molly11
Goto Top

Auto Installation MS Defender Update Server 2016

Moin,

ich hänge im Moment im luftleeren Raum mit meinem Wissen. Und Tante Goo verweist immer wieder auf die gleichen Beiträge, die nur die Einrichtung der GPO in dem Fall beinhaltet. Aber die besteht schon und funktioniert.

In einer Domäne wird per GPO das WSUS Update / bzw. zugehörige Richtlinien verteilt.

Es funktioniert auch alles soweit, das die Updates automatisch genehmigt werden und verteilt.

Problem ist nur, das die MS Defender Definitionsupdates nicht automatisch installiert werden.
Die Richtlinie " Updates automatisch installieren" ist aktiv.
gpo_updateauto
Gehe ich auf einem Server/ Workstation durch RDP, sehe ich das Update als heruntergeladen und zur Installation bereit. Es muß in dem Fall dann durch "Update installieren" manuell auf der Maschine installiert werden. Es findet keine automatische Installation statt.

Was mir nur jetzt noch aufgefallen ist, bin ich schon auf der Maschine angemeldet und suche nach Updates, dann werden die Sicherheits- / Definitionsupdates heruntergeladen und auch automatisch installiert.

Gibt es hier einen Trick, der zu beachten ist?

Danke für Eure Hilfe.
Gruß
M

Content-ID: 5796481701

Url: https://administrator.de/contentid/5796481701

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

em-pie
em-pie 02.02.2023 um 13:53:33 Uhr
Goto Top
Moin,

Problem ist nur, das die MS Defender Definitionsupdates nicht automatisch installiert werden.
Warum sollten sie auch: du hast ja gesagt "nur benachrichtigen, nicht installieren" ung gleichzeitig soll er die Updates um 03:00 Uhr des Nachts installieren (wenn der Client aus ist)

Gehe ich auf einem Server/ Workstation durch RDP, sehe ich das Update als heruntergeladen und zur Installation bereit.
Deine GPO macht also, was sie soll...
Looser27
Looser27 02.02.2023 um 13:54:34 Uhr
Goto Top
Moin,

da fehlt die Einstellung "Updates, die keinen Neustart erfordern, sofort installieren".
Das sind die Defender Signaturupdates u.a.

Damit sollte das dann auch funktionieren.

Gruß

Looser
Molly11
Molly11 03.02.2023 um 07:03:17 Uhr
Goto Top
Ja danke für die Hilfestellungen.

Vielleicht zur Klarstellung.
Der Server ist niemals aus. 24/7
Und bei Updates automatisch installieren steht in der Beschreibung auch, daß Updates die keinen Neustart verlangen, sofort installiert werden.
Diese Richtlinie greift jedoch nur, wenn die Richtlinie " Automatisch Updates konfigurieren" aktiviert ist.

Dementsprechend - ja die Richtlinien und WSUS funktionieren - allerdings nicht bei abgemeldeten User.

Also zurück auf Start. face-smile

Gruß
M
DerWoWusste
Lösung DerWoWusste 03.02.2023 um 10:57:32 Uhr
Goto Top
Molly, die Gründe hast Du aufgezeigt bekommen.

Als Lösung könntest Du machen (simple Sache):
Am WSUS einen Task im Aufgabenplaner einrichten, der als Systemkonto (x mal täglich) die mpam-fe.exe https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64 runterläft mit wget.

Auf die Clients per GPO einen Task ausrollen, der die mpam-fe.exe installiert (einfach die exe als Aktion angeben: \\wsus\share\mpam-fe.exe). Ausführendes Konto: System. Das Servershare darf für niemanden außer den Admins und dem Systemkonto des WSUS beschreibbar sein - authentifizierte Nutzer bekommen hier nur Lesen-/ausführen in den Freigaberechten. Das ist sehr wichtig!
Tasktrigger: mehrmals täglich (alle 4 Stunden?) mit randomization, damit nicht alle gleichzeitig beim Server anklopfen.
Man kann, um Bandbreite zu sparen, natürlich die derzeitig verwendete Version am Client abfragen und die Dateiversion abfragen und nur dann runterladen, wenn nötig.

All das funktioniert stabil, habe ich schon eingesetzt.
Molly11
Molly11 03.02.2023 um 19:23:21 Uhr
Goto Top
Das hört sich interessant an DerWoWusste. B-){

Habe mal gelesen hier https://support.microsoft.com/de-de/topic/manuelles-herunterladen-der-ne ....
Richtig?


3 Fragen...

Win10/11 v S2016?

Das installiert auch?

Kann das auch über GroupManagerService ausgeführt werden?

Danke.
Gruß
M
DerWoWusste
DerWoWusste 03.02.2023 um 23:34:23 Uhr
Goto Top
Alle Fragen: ja
Molly11
Molly11 05.02.2023 um 13:50:31 Uhr
Goto Top
Danke! Werde berichten.
DerWoWusste
DerWoWusste 05.02.2023 um 14:53:26 Uhr
Goto Top
Noch ein Hinweis: macht man das so, wird man am wsus auch die Defenderupdates rausnehmen wollen. Dann muss man jedoch alle 2 Monate das sogenannte Defender Platformupdate manuell am wsus importieren.
Molly11
Molly11 05.02.2023 um 21:03:11 Uhr
Goto Top
Es kann aber doch das SignatureUpdate am WSUS abgerufen werden, oder?

Und Tool arbeitet total im Hintergrund so wie ich das sehe.
Molly11
Molly11 05.02.2023 um 21:18:24 Uhr
Goto Top
em-pie,

vielleicht habe ich hier auch ein Verständnisproblem. Stelle ich die Auswahl auf 4, das automatisch installiert wird und an besagter Zeit neu gestartet wird, habe ich doch jede Nacht einen Neustart.

Dieses ist jedoch nicht gewünscht, da 24/7 benötigt.

Danke für eine Korrektur, falls ich hier falsch interpretiere.

Gruß
M
em-pie
em-pie 05.02.2023 um 22:23:40 Uhr
Goto Top
vielleicht habe ich hier auch ein Verständnisproblem. Stelle ich die Auswahl auf 4, das automatisch installiert wird und an besagter Zeit neu gestartet wird, habe ich doch jede Nacht einen Neustart.
Nope. Für die Defender Updates wird ja kein Neustart benötigt.
Und die Kisten starten ja nicht jede Nacht pauschal neu.
Dieses ist jedoch nicht gewünscht, da 24/7 benötigt

Wir sind auch ne 24/7 Bude.
Die Defender (und Edge) Updates werden per Auto-Freigabe am WSUS bei uns freigegeben. Alle anderen Updates geben wir für definierte WSUS-Gruppen frei.
Es gibt immer ne Testgruppe, auf die wir die normalen Windows und .Net- Updates loslassen und alles zwei bis drei Tage beobachten. Dann wird es für fast alle übrigen Server freigegeben, verbunden mit einem nächtlichen Reboot (sofern erforderlich) was aber OK ist. Ausnahme sind hier die File- und Produktionsserver. Die hängen im WSUS in einer dritten Gruppe und werden kontrolliert mit Updates versorgt.

Auf diese Weise erhalten alle Server ihre DefenderPatterns, aber die übrigen werden kontrolliert verteilt.
Molly11
Molly11 06.02.2023 um 06:39:07 Uhr
Goto Top
Danke em-pie, dann habe ich es richtig verstanden und auch umgesetzt.
Dann bleibt wie gesagt das Problem, das ohne angemeldeten Benutzer keine Defenderupdates installiert werden. Und nur bereit gestellt werden.
Ich werde heute mal mit der mpam versuchen und berichten.
Gruß
M.
Molly11
Molly11 06.02.2023 um 07:03:31 Uhr
Goto Top
@DerWoWusste,

ich denke meine letzte Frage ist hinfällig. Hatte nicht verstanden, daß die mpam-fe.exe schon die neuen Definitionen beinhaltet.
Habe die Datei als ausführbares Programm zur Einstellung gesehen.
Hier der Thread hat geholfen.
https://answers.microsoft.com/en-us/windows/forum/all/manual-install-of- ...

Danke und Gruß
M.
DerWoWusste
DerWoWusste 06.02.2023 um 09:24:01 Uhr
Goto Top
Ja, so ist es. mpam-fe.exe beinhaltet die Signaturen. Braucht aber, wie gesagt, alle 2 Monate das Platformupdate.
DerWoWusste
DerWoWusste 08.02.2023 aktualisiert um 16:35:50 Uhr
Goto Top
Der Vollständigkeit halber: https://www.catalog.update.microsoft.com/Search.aspx?q=%20KB4052623 ist das alle 2 Monate wiederholt zu importierende Platformupdate.
Molly11
Molly11 08.02.2023 um 18:42:37 Uhr
Goto Top
@dww,

danke Dir.

Bin noch am eroieren. Habe im Moment Zugriffsproblem. Sobald es lüppt melde ich mich.
Automatischer Download läuft.

Gruß
M.
Molly11
Molly11 09.02.2023 um 12:38:28 Uhr
Goto Top
Hi,

hänge wieder etwas.
Die Aufgabenplanung in der GPO lässt User als Ausführung zu, jedoch bei unabhängig der Anmeldung nur ohne Kennwort speichern.
Und ich will ja nicht nur lokal auf Ressourcen, sondern auch auf das Share.

Was kann das sein?

Und die Aufgabe unter Computerkonfiguration, richtig?

Danke!

Gruß
M.
DerWoWusste
DerWoWusste 09.02.2023 um 12:58:09 Uhr
Goto Top
Mach's wie beschrieben: Ausführender: System
Molly11
Molly11 09.02.2023 um 13:39:42 Uhr
Goto Top
Wenn ich System nehme, dann bekomme ich "Zugriff verweigert"

Ist eine Domain, wo WSUS und Server / Clients separat aufgesetzt sind.

Werde aber nochmal versuchen.

Danke und Gruß
M.
DerWoWusste
DerWoWusste 09.02.2023 um 14:00:36 Uhr
Goto Top
Ich nutze es mit "System" und es geht. Erklär bitte, wo der Zugriff-verweigert-Fehler denn kommt.
Molly11
Molly11 09.02.2023 um 19:58:07 Uhr
Goto Top
Aufbau ist folgendermaßen.

Wie von Dir beschrieben als System der automatische Download über Powershellscript auf den WSUS Share.
( wget will er nicht) Funktioniert auch soweit als Task im Planer. Wird immer aktualisiert.

Aufgabe in der GPO erstellt. Unabhängig von Benutzeranmeldung und NT-Authority\System.
Aufgabe wird verteilt.
Ausführen der Aufgabe, auf der Maschine mit GPO erhaltener Aufgabe, wird ausgeführt, jedoch mit Fehler " Zugriff verweigert" 0x80070005
Share ist auch für System freigegeben. Und mit Netzuser hat es auch gleichen Effekt.

Freigabe des Shares auch in tieferer Einstellung für Berechtigungen gesetzt, wie von Dir beschrieben.

Denke muß da noch etwas tüffteln mit den Berechtigungen.

Oder adhoc eine Idee?
DerWoWusste
DerWoWusste 09.02.2023 um 22:46:00 Uhr
Goto Top
Freigabe nicht für System, sondern für authorisierte Benutzer. Daran liegt es. Nur lesend freigeben.
Molly11
Molly11 13.02.2023 um 12:29:21 Uhr
Goto Top
Soooo.... was lange währt

Erstmal vielen Dank für die Unterstützung.

Der Hinweis mit der mpam-fe.exe war der helfende Tipp.

Jedoch ist die Domain mit ihren Maschinen mehr als benutzerfreundlich. face-wink

Das Ausrollen mit der Gruppenrichtlinie zur periodischen Installation vom Servershare hat nicht funktioniert, da in der Aufgabenerstellung in der Richtlinie das Kennwort nicht eingegeben werden kann. Ist automatisch nur mit Hacken "Kennwort nicht speichern. ..." Ist auch so im Link beschrieben. https://www.windowspro.de/wolfgang-sommergut/geplante-aufgaben-ueber-gru ...

Also das ganze manuell auf jedem Client / Server importieren und dadurch auch ein Randomize hinbekommen.

Jetzt beschreibt auch Kollege, welcher in der Lokation FRA sitzt, das er in den Gruppenrichtlinien einen Punkt hat, welcher Defender Update heisst. Bei ihm werden die Signatures automatisch installiert.
Eine Check auf dem DC und seinen Gruppenrichtlinien in CGN jedoch beinhaltet diesen Punkt des Defender Updates nicht. Nur ein Punkt mit Endpoint Protection, welcher jedoch keine Einstellungen für den Defender explizit besitzt.
Mehr als komisch.

CGN - Server 2016
FRA - Server 2022

Laufen jedoch in einer Domäne mit der gleichen Gruppenrichtlinienverwaltung. Mal sehen was daraus erwächst.

Nochmals vielen Dank und Gruß
M.
DerWoWusste
DerWoWusste 13.02.2023 um 16:13:07 Uhr
Goto Top
Du brauchst kein Kennwort einzutragen für das Systemkonto.
Molly11
Molly11 13.02.2023 um 19:55:36 Uhr
Goto Top
System Konto greift aber nicht auf den Share zu.
Habe ich doch versucht.
Zugriff verweigert.

Läuft doch jetzt. face-wink
DerWoWusste
DerWoWusste 13.02.2023 um 20:02:34 Uhr
Goto Top
Du liest, dass es bei mir so funktioniert.

Du stellst es nach und vergibst keine passenden Rechte, dann geht's nicht.

Nicht nur Freigaberechte, auch NTFS-Rechte müssen die Gruppe Domänencomputer oder authentifizierte Benutzer leseberechtigten.
Molly11
Molly11 14.02.2023 um 07:17:20 Uhr
Goto Top
Ich glaube Dir ja, das es bei Dir funktioniert.
Und die Rechte bin ich alle durchgegangen.

Ich kann aufgrund der Zeit jedoch nicht komplett die Struktur passend einrichten. Laufender Betrieb.

Danke nochmals für die Hilfe.

Gruß
M.