Windows Server 2008 R2 WSUS - Updatesgenehmigungsregel und IE10 und 11 verbieten

[Wizzard_Slayer]

Hi,

ich bin gerade dabei einen WSUS aufzusetzen und frage mich ob es möglich ist alle Updates automatisch genehmigen zu lassen, jedoch mit Ausnahmen einzelne Updates zu verbieten.

Es geht hier speziell um den IE10 und IE11 die bei uns bei einem speziellen Kunden aus Infrastrukturgründen nicht installiert werden dürfen.

Oder sollte hier weiterhin der IE blocker installiert werden?

Vielen Dank schonmal

 

[DocWindows]

Ich glaube wenn du alle Updates eh direkt genehmigen willst, außer den IE, ist ein WSUS überflüssig.
Es sei denn es geht auch darum Bandbreite bei der Verteilung einzusparen.

Ein Blick in unseren WSUS hier hat mir auch gezeigt, dass der Internet Explorer nicht als separates Produkt aufgeführt wird, und daher auch nicht von einer automatischen Genehmigungsregel erfasst werden kann. Geht also nicht so wie ich das sehe.
Wir benutzen allerdings WSUS v3.2.7600.274. Ich möchte nicht ausschließen dass sich die Produktauswahllisten bei neueren WSUS-Versionen (sollte es sie geben) unterscheiden.

 

[Knusperfloete]

Ist mittels WSUS möglich. Wie möchtest Du die Clients einbinden?`GPO oder WSUS-Konsole? Bei beiden ist es möglich.

Ich gestalte mit unterhalb des WSUS-Servers noch einen Ordner TEMP4ALLUPATES. Hier genehmige ich ALLE Updates automatisch! Der Grund ist, das WSUS ansonsten erst mit Genehmigung des Admins, meist zwischen 08.00 und 17.00 mit dem Download der erlaubten Updates anfängt und somit erst einmal die Unternehmensleitung (also die mit IP und so;-)...), schwer in Beschlag nimmt, je nachdem, was bei MS wieder so ansteht.

Dann, wenn das erledigt ist, suche ich alle ITANIUM-Updates und lösche diese, da diese nicht gebraucht werden! Weiterhin stelle ich ein, das WSUS die kleinen schnellen Update-Packages holen soll. Die sind wesentlich schneller verteilt und installiert! Aber, das braucht natürlich PLATTEN-PLATZ...bei mir sind es Windows 7; 8; 8.1; Server 2008(R2) und 2012(R2), sowie Office 2010 und 2013. Die belegen hier knappe 300GB.

Und das IE-Update kannst du einzeln suchen und entsprechend deaktivieren. Wie bei jedem anderen Update auch;-).

Ergänzung (10. Februar 2015)

Ein Blick in unseren WSUS hier hat mir auch gezeigt, dass der Internet Explorer nicht als separates Produkt aufgeführt wird, und daher auch nicht von einer automatischen Genehmigungsregel erfasst werden kann.

Bei mir wird auf dem WSUS jedes diesbezügliche Update angezeigt, wenn ich unter ALLE UPDATES nach Explorer suche...WSUS 3.2.760.251...sogar noch "älter" als die Deinige...kann natürlich sein, das es bei Dir nicht mehr funktioniert, was mich aber schwer wundern würde und den gesamten WSUS ziemlich in Frage stellen würde!

 

[acidarchangel]

Also den IE automatisch herausfiltern geht mMn nach nicht, da dieser nicht als eigenständiges Produkt klassifiziert ist. Da musst du auf jeden Fall noch manuell eingreifen.

Abgesehen davon würde ich davon abraten, die Updates automatisch in eine Produktivumgebung frei zu geben. Wir haben hier über 3000 Clients und wenn mal wirklich, wie schon geschehen, ein Update Probleme macht und zu einem Bluescreen führt, dann will ich nicht dafür die Verantwortung tragen. Daher werden die Updates bei uns alle manuell erst in eine definierte Testgruppe freigegeben und nach erfolgreichem Test erst in die Gesamtstruktur verteilt.

 

[Knusperfloete]

Daher nehme ich immer eine Gruppe TEMP4ALLUPDATES, der keine Computer zugewiesen sind! Dann synct er nicht nur, sondern gibt alle Updates automatisch für diese Gruppe frei und fängt auch schon mal den Download an, der dann fertig ist, wenn das Produktivnetz incl. Internetzugang wieder anderen Dingen seine Zeit widmen muss;-).

 

[acidarchangel]

Ahh, ok. Du hattest nicht geschrieben, dass die Gruppe leer ist Aber das ist natürlich auch ein Trick. Wobei du im Endeffekt, dann ja auch wieder manuell eingreifen musst, was der TE ja nicht möchte.

 

[Knusperfloete]

Da ich den MS-Updates erst einmal nicht vertraue, ist es auch anders nicht möglich. Um Updates zu testen, habe ich in allen Abteilungen in Absprache mit wenigen Anwendern Keyuser erkoren, welche die Updates als erste erhalten und schauen, ob sich ein Fehler eingeschlichen hat. Vorher mache ich von dem entsprechenden Terminalserver nen Snapshot, und gut ist;-). Wenn ich dann vier Wochen, also bis zum nächsten Patchday, nichts negatives über die "alten" Updates gehört habe, gebe ich sie nach und nach für die Produktivsysteme frei. Und auch hier nur in Stufen;-). Sicher ist sicher.

 

[FrankvanLight]

*grins* So schön möchte ich das auch mal haben Wir haben hier einen Sicherheitsbeauftragten der ständig Aufträge schickt wegen Sicherheitsupdates zu allem was der CERT oder BSI raus bringt.

Wir haben WSUS nur für die Server im Einsatz und dort werden die Patches immer 1-2 Wochen nach MS Patchday verteilt wenn es kein Probleme gab bei den Testservern.

Bei den Clients haben wir das Patchmanagment unserer Softwareverteilung im Einsatz und die kommt nicht nach mit Flash und Google Chrome Versionen zu verteilen *grins*.

 

[Knusperfloete]

Dem erzähle ich bei uns, das machen die Gruppenrichtlinien. Die entsprechend abzuändern, wäre ein immenser Aufwand, den keine unserer Abteilungen auch nur andeutungsweise auf dem Schirm hat in diesem Jahr, was den Bereich IT angeht. Aber bitte, wenn Sie die Herren Abteilungsleiter....und dann sehe ich auch nur noch den Rücken und 2 wild wedelnde Gliedmaßen...

 

[Wizzard_Slayer]

Ist mittels WSUS möglich. Wie möchtest Du die Clients einbinden?`GPO oder WSUS-Konsole? Bei beiden ist es möglich.

Und das IE-Update kannst du einzeln suchen und entsprechend deaktivieren. Wie bei jedem anderen Update auch;-).

Ergänzung (10. Februar 2015)

Bei mir wird auf dem WSUS jedes diesbezügliche Update angezeigt, wenn ich unter ALLE UPDATES nach Explorer suche...WSUS 3.2.760.251...sogar noch "älter" als die Deinige...kann natürlich sein, das es bei Dir nicht mehr funktioniert, was mich aber schwer wundern würde und den gesamten WSUS ziemlich in Frage stellen würde!

Also die Clients und Server sind per GPO eingebunden.

Als Klassifizierung habe ich in den Optionen folgendes ausgewählt:
Definitionsupdates
Sicherheitsupdates
Update Rollups
Updates
Wichtige Updates

Windows 7, Server 2008 R2, Server 2008 und Server 2003

dort findet er knapp 8500 Updates. Wenn ich dort allerdings unter "alle Updates" nach Explorer oder Internet suche findet er ganz genau Null

 

[Knusperfloete]

Ich habe alles außer Treiber aktiviert. Zuteilung und endgültige Freigabe für Maschinen, egal ob Test oder Produktiv, erst durch mich persönlich. Und da findet er so ziemlich jede IE-Explorer Version...;-x...unter alle Updates bitte auch einstellen: ALLE BIS AUF ABGELEHNTE bei GENEHMIGUNG und bei STATUS bitte ALLE wählen...dann unter suche nur Explorer eingetippt, und das erscheint bei mir...(Auszug)...:

Internet Explorer 10 für Windows 7
Internet Explorer 10 für Windows 7 für x64 blabla
Internet Explorer 10 für Server 2008R2 für x64 blabla
Internet Explorer 11 für Windows 7
Internet Explorer 11 für Windows 7 für x64 blabla
Internet Explorer 11 für Server 2008R2 für x64 blabla
Internet Explorer 8 für Windows Server 2003
Internet Explorer 8 für Windows Server 2003 für x64 blabla

Und so weiter und so weiter...;-)....

 

[Wizzard_Slayer]

Dann ist die Frage unter welcher Kategorie das läuft wenn nicht unter denen die ich ausgewählt habe.
Bei mir findet er nichts.

Unter dem Reiter "Produkte" kann man ja den IE nicht explizit auswählen


Ah jetzt, das dauert einfach nur ne Weile bis der mir ein Ergebnis anzeigt
Knapp eine Minute hat das gedauert, da habe ich schon immer viel früher das Fenster geschlossen.

Es gibt maximal den Internet Explorer 9, die anderen beiden werden gar nicht aufgeführt

 

[Knusperfloete]

lol...ja, auch Spitzen-IT-Hardware braucht mitunter ein wenig Zeit;-)....im WSUS kann man bei den Produkten noch diese Browserauswahlgeschichte explizit für Europa auswählen...das hatte ich mal drin, vielleicht kommt es daher...

 

[FrankvanLight]

Also bei uns wird der IE 10 und 11 auch angezeigt und ist gesperrt für unsere Server

 

[Knusperfloete]

Bei unseren Servern ist iNet eh grundsätzlich gesperrt. Und von den Clients, wer ins iNet will, muss sich erneut am Proxy authentifizieren. Alles hinter der FW, bis auf WSUS, Proxy und eMailserver, wird direkt geblockt. Ist ja auch nicht nötig, wenn die Server aus dem Netz bedient werden können;-).

 

[Wizzard_Slayer]

Also wenn ich jetzt wähle:

Internet Explorer 11 -> ablehnen

und aktiviere dann die automatische Genehmigungsregel für alles.

Überschreibt der dann das gesetzte "ablehnen"?

 

[Knusperfloete]

Also wenn ich jetzt wähle:

Internet Explorer 11 -> ablehnen

und aktiviere dann die automatische Genehmigungsregel für alles.

Überschreibt der dann das gesetzte "ablehnen"?

Wenn du die Frage nochmals aufmerksam liest verspreche ich dir, wird sich die Antwort offenbaren...kleiner Tipp...F1...drück die Taste mal und schau, was passiert...

 

[Wizzard_Slayer]

Was willst du mir damit jetzt sagen? In der Hilfe steht da nicht explizit etwas dazu. Nur wie ich etwas genehmige etc.

In den NTFS Berechtigungen wird es ja auch so gehandhabt das "verweigern" über "erlauben" steht.

Wenn du es weißt kannst du es mir auch sagen