Normales Thema Wozu ist das da? (Gelesen: 1169 mal)
Karl Stade
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 3
Mitglied seit: 02.05.10
Wozu ist das da?
02.05.10 um 19:49:04
Beitrag drucken  
Hallo allerseits,

ich betreue seit langem Windows-Netzwerke mit bis zu 500 Arbeitsplätzen. Kürzlich übernahm ich ein kleines Netz mit 30 Knoten und musste bei der Überprüfung des Zustandes des Servers und der Clients entsetzt feststellen, dass der Patch-Stand völlig veraltet war. Ursache: WSUS. Diese Software sammelt offensichtlich die über das MS-Update zur Verfügung gestellten Updates, verteilt sie aber nicht, jedenfalls nicht ohne Benutzereingriff. Die Patches erhalten bei diesem WSUS zahlreiche Stati ("genehmigt", "installiert") und haben zahlreiche Abhängigkeiten, deren Sinn sich mir nicht erschließt. Ich habe dann ein paar als "kritisch" klassifizierte Updates "genehmigt", um wenigstens die Server damit zu versorgen, der Effekt war aber lediglich, dass diese Server wie bei dem normalen MS-Update gemeldet haben, es stünden Updates zur Verfügung. Und nach der Installation haben sie mich gefragt, ob ich neu booten wolle - da muss man schon ziemlich aufpassen, um nicht mal versehentlich auf "Ja" zu klicken!

Bislang kenne ich nur Netze, in denen sich Server und Clients stillschweigend und problemlos über den normalen Update-Mechanismus versorgen. Wie kann es zu einer solchen Sicherheitslücke kommen, dass da eine Software installiert ist, die die Sicherheits-Patches hortet und das Auto-Update verhindert??? Wie kann eine solche Software von Microsoft kommen?

Meine konkrete Frage ist: Wie kann ich dieses Netzwerk vom WSUS befreien und den normalen Zustand wieder herstellen - einfach durch Deinstallation des WSUS?

Vielen Dank im Voraus für eure Hilfe,
Karl
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 696
Standort: Halle (Saale)
Mitglied seit: 24.07.08
Geschlecht: männlich
Re: Wozu ist das da?
Antwort #1 - 02.05.10 um 20:29:41
Beitrag drucken  
Hallo Karl,

Karl Stade schrieb on 02.05.10 um 19:49:04:
Meine konkrete Frage ist: Wie kann ich dieses Netzwerk vom WSUS befreien und den normalen Zustand wieder herstellen - einfach durch Deinstallation des WSUS?


Meiner Meinung nach der falsche Weg.  Schockiert/Erstaunt
Ich würde das geerbte Netzwerk analysieren und anschließend die Konfiguration des WSUS überprüfen bzw. mal aktualisieren.

Auch WSUS funktioniert nur mit der richtigen Konfiguration "richtig".
Wenn Server nach einem Update neu starten wollen ... ist das so vom Hersteller MS vorgegeben. Zwinkernd

Wenn in Deinen bisherigen Netzen Updates von MS ohne Neustarts ausgerollt wurden ...  hä? ... dann würde ich mir aber mal richtig Gedanken machen. Durchgedreht

Was die korrekte Konfiguration betrifft ... schau mal im HowTo von WSUS.DE nach. WSUS macht nur was der Admin vorgibt.
Sollen User entscheiden ... na dann ist das so konfiguriert.
Ich bekäme es mit der Angst, wenn WSUS was macht, was ich nicht festgelegt habe. Laut lachend

Hilfreich ist immer ein AD ... Stichworte: GPO, Benutzereinstellungen

Gruß Dani
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13101
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wozu ist das da?
Antwort #2 - 03.05.10 um 08:11:41
Beitrag drucken  
Karl Stade schrieb on 02.05.10 um 19:49:04:
ich betreue seit langem Windows-Netzwerke mit bis zu 500 Arbeitsplätzen. Kürzlich übernahm ich ein kleines Netz mit 30 Knoten und musste bei der Überprüfung des Zustandes des Servers und der Clients entsetzt feststellen, dass der Patch-Stand völlig veraltet war. Ursache: WSUS. Diese Software sammelt offensichtlich die über das MS-Update zur Verfügung gestellten Updates, verteilt sie aber nicht, jedenfalls nicht ohne Benutzereingriff.


Richtig. Der WSUS verteilt gar nichts. Er stellt nur zu Verfügung. Der Clients holt sich die Updates, die ihm vom WSUS zur Verfügung gestellt wurden.

Welche SW hattest Du bisher zum patchen von Servern und Clients? Auf jeden Fall keinen WSUS. Du solltest das schon wissen.

Karl Stade schrieb on 02.05.10 um 19:49:04:
Die Patches erhalten bei diesem WSUS zahlreiche Stati ("genehmigt", "installiert") und haben zahlreiche Abhängigkeiten, deren Sinn sich mir nicht erschließt. Ich habe dann ein paar als "kritisch" klassifizierte Updates "genehmigt", um wenigstens die Server damit zu versorgen, der Effekt war aber lediglich, dass diese Server wie bei dem normalen MS-Update gemeldet haben, es stünden Updates zur Verfügung. Und nach der Installation haben sie mich gefragt, ob ich neu booten wolle - da muss man schon ziemlich aufpassen, um nicht mal versehentlich auf "Ja" zu klicken!


Das ist ganz normal. Du kannst das natürlich auch automatisieren, mit allen Vor- und Nachteilen.

Karl Stade schrieb on 02.05.10 um 19:49:04:
Bislang kenne ich nur Netze, in denen sich Server und Clients stillschweigend und problemlos über den normalen Update-Mechanismus versorgen.


Da war garantiert kein Windows Update oder WSUS im Spiel. SMS oder Center Configuration Manager war dort vermutlich im Einsatz. Und ein dir unbekannter Kollege hat die SW administriert.

Karl Stade schrieb on 02.05.10 um 19:49:04:
Wie kann es zu einer solchen Sicherheitslücke kommen, dass da eine Software installiert ist, die die Sicherheits-Patches hortet und das Auto-Update verhindert??? Wie kann eine solche Software von Microsoft kommen?


Sicherheitslücken entstehen durch Programmierer. Wenn auf den Clients/Servern die Sicherheitslücken nicht gestopft werden, ist meistens der Admin vor Ort schuld. In diesem Fall kennst Du dich mit dem WSUS nicht aus. Also informiert man sich vorher eingehend. Die vielen WhitePaper bei MS sollte man schon lesen. Hier gehts los: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).


Karl Stade schrieb on 02.05.10 um 19:49:04:
Meine konkrete Frage ist: Wie kann ich dieses Netzwerk vom WSUS befreien und den normalen Zustand wieder herstellen - einfach durch Deinstallation des WSUS?


Den WSUS zu deinstallieren und auf Windows Update umzustellen, wäre so ziemlich das dümmste was Du tun könntest. Beschäftige dich mit dem WSUS und lerne ihn für deine Zwecke vernünftig zu nutzen. Gerne helfen wir dir dabei, Du mußt dich nur vorher mit dem WSUS beschäftigen.
  
Zum Seitenanfang
 
AraldoL
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 534
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Wozu ist das da?
Antwort #3 - 03.05.10 um 09:12:24
Beitrag drucken  
Karl Stade schrieb on 02.05.10 um 19:49:04:
Wie kann es zu einer solchen Sicherheitslücke kommen, dass da eine Software installiert ist, die die Sicherheits-Patches hortet und das Auto-Update verhindert??? Wie kann eine solche Software von Microsoft kommen?

Natürlich muß sich um einen WSUS jemand kümmern, also wenigstens einmal pro Monat nach dem Patchday draufschauen.

Der WSUS ist eben nicht dazu da daß alles ohne Zutun automatisch läuft, das könnte man ja indem man alle Clients direkt bei MS updaten läßt. Der einzige Vorteil wäre daß du dich scheinbar(!) nicht mehr darum kümmern mußt.

Nun zu den Nachteilen (die dann eben die Vorteile des WSUS sind):
1. Du mußt in "Netzwerken bis zu 500 Arbeitsplätzen" monatlich an jeden einzelnen Arbeitsplatz und Server und per Hand kontrollieren ob alle Updates installiert sind oder ob ein wichtiges fehlt. Nennt man "Turnschuh-Adminstration". Mit dem WSUS siehst du immer zentral ob alle Clients gepatcht sind oder ob einem Updates fehlen oder ob größere Probleme vorliegen weil er sich z.B. nicht mehr meldet. Spart immens Zeit weil man so nur auf wenige Rechner draufschauen muß (wenn überhaupt) und sicher weiß daß der Rest paßt.

2. Stell dir vor es wird beim Patchday ein Update verteilt das bei einem deiner Kunden die Auftragsbearbeitung oder Fertigung komplett lahmlegt. Da wird es dann lustig. Da wird dich die Geschäftsleitung fragen warum du das Update nicht erst mal an ein paar Testclients probiert hast bevor es alle bekommen. Tja, wie willst du das verhindern wenn alle automatisch updaten? Da brennt dann die Hütte und du kannst wieder die Turnschuhe auspacken. Falls du den Job dann noch hast.

Der WSUS hilft dir dabei indem du unter den Clients eine Testgruppe von ausgewählten erfahrenen Benutzern anlegst und neue Updates erstmal nur für diese Testgruppe genehmigst. Gibt es damit keine Probleme kannst du die Updates nach 2-3 Tagen dann für alle freigeben. Man kann das auch so konfigurieren daß die Mitarbeiter von den Updates gar nichts mitbekommen und auch nicht zu einem Neustart aufgefordert werden.

Konkreter Fall war bei mir DATEV wo z.B. der IE7, IE8 und diverse SQL-Server-Updates nach deren Erscheinen vorerst nicht installiert werden durften. Dank WSUS kein Problem, einfach diese Updates noch nicht genehmigen bis die Freigabe seitens DATEV kam. Wie machst du das bei automatischem Update?

Sicher muß man sich um einen WSUS kümmern, aber unter dem Strich ist das, wenn man es verstanden hat, bedeutend(!) weniger Arbeit als ständig durch die Firma zu flitzen und die Mitarbeiter vom PC verscheuchen zu müssen. Oder alternativ das als Nachtschicht zu erledigen ...

Ich betreue derzeit 5 Netze mit WSUS-Servern auf die ich mich von Zuhause per RDP draufschalten kann. Das sind keine 10 Minuten pro Tag und ich sehe sofort ob alles paßt oder um welchen PC ich mich evtl. kümmern muß.
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden