Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie Anwendung der Windows Sicherheitsupdates vor erstem Logon sicherstellen?

Frage Microsoft

Mitglied: Kurt.Maurer

Kurt.Maurer (Level 1) - Jetzt verbinden

14.09.2011, aktualisiert 18.10.2012, 2898 Aufrufe, 8 Kommentare

Hallo zusammen,

vielleich stand schon jemand vor dem gleichen Problem und hat einen Lösungsvorschlag.
Kurzbeschreibung: Windows 7 wird über WDS (PXE-Methode) verteilt. Server-OS: 2008 R2. Nach dem Deployment soll gewährleistet sein, dass zumindest sicherheitsrelevante Patches angewendet bzw. installiert sind bevor sich der User anmeldet.

Zwar ist es möglich, die Patches / Updates per DISM (WAIK-Tools) in das WIM-Image einzubinden, jedoch müsste dies in gewissen zeitlichen Abständen vor jedem Deployment wiederholt werden was einigen manuellen Aufwand bedeutet (wie z.B. hier beschrieben: http://www.windowspro.de/wolfgang-sommergut/wim-archive-mit-msu-dateien ... ). Die Updates müssen ausgesucht, heruntergeladen und in das gemountete Image integriert werden. Ich betrachte dies als nicht besonders sinnvoll in einer WSUS-Umgebung. Schließlich wird ja bereits der WSUS-Server gepflegt damit man Patches nicht manuell aussuchen und herunterladen muss.

Wir haben WSUS im Einsatz, wie ihr aber sicher wisst, kann ein Benutzer sich nach dem Deployment prinzipiell anmelden, auch wenn noch keine Updates heruntergeladen und installiert worden sind (ganz zu schweigen vom evtl. notwendigen Neustart damit die Updates überhaupt wirken). Die Gruppenrichtlinie bzgl. WSUS ist so definiert, dass User einen notwendigen Neustart verzögern können (finde ich auch sinnvoll und wird vom Chef nicht anders akzeptiert).

Um den Aufwand mit DISM zu vermeiden, stelle ich mir eine mögliche Lösung so vor: Der Client nimmt während oder sofort nach dem Deployment Kontakt zum WSUS-Server auf, holt sich zumindest alle Sicherheitsupdates, diese werden installiert und ein notwendiger Neustart sofort initiiert. Erst danach sollte eine Anmeldung an den Client für die User möglich sein. Ich betreue mehrere Computer-Pools für Studenten und da kommt es schon mal vor, dass ein Rechner schnell neu aufgesetzt werden oder das Image neu angepasst und auf allen Rechnern neu verteilt werden muss.

Evtl. ist es ja möglich, eine Lösung über NAP (Network Access Protection, über Installation der Rolle "Netzwerkrichtlinien und Zugriffsdienste") zu finden, allerdings scheue ich den Aufwand für die Einrichtung ein wenig.
Oder man passt die unattend.xml an bzw. verweist in dieser auf ein Skript, welches ausgeführt werden soll.
Welche Lösung habt ihr gefunden, bzw. wie geht ihr mit diesem Problem um?
Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.

Vielen Dank für eure Vorschläge!
Mitglied: 60730
14.09.2011 um 12:33 Uhr
moin,

ich machs mal ganz kurz...

Das integrierien der einzelnen Patche ist wirklich Sinnbefreit
Ich löse das seit Jahren über ein 3. Anbieter Tool, dass mal CT Offline Updater hiess und eine Batch.

Du kannst natürlich hergehen und das installationsdatum der Patche auf vorvorvorgetsern stellen und damit erreichen, dass die rel. zügig installiert werden...
  • ich machs aber wie beschrieben - eine Batch, eine Kiste mit ner Freigabe auf der die Patche liegen und die ständig automatisch aktualisiert werden.

Oder andersherum, die Arbeit und das Gehirnschmalz, dass dafür nötig ist haben sich andere schon gemacht und die mittlerweile wsusoffliner genannte Schnippselsammlung ist genau für dieses Problem erdacht worden.
Kostet außer Plattenplatz und vielleicht eine Spende anTorsten Wittrock nix.

gruß


edit

Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.

*hüstel....
> Auch wenn ihr vielleicht die Meinung vertretet, dass...
Ganz ehrlich solche Mitdenker bzw. deren Meinung möchte ich hier garnicht lesen, sonst wäre ich ja bei [Tankstellencomputermagazinforum deiner Wahl] und nicht hier...
/edit
Bitte warten ..
Mitglied: Kurt.Maurer
14.09.2011 um 15:53 Uhr
Die Lösung mit wuinstall gefällt mir ganz gut, damit ist es jedenfalls nicht nötig, die Updates doppelt herunterzuladen sondern sie sich so zu holen, wie sie vom WSUS-Server kommen (und bereits abgelehnte Updates werden so auch nicht versehentlich installiert).
Die API des Windows Update Clients erlaubt es auch, eigene Skripte zu schreiben, wie z.B. hier: http://msdn.microsoft.com/en-us/library/aa387102%28v=vs.85%29.aspx

Ich werde mal versuchen, ein entsprechendes Skript für die unbeaufsichtigte Installation zu schreiben und melde mich dann wieder.
Erstmal vielen Dank an euch!
Bitte warten ..
Mitglied: DerWoWusste
15.09.2011 um 10:36 Uhr
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...
Bitte warten ..
Mitglied: Kurt.Maurer
20.09.2011 um 11:20 Uhr
Zitat von DerWoWusste:
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...

Wie bist du zu dieser Überzeugung gelangt?
Sobald der Client für WSUS konfiguriert ist (z.B. Gruppenrichtlinie und/oder Registry-Eintrag) kommt auch der WSUS-Server zum Zug, andernfalls die Microsoft Updates übers Internet.
Ich habe dies mit Wireshark überprüft, die windowsupdate.log sagt ebenfalls nichts anderes.

Ein vielversprechendes Skript habe ich von Rob Dunn:
http://www.theitoolbox.com/?p=13

Ich werde es testen, versuchen es ins Deployment einzubinden und wieder berichten.
Bitte warten ..
Mitglied: DerWoWusste
20.09.2011 um 12:39 Uhr
Wie bist du zu dieser Überzeugung gelangt?

In Deinem Link steht:
•The sample can download updates only by using WUA. It cannot download updates from a Software Update Services (SUS) 1.0 server.
SUS war der Vorläufer von WUS.
Bitte warten ..
Mitglied: Kurt.Maurer
20.09.2011 um 16:17 Uhr
Zitat von DerWoWusste:
SUS war der Vorläufer von WUS.
Genau. Mit dem Vorläufer klappt es nicht, was aber für die meisten nicht mehr interessant sein dürfte. Mit WSUS funktioniert es auf jeden Fall. Und WUA heißt ja einfach nur Windows Update Agent, den man ja auch startet wenn man z.B. wuauclt.exe /detectnow aufruft. Ich teste das Skript gerade intensiv (habe auch schon ein paar kleine Fehler entdeckt). Insgesamt ist das Skript aber wirklich klasse und erspart andere (komplizierte) Lösungen, einfach mal ausprobieren!
Bitte warten ..
Mitglied: Kurt.Maurer
22.10.2012 um 09:55 Uhr
Ich bin jetzt auf MDT 2012 gekommen. Man muss sich zwar erstmal einarbeiten und ein paar Hürden überwinden, aber es lohnt sich. Das Problem mit den Updates lässt sich damit sehr elegant lösen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Microsoft
Windows 10 logon script: alle Apps löschen (3)

Frage von thomasreischer zum Thema Microsoft ...

C und C++
gelöst In einer Windows Form Anwendung per Button eine Datei kopieren (4)

Frage von Knuefi zum Thema C und C ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...