Tags: Patch-Management, Kommandozeile, Scripts
Das Patchen von Systemen gehört zu den laufenden und zugleich kritischen Aufgaben der Systemverwaltung. Microsoft stellt dafür zwar die Infrastruktur bereit, schafft es aber nicht, diesen Prozess anwenderfreundlich zu gestalten. Die hs2n GmbH möchte Admins mit WuInstall daher mehr Kontrolle über Updates geben.
Während private Anwender kaum beeinflussen können, wann Windows Update welchen Patch aufspielt, können Admins in Unternehmen diesen Vorgang bessern steuern. WSUS hält Updates so lange zurück, bis sie explizit genehmigt werden. Zudem lässt sich das Verhalten der Clients über GPOs anpassen.
Dauerproblem unerwünschte Reboots
In der Praxis sorgt aber besonders das Neustarten der Rechner nach Updates immer wieder für Ärger. Ein Wust von rivalisierenden Einstellungen und Konzepten wie zuletzt mit der Nutzungszeit macht es schwierig, den Zeitpunkt für den Reboot der Computer zu kontrollieren (siehe dazu: Nutzungszeit für automatischen Neustart von Windows 10 planen).
Hinzu kommen willkürliche oder undokumentierte Änderungen, wie jene, dass Windows 10 neuerdings die Einstellung "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind" ignoriert. Die Folge sind PC-Neustarts während der Arbeitszeit, mit Datenverlusten als mögliche Folge.
Suchen, Herunterladen, Installieren von Updates
Das Kommandozeilen-Tool WuInstall deckt mit zahlreichen Optionen den gesamten Prozess vom Suchen über das Herunterladen bis zum Installieren von Updates ab. Besonders praktisch dabei ist, dass sich diese drei Phasen entkoppeln lassen, so dass man zum Beispiel Updates schon frühzeitig herunterlädt und sie erst später installiert. Den Zeitpunkt für einen erforderlichen Neustart kann man dann exakt festlegen.
Nutzt man das gesamte Leistungsspektrum des Tools, dann ist es sinnvoll, die automatischen Updates über Gruppenrichtlinien zu deaktivieren. Damit verhindert man, dass der Update-Client beim Patch-Management dazwischenfunkt.
Ausführung über Scripts oder geplante Aufgaben
WuInstall wird man in der Regel in Scripts einbetten, die man zum Beispiel beim An- oder Abmelden des Benutzers ausführt. Möglich ist natürlich auch der Start über eine geplante Aufgabe. Für die Ausführung des Tools auf einem entfernten Rechner hat der Hersteller PAExec integriert, dem Schalter /remote muss man den Hostname und die Anmeldedaten mitgeben.
Als Quelle für Updates nimmt WuInstall nicht nur Windows Update, sondern auch automatisch einen WSUS-Server, wenn ein solcher auf dem betreffenden Client konfiguriert wurde. Entsprechend findet das Tool dann nur solche Updates, die der Administrator am WSUS-Server genehmigt hat.
Mit eigenen Schaltern kann man WSUS temporär auch umgehen oder einen alternativen Server angeben.
Caching von Updates
Rechner, die keinen Zugang zum Internet oder einem WSUS-Server haben, kann die Software mit der Option offlinescan bedienen. Dabei erfolgt die Suche gegen die Datei wsusscn2.cab, die man von Microsofts Website herunterlädt und auf die betreffenden Rechner kopiert.
Bezieht WuInstall die Patches direkt von Windows Update, wie das in kleinen Firmen oder in Außenstellen meist der Fall ist, dann kann es heruntergeladene Updates auf einem Netzlaufwerk zwischenspeichern.
Ein solcher Cache verhindert, dass jeder PC die Updates erneut aus dem Internet holt. Außerdem versorgt er Rechner, auf denen man den Parameter offlinescan verwendet.
Damit kann das Tool auch Delivery Optimization von Windows Update for Business (WUfB) ersetzen, wobei seine Funktion zwar simpler, aber transparenter ist als jene von Microsoft.
Generieren von Reports
Für die drei genannten Basisfunktionen akzeptiert WuInstall die Schalter search, download und install. Die Suche dient nur dazu, sich einen Überblick über ausstehende oder bereits installierte (mit dem Filter "IsInstalled") Updates zu verschaffen. Der Report lässt sich mit dem Parameter xmlout in eine XML-Datei schreiben.
Während auch Standardbenutzer nach verfügbaren Updates suchen können, benötigt man für das Herunterladen und Installieren erhöhte Rechte. Im Fall von Logon- und Logoff-Scripts, die unter dem Systemkonto laufen, ist das gegeben, und auch für geplante Aufgaben lässt sich dieser Account nutzen.
Filtern von Updates
Die drei Schalter für die Basisfunktionen kann man um eine Fülle von Optionen ergänzen. Besonders nennenswert sind hier die Parameter, mit denen sich die Updates anhand verschiedener Kriterien eingrenzen lassen. So kann man Patches mit match durch den Einsatz von regulären Ausdrücken filtern.
Weitere Kriterien, mit denen WuInstall die Liste der Updates einschränken kann, sind schon von WSUS her bekannt. Es handelt sich dabei um Kategorien wie Produkt und Klassifizierung, hinzu kommt die Einstufung für die Dringlichkeit wie Critical, Important, etc. Darüber hinaus lassen sich Treiber explizit einschließen, nachdem diese standardmäßig nicht berücksichtigt werden.
Bei meinen Experimenten ließen sich die 3 Basisschalter mit praktisch allen Optionen kombinieren, was teilweise zu sinnfreien Ausdrücken führt, und selbst über search und download in einem Befehl beschwert sich das Tool nicht. Hier müsste die Dokumentation nicht bloß die einzelnen Optionen beschreiben, sondern auch, wie sie zusammenspielen.
Optionen für den Neustart
Nach der Installation steht bei vielen Updates ein Neustart des Rechners an. Hier zeigt sich WuInstall sehr flexibel. Zum einen muss die Option reboot nicht zusammen mit install verwendet werden, so dass man theoretisch diese beiden Vorgänge entkoppeln kann, wenn dies erforderlich ist.
Darüber hinaus kann man den Parameter mit einer Zeitangabe (in Sekunden) versehen, um den Neustart zu planen. Neben dem reinen reboot kennt das Tool noch die Varianten reboot_if_needed, reboot_force, reboot_if_needed_force sowie shutdown. Letzteres fährt den Rechner nur herunter anstatt ihn neu zu booten.
Interessant ist die Option rebootcycle [ntimes], wenn man einen frisch installierten PC patchen möchte. Damit kann man die Zahl der Neustarts vorgeben, die bei der Installation von zahlreichen Updates durchlaufen werden dürfen. Nach jedem Reboot setzt das Tool das Einspielen von Patches fort, bis der angegebene Grenzwert erreicht ist.
Fazit
Insgesamt handelt es sich bei WuInstall um ein mächtiges Werkzeug, mit denen Admins die Installation von Updates bis ins Detail steuern können und sich nicht mehr mit den Macken von Microsofts automatischen Updates herumschlagen müssen.
Sie können sich damit ihr eigenes Patch-Management aufbauen, ohne gleich eine umfassende Lösung von einem Drittanbieter erwerben zu müssen. Dies erfordert allerdings anfangs eine Auseinandersetzung mit den zahlreichen Optionen des Programms.
Dabei ist die Dokumentation nur bedingt hilfreich, es mangelt ihr etwa an komplexeren Beispielen oder Empfehlungen, wie man den Windows-eigenen Update-Client für das Zusammenspiel mit WuInstall konfigurieren sollte.
Preise und Verfügbarkeit
Für bis zu 100 Rechner kostet WuInstall 390 USD pro Jahr, mit der steigenden Zahl an PCs greift eine Preisstaffel. Eine Testversion mit vollem Funktionsumfang kann von der Website des Herstellers heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Upgrade auf ESXi 6.5 / 6.7 Free direkt vom VMware Online-Depot installieren
- Ubuntu on Windows 10: bash, gcc, sed, ssh, vi nativ als ELF64 ausführen
- Ausstehende Reboots nach Updates prüfen mit PowerShell und reg.exe
- Pfad von Dateien anzeigen mit where.exe
- Installierte Updates und Service Packs mit DISM und wmic abfragen
Weitere Links
3 Kommentare
Ich dachte das es zu WSUS keine Alternative gibt. Hier im Fazit steht:
"Sie können sich damit ihr eigenes Patch-Management aufbauen, ohne gleich eine umfassende Lösung von einem Drittanbieter erwerben zu müssen."
Welche "Drittanbierter" sollen das sein?
Client-Management-Systeme wie jene von Aagon, baramundi oder Matrix42 enthalten ein eigenes Patch-Management, das in der Regel separat erworben werden kann. Einige davon operieren völlig unabhängig von WSUS, wie etwa Desktop Central, dessen Patch-Management es auch als separates Produkt gibt.
Mittlerweile gibt es eine echte Alternative zu WSUS -> zumindest was das management betrifft -> XEOX (https://www.xeox.com)