Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie Anwendung der Windows Sicherheitsupdates vor erstem Logon sicherstellen?

Mitglied: Kurt.Maurer

Kurt.Maurer (Level 1) - Jetzt verbinden

14.09.2011, aktualisiert 18.10.2012, 2994 Aufrufe, 8 Kommentare

Hallo zusammen,

vielleich stand schon jemand vor dem gleichen Problem und hat einen Lösungsvorschlag.
Kurzbeschreibung: Windows 7 wird über WDS (PXE-Methode) verteilt. Server-OS: 2008 R2. Nach dem Deployment soll gewährleistet sein, dass zumindest sicherheitsrelevante Patches angewendet bzw. installiert sind bevor sich der User anmeldet.

Zwar ist es möglich, die Patches / Updates per DISM (WAIK-Tools) in das WIM-Image einzubinden, jedoch müsste dies in gewissen zeitlichen Abständen vor jedem Deployment wiederholt werden was einigen manuellen Aufwand bedeutet (wie z.B. hier beschrieben: http://www.windowspro.de/wolfgang-sommergut/wim-archive-mit-msu-dateien ... ). Die Updates müssen ausgesucht, heruntergeladen und in das gemountete Image integriert werden. Ich betrachte dies als nicht besonders sinnvoll in einer WSUS-Umgebung. Schließlich wird ja bereits der WSUS-Server gepflegt damit man Patches nicht manuell aussuchen und herunterladen muss.

Wir haben WSUS im Einsatz, wie ihr aber sicher wisst, kann ein Benutzer sich nach dem Deployment prinzipiell anmelden, auch wenn noch keine Updates heruntergeladen und installiert worden sind (ganz zu schweigen vom evtl. notwendigen Neustart damit die Updates überhaupt wirken). Die Gruppenrichtlinie bzgl. WSUS ist so definiert, dass User einen notwendigen Neustart verzögern können (finde ich auch sinnvoll und wird vom Chef nicht anders akzeptiert).

Um den Aufwand mit DISM zu vermeiden, stelle ich mir eine mögliche Lösung so vor: Der Client nimmt während oder sofort nach dem Deployment Kontakt zum WSUS-Server auf, holt sich zumindest alle Sicherheitsupdates, diese werden installiert und ein notwendiger Neustart sofort initiiert. Erst danach sollte eine Anmeldung an den Client für die User möglich sein. Ich betreue mehrere Computer-Pools für Studenten und da kommt es schon mal vor, dass ein Rechner schnell neu aufgesetzt werden oder das Image neu angepasst und auf allen Rechnern neu verteilt werden muss.

Evtl. ist es ja möglich, eine Lösung über NAP (Network Access Protection, über Installation der Rolle "Netzwerkrichtlinien und Zugriffsdienste") zu finden, allerdings scheue ich den Aufwand für die Einrichtung ein wenig.
Oder man passt die unattend.xml an bzw. verweist in dieser auf ein Skript, welches ausgeführt werden soll.
Welche Lösung habt ihr gefunden, bzw. wie geht ihr mit diesem Problem um?
Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.

Vielen Dank für eure Vorschläge!
Mitglied: 60730
14.09.2011 um 12:33 Uhr
moin,

ich machs mal ganz kurz...

Das integrierien der einzelnen Patche ist wirklich Sinnbefreit
Ich löse das seit Jahren über ein 3. Anbieter Tool, dass mal CT Offline Updater hiess und eine Batch.

Du kannst natürlich hergehen und das installationsdatum der Patche auf vorvorvorgetsern stellen und damit erreichen, dass die rel. zügig installiert werden...
  • ich machs aber wie beschrieben - eine Batch, eine Kiste mit ner Freigabe auf der die Patche liegen und die ständig automatisch aktualisiert werden.

Oder andersherum, die Arbeit und das Gehirnschmalz, dass dafür nötig ist haben sich andere schon gemacht und die mittlerweile wsusoffliner genannte Schnippselsammlung ist genau für dieses Problem erdacht worden.
Kostet außer Plattenplatz und vielleicht eine Spende anTorsten Wittrock nix.

gruß


edit

Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.

*hüstel....
> Auch wenn ihr vielleicht die Meinung vertretet, dass...
Ganz ehrlich solche Mitdenker bzw. deren Meinung möchte ich hier garnicht lesen, sonst wäre ich ja bei [Tankstellencomputermagazinforum deiner Wahl] und nicht hier...
/edit
Bitte warten ..
Mitglied: Kurt.Maurer
14.09.2011 um 15:53 Uhr
Die Lösung mit wuinstall gefällt mir ganz gut, damit ist es jedenfalls nicht nötig, die Updates doppelt herunterzuladen sondern sie sich so zu holen, wie sie vom WSUS-Server kommen (und bereits abgelehnte Updates werden so auch nicht versehentlich installiert).
Die API des Windows Update Clients erlaubt es auch, eigene Skripte zu schreiben, wie z.B. hier: http://msdn.microsoft.com/en-us/library/aa387102%28v=vs.85%29.aspx

Ich werde mal versuchen, ein entsprechendes Skript für die unbeaufsichtigte Installation zu schreiben und melde mich dann wieder.
Erstmal vielen Dank an euch!
Bitte warten ..
Mitglied: DerWoWusste
15.09.2011 um 10:36 Uhr
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...
Bitte warten ..
Mitglied: Kurt.Maurer
20.09.2011 um 11:20 Uhr
Zitat von DerWoWusste:
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...

Wie bist du zu dieser Überzeugung gelangt?
Sobald der Client für WSUS konfiguriert ist (z.B. Gruppenrichtlinie und/oder Registry-Eintrag) kommt auch der WSUS-Server zum Zug, andernfalls die Microsoft Updates übers Internet.
Ich habe dies mit Wireshark überprüft, die windowsupdate.log sagt ebenfalls nichts anderes.

Ein vielversprechendes Skript habe ich von Rob Dunn:
http://www.theitoolbox.com/?p=13

Ich werde es testen, versuchen es ins Deployment einzubinden und wieder berichten.
Bitte warten ..
Mitglied: DerWoWusste
20.09.2011 um 12:39 Uhr
Wie bist du zu dieser Überzeugung gelangt?

In Deinem Link steht:
•The sample can download updates only by using WUA. It cannot download updates from a Software Update Services (SUS) 1.0 server.
SUS war der Vorläufer von WUS.
Bitte warten ..
Mitglied: Kurt.Maurer
20.09.2011 um 16:17 Uhr
Zitat von DerWoWusste:
SUS war der Vorläufer von WUS.
Genau. Mit dem Vorläufer klappt es nicht, was aber für die meisten nicht mehr interessant sein dürfte. Mit WSUS funktioniert es auf jeden Fall. Und WUA heißt ja einfach nur Windows Update Agent, den man ja auch startet wenn man z.B. wuauclt.exe /detectnow aufruft. Ich teste das Skript gerade intensiv (habe auch schon ein paar kleine Fehler entdeckt). Insgesamt ist das Skript aber wirklich klasse und erspart andere (komplizierte) Lösungen, einfach mal ausprobieren!
Bitte warten ..
Mitglied: Kurt.Maurer
22.10.2012 um 09:55 Uhr
Ich bin jetzt auf MDT 2012 gekommen. Man muss sich zwar erstmal einarbeiten und ein paar Hürden überwinden, aber es lohnt sich. Das Problem mit den Updates lässt sich damit sehr elegant lösen.
Bitte warten ..
Ähnliche Inhalte
Windows 10

Netzwerkkarte schaltet sich erst nach dem Logon ein

gelöst Frage von DerWoWussteWindows 1024 Kommentare

Moin Kollegen! Wer kennt folgendes Phänomen: Windows fährt hoch, am Anmeldebildschirm signalisiert das Kreuz über dem Icon der Netzwerkkarte ...

Windows 10

Windows 10 Powershell Logon Script

Frage von derhoeppiWindows 109 Kommentare

Hallo, ich habe ein einfaches Powershell Script das ich via GPO oder Scheduled Task ausführen möchte. In dem Script ...

C und C++

Erstellen einer Windows Forms-Anwendung

gelöst Frage von KnuefiC und C++5 Kommentare

Hallo und guten Tag zusammen, da ich sehr wenig Ahnung von Windows Forms Anwendungen habe und noch blutiger Anfänger ...

Microsoft

Windows 10 logon script: alle Apps löschen

Frage von thomasreischerMicrosoft3 Kommentare

Hallo zusammen, da wir bei uns demnächst leider auf Win10 Pro "aufrüsten", habe ich vor per GPO folgendes .ps ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 3 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware44 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke27 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement22 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...