. Es handelt sich dabei um Kategorien wie Produkt und Klassifizierung, hinzu kommt die Einstufung für die Dring­lichkeit wie Critical, Important, etc. Darüber hinaus lassen sich Treiber explizit einschließen, nachdem diese standard­mäßig nicht berücksichtigt werden.

    Die Basisoptionen dienen der Suche, dem Download und der Installation von Updates.

    Bei meinen Experimenten ließen sich die 3 Basis­schalter mit praktisch allen Optionen kombinieren, was teilweise zu sinnfreien Ausdrücken führt, und selbst über search und download in einem Befehl beschwert sich das Tool nicht. Hier müsste die Dokumentation nicht bloß die einzelnen Optionen beschreiben, sondern auch, wie sie zusammen­spielen.

    Optionen für den Neustart

    Nach der Installation steht bei vielen Updates ein Neustart des Rechners an. Hier zeigt sich WuInstall sehr flexibel. Zum einen muss die Option reboot nicht zusammen mit install verwendet werden, so dass man theoretisch diese beiden Vorgänge entkoppeln kann, wenn dies erforderlich ist.

    Darüber hinaus kann man den Parameter mit einer Zeitangabe (in Sekunden) versehen, um den Neustart zu planen. Neben dem reinen reboot kennt das Tool noch die Varianten reboot_if_needed, reboot_force, reboot_if_needed_force sowie shutdown. Letzteres fährt den Rechner nur herunter anstatt ihn neu zu booten.

    Interessant ist die Option rebootcycle [ntimes], wenn man einen frisch installierten PC patchen möchte. Damit kann man die Zahl der Neustarts vorgeben, die bei der Installation von zahlreichen Updates durchlaufen werden dürfen. Nach jedem Reboot setzt das Tool das Einspielen von Patches fort, bis der angegebene Grenzwert erreicht ist.

    Fazit

    Insgesamt handelt es sich bei WuInstall um ein mächtiges Werkzeug, mit denen Admins die Installation von Updates bis ins Detail steuern können und sich nicht mehr mit den Macken von Microsofts automatischen Updates herum­schlagen müssen.

    Sie können sich damit ihr eigenes Patch-Management aufbauen, ohne gleich eine umfassende Lösung von einem Dritt­anbieter erwerben zu müssen. Dies erfordert allerdings anfangs eine Auseinander­setzung mit den zahlreichen Optionen des Programms.

    Dabei ist die Dokumen­tation nur bedingt hilfreich, es mangelt ihr etwa an komplexeren Beispielen oder Empfehlungen, wie man den Windows-eigenen Update-Client für das Zusammen­spiel mit WuInstall konfigurieren sollte.

    Preise und Verfügbarkeit

    Für bis zu 100 Rechner kostet WuInstall 390 USD pro Jahr, mit der steigenden Zahl an PCs greift eine Preisstaffel. Eine Testversion mit vollem Funktions­umfang kann von der Website des Herstellers heruntergeladen werden.

    2 Kommentare

    Bild von Raphlael
    Raphlael sagt:
    27. August 2019 - 9:12

    Ich dachte das es zu WSUS keine Alternative gibt. Hier im Fazit steht:

    "Sie können sich damit ihr eigenes Patch-Management aufbauen, ohne gleich eine umfassende Lösung von einem Dritt­anbieter erwerben zu müssen."

    Welche "Drittanbierter" sollen das sein?

    Bild von Wolfgang Sommergut
    27. August 2019 - 10:37

    Client-Management-Systeme wie jene von Aagon, baramundi oder Matrix42 enthalten ein eigenes Patch-Management, das in der Regel separat erworben werden kann. Einige davon operieren völlig unabhängig von WSUS, wie etwa Desktop Central, dessen Patch-Management es auch als separates Produkt gibt.