RZ Windows-Update-Service

RZ Software-Update-Service für Windows 2000/XP/2003
(hausinterner WindowsUpdate-Service)

September 2005: Umstellung auf neue Version (WSUS)
Bitte beachten Sie die neuen Informationen!

Die Informationen in diesem Dokument gelten für früheren SUS-Dienst,
der Ende 2005 eingestellt wird.

Zur Vereinfachung der Pflege von Windows Betriebssystemen ist an der Uni Regensburg seit Dezember 2002 ein hausinterner WindowsUpdate-Service (Microsoft SUS) verfügbar. Damit können Windows 2000, Windows XP und Windows 2003 Systeme ohne lästige manuelle Überprüfung und manuelle Einspielung von Sicherheitsupdates auf stets aktuellem Sicherheits-Zustand gehalten werden, was wegen der vielfältigen bösartigen Angriffe über das Netzwerk (Internet und hausinternes Netzwerk) von allergrößter Wichtigkeit ist.

Gegen bestimmte "intelligente" Arten von Angriffen, welche Sicherheitslücken in Windows-Betriebssystemen ausnutzen,  hilft kein Virenscanner! Einige Beispiel in der Vergangenheit (Sasser-Wurm, Blaster, Slammer, Code Red etc.) haben ganz deutlich gezeigt, wie gefährlich es ist, die Pflege von Windows-Systemen zu vernachlässigen: So konnte z.B. der Sasser-Wurm nur solche System infizieren, die nicht auf aktuellem Sicherheitsstand waren. Darüber hinaus wird die Zeit zwischen der Bereitstellung von Sicherheitskorrekturen (Updates, Patche, Hotfixe) nach Bekanntwerden einer Sicherheitslücke und  der bösartigen "Ausnutzung" (Exploit) immer kürzer, weshalb nur ein automatischer Windows Update Mechanismus, welcher unsere Client-PCs im Bedarfsfall zuverlässig und schnellstmöglich mit aktuellen Sicherheitsupdates versorgt, eine bestmögliche Sicherheit gegen derartige Angriffe bietet. 

Der hausinterne WindowsUpdate-Service ist vollständig kompatibel zum Microsoft Windows-Update, bietet Ihnen jedoch zusätzliche Vorteile:

Vor der Aktivierung...

prüfen Sie bitte die Mindestvoraussetzungen und Empfehlungen für den Software-Update-Service:

Den vorhandenen Servicepack-Level für Windows und Internet-Explorer können Sie z.B. mit dem Programm  SYSINFO.HTA prüfen. Hausintern (NDS-Anmeldung) kann das Programm  einfach durch Start -> Ausführen -> SYSINFO gestartet werden.  

Wichtig: "Ungepatchte" Windows 2000 SP3/SP4 und Windows XP Original/SP1-Systeme (z.B. von CD installiert) weisen gefährliche Sicherheitslücken auf, die im Fall einer Netzwerkverbindung zum Internet oder zum hausinternen Netzwerk in kürzester Zeit zur "Infektion" durch Viren/Würmer wie Sasser, Blaster etc. führen. Die Infektion kann schneller erfolgen, als  die erforderlichen Updates über WindowsUpdate installiert werden können. Solche ältere, ungepachten Systeme, die bisher nicht über WindowsUpdate (von Microsoft oder hausinternem WindowsUpdate Service) versorgt wurden, müssen offline, d.h. ohne Netzwerkverbindung auf aktuellen Stand gebracht werden. Dazu bieten wird eine Service-CD an (am Infostand erhältlich oder zum Selbstbrennen, Inhalt von F:\SYSTEMSW\SERVICE-CD\WINDOWS), welche die aktuellen Servicepacks und Updates für Windows zur "Offline-Installation" enthält. Als Notbehelf kann unter "ungepatchten" Windows XP Systeme vor Servicepack 2 auch der Firewall für die betreffende Netzwerkverbindung aktiviert werden, um einer Infektion vor der "online"-Installation der Updates vorzubeugen.
 

Aktivierung des hausinternen WindowsUpdate Services



Nach Start von RZWU werden die aktuellen WindowsUpdate-Einstellungen angezeigt. Inkorrekte oder die Sicherheit negativ beeinflussende Einstellungen werden unter den Punkten Warnungen und Fehler in roter Farbe hervorgehoben angezeigt.

Um den hausinternen WindowsUpdate Servce mit den empfohlenen Standardeinstellungen (automatisch Updates) zu aktivieren, klicken Sie einfach auf die Schaltfläche "WindowsUpdate (re-)aktivieren". Sollten die bisherigen bzw. neu erwünschten Einstellungen nicht dem von RZ empfohlenen Standard entsprechen, erhalten Sie eine Warnung...



und können an dieser Stelle durch Klick auf "Ja" die Aktivierung mit den Standardeinstellungen vornehmen. Hinweise und Erklärungen zu nicht empfohlenen, abweichenden Einstellungen finden Sie in Hilfe von RZWU (Klick auf die Schaltfläche "?")

WindowsUpdate Einstellungen:

 WindowsUpdate Policies (Richtlinien):

Technische Detail-Angaben zum WindowsUpdate-Service für den PC-Service bzw. zur Lösung von Problemen werden durch Klick auf die Schaltfläche "Detaillierte Status-Infos anzeigen" angezeigt.




Im Normalfall genügt es, bei eventuell vorhandenen Fehlern den WindowsUpdate Service durch Klick auf die Schaltfläche "WindowsUpdate (re-)aktivieren" erneut zu aktivieren.
Eventuell fehlende Updates werden nach Klick auf diese Schaltfläche nach einer Wartezeit von ca. 6 Minuten übertragen und es erfolgt für Mitglieder der Gruppe  Administratoren erfolgt eine Anzeige über die Bereitschaft zur Installation. Dies gilt auch für den automatischen Modus (nach Zeitplan).

Der WindowsUpdate-Service ist unabhängig von der Novell-Anmeldung bzw. NDS-Autorisierung und insbesondere auch im nicht angemeldeten Zustand (Windows Anmeldung) wirksam.
 

Leistungsumfang des hausinternen Software-Update-Services (SUS)

In der momentanen Version können nur wichtige (kritische) Updates und Servicepacks für Windows Betriebssysteme (Windows 2000,  XP und 2003 Server), Internet-Explorer und Media-Player automatisiert ausgeliefert werden,  nicht jedoch andere (nicht sicherheitsrelevante) Windows-Updates und Treiber-Updates. In der nächsten SUS-Version 2.0 (neuer Name WUS = Windows Update Services)  soll dieser Mangel behoben sein, der WUS wird darüber hinaus auch Updates anderer wichtiger Microsoft Produkte wie z.B. Office 2003 und SQL-Server unterstützen.
Die Synchronisation des hausinternen SUS-Servers mit dem Referenzstand von Microsoft erfolgt einmal täglich (nachts), die Bereitstellung  neuer Updates wegen der erforderlichen Prüfung typisch ab Vormittag des nächsten Tages.
Sprachunterstützung: Der hausinterne Software-Update Service unterstützt die Sprachen Deutsch und Englisch (US).

Es werden nur die NT basierenden Windows-Versionen 2000 und höher unterstützt, für die nicht mehr gepflegte NT- Version Windows NT 4.0 sowie für alle MS-DOS basierende Windows-Versionen (95/98/Me)  ist dieser Service leider nicht verfügbar.
 

Fragen und Antworten


Wolfram Oestreicher, 29.1.2003, neu überarbeitet 25.8.2004