7 Replies Latest reply on May 2, 2017 6:37 AM by derniwi

    WSUS und Windows Defender Updates

    derniwi Master
      Hallo zusammen,

      wird bei Euch irgendwo der Windows Security Essential (unter Windows 7 oder Server 2008R2) eingesetzt? Wir haben ein paar Maschinen, eher in abgeschotteten Netzen, da läuft dieser.

      Jetzt wäre es ja nett, wenn die MSE-Aktualisierungen automatisch installiert werden, sobald neue erkannt werden. Dazu müsste halt mehrfach täglich gesucht werden. Die Updates kann ich auf dem WSUS zwar automatisch freigeben, aber das hilft dem Client halt nicht. Normale Updates sollten in dieser Phase ja ignoriert werden.

      Es gibt ja das Skript PSWUInstaller, welches nach Aktualisierungen sucht. Hat das jemand für diesen Fall angepaßt? Das soltle ja relativ einfach gehen...

      Gruß
      Nils
        • 1. Re: WSUS und Windows Defender Updates
          MarkusMichalski Specialist
          Moin,

          Jetzt wäre es ja nett, wenn die MSE-Aktualisierungen automatisch installiert werden, sobald neue erkannt werden. Dazu müsste halt mehrfach täglich gesucht werden.


          das lässt sich per Registry/GPO einstellen:
          http://gpsearch.azurewebsites.net/#10796
          • 2. Re: WSUS und Windows Defender Updates
            _Mel_ Master
            ich glaube der entscheidende punkt dabei ist "abgeschotteten Netzen"
            • 3. Re: WSUS und Windows Defender Updates
              derniwi Master
              Hallo,

              naja, auf den WSUS kommen die Maschinen. Die GPO gibt es aber erst für Windows 8.x / Server 2012. Die hilft hier leider nicht.

              Gruß
              Nils
              • 4. Re: WSUS und Windows Defender Updates
                MTheis Specialist


                Die Updates kann ich auf dem WSUS zwar automatisch freigeben, aber das hilft dem Client halt nicht. Normale Updates sollten in dieser Phase ja ignoriert werden.



                Hallo Niwi,

                wenn du deinen WSUS mehrfach täglich suchen lässt und nur die Security Essential Updates automatisch freigibst und dann mittels PS Skript halt einfach alle x Stunden den Client deinen WSUS kontaktieren lässt dürfte das doch kein Problem geben, oder verstehe ich da etwas falsch?

                Gruß, Micha
                • 5. Re: WSUS und Windows Defender Updates
                  derniwi Master
                  Hallo Micha,

                  naja, wenn dann irgendwann die normalen Updates freigegeben werden, kommen die auch recht schnell auf die Rechner. Das würde ich dann doch gerne vermeiden.

                  Unser Standard ist im Prinzip so: Updates kommen über den WSUS, werden auf ein paar Maschinen getestet und dann nach ein paar Tagen für alle freigegeben.
                  Die Update-Einstellungen sind so, dass die Updates zwar geladen werden, der angemeldete Anwender aber den Installationszeitpunkt selbst wählen kann. Dadurch gitb es dann auch die Möglichkeit, den Rechner herunter zu fahren, ohne die Updates zu installieren, was bei manchen Notebook-Benutzern schon mal vorkommt, wenn die weg müssen und den Rechner mitnehmen wollen. Aber i.d.R. installieren die Leute dann entweder gleich oder beim Herunterfahren.

                  Bei den Updates dann natürlich ein Neustart notwendig sein. Beim Herunterfahren ist das nicht weiter schlimm, im laufenden Betreib schon eher, wenn diese lästige Meldung hochkommt und der Anwender gerade was schreibt (und dabei mehr auf die Tastatur schaut, ich selbst kann auch nicht wirklich mit 10 Fingern schreiben). Der Update-Mechanismus erlaubt ja leider keine Selektion.

                  Also muss man einen anderen Weg gehen. Ich habe jetzt mal das Update-Installer-Skript der Microsoft-Seite genommen und etwas angepaßt:
                  Set updateSession = CreateObject("Microsoft.Update.Session")
                  updateSession.ClientApplicationID = "MSDN Sample Script"

                  'update title to search for
                  updateTitle = "KB2310138"
                  Set updateSearcher = updateSession.CreateupdateSearcher()
                  updateSearcher.IncludePotentiallySupersededUpdates = false

                  'Search for all software updates, already installed and not installed
                  Set searchResult = updateSearcher.Search("Type='Software' and IsHidden=0")
                  Set updateToInstall = CreateObject("Microsoft.Update.UpdateColl")
                  updateIsApplicable = False

                  If searchResult.Updates.Count = 0 Then
                  WScript.Echo vbCRLF & "No update found."
                  WSript.Quit
                  End If

                  'Cycle through search results to look for the update title
                  For i = 0 To searchResult.Updates.Count - 1
                  Set update = searchResult.Updates.Item(i)
                  If Instr( 1, UCase(update.Title), UCase(updateTitle), vbTextCompare ) > 0 Then
                    'Update in list of applicable updates
                    'Determine if it is already installed or not
                    If update.IsInstalled = False Then
                     WScript.Echo vbCRLF & "Title: " & update.Title
                     WScript.Echo vbCRLF & "Result: Update applicable, not installed."
                     updateIsApplicable = True
                     updateToInstall.Add(update)
                    End If
                  End If
                  Next

                  If updateIsApplicable = False Then
                  WScript.Echo "Result: Update is not applicable to this machine."
                  WScript.Quit
                  End If

                  'Download update
                  Set downloader = updateSession.CreateUpdateDownloader()
                  downloader.Updates = updateToInstall
                  WScript.Echo vbCRLF & "Downloading..."
                  Set downloadResult = downloader.Download()
                  WScript.Echo "Download Result: " & downloadResult.ResultCode
                   
                  'Install Update
                  Set installer = updateSession.CreateUpdateInstaller()
                  WScript.Echo vbCRLF & "Installing..."
                  installer.Updates = updateToInstall
                  Set installationResult = installer.Install()
                   
                  'Output the result of the installation
                  WScript.Echo "Installation Result: " & installationResult.ResultCode
                  WScript.Echo "Reboot Required: " & installationResult.RebootRequired
                  WScript.Quit(1)


                  Es wird jetzt nur nach KB2310138 gesucht und all diejenigen installiert, welche noch nicht vorhanden sind. Wenn ein Update installiert wurde, beendet das Skript mit return code 1, ansonsten mit 0.


                  Weiterhin habe ich noch ein .cmd:
                  :Start
                  cscript /
                  ologo .\MSEUpdateInstaller.vbs
                  if "%errorlevel%" equ "1" goto Start


                  Dieses startet das MSEUpdateInstaller.vbs solange, wie dieses mit return code 1 endet.

                  Tests laufen...

                  Gruß
                  Nils
                  • 6. Re: WSUS und Windows Defender Updates
                    NicoS1 Master
                    Hallo Nils,

                    die Lösung von damals hilft da nicht bzw. wäre kein Ansatz dafür?
                    https://community.ivanti.com/message/248455#248455

                    Gruß
                    • 7. Re: WSUS und Windows Defender Updates
                      derniwi Master
                      Hallo Nico,

                      Danke, das geht ja immer noch...
                      Da hatte ich gar nicht mehr daran gedacht. aber den Pfad anpassen und eine Aufgabe erstellen, damit scheint das auch zu klappen.

                      Gruß
                      Nils