Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie Anwendung der Windows Sicherheitsupdates vor erstem Logon sicherstellen?

Frage Microsoft

Mitglied: Kurt.Maurer

Kurt.Maurer (Level 1) - Jetzt verbinden

14.09.2011, aktualisiert 18.10.2012, 2932 Aufrufe, 8 Kommentare

Hallo zusammen,

vielleich stand schon jemand vor dem gleichen Problem und hat einen Lösungsvorschlag.
Kurzbeschreibung: Windows 7 wird über WDS (PXE-Methode) verteilt. Server-OS: 2008 R2. Nach dem Deployment soll gewährleistet sein, dass zumindest sicherheitsrelevante Patches angewendet bzw. installiert sind bevor sich der User anmeldet.

Zwar ist es möglich, die Patches / Updates per DISM (WAIK-Tools) in das WIM-Image einzubinden, jedoch müsste dies in gewissen zeitlichen Abständen vor jedem Deployment wiederholt werden was einigen manuellen Aufwand bedeutet (wie z.B. hier beschrieben: http://www.windowspro.de/wolfgang-sommergut/wim-archive-mit-msu-dateien ... ). Die Updates müssen ausgesucht, heruntergeladen und in das gemountete Image integriert werden. Ich betrachte dies als nicht besonders sinnvoll in einer WSUS-Umgebung. Schließlich wird ja bereits der WSUS-Server gepflegt damit man Patches nicht manuell aussuchen und herunterladen muss.

Wir haben WSUS im Einsatz, wie ihr aber sicher wisst, kann ein Benutzer sich nach dem Deployment prinzipiell anmelden, auch wenn noch keine Updates heruntergeladen und installiert worden sind (ganz zu schweigen vom evtl. notwendigen Neustart damit die Updates überhaupt wirken). Die Gruppenrichtlinie bzgl. WSUS ist so definiert, dass User einen notwendigen Neustart verzögern können (finde ich auch sinnvoll und wird vom Chef nicht anders akzeptiert).

Um den Aufwand mit DISM zu vermeiden, stelle ich mir eine mögliche Lösung so vor: Der Client nimmt während oder sofort nach dem Deployment Kontakt zum WSUS-Server auf, holt sich zumindest alle Sicherheitsupdates, diese werden installiert und ein notwendiger Neustart sofort initiiert. Erst danach sollte eine Anmeldung an den Client für die User möglich sein. Ich betreue mehrere Computer-Pools für Studenten und da kommt es schon mal vor, dass ein Rechner schnell neu aufgesetzt werden oder das Image neu angepasst und auf allen Rechnern neu verteilt werden muss.

Evtl. ist es ja möglich, eine Lösung über NAP (Network Access Protection, über Installation der Rolle "Netzwerkrichtlinien und Zugriffsdienste") zu finden, allerdings scheue ich den Aufwand für die Einrichtung ein wenig.
Oder man passt die unattend.xml an bzw. verweist in dieser auf ein Skript, welches ausgeführt werden soll.
Welche Lösung habt ihr gefunden, bzw. wie geht ihr mit diesem Problem um?
Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.

Vielen Dank für eure Vorschläge!
Mitglied: 60730
14.09.2011 um 12:33 Uhr
moin,

ich machs mal ganz kurz...

Das integrierien der einzelnen Patche ist wirklich Sinnbefreit
Ich löse das seit Jahren über ein 3. Anbieter Tool, dass mal CT Offline Updater hiess und eine Batch.

Du kannst natürlich hergehen und das installationsdatum der Patche auf vorvorvorgetsern stellen und damit erreichen, dass die rel. zügig installiert werden...
  • ich machs aber wie beschrieben - eine Batch, eine Kiste mit ner Freigabe auf der die Patche liegen und die ständig automatisch aktualisiert werden.

Oder andersherum, die Arbeit und das Gehirnschmalz, dass dafür nötig ist haben sich andere schon gemacht und die mittlerweile wsusoffliner genannte Schnippselsammlung ist genau für dieses Problem erdacht worden.
Kostet außer Plattenplatz und vielleicht eine Spende anTorsten Wittrock nix.

gruß


edit

Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.

*hüstel....
> Auch wenn ihr vielleicht die Meinung vertretet, dass...
Ganz ehrlich solche Mitdenker bzw. deren Meinung möchte ich hier garnicht lesen, sonst wäre ich ja bei [Tankstellencomputermagazinforum deiner Wahl] und nicht hier...
/edit
Bitte warten ..
Mitglied: Kurt.Maurer
14.09.2011 um 15:53 Uhr
Die Lösung mit wuinstall gefällt mir ganz gut, damit ist es jedenfalls nicht nötig, die Updates doppelt herunterzuladen sondern sie sich so zu holen, wie sie vom WSUS-Server kommen (und bereits abgelehnte Updates werden so auch nicht versehentlich installiert).
Die API des Windows Update Clients erlaubt es auch, eigene Skripte zu schreiben, wie z.B. hier: http://msdn.microsoft.com/en-us/library/aa387102%28v=vs.85%29.aspx

Ich werde mal versuchen, ein entsprechendes Skript für die unbeaufsichtigte Installation zu schreiben und melde mich dann wieder.
Erstmal vielen Dank an euch!
Bitte warten ..
Mitglied: DerWoWusste
15.09.2011 um 10:36 Uhr
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...
Bitte warten ..
Mitglied: Kurt.Maurer
20.09.2011 um 11:20 Uhr
Zitat von DerWoWusste:
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...

Wie bist du zu dieser Überzeugung gelangt?
Sobald der Client für WSUS konfiguriert ist (z.B. Gruppenrichtlinie und/oder Registry-Eintrag) kommt auch der WSUS-Server zum Zug, andernfalls die Microsoft Updates übers Internet.
Ich habe dies mit Wireshark überprüft, die windowsupdate.log sagt ebenfalls nichts anderes.

Ein vielversprechendes Skript habe ich von Rob Dunn:
http://www.theitoolbox.com/?p=13

Ich werde es testen, versuchen es ins Deployment einzubinden und wieder berichten.
Bitte warten ..
Mitglied: DerWoWusste
20.09.2011 um 12:39 Uhr
Wie bist du zu dieser Überzeugung gelangt?

In Deinem Link steht:
•The sample can download updates only by using WUA. It cannot download updates from a Software Update Services (SUS) 1.0 server.
SUS war der Vorläufer von WUS.
Bitte warten ..
Mitglied: Kurt.Maurer
20.09.2011 um 16:17 Uhr
Zitat von DerWoWusste:
SUS war der Vorläufer von WUS.
Genau. Mit dem Vorläufer klappt es nicht, was aber für die meisten nicht mehr interessant sein dürfte. Mit WSUS funktioniert es auf jeden Fall. Und WUA heißt ja einfach nur Windows Update Agent, den man ja auch startet wenn man z.B. wuauclt.exe /detectnow aufruft. Ich teste das Skript gerade intensiv (habe auch schon ein paar kleine Fehler entdeckt). Insgesamt ist das Skript aber wirklich klasse und erspart andere (komplizierte) Lösungen, einfach mal ausprobieren!
Bitte warten ..
Mitglied: Kurt.Maurer
22.10.2012 um 09:55 Uhr
Ich bin jetzt auf MDT 2012 gekommen. Man muss sich zwar erstmal einarbeiten und ein paar Hürden überwinden, aber es lohnt sich. Das Problem mit den Updates lässt sich damit sehr elegant lösen.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Netzwerkkarte schaltet sich erst nach dem Logon ein
gelöst Frage von DerWoWussteWindows 1024 Kommentare

Moin Kollegen! Wer kennt folgendes Phänomen: Windows fährt hoch, am Anmeldebildschirm signalisiert das Kreuz über dem Icon der Netzwerkkarte ...

Windows Server
Softwareverteilung bei Sicherheitsupdates?
Frage von 113726Windows Server3 Kommentare

Hallo, ich habe vor einiger Zeit erfolgreich Adobe Reader 11.0.06 per GPO verteilt. Ich weiß, dass man bei jeder ...

LAN, WAN, Wireless
Externe Erreichbarkeit sicherstellen
Frage von Mr.ErrorLAN, WAN, Wireless9 Kommentare

Hallo liebe Gemeinde, wir diskutieren jetzt schon eine ganze weile Abteilungs intern, wie die Ausfallsicherheit unserer externen Erreichbarkeit verbessern ...

Windows XP
Sicherheitsupdate unter Windows XP deinstallieren
Frage von Marcel94Windows XP4 Kommentare

Hallo, ich habe folgendes Problem und zwar muss ich für eine Verbindung ein Sicherheitsupdate unter Windows XP deinstallieren Nun ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 19 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 22 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 5 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Windows 10
Probleme mit Dateien, deren Pfad + Dateiname länger als 256 Zeichen sind
Frage von FalaffelWindows 109 Kommentare

Guten Tag, unter Windows 10 scheint es immer noch das Problem zu geben, dass der Pfad + Dateiname einer ...