8
Wie Anwendung der Windows Sicherheitsupdates vor erstem Logon sicherstellen?
Hallo zusammen,
vielleich stand schon jemand vor dem gleichen Problem und hat einen Lösungsvorschlag.
Kurzbeschreibung: Windows 7 wird über WDS (PXE-Methode) verteilt. Server-OS: 2008 R2. Nach dem Deployment soll gewährleistet sein, dass zumindest sicherheitsrelevante Patches angewendet bzw. installiert sind bevor sich der User anmeldet.
Zwar ist es möglich, die Patches / Updates per DISM (WAIK-Tools) in das WIM-Image einzubinden, jedoch müsste dies in gewissen zeitlichen Abständen vor jedem Deployment wiederholt werden was einigen manuellen Aufwand bedeutet (wie z.B. hier beschrieben: http://www.windowspro.de/wolfgang-sommergut/wim-archive-mit-msu-dateien ... ). Die Updates müssen ausgesucht, heruntergeladen und in das gemountete Image integriert werden. Ich betrachte dies als nicht besonders sinnvoll in einer WSUS-Umgebung. Schließlich wird ja bereits der WSUS-Server gepflegt damit man Patches nicht manuell aussuchen und herunterladen muss.
Wir haben WSUS im Einsatz, wie ihr aber sicher wisst, kann ein Benutzer sich nach dem Deployment prinzipiell anmelden, auch wenn noch keine Updates heruntergeladen und installiert worden sind (ganz zu schweigen vom evtl. notwendigen Neustart damit die Updates überhaupt wirken). Die Gruppenrichtlinie bzgl. WSUS ist so definiert, dass User einen notwendigen Neustart verzögern können (finde ich auch sinnvoll und wird vom Chef nicht anders akzeptiert).
Um den Aufwand mit DISM zu vermeiden, stelle ich mir eine mögliche Lösung so vor: Der Client nimmt während oder sofort nach dem Deployment Kontakt zum WSUS-Server auf, holt sich zumindest alle Sicherheitsupdates, diese werden installiert und ein notwendiger Neustart sofort initiiert. Erst danach sollte eine Anmeldung an den Client für die User möglich sein. Ich betreue mehrere Computer-Pools für Studenten und da kommt es schon mal vor, dass ein Rechner schnell neu aufgesetzt werden oder das Image neu angepasst und auf allen Rechnern neu verteilt werden muss.
Evtl. ist es ja möglich, eine Lösung über NAP (Network Access Protection, über Installation der Rolle "Netzwerkrichtlinien und Zugriffsdienste") zu finden, allerdings scheue ich den Aufwand für die Einrichtung ein wenig.
Oder man passt die unattend.xml an bzw. verweist in dieser auf ein Skript, welches ausgeführt werden soll.
Welche Lösung habt ihr gefunden, bzw. wie geht ihr mit diesem Problem um?
Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.
Vielen Dank für eure Vorschläge!
vielleich stand schon jemand vor dem gleichen Problem und hat einen Lösungsvorschlag.
Kurzbeschreibung: Windows 7 wird über WDS (PXE-Methode) verteilt. Server-OS: 2008 R2. Nach dem Deployment soll gewährleistet sein, dass zumindest sicherheitsrelevante Patches angewendet bzw. installiert sind bevor sich der User anmeldet.
Zwar ist es möglich, die Patches / Updates per DISM (WAIK-Tools) in das WIM-Image einzubinden, jedoch müsste dies in gewissen zeitlichen Abständen vor jedem Deployment wiederholt werden was einigen manuellen Aufwand bedeutet (wie z.B. hier beschrieben: http://www.windowspro.de/wolfgang-sommergut/wim-archive-mit-msu-dateien ... ). Die Updates müssen ausgesucht, heruntergeladen und in das gemountete Image integriert werden. Ich betrachte dies als nicht besonders sinnvoll in einer WSUS-Umgebung. Schließlich wird ja bereits der WSUS-Server gepflegt damit man Patches nicht manuell aussuchen und herunterladen muss.
Wir haben WSUS im Einsatz, wie ihr aber sicher wisst, kann ein Benutzer sich nach dem Deployment prinzipiell anmelden, auch wenn noch keine Updates heruntergeladen und installiert worden sind (ganz zu schweigen vom evtl. notwendigen Neustart damit die Updates überhaupt wirken). Die Gruppenrichtlinie bzgl. WSUS ist so definiert, dass User einen notwendigen Neustart verzögern können (finde ich auch sinnvoll und wird vom Chef nicht anders akzeptiert).
Um den Aufwand mit DISM zu vermeiden, stelle ich mir eine mögliche Lösung so vor: Der Client nimmt während oder sofort nach dem Deployment Kontakt zum WSUS-Server auf, holt sich zumindest alle Sicherheitsupdates, diese werden installiert und ein notwendiger Neustart sofort initiiert. Erst danach sollte eine Anmeldung an den Client für die User möglich sein. Ich betreue mehrere Computer-Pools für Studenten und da kommt es schon mal vor, dass ein Rechner schnell neu aufgesetzt werden oder das Image neu angepasst und auf allen Rechnern neu verteilt werden muss.
Evtl. ist es ja möglich, eine Lösung über NAP (Network Access Protection, über Installation der Rolle "Netzwerkrichtlinien und Zugriffsdienste") zu finden, allerdings scheue ich den Aufwand für die Einrichtung ein wenig.
Oder man passt die unattend.xml an bzw. verweist in dieser auf ein Skript, welches ausgeführt werden soll.
Welche Lösung habt ihr gefunden, bzw. wie geht ihr mit diesem Problem um?
Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.
Vielen Dank für eure Vorschläge!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173076
Url: https://administrator.de/contentid/173076
Ausgedruckt am: 14.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
moin,
ich machs mal ganz kurz...
Das integrierien der einzelnen Patche ist wirklich Sinnbefreit
Ich löse das seit Jahren über ein 3. Anbieter Tool, dass mal CT Offline Updater hiess und eine Batch.
Du kannst natürlich hergehen und das installationsdatum der Patche auf vorvorvorgetsern stellen und damit erreichen, dass die rel. zügig installiert werden...
Oder andersherum, die Arbeit und das Gehirnschmalz, dass dafür nötig ist haben sich andere schon gemacht und die mittlerweile wsusoffliner genannte Schnippselsammlung ist genau für dieses Problem erdacht worden.
Kostet außer Plattenplatz und vielleicht eine Spende anTorsten Wittrock nix.
gruß
edit
*hüstel....
Ganz ehrlich solche Mitdenker bzw. deren Meinung möchte ich hier garnicht lesen, sonst wäre ich ja bei [Tankstellencomputermagazinforum deiner Wahl] und nicht hier...
/edit
ich machs mal ganz kurz...
Das integrierien der einzelnen Patche ist wirklich Sinnbefreit
Ich löse das seit Jahren über ein 3. Anbieter Tool, dass mal CT Offline Updater hiess und eine Batch.
Du kannst natürlich hergehen und das installationsdatum der Patche auf vorvorvorgetsern stellen und damit erreichen, dass die rel. zügig installiert werden...
- ich machs aber wie beschrieben - eine Batch, eine Kiste mit ner Freigabe auf der die Patche liegen und die ständig automatisch aktualisiert werden.
Oder andersherum, die Arbeit und das Gehirnschmalz, dass dafür nötig ist haben sich andere schon gemacht und die mittlerweile wsusoffliner genannte Schnippselsammlung ist genau für dieses Problem erdacht worden.
Kostet außer Plattenplatz und vielleicht eine Spende anTorsten Wittrock nix.
gruß
edit
Auch wenn ihr die Meinung vertretet, dass dies alles nicht notwendig sei und dies gut begründen könnt bin ich an einer Antwort interessiert.
*hüstel....
> Auch wenn ihr vielleicht die Meinung vertretet, dass...
/edit
Hi.
Kannst auch mal hier reinschauen: Automatisiertes Updating eines frisch installierten PCs mit WUinstall und WSUS
Kannst auch mal hier reinschauen: Automatisiertes Updating eines frisch installierten PCs mit WUinstall und WSUS
Die Lösung mit wuinstall gefällt mir ganz gut, damit ist es jedenfalls nicht nötig, die Updates doppelt herunterzuladen sondern sie sich so zu holen, wie sie vom WSUS-Server kommen (und bereits abgelehnte Updates werden so auch nicht versehentlich installiert).
Die API des Windows Update Clients erlaubt es auch, eigene Skripte zu schreiben, wie z.B. hier: http://msdn.microsoft.com/en-us/library/aa387102%28v=vs.85%29.aspx
Ich werde mal versuchen, ein entsprechendes Skript für die unbeaufsichtigte Installation zu schreiben und melde mich dann wieder.
Erstmal vielen Dank an euch!
Die API des Windows Update Clients erlaubt es auch, eigene Skripte zu schreiben, wie z.B. hier: http://msdn.microsoft.com/en-us/library/aa387102%28v=vs.85%29.aspx
Ich werde mal versuchen, ein entsprechendes Skript für die unbeaufsichtigte Installation zu schreiben und melde mich dann wieder.
Erstmal vielen Dank an euch!
Aber das MSDN-Vieh arbeitet nicht mit dem WSUS zusammen...
Wie bist du zu dieser Überzeugung gelangt?
Sobald der Client für WSUS konfiguriert ist (z.B. Gruppenrichtlinie und/oder Registry-Eintrag) kommt auch der WSUS-Server zum Zug, andernfalls die Microsoft Updates übers Internet.
Ich habe dies mit Wireshark überprüft, die windowsupdate.log sagt ebenfalls nichts anderes.
Ein vielversprechendes Skript habe ich von Rob Dunn:
http://www.theitoolbox.com/?p=13
Ich werde es testen, versuchen es ins Deployment einzubinden und wieder berichten.
Wie bist du zu dieser Überzeugung gelangt?
In Deinem Link steht:
•The sample can download updates only by using WUA. It cannot download updates from a Software Update Services (SUS) 1.0 server.
SUS war der Vorläufer von WUS.
Genau. Mit dem Vorläufer klappt es nicht, was aber für die meisten nicht mehr interessant sein dürfte. Mit WSUS funktioniert es auf jeden Fall. Und WUA heißt ja einfach nur Windows Update Agent, den man ja auch startet wenn man z.B. wuauclt.exe /detectnow aufruft. Ich teste das Skript gerade intensiv (habe auch schon ein paar kleine Fehler entdeckt). Insgesamt ist das Skript aber wirklich klasse und erspart andere (komplizierte) Lösungen, einfach mal ausprobieren!
Ich bin jetzt auf MDT 2012 gekommen. Man muss sich zwar erstmal einarbeiten und ein paar Hürden überwinden, aber es lohnt sich. Das Problem mit den Updates lässt sich damit sehr elegant lösen.
