RZ Software-Update-Service für Windows 2000/XP/2003
(hausinterner WindowsUpdate-Service)

September 2005: Umstellung auf neue Version (WSUS)
Bitte beachten Sie die neuen Informationen!

Die Informationen in diesem Dokument gelten für früheren SUS-Dienst,
der Ende 2005 eingestellt wird.

Zur Vereinfachung der Pflege von Windows Betriebssystemen ist an der Uni Regensburg seit Dezember 2002 ein hausinterner WindowsUpdate-Service (Microsoft SUS) verfügbar. Damit können Windows 2000, Windows XP und Windows 2003 Systeme ohne lästige manuelle Überprüfung und manuelle Einspielung von Sicherheitsupdates auf stets aktuellem Sicherheits-Zustand gehalten werden, was wegen der vielfältigen bösartigen Angriffe über das Netzwerk (Internet und hausinternes Netzwerk) von allergrößter Wichtigkeit ist.

Gegen bestimmte "intelligente" Arten von Angriffen, welche Sicherheitslücken in Windows-Betriebssystemen ausnutzen,  hilft kein Virenscanner! Einige Beispiel in der Vergangenheit (Sasser-Wurm, Blaster, Slammer, Code Red etc.) haben ganz deutlich gezeigt, wie gefährlich es ist, die Pflege von Windows-Systemen zu vernachlässigen: So konnte z.B. der Sasser-Wurm nur solche System infizieren, die nicht auf aktuellem Sicherheitsstand waren. Darüber hinaus wird die Zeit zwischen der Bereitstellung von Sicherheitskorrekturen (Updates, Patche, Hotfixe) nach Bekanntwerden einer Sicherheitslücke und  der bösartigen "Ausnutzung" (Exploit) immer kürzer, weshalb nur ein automatischer Windows Update Mechanismus, welcher unsere Client-PCs im Bedarfsfall zuverlässig und schnellstmöglich mit aktuellen Sicherheitsupdates versorgt, eine bestmögliche Sicherheit gegen derartige Angriffe bietet. 

Der hausinterne WindowsUpdate-Service ist vollständig kompatibel zum Microsoft Windows-Update, bietet Ihnen jedoch zusätzliche Vorteile:

• Funktion ohne Verbindung zum Internet mit der hohen Geschwindigkeit des hausinternen Intranets.
• Überprüfung der Updates durch das Rechenzentrum vor Auslieferung, Zurückhalten inkompatibler Updates.
• Zukünftige Möglichkeiten (SUS 2.0, neuer Name: WUS): Automatische Aktualisierung anderer wichtiger Microsoft-Produkte (Office 2003 und höher, SQL-Server etc), Zurückziehen fehlerhaftes Updates.
   

Vor der Aktivierung...

prüfen Sie bitte die Mindestvoraussetzungen und Empfehlungen für den Software-Update-Service:

• Windows 2000 Professional/Server:  Mindestens Servicepack 3, dringend empfohlen Servicepack 4 und Internet Explorer 6.0SP1.
• Windows XP Professional/Home: Mindestens Servicepack 1, empfohlen: Servicepack 2

Den vorhandenen Servicepack-Level für Windows und Internet-Explorer können Sie z.B. mit dem Programm  SYSINFO.HTA prüfen. Hausintern (NDS-Anmeldung) kann das Programm  einfach durch Start -> Ausführen -> SYSINFO gestartet werden.  

Wichtig: "Ungepatchte" Windows 2000 SP3/SP4 und Windows XP Original/SP1-Systeme (z.B. von CD installiert) weisen gefährliche Sicherheitslücken auf, die im Fall einer Netzwerkverbindung zum Internet oder zum hausinternen Netzwerk in kürzester Zeit zur "Infektion" durch Viren/Würmer wie Sasser, Blaster etc. führen. Die Infektion kann schneller erfolgen, als  die erforderlichen Updates über WindowsUpdate installiert werden können. Solche ältere, ungepachten Systeme, die bisher nicht über WindowsUpdate (von Microsoft oder hausinternem WindowsUpdate Service) versorgt wurden, müssen offline, d.h. ohne Netzwerkverbindung auf aktuellen Stand gebracht werden. Dazu bieten wird eine Service-CD an (am Infostand erhältlich oder zum Selbstbrennen, Inhalt von F:\SYSTEMSW\SERVICE-CD\WINDOWS), welche die aktuellen Servicepacks und Updates für Windows zur "Offline-Installation" enthält. Als Notbehelf kann unter "ungepatchten" Windows XP Systeme vor Servicepack 2 auch der Firewall für die betreffende Netzwerkverbindung aktiviert werden, um einer Infektion vor der "online"-Installation der Updates vorzubeugen.
 

Aktivierung des hausinternen WindowsUpdate Services

• Wenn Sie an unserem NDS-System angemeldet sind, geben Sie bitte mit Start -> Ausführen den Befehl RZWU ein.
   
• Wenn Sie keine Novell-Anbindung haben, laden Sie bitte das Programm RZWU.HTA (Zugriff nur mit NDS-Autorisierung!) herunter und starten es.

Nach Start von RZWU werden die aktuellen WindowsUpdate-Einstellungen angezeigt. Inkorrekte oder die Sicherheit negativ beeinflussende Einstellungen werden unter den Punkten Warnungen und Fehler in roter Farbe hervorgehoben angezeigt.

Um den hausinternen WindowsUpdate Servce mit den empfohlenen Standardeinstellungen (automatisch Updates) zu aktivieren, klicken Sie einfach auf die Schaltfläche "WindowsUpdate (re-)aktivieren". Sollten die bisherigen bzw. neu erwünschten Einstellungen nicht dem von RZ empfohlenen Standard entsprechen, erhalten Sie eine Warnung...



und können an dieser Stelle durch Klick auf "Ja" die Aktivierung mit den Standardeinstellungen vornehmen. Hinweise und Erklärungen zu nicht empfohlenen, abweichenden Einstellungen finden Sie in Hilfe von RZWU (Klick auf die Schaltfläche "?")

WindowsUpdate Einstellungen:

• Vollautomatischer Modus: Die Verfügbarkeit von Updates wird nach einem festen Zeitplan geprüft (täglich ab 6 Uhr bzw. wenn der PC eingeschaltet wird); bereitgestellte Updates werden automatisch heruntergeladen und installiert. Als Mitglied der Administratoren-Gruppe erfolgt die Installation am selben Tag nach einer Anfrage; wird diese nicht beachtet, werden Updates nach Logout/Herunterfahren zum nächsten Termin bzw. nach Einschalten (plus die Zeit ReScheduleWaitTime) automatisch installiert. Für etwa erforderliche Reboots erfolgt eine Anfrage, wenn man angemeldet ist ("LoggedOn") und der Schalter "Kein AutoReboot während Logged On" gesetzt ist.
  
  Als Mitglied der Benutzer-Gruppe erfolgt die Installation immer ohne Rückfrage, am nächsten Tag bzw. nach Logout/Herunterfahren zum nächsten Termin bzw. Einschalten. Für etwa erforderliche Reboots gilt dasselbe wie für Mitglieder der Administratoren-Gruppe.
  
  Ist der PC zum Schedule-Zeitpunkt (6 Uhr) eingeschaltet aber kein Benutzer angemeldet, erfolgen Installation und etwa erforderliche Reboots grundsätzlich ohne Rückfrage.

• Download automatisch/ nach Abfrage, Installation nach Abfrage: Die Verfügbarkeit von Updates wird regelmäßig alle 22-23 Stunden geprüft (UTC-Zeitangabe LastTimeWaitOut in der detaillierten Ansicht), wenn der PC eingeschaltet ist. Je nach Einstellung erfolgt eine Abfrage (Symbol in der Taskleiste und Benachrichtigungsfenster) für Installation oder zwei Abfragen - für Download und Installation.
  
  Diese Optionen sind nur in Ausnahmefällen, darüber hinaus wenn ausschließlich als Mitglied der Administratoren-Gruppe gearbeitet wird, sinnvoll (keine Benachrichtigung für Mitglieder der Benutzer-Gruppe!). Die Downloadabfrage kann z.B. sinnvoll sein für langsame Netzwerkverbindungen (Modem/ISDN, kein Ethernet oder DSL), die Installations-Abfrage für die manuelle Installation bereitgestellter Updates (sicherheitsmäßig gefährlich, da z.B. die Benachrichtigung häufig übersehen wird).

 WindowsUpdate Policies (Richtlinien):

• Verwende RZ WindowsUpdate Server: Updates werden vom hausinternen Windows-Softwareupdateserver (SUS Version 1.1, zukünftige Version 2.0 heißt "WUS" ) bezogen. Der SUS stellt kritische Windows- und IE-Updates über das hausinterne Netzwerk in "gefilterter" Form bereit. Die zukünftige Version 2.0 unterstützt darüber hinaus auch andere Updates für Microsoft-Produkte (z.B. Treiberupdates, Updates für Office). Bei der Filterung wird vom RZ geprüft, ob die Updates mit unserer hiesigen Netzwerkumgebung und installierter Standardsoftware kompatibel sind. Nur vom RZ freigegebene Updates werden ausgeliefert.
  
  Durch Deaktivierung dieser Option werden die Updates "ungefiltert" von Microsoft bezogen. Bitte deaktivieren Sie diese Option nur für Privat-PCs ohne RZ-Windows-Standardinstallationen bzw. ohne RZ-Support.
  
  Kein AutoReboot während "LoggedOn": Nur relevant für vollautomatischen Update-Modus. Unterdrückt automatische Reboots nach der Installation von Updates, Während ein Benutzer angemeldet ist.
   

Technische Detail-Angaben zum WindowsUpdate-Service für den PC-Service bzw. zur Lösung von Problemen werden durch Klick auf die Schaltfläche "Detaillierte Status-Infos anzeigen" angezeigt.




Im Normalfall genügt es, bei eventuell vorhandenen Fehlern den WindowsUpdate Service durch Klick auf die Schaltfläche "WindowsUpdate (re-)aktivieren" erneut zu aktivieren.
Eventuell fehlende Updates werden nach Klick auf diese Schaltfläche nach einer Wartezeit von ca. 6 Minuten übertragen und es erfolgt für Mitglieder der Gruppe  Administratoren erfolgt eine Anzeige über die Bereitschaft zur Installation. Dies gilt auch für den automatischen Modus (nach Zeitplan).

Der WindowsUpdate-Service ist unabhängig von der Novell-Anmeldung bzw. NDS-Autorisierung und insbesondere auch im nicht angemeldeten Zustand (Windows Anmeldung) wirksam.
 

Leistungsumfang des hausinternen Software-Update-Services (SUS)

In der momentanen Version können nur wichtige (kritische) Updates und Servicepacks für Windows Betriebssysteme (Windows 2000,  XP und 2003 Server), Internet-Explorer und Media-Player automatisiert ausgeliefert werden,  nicht jedoch andere (nicht sicherheitsrelevante) Windows-Updates und Treiber-Updates. In der nächsten SUS-Version 2.0 (neuer Name WUS = Windows Update Services)  soll dieser Mangel behoben sein, der WUS wird darüber hinaus auch Updates anderer wichtiger Microsoft Produkte wie z.B. Office 2003 und SQL-Server unterstützen.
Die Synchronisation des hausinternen SUS-Servers mit dem Referenzstand von Microsoft erfolgt einmal täglich (nachts), die Bereitstellung  neuer Updates wegen der erforderlichen Prüfung typisch ab Vormittag des nächsten Tages.
Sprachunterstützung: Der hausinterne Software-Update Service unterstützt die Sprachen Deutsch und Englisch (US).

Es werden nur die NT basierenden Windows-Versionen 2000 und höher unterstützt, für die nicht mehr gepflegte NT- Version Windows NT 4.0 sowie für alle MS-DOS basierende Windows-Versionen (95/98/Me)  ist dieser Service leider nicht verfügbar.
 

Fragen und Antworten

• Wie kann den AutoUpdate-Service manuell "triggern", um bei Einstellung "nur Benachrichtigung" sofort nach eventuell ausstehenden Updates zu sehen und diese zur Installation anzubieten?
   
  Geben Sie unter Start -> Ausführen das Kommando RZWU ein und klicken Sie auf "WindowsUpdate (re-)aktivieren". Der "LastWaitTimeout"-Wert wird dadurch zurückgesetzt und der UpdateService neu gestartet. Die "Anlieferung" etwaig ausstehender Updates erfolgt nach 5 - 10 min
   
• Mein PC wird  täglich zu Arbeitsbeginn ein- und zum Arbeitsende ausgeschaltet. Wie kann ich erreichen, dass Windows Updates möglichst sofort nach Einschalten des PCs/ Anmelden am Netzwerk automatisch "angeliefert" werden?
   
  Wählen Sie die "automatische" Betriebsart (nach Zeitplan) und legen Sie den Update-Zeitpunkt vor den  Einschaltzeitpunkt des PC, z.B. auf 6 Uhr morgens, wenn Sie den PC frühestens um 7 Uhr einschalten.
  
   
• Wie häufig bzw. in welchem Rhythmus werden Updates in der manuellen Betriebsart (nur Benachrichtigung) angeboten?
   
  Alle 17 - 23h. Der jeweils letzte "Detection"-Zeitpunkt wird in der Registrierung vermerkt, der nächste erfolgt nach 22-  23h, folglich mindestens einmal täglich.
   
• Werden vom WindowsUpdate-Service irgendwelche sensible (z.B. persönliche) Daten an den WindowsUpdate-Server (SUS im Hause oder bei Microsoft  in anderen Fällen) übertragen?
   
  Nein, der WU-Service (am Client) holt vom Server eine Liste der aktuelle verfügbaren Updates, vergleicht diese mit dem aktuellen Stand auf Ihrem PC und hole die "Differenz" fehlender Updates über http Download (http GET).
  Wegen der notwendigen IP-Verbindung "kennt" der SUS-Server  selbstverständlich die IP-Adresse Ihres PCs (wird wie auf Web-Servern üblich protokolliert) und damit letztendlich Ihre Identität, andere Daten werden jedoch gewiss nicht übertragen.
   
• Wo finde ich ein Log, welcher Aktionen von Update-Service vorgenommen und welche Dateien heruntergeladen bzw. welche Updates installiert wurden?
   
  Es gibt zwei LOG-Dateien: Das Windows-Update-Log (Protokoll der WU-Aktionen) mit Namen Windows Update.log im Windowsverzeichnis (%windir%) sowie das detaillierte Log über die installierten Dateien, Beschreibungen etc. mit Namen iuhist.xml im Unterverzeichnis "WindowsUpdate\V4" des Programmverzeichnisses (typisch: C:\Programme\WindowsUpdate\V4). Letztere XML-Datei können Sie durch Doppelklick im Internet-Explorer öffnen.
   
• Welche Services und Regstiereinträge benutzt der  WindowsUpdate-Service?
   
  Dienste "Automatische Updates" (wuauserv, erforderliche Startart: Automatisch) und "Intelligenter Hintergrundübertragungsdienst" (BITS, erforderliche Startart: Manuell).
  Registrierschlüssel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate und HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate (Policies für hausinternen SUS-Server).
   
• Wie sind die Werte "LastWaitTimeout" und "DetectionStartTime" im Registrierschlüssel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate zu verstehen?
   
  DetectionStartTime (Angabe in lokaler Zeit!) : Der WU-Service beginnt seine "Arbeit", typisch 1 Minute nach (Re-)Start des Service, wenn "LastWaitTimeout" fehlt (erzwungene Re-Synchronisierung, Kommando WUSYNC) bzw. nach Zeitplan oder im manuellen Betrieb 22-23h nach "LastWaitTimeout". Der eigentliche Download der Updates erfolgt 5min nach der "DetectionStartTime", dies ist der Wert LastWaitTimeout (Angabe in UTC!! ).
   
• Wie kann man im Fehlerfall oder zu Diagnosezwecken die Aktivitäten des BITS-Service ("Intelligenter Hintergrundübertragungsdienst", der den eigentlichen Download bewerkstelligt) einsehen? (nur für für Administatoren)
   
  Starten Sie nach Beginn der Download-Phase (LastWaitTimeout), d.h. ca. 6 min nach Resynchronisation (WUSYNC) das Kommando bitsadmin /list /allusers /verbose
  bitsadmin.exe ist ein Teil der Support-Tools (enthalten in Windows XP Support.CAB). Sie müssen das Kommando bitsadmin /list /allusers /verbose ggfls. öfters wiederholen, um den richtigen Zeitpunkt zu abzupassen.
   

---

Wolfram Oestreicher, 29.1.2003, neu überarbeitet 25.8.2004