ingos
Goto Top

Sicherheitsupdates über die Kommandoebene automatisch einspielen lassen.

Hallo alle miteinander,

stand jetzt mal wieder vor einem Problem und habe mir das Leben schwer gemacht.

An der Arbeit mussten auf unseren Rechnern mal ein paar Sicherheitsupdates eingespielt werden (wurde ziemlich vernachlässigt).
Als ich so jedes Update separat ausgeführt habe, kam mir der Gedanke, dass man dies doch vermutlich automatisch ablaufen lassen kann. Zum Beispiel mit einer Batch-Datei, die jedes Sicherheitsupdate aufrufen würde. Es ist angenehmer an jedem Rechner eine Datei auf der CD auszuführen, als die ganzen Updates alleine.

Aber nun mein Problem/Frage: Wie kann ich die ganzen Neustartwünsche unterdrücken? Gibt es dafür bestimmte Befehle, mit denen ich die Updates durchlaufen lassen kann und dann zum Schluss den Neustart mache?

Über einen Beispiel-Code wäre ich dankbar. Vielen Dank auch schon mal für die Hilfe.

Gruß, Ingo

Content-ID: 18006

Url: https://administrator.de/forum/sicherheitsupdates-ueber-die-kommandoebene-automatisch-einspielen-lassen-18006.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

11078
11078 18.10.2005 um 19:34:22 Uhr
Goto Top
Hallo,

bei allen Windows-Updates und Hotfixes geht folgendes.

Beispiel:

 Windows2000-KB842773-x86-DEU.EXE <b>-u -z</b>

Die Parameter -u und -z bedeuten: Unbeaufsichtige Installation (keine Eingabe von Nutzerseite erforderlich) und kein Neustart nach Installation.

Hier weitere Parameter:
http://support.microsoft.com/default.aspx?scid=KB;de-de;Q296861&sd= ...


Weiß nicht, ob ich das hier posten darf, aber die Kollegen von http://www.winboard.org/ geben immer mal wieder eine super Zusammenstellung von Hotfixes raus, für die sie ein pfiffiges Install-Script geschrieben haben.

Hier die wichtigsten Teile:


 
set RegHotfixListe=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix
set LOG="%USERPROFILE%\Desktop\UpdatePack.log"  


@echo INSTALLIERE Patch 57/57 -- 890923
@echo --------------------------------
@echo Kumulatives Sicherheitsupdate fr Internet Explorer
call :CheckHotFix KB890923
if "%installiert%"=="ja" (  
   echo ++++ Patch ist schon installiert
   echo Patch 890923 war bereits installiert >>%LOG%
) ELSE (
   start /wait Data\IE6.0sp1-KB890923-Windows-2000-XP-x86-DEU.exe -u -z
   echo Patch 890923 wurde installiert >>%LOG%
)
@echo.


<i>...Hier folgen noch weitere Hotfixes...</i>


:CheckHotFix
   set installiert=nein
   Data\reg query "%RegHotfixListe%\%1" /v Installed 2>NUL | FIND "0x1" >Nul 2>NUL  
   if "%errorlevel%"=="0" set installiert=ja  
goto:eof


Zur Erklärung:

<ul>
<li>Es wird erst in dem Registry-Schlüssel, wo alle installierten Hotfixes festgehalten sind, geprüft, ob das betreffende Hotfix schon installiert ist (ist ein Unterschlüssel mit der Nummer KB... schon vorhanden, hat der DWORD-Wert "Installed" in diesem Unterschlüssel den Wert 0x1 [=true, also installiert]?)</li>
<li>Wenn es noch nicht installiert ist, wird es mit den Parametern -z und -u installiert ...und...</li>
<li>...die Installation oder Nicht-Installation wird in einer Logdatei festgehalten.</li>
</ul>


Gruß,
Tim
ketchup
ketchup 18.10.2005 um 20:10:36 Uhr
Goto Top
entweder du verwendest wirklich so "pakete" wie es tim geschrieben hat, oder du schreibst dir selbst deinen batch-job wie zb:

WindowsXP-KBxx1.EXE /quiet /passive /norestart
WindowsXP-KBxx2.EXE /quiet /passive /norestart
WindowsXP-KBxx3.EXE /quiet /passive /norestart
WindowsXP-KBxx4.EXE /quiet /passive /norestart
WindowsXP-KBxx5.EXE /quiet /passive /forcerestart


um die notwendigen und möglichen parameter rauszufinden, kannst du auch "WindowsXP-KBxxx.EXE /?" verwenden.
es gibt bei einzelnen patches, neue parameter.

bei meinem beispiel werden 5 patches installiert (wenn er schon installiert war, wird erkennt das das hotfix.exe von selbst ... kostest halt etwas zeit), bei den ersten 4 patches wird nicht gebootet, erst der letzte bootet das system.
Janni
Janni 18.10.2005 um 21:49:45 Uhr
Goto Top
Außer den vorherigen Beispielen kannst Du auch den WSUS nutzen und per GP das Neustarten unterdrücken.
maverick82
maverick82 18.10.2005 um 22:42:49 Uhr
Goto Top
Hallo Ingo,
ich weiß nicht welches Betriebssystem du einsetzt. Falls es XP ist, schau dir mal die Update-Packs von winfuture.de an. Leider sind die Update-Packs für Windows 2000 nicht mehr online.
Die für XP habe ich noch nicht getestet, aber die für Windows 2000 sind praktisch: Installation anstoßen, warten bis alle Updates eingespielt sind, neu starten, fertig.
IngoS
IngoS 19.10.2005 um 08:37:52 Uhr
Goto Top
Vielen Dank Leute,

ihr habt mir schon sehr geholfen!
Ich werde wohl erstmal das mit der Batch-Datei versuchen, obwohl ich mich auch an den Script mal "versuchen" werde. Die Tools, die teilweiße angeboten werden, finde ich selber uninteressant. Ich lade mir (zu Hause) die Updates in regelmäßigen Zeitabständen runter, so dass ich bei einer eventuellen neuinstallation nicht ewigkeiten auf die automatischen Updates warten muss.
Das einfügen der Updates in eine Install-CD würde (abgesehen von den SP) sich nicht lohnen, oder nur in größeren Zeitabständen. Wenn man aber bei jedem Sicherheitspatch auch eine neue CD machen würde, dann würden die Rohlinghersteller sich freuen. face-smile
Aus diesem Grund favorisiere ich auch mit der Batch-Datei oder dem Script, den kann ich bei neuen updates erweitern und fertig!
Übrigens, meine Frage war in erster Linie auf XP bezogen, aber es ist gut zu wissen, dass diese Methoden auch auf 2000 oder NT funktionieren, da wir bei uns an der Arbeit noch vereinzelte "Relikte" mit NT haben. Die Win2000 Rechner werden momentan nach und nach umgestellt, nur in neue Hardware für die älteren Rechner mit NT4 wird kaum investiert.

Also vielen Dank nochmal und bis demnächst.

Gruß
Ingo
Tree
Tree 24.10.2005 um 19:38:45 Uhr
Goto Top
Hallo

Der Thread geht auf die Installation der Hotfixes ein, gut.

Aber wie komme ich an die Liste der nötigen Hotfixes und dann an die *KB890923-Windows*.exe selbst.

Gibt es ein Schema, wie man die Download-URL bes MS aus der Hoftfix-Nummer und dem Zil Betriebssystem zusammenbauen kann?

Gruß
Tree
ketchup
ketchup 24.10.2005 um 20:05:54 Uhr
Goto Top
nein, wüßte ich nicht.

aber wennst so einen aufwand betrieben müsstest, warum denkst nicht gleich über den einsatz von SUS bzw. WSUS von MS nach?

jürgen
11078
11078 24.10.2005 um 20:31:32 Uhr
Goto Top
Hallo,

wenn Du die KB-Nummer hast, kannst Du nach diesen Ziffern in der Knowledge-Base suchen. Hier ist eine Beschreibung und die Downloadmöglichkeit ist auch verlinkt:

http://support.microsoft.com/


Über http://windowsupdate.microsoft.com kann man sich für jedes neuere Windows (unabhängig davon, welches Du selber gerade nutzt) alle Hotfixes runterladen. Allerdings ist diese Option nicht übermäßig leicht zu finden. Folgendermaßen geht es:

1. Gehe mit dem Internet Explorer zu http://windowsupdate.microsoft.com

2. In der Navigationsleiste links findest Du die "Administrator-Optionen"

3. Klicke dann im neuen rechten Teilfenster auf "Windows Update Katalog" --> Eine ältere Version von Windows-Update wird gestartet (v 4.0) falls sich ein ActiveX-Steuerelement installieren will, lass dies zu.

4. Im rechten Teil dieses zweiten Windows Update Fensters gibt es den Link "Updates für Microsoft-Betriebssystemen suchen". Hierüber kannst Du gezielt nach Updates für beinahe alle MS Betriebssysteme suchen; auch nach Betriebssystemem mit best. Service Packs, damit Du wirklich nur alle Fixes angezeigt bekommt, die nach einem best. SP herausgekommen sind.

5. Über die Suchfunktion kannst Du dann nun nach Updates für das gewählte System suchen; Frei verfügbar für alle sind immer "Wichtige Aktualisierungen und Service Packs". In der nun angezeigten ellenlangen Liste findest Du auch die berühmten KB*-Nummern wieder.

6. Füge alle Updates aus besagter Liste hinzu und klick dann auf den Link "Zum Downloadwarenkorb wechseln".

7. Nun noch einen Speicherort auf der festplatte angeben und "Jetzt downloaden"


Gruß,
Tim
IngoS
IngoS 24.10.2005 um 20:31:32 Uhr
Goto Top
@Tree

Also ich habe mir zu Hause angewöhnt regelmäßig auf der Microsoft-Downloadsite zu schauen. Die Sicherheitspatchs lasse ich mir nach Datum und nicht nach der Häufigkeit sortieren. In dem Ordner, in dem ich die Patchs speichere, hinterlege ich mir das Datum meines letzten Downloads. Die Sicherheitspatchs, die nach diesem Datum raus gekommen sind, speichere ich mir auch in dem Ordner.
Bis jetzt habe ich bei einer Neuinstallation immer jeden einzelnen Patch (ab SP2) eingespielt, was mitlerweile doch schon einige sind. Aus diesem Grund auch dieder Thread, so kann ich die Patch-Datei nach erfolgten Download um die Dateien erweitern... und fertig.

Hoffe diese Information konnte Dir noch helfen?!

Gruß,
Ingo
IngoS
IngoS 24.10.2005 um 20:37:08 Uhr
Goto Top
@11078

Also ich gehe immer über die Microsoft-Seite und da auf Download. So komme ich ins Microsoft Download Center. Hier der dir direkte Link...
http://www.microsoft.com/downloads/search.aspx?displaylang=de
...über die Erweiterte Suche kann man eigentlich alles von Microsoft finden, was man so braucht... egal welches Betriebssystem oder welche Office-Version.
11078
11078 24.10.2005 um 20:47:57 Uhr
Goto Top
Hallo Ingo,

Also ich gehe immer über die
Microsoft-Seite und da auf Download. So
komme ich ins Microsoft Download Center.
Hier der dir direkte Link...
http://www.microsoft.com/downloads/search.aspx?displaylang=de
...über die Erweiterte Suche kann man
eigentlich alles von Microsoft finden, was
man so braucht... egal welches
Betriebssystem oder welche Office-Version.

Ist ja richtig, aber über windowsupdate.microsoft.com kannst Du Dir wie in einem Warenkorb alles aus einer Liste zusammeklicken und lädtst dann alles auf einmal runter. Darüber hinaus ist die Auswahl aus den KB*-Dateien (das sind nur Hotfixes) einfacher, weil gezielter, als wenn ich das über das Downloadcenter mache (letztlich aber vielleicht auch einfach Geschmackssache).

Aber um Jürgen mal zu stärken: Am einfachsten ist wirklich SUS bzw. WSUS, weil die anderen Methoden ab einer gewissen Anzahl von Computern zu unpraktisch sind. Man muss das Gerümpel ja schließlich auch noch an Arbeitsstationen verteilen und da gibt es wahrlich nützlicheres als Batches...


Gruß,
Tim
IngoS
IngoS 24.10.2005 um 22:23:44 Uhr
Goto Top
Hallo Tim,

mit SUS bzw. WSUS kenne ich mich nicht aus. An der Arbeit wurden die Rechner eine lange Zeit ziemlich vernachlässigt (da war noch jemand anders für zuständig... wieso jetzt nicht mehr, kann man sich ja vorstellen). Da bei uns an der Arbeit die Rechner auch in Produktionsanlagen stecken, sollte man die Patchs schon vor Ort einspielen, um eventuelle Stillstandzeiten der Anlagen zu minimieren.
Soweit ich weis arbeiten SUS und WSUS teilweiße über das Remote-System (kann auch falsch sein, wie gesagt, kenne mich mit ihnen nicht so gut aus) bzw. checkt man das System als Admin von einem anderem Rechner aus. Im Falle einer Produktion halt nicht so ratsam. So bin ich mit einer RW spazieren gegangen und habe an jedem Rechner seperat die Patchs eingespielt. In dieser Hinsicht fand ich die Batch-Datei schon hilfreich.

Dann der andere Fall, dass man einen Rechner aus irgendwelchen Gründen neu installiert... in diesem Fall sitzt man ja auch vor einem Rechner. Meistens schließe ich das Netzwerkkabel erst an, wenn der Rechner auf einem ziemlich aktuellen Stand ist. Der Grund hierfür ist einfach... schlechte Erfahrung! Blaster hatte ich mir nach einer Neuinstallation eingefangen... als ich mich im Net angemeldet habe um die automatische Updatefunktion zu nutzen... Blaster war schneller auf meinem Rechner als ich die Windows-Seite überhaupt laden konnte!

Um zum Fazit zu kommen, ich gebe Dir mit der Aussage das es von der Anzahl der Computer ankommt voll recht. Wenn man eine Gruppe von Bürorechnern betreut, dann ist SUS bzw. WSUS bestimmt eine gute Methode. Ich denke für wenige Rechner oder zu Hause reicht eine aktuellgehaltene RW, in der die Patchs in einer Batch eingebunden sind?!

Nun noch zu der update-Seite. Die Seite habe ich bis jetzt nur benutzt, wenn ich Microsoft mein System hab checken lassen. Wenn ich mir die Updates runter lade, dann habe ich mir das Downloadcenter angewöhnt, da ich mir dann auch immer gleich die aktuellen Patchs für Office mit herunterlade. Und da ich den Download regelmäßig durchführe, ist die Anzahl der Dateien auch nicht so groß. Werde aber auch mal die Variante über die update-Seite testen, vielleicht finde ich es so ja auch leichter?

Danke aber immer für Anregungen und Ideen!

Gruß,
Ingo