Peter Kloep

A+ R A-

Patchmanagement mit Microsoft SUS Server

  • Hauptkategorie: PKI und CA1
  • Kategorie: Uncategorised
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Freitag, 21. Juli 2006 18:58
  • Geschrieben von Peter Kloep
  • Zugriffe: 18669
 
Projekt:   
 
Patchmanagement mit Microsoft Software Update Services
 
Projektziel:

Automatisierte Verwaltung von kritischen Sicherheitsupdates, die von Microsoft bereitgestellt werden. Dies soll nach Möglichkeit ohne Eingriff des Benutzers vollautomatisch erfolgen. Der administrative Aufwand soll dabei so gering wie möglich sein. Die Verteilung der Sicherheitsupdates soll in allen vorhandenen Standorten zu bestimmten Zeiten erfolgen und ein Eingriff der Administratoren vor Ort soll vermieden werden.
Außerdem müssen die Administratoren im Hauptstandort die Möglichkeit haben, auf einfache Weise die Sicherheitsupdates auf verschiedenen Client-Computern zu testen.

 
Vorraussetzungen:
 

Die Anschaffung neuer Hardware soll wenn möglich vermieden werden.
Es sind ausschließlich Windows 2000 und Windows XP Prof als Client-Betriebssysteme vorhanden. Als Server-Betriebssysteme stehen Windows Server 2000 und Windows Server 2003 zur Verfügung

 
Rahmenbedingungen:
 

Der Hauptstandort ist über eine 2MBit/s Standleitung angebunden. Die Aussenstandorte haben eine VPN Verbindung zum Hauptstandort mit unterschiedlichen Bandbreiten (64 kBit/s - 2 MBit/s).
In allen Aussenstandorten sind Server vorhanden, die für die Verteilung genutzt werden können. Die Anzahl der Computer in den Aussenstandorten liegt zwischen 10 und 100 pro Standort.

 
Umsetzung:
 
Updatemöglichkeiten der Software
Grundlagen zum Software Update Services
Vorraussetzungen zum Nutzen der Software Update Services
Installation der Software Update Services
Konfiguration der Software Update Services
Realisierung des Projektes
 
Probleme:
 
Aufgetretene Fehler und Probleme
 
Fazit:
 

Auswerung des Projektes


Updatemöglichkeiten der Software
 
Windows Update
 

Windows Update ist eine Funktion von Windows, mit der Sie das System auf dem neuesten Stand halten können. Mit Windows Update können Sie Aktualisierungen für die Betriebssysteme, Software und Gerätetreiber direkt von einem Webserver bei Microsoft aktualisieren. Die Website wird regelmäßig durch neuen Inhalt ergänzt, damit Sie jederzeit die neuesten Updates downloaden und so den Server und die Clientcomputer im Netzwerk besser schützen können. Dieser Updatedienst von Microsoft ist kostenlos.
Da sich die Viren und Würmer immer schneller nach bekanntwerden einer Sicherheitslücke verbreiten, ist es umso wichtiger, die Computer auf dem aktuellen Stand zu halten und gefundene Sicherheitslöcher sofort zu schliessen.
Zu den angebotenen Updates gehören z. B. Sicherheitspatches, wichtige Updates und wichtige Treiber.

Über die Funktion Windows Update wird der Computer "gescannt" und die nicht installierten Updates angezeigt
 
Windows-Betriebssystemaktualisierungen werden in folgende Kategorien unterteilt:
 
Wichtige Updates und Servicepacks

Sicherheitspatches und andere wichtige Aktualisierungen, um die Computer auf dem neusten Stand und die Netzwerke sicher zu halten.
Die aktuellsten Service Packs für Windows und Microsoft Internet Explorer sowie andere wichtige Aktualisierungen.

Windows XP

Nicht-kritische Updates, die die Funktionen von Windows XP erweitern, oder kleinere Fehler beheben

Treiberupdates

Updates für die installierte Hardware. Dort können die vom Betriebssystem mitgelieferten Treiber für die installierte Hardware aktualisiert werden.

 

Die Updates / Patche können von der Seite heruntergeladen werden und automatisch installiert werden. Dieser Vorgang des Aktualisieren muss manuell erfolgen.

 
 
Automatic Update
 
Ab Windows 2000 SP3 und Windows XP SP1 gibt es eine neue Funktion im Betriebssystem: Automatische Updates.
Automatische Updates ist ein Dienst der auf dem Computer installiert wird (WUAUSERV). Dieser Dienst kann wie folgt konfiguriert werden:
 

Image

 
Ist Automatische Updates aktiviert, kann ich eine der folgenden Optionen auswählen:
Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachtichtigen

Der Computer überprüft beim Windows Update Server, ob Updates vorhanden sind und fragt dann beim Benutzer nach, ob sie heruntergeladen werden sollen. Nach erfolgreichem Herunterladen fragt der Computer nach, ob sie installiert werden sollen.

Updates automatisch downloaden und über installierbare Updates benachrichtigen

Der Computer lädt die Updates im Hintergrund herunter und fragt nach erfolgreichem Herunterladen nach, ob sie installiert werden sollen.

Updates automatisch downloaden und laut angegebenem Zeitplan installieren

Der Computer lädt die Updates im Hintergrund vom Update Server herunter und installiert automatisch die Updates zum eingestellten Zeitpunkt

 
Auch bei dieser Variante des Aktualisierens verbindet sich jeder Client zum Internet und lädt die Updates herunter.
 
 
Software Update Services
 

Sie können Software Update Services zum Downloaden aller wichtigen Updates auf Server und Clients verwenden, sobald diese Updates auf der Windows Update-Website bereitgestellt sind.
Die Serverkomponente von Software Update Services wird auf einem Server innerhalb des Unternehmens installiert Dieser Server aktualisiert seine Daten für alle Betriebssysteme (Windows 2000, Windows XP und Windows Server 2003, sowie den Internet Explorer) vom Microsoft Update Server. Die Synchronisierung kann automatisch erfolgen, oder der Administrator kann sie manuell durchführen.
Durch die Synchronisierung mit der Windows Update-Website kann der interne Server, auf dem die Software Update Services ausgeführt werden, die Updatepakete herunterladen und speichern, bis der Administrator entscheidet, welche davon veröffentlicht werden sollen.
Der Administrator hat nun die Möglichkeit, die heruntergeladenen Patche zu testen und anschliessend zur Verteilung freizugeben.
Anschließend werden die Updates von allen Clients installiert, die zur Verwendung der  auf dem Server ausgeführten Software Update Services konfiguriert sind.
Die nötigen Einstellungen an den Clients, damit sie automatisch den SUS-Server nach Aktualisierungen fragen, können entweder per Gruppenrichtlinie erfolgen, oder sie werden händisch in die Registry eingetragen.
Der Client Computer wird nun (je nach Einstellung) den SUS-Server anstelle des Microsoft Server nach Updates fragen und nicht mehr eine Verbindung ins Internet aufbauen.

 

Grundlagen zum Software Update Services
 

Sie können Software Update Services zum automatisierten Downloaden aller wichtigen Updates auf Servern und Clients verwenden. Der Computer, der den Software Update Services Dienst ausführt lädt die Updates von Microsoft herunter, sobald diese verfügbar sind.

Image

Die Serverkomponente von Software Update Services wird auf einem Server innerhalb des Unternehmensfirewalls unter Windows 2000 Server,
Windows XP oder Windows Server 2003 ausgeführt. Wenn wichtige Updates für Windows verfügbar sind, kann der interne Server über einen Unternehmensdienst Inhalte mit der Windows Update-Website synchronisieren.
Die Synchronisierung kann automatisch erfolgen, oder der Administrator kann sie manuell durchführen.
Durch die Synchronisierung mit der Windows Update-Website kann der interne Server, auf dem die Software Update Services ausgeführt werden, die Updatepakete herunterladen und speichern, bis der Administrator entscheidet, welche davon veröffentlicht werden sollen. Anschließend werden die Updates von allen Clients installiert, die zur Verwendung der auf dem Server ausgeführten Software Update Services konfiguriert sind.
Sie können steuern, mit welchem Server die einzelnen Clientcomputer eine Verbindung herstellen, und Sie können planen, wann die einzelnen Clients die Installation aller wichtigen Updates durchführen. Dazu nutzen Sie entweder die Registrierung (manuelles Verfahren), oder Sie verwenden eine Gruppenrichtlinie des Active Directory®-Verzeichnisdienstes.
Server, auf denen die Software Update Services ausgeführt werden, können so konfiguriert werden, dass die Inhalte von der Windows Update-Website synchronisiert werden. Sie können diese Server auch zum Downloaden von Inhalten von einem manuell erstellten Verteilungspunkt für Inhalte Konfigurieren. Wenn auf Servern der zweiten Ebene die Software Update Services ausgeführt werden, können dort sowohl die Inhalte als auch die Liste der genehmigten Pakete synchronisiert werden. Mit dieser Methode können Sie die Updateverwaltung vereinfachen, indem Sie die Verwaltungsvorgänge von zentraler Stelle aus durchführen.

Sie können Updates schrittweise bereitstellen, indem Sie mehrere Server mit ausgeführten Software Update Services verwenden. Sie können einen Server im Testlabor einrichten, auf dem die Updates zuerst nur für die Clientcomputer des Labors veröffentlicht werden. Wenn die Updates auf diesen Computern ordnungsgemäß installiert wurden, können Sie die anderen Server mit ausgeführten Software Update Services so konfigurieren, dass dort die Updates für den Rest der Organisation veröffentlicht werden. Mit dieser Methode können Sie sicherstellen, dass die Änderungen durch die Updates nicht zu Schäden an der Standard-Desktopbetriebsumgebung führen.

 
Funktion vom Software Update Service
 

Der Verwendungsprozess für die Software Update Services betrifft sowohl die Server, auf dem die Software Update Services ausgeführt werden, als auch die Clientcomputer im Netzwerk. Wenn beide Seiten entsprechend konfiguriert sind, kann der Administrator die Updatepakete überprüfen und für die Installation genehmigen.

 
Aktionen am Server:
1. Der Server, auf dem die Software Update Services ausgeführt werden, führt mithilfe von Windows Update eine geplante Synchronisierung aus und empfängt neue Updatepakete.

2. Der Systemadministrator überprüft die neuen Pakete und bestimmt, ob sie getestet werden müssen.

     a. Wenn dies der Fall ist, gibt der Administrator die neuen Pakete zum Testen weiter.
     b. Wenn kein Test erforderlich ist, fährt der Administrator mit Schritt 3 fort.
 

3. Der Administrator genehmigt die neuen Updatepakete.

Image

Aktionen am Client:
1. Das Feature Automatische Updates auf den Clientcomputern überprüft täglich, ob auf dem Server mit den ausgeführten Software Update Services neue genehmigte Updatepakete veröffentlicht sind. Wenn dies der Fall ist, werden sie entweder von dem Server, auf dem die Software Update Services ausgeführt werden, oder von der Windows Update-Website gedownloadet.

2. Zur geplanten Aktualisierungszeit wird von den Software Update Services geprüft, ob der Administrator angemeldet ist.
   a. Wenn er angemeldet ist, wird auf dem Desktop eine Statussprechblase angezeigt, und der Administrator entscheidet, ob die Installation zurückgestellt oder ausgeführt wird.
   b. Wenn der Administrator nicht angemeldet ist, wird Schritt 6 ausgeführt.


3. Der geplante Installationsjob wird gestartet, und Automatische Updates installiert die neuen oder geänderten Pakete.

Image

Protokolle für Software Update Services

Alle 22 Stunden fragen die Clientcomputer mittels "Automatische Updates" den SUS-Server, ob neue freigegebene Updates zur verfügung stehen. Wenn neue Updates verfügbar sind, beginnen die Clients mit dem Download der Patche vom SUS-Server.
Der Download der Patche vom SUS-Server erfolgt mittels des Dienstes "Intelligenter Hintergrundübertragungsdienst" (BITS=Background Intelligent Transfer Service) statt. Dieser Dienst steuert die Geschwindigkeit des Herunterladens anhand der verfügbaren Bandbreite im Netzwerk.

 

Vorraussetzungen zum Nutzen der Software Update Sevices
 

Sie können Software Update Services zum automatisierten Downloaden aller wichtigen Updates auf Servern und Clients verwenden. Der Computer, den den Software Update Services Dienst ausführt lädt die Updates von Microsoft herunter, sobald diese verfügbar sind.

 
SUS besteht aus einer Server- und einer Clientkomponente. Die Serverkomponente wird auf einen Windows Server 2000 oder einem Windows Server 2003 installiert.
Vorraussetzungen für den Server:
  • Pentium III 700 MHz oder höher
  • 512 MB RAM
  • 6 GB Festplattenspeicherplatz für Setupdateien und heruntergeladene Patche
  • Windows 2000 Server SP2 oder höher, oder Windows Server 2003
  • IIS 5.0 oder höher (muss evtl bei Server 2003 explizit installiert werden)
  • Internet Explorer 6.0 oder höher
  • SUS muss auf einer NTFS Partition installiert werden
 

Der Client muss Windows 2000 Professional (SP3 oder höher) oder Windows XP (SP1 oder höher) ausführen. Ausserdem muss Automatische Updates konfiguriert werden.

Die Konfiguration von Automatische Updates kann per Gruppenrichtlinie vom Active Directory erfolgen oder aber kann bei einer Arbeitsgruppe auch von Hand in die Registry des Clients eingetragen werden.

 

Installation der Software Update Sevices
 

Sie können Software Update Services von der Microsoft Webseite kostenlos herunterladen. Die momentan aktuelle Version ist SUS 1.0 SP1. Der Link zu Informationen (in Englisch) bei Microsoft lautet: http://www.microsoft.com/windowsserversystem/sus/default.mspx

Dort kann auch die Installationsdatei (SUS10SP1.exe) heruntergeladen werden.

Bevor die Installation beginnen kann, muss am Server u.U. der IIS (Internet Informationsdienste) installiert werden.

 
Mit einem Doppelklick auf die EXE-Datei startet die Installation:

Image

Image

Image

Nun auf "next" klicken, um die Installation zu beginnen

Image

Jetzt muss dem Lizenzvertrag zugestimmt werden, damit es weiter gehen kann

Image

Es gibt 2 Methoden, um SUS zu installierten: Typisch und Benutzerdefiniert. Ich habe in dieser Installation Benutzerdefiniert gewählt, um die verschiedenen Optionen zu zeigen

Image

Die erste Einstellung legt fest, wo der SUS seine Dateien abspeichert. Die zweite Option (Update Storage) definiert, ob der SUS Server die heruntergeladenen Updates lokal abspeichert, oder ob der SUS Server Client Anfragen zum Microsoft Update Server weiterleitet.

Image

Nun erfolgt die Auswahl der Sprache(n), für die die Updates heruntergeladen werden sollen

Image

Hier ist die Liste der verfügbaren Sprachen

Image

Hier wird festgelegt, ob aktualisierte Updates automatisch freigegeben werden sollen

Image

Nun startet die Installation (EXCHANGE) ist in diesem Fall der Computername des "Testsystems" auf dem SUS installiert ist.

Image

Image

Image

Geschafft!

 

Konfiguration der Software Update Services
 
Die Konfiguration der Software Update Services erfolgt wahlweise über die Administrativen Tools direkt am Server, oder mittels Internet Explorer von einem beliebigen Computer im Netzwerk. Der Zugriff erfolgt über http://<Servername>/SUSAdmin.

Image

Mittels Synchronize server wird das Synchronisieren festgelegt:

Image

Mit Synchronize now wird eine sofortige Synchronisation veranlasse. Mit Synchronization Schedule kann das Synchronisieren zeitlich gesteuert erfolgen:

Image

Mit Approve Updates werden die Updates und Patche zur Verteilung freigegeben:

Image

View Synchronization Log gibt eine Übersicht über die letzten Aktualisierungen des SUS-Servers:

Image

View Approval Log gibt eine Übersicht über die freigegeben Updates und Patches

Image

Set Option: Hier wird die Konfiguration des SUS-Servers definiert:
Image 
Select a proxy server Configuration:
  • Hier werden die Einstellungen definiert, mit denen der SUS-Server Zugang zum Internet erhält.
     

Specify the name your clients use to locate this update server:

  • Definiert den Namen (oder IP Adresse) mit dem die Clients den SUS-Server kontaktieren.
     

Select which server to synchronize content from:

  • Hier wird festgelegt, ob der SUS-Server die Daten direkt von Microsoft herunterlädt, oder einen "übergeordneten" SUS-Server kontaktiert.
     

Select how you want to handle new version of previously approved updates:

  • Hier wird festgelegt, ob aktualisierte Updates automatisch freigegeben werden, oder nicht

Image

 Select where you want to store updates:
  • Hier wird festgelegt, ob die Updates und Patches lokal auf dem SUS-Server gespeichert werden, oder ob Client Computer an den Windows Update Server weitergeleitet werden.
  • Es können auch die Sprachen ausgewählt werden, die von SUS-Server heruntergeladen werden und für die Clients zur Verfügung gestellt werden.
 
Monitor Server gibt eine Übersicht über die verfügbaren Updates und Patche

Image

 

Realisierung des Projektes
 
In dem Projekt mussten Client Computer in insgesamt 13 Standorten mit Updates und Patchen versorgt werden. Diese Standorte waren teilweise über langsame WAN Anbindungen miteinander verbunden. Die Administratoren im Hauptstandort hatten die Aufgabe, die Patche zu testen, und für das gesamte Unternehmen freizugeben.
Die Struktur der SUS-Server sah wie folgt aus:
Image
Der Main-SUS Server ist der einzige SUS-Server, der den Update Server bei Microsoft kontaktiert. Der TESTSUS ist ein zusätzlicher SUS-Server, der für das Testen der Patche verwendet wird. Auf diesem Server, der sich mit dem Main-SUS synchronisiert, werden die Patche manuell freigegeben.
Alle anderen SUS-Server in den zusätzlichen Standorten synchronisieren sich beim Main-SUS und laden dort zusätzlich die Informationen über freigegebene Patche herunter.
 

Die Konfiguration der Client-Computer erfolgte mittels Gruppenrichtlinien, in denen die Einstellung für "Automatische Updates" konfiguriert wurden. Hierzu wurden Standort-Gruppenrichtlinien verwendet, damit Laptop-Benutzer, die zwischen den Standorten pendeln automatisch den "lokalen" SUS-Server zugewiesen bekamen.

In der Standort-Gruppenrichtlinie wurden folgende Einstellungen vorgenommen:
Image

Mittels "Active Directory Benutzer und Computer" können Gruppenrichtlinien definiert werden. (evtl. muss noch die administrative Vorlage (adm) geladen werden, damit die Optionen verfügbar sind. Die Einstellungen werden in der Computer Configuration vorgenommen.

 

 

Image

Configure Automatic Updates:
Hier wird definiert, wie sich der Client verhält. In diesem Beispiel (Option 4) lädt der Client die Updates automatisch herunter und installiert sie zum eingestellten Zeitpunkt. Die Installation erfolg (0) Jeden Tag um 05:00 Uhr
Sind die Computer zum eingestellten Zeitpunkt eingeschaltet, beginnen sie um 05:00 Uhr mit der Installation. 

 

 
Image

Specify intranet Microsoft update services location:
Diese Einstellung definiert, wie der SUS Server kontaktiert werden soll. Man kann zwischen dem Server für Update und dem Server für Statistiken (Logging) trennen.

 

 
Image

Reschedule Automatic Updates scheduled installations:
Der Wert 1 bei Wait after system startup gibt an, dass der Client 1 Minute nach Starten des Clients und überschreiten des Installationszeitpunktes mit der Installation beginnt.
Bsp.: Ein Computer wird um 08:00 eingeschaltet. Am Vortag hat er bereit Updates vom SUS heruntergeladen und hätte um 05:00 Uhr installieren sollen (er war aber ausgeschaltet). Jetzt startet der Computer 1 Minute, nachdem er gestartet wurde mit der Installation. 

 

 
Image 
No auto-restart for scheduled Automatic Updates installations:
Hier wird definiert, dass der Computer nach der Installation nicht automatisch neu startet, sofern ein Benutzer angemeldet ist. Ist niemand angemeldet, bootet der Computer selbstständig.

Nach der Installation der Patche werden die Benutzer ggfs. aufgefordert den Computer neu zu starten:

Image

Ist der angemeldete Benutzer nicht Mitglied der Gruppe der lokalen Administratoren hat er keine Möglichkeit das Fenster wegzuklicken. (Die Information, dass der Computer in 5 Minuten neu startet beruht auf einer anderen Gruppenrichtlinie, die zu Testzwecken eingerichtet wurde)
 
Testen der Patche:
 

Es wurden verschiedene Testcomputer ausgewählt, die die heruntergeladenen Patche testen sollten. Dazu wurde auf diesen Rechner eine HOSTS-Datei editiert. Diese Datei liegt im Ordner %Windir%\system32\driver\etc. Sie beinhaltet Hostnamen und IP Adressen. Der normale Weg, den SUS-Server zu finden ist mittels eines DNS-Servers. Gibt es jedoch Einträge in der Hosts-Datei werden diese benutzt und keine DNS-Server Anfrage gestartet. Ich habe dann auf den Clients folgenen Eintrag gemacht: "<IP Adresse des Test SUS> Site1-SUS". Auf dem Test-SUS wurde alle gewünschten Patche manuell freigegeben und wurden dann von den Test-Clients heruntergeladen und installiert.

 

Aufgetretene Fehler und Probleme
 
* Nach Installation des SUS-Servers war eine Verbindung zu Outlook Web Access nicht mehr möglich. Es gab einen Server in einem Standort, auf dem Microsoft Exchange installiert war und auf dem der SUS-Server installiert werden sollte. Bei der Installation des SUS-Servers wird auch das IISLockDown Tools ausgeführt. Dieses Tool deaktiviert Funktionen die für OWA aktiviert sein müssen.

Mittels des IIS-LockDown-Tools kann ein Roll-back durchgeführt werden, oder aber die entsprechenden Funktionen wieder aktiviert werden.

TippFehler

* Einige Clients hatten Probleme die Gruppenrichtlinien anzuwenden. Bei den meisten half es ein "GPUpdate /force" (Windows XP) oder ein "Secedit /refreshpolicy machine_policy /enforce" (Windows 2000) auszuführen. Damit wurden die Gruppenrichtlinien angewendet und die Daten in die lokale Registrierung eingetragen.

Alternativ wurden die Registry-Werte bei Computern, die nicht in der Domäne waren, per Hand eingetragen. Es konnte auf diesem Weg auch Computer, die nicht in der Domäne waren upgedated werden.


* Es gab Computer (Windows 2000) auf denen die Option "Automatische Updates" nicht verfügbar war.

Dies waren Maschinen mit Service Pack 2. Vorraussetzung zum Verwenden des SUS Server ist Service Pack 3. Auf diesen Computern wurde Service Pack 3 installiert und sie konnten dann den SUS-Server benutzen.


* Manche Clients schienen den SUS-Server nicht anzusprechen. Obwohl Patche fehlten, machten die Clients keine Anstalten, diese herunterzuladen.

In der Registrierung des Computers gibt es einen Wert AUSTATE, der angibt was der Computer gerade "macht". Dieser Wert liegt unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\

Er kann folgende Werte haben:
0Initial 24 hour timeout (the AU wizard does not run until 24 hours after it first detects an Internet connection)
1Waiting for user to run AU wizard
2Detect pending
3Download pending (waiting for user to accept pre-download prompt)
4Download in progress
5Install pending
6Install complete
7Disabled (Adoptions will also be set to a value of 0x1)
8

Reboot pending (updates that require a reboot were installed but the reboot was declined - AU will not do anything until the reboot occurs and this value is cleared)

 
Fazit des Projektes
 
Die Software Update Services sind hervorragend geeignet, um Sicherheitsupdates und Patche und Client Computer und Server automatisiert zu verteilen. Das Preis-Leistungsverhältnis ist absolute Spitze (da kostenlos!).
Selbst in größeren Umgebungen kann er problemlos verwendet werden.
Alternativ (kostenpflichtig) kann auch der Systems Management Server (SMS) von Microsoft verwendet werden. Dieser bietet aber auch noch weitere Funktionen