Karl Stade schrieb on 02.05.10 um 19:49:04:
ich betreue seit langem Windows-Netzwerke mit bis zu 500 Arbeitsplätzen. Kürzlich übernahm ich ein kleines Netz mit 30 Knoten und musste bei der Überprüfung des Zustandes des Servers und der Clients entsetzt feststellen, dass der Patch-Stand völlig veraltet war. Ursache: WSUS. Diese Software sammelt offensichtlich die über das MS-Update zur Verfügung gestellten Updates, verteilt sie aber nicht, jedenfalls nicht ohne Benutzereingriff.
Richtig. Der WSUS verteilt gar nichts. Er stellt nur zu Verfügung. Der Clients holt sich die Updates, die ihm vom WSUS zur Verfügung gestellt wurden.
Welche SW hattest Du bisher zum patchen von Servern und Clients? Auf jeden Fall keinen WSUS. Du solltest das schon wissen.
Karl Stade schrieb on 02.05.10 um 19:49:04:
Die Patches erhalten bei diesem WSUS zahlreiche Stati ("genehmigt", "installiert") und haben zahlreiche Abhängigkeiten, deren Sinn sich mir nicht erschließt. Ich habe dann ein paar als "kritisch" klassifizierte Updates "genehmigt", um wenigstens die Server damit zu versorgen, der Effekt war aber lediglich, dass diese Server wie bei dem normalen MS-Update gemeldet haben, es stünden Updates zur Verfügung. Und nach der Installation haben sie mich gefragt, ob ich neu booten wolle - da muss man schon ziemlich aufpassen, um nicht mal versehentlich auf "Ja" zu klicken!
Das ist ganz normal. Du kannst das natürlich auch automatisieren, mit allen Vor- und Nachteilen.
Karl Stade schrieb on 02.05.10 um 19:49:04:
Bislang kenne ich nur Netze, in denen sich Server und Clients stillschweigend und problemlos über den normalen Update-Mechanismus versorgen.
Da war garantiert kein Windows Update oder WSUS im Spiel. SMS oder Center Configuration Manager war dort vermutlich im Einsatz. Und ein dir unbekannter Kollege hat die SW administriert.
Karl Stade schrieb on 02.05.10 um 19:49:04:
Wie kann es zu einer solchen Sicherheitslücke kommen, dass da eine Software installiert ist, die die Sicherheits-Patches hortet und das Auto-Update verhindert??? Wie kann eine solche Software von Microsoft kommen?
Sicherheitslücken entstehen durch Programmierer. Wenn auf den Clients/Servern die Sicherheitslücken nicht gestopft werden, ist meistens der Admin vor Ort schuld. In diesem Fall kennst Du dich mit dem WSUS nicht aus. Also informiert man sich vorher eingehend. Die vielen WhitePaper bei MS sollte man schon lesen. Hier gehts los:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).Karl Stade schrieb on 02.05.10 um 19:49:04:
Meine konkrete Frage ist: Wie kann ich dieses Netzwerk vom WSUS befreien und den normalen Zustand wieder herstellen - einfach durch Deinstallation des WSUS?
Den WSUS zu deinstallieren und auf Windows Update umzustellen, wäre so ziemlich das dümmste was Du tun könntest. Beschäftige dich mit dem WSUS und lerne ihn für deine Zwecke vernünftig zu nutzen. Gerne helfen wir dir dabei, Du mußt dich nur
vorher mit dem WSUS beschäftigen.