WSUS: Definitionsupdate für Windows Defender Antivirus – KB2267602

[andrew 15]

hello together

 

Frage: wenn ich in meiner Testumgebung das Windows Updates Definitionsupdate für Windows Defender Antivirus – KB2267602 (Definition 1.259.138x) ​installiere bzw. nun bereits installiert habe (auf jedem Server mit Windows Server 2016 und einem Client mit Windows 10), erscheinen nach erfolgreicher Installation dann immer wieder die nächsten Microsoft Updates Definitionsupdate für Windows Defender Antivirus – KB2267602 (Definition 1.259.138x) bzw. nun bin ich bereits bei der Definition 1.259.1390.0) angelangt.

 

Kurz: Installiere ich wohl nun auf jedem System die Version Definitionsupdate für Windows Defender Antivirus – KB2267602 (Definition 1.259.1390), ​sagt mir dann sicher der Online Microsoft Windows Server im Internet von Microsoft, hey, nun gibt es aber schon wieder eine neuere Version, vielleicht Definition 1.259.1391 oder was weiss ich?

 

Gibt es hierzu eigentlich eine offizielle Liste von Microsoft, damit man prüfen kann, welches die letzten Windows Updates sind bzw. besonders interessieren würde mich natürlich nun, welches das letzte, von Microsoft zur Verfügung gestellte Update für Definitionsupdate für Windows Defender Antivirus – KB2267602 konkret ist? Somit hätte ich mal einen Anhaltspunkt, so wird man ja nie fertig und es kommen gleich immer wieder neue Definitionen - das kann es ja wohl nicht sein? 

 

Bemerkung

Ich setze den WSUS Dienst ein (unter Options/ Automatic Approvals) habe ich den Hacken rausgenommen (Register Updates Rules) und im Register Advanced hatte ich vor ca. 2 Tagen auch alle Hacken entfernt.

 

Da ich beim WSUS gemerkt habe, ob ich nun mit der automatischen Genehmigung arbeite oder ohne, zumindest beim Windows Update Definitionsupdate für Windows Defender Antivirus – KB2267602 ​erscheinen dann stets immer mehrere Definitionen!

 

Des Weiteren stellte ich mir anfangs die Frage, wie ich konkret feststellen kann, welche Updates meine Systeme wirklich benötigen und welche nicht bzw. stimmt das nun, was mir der WSUS Server da erzählt und mir weiss machen will?

 

Nun, via PowerShell gibt es die Möglichkeit, die Microsoftupdates direkt von den Microsoft Servern abzufragen mit Get-Wulist -MicrosoftUpdate -verbose. (oder Get-WindowsUpdate -MicrosoftUpdate -Verbose)

 

Danach setzte ich erneut einen Windows PowerShell Befehl ab (auf dem gleichen System), aber dieses mal richtete ich die Anfrage auf verfügbare Updates an meinen WSUS Server mit dem Befehl Get-Wulist -Verbose und stellte eben besonders bei diesem Update Definitionsupdate für Windows Defender Antivirus – KB226760 fest, dass mein WSUS Server oft nicht genau die gleichen Update Liste führt wie der "Original" Microsoft Windows Update Server im Internet von Microsoft?! (bzw. oft mehr anzeigt)

 

Nun, was oder wie versuchte ich bis anhin das Problem zu lösen?

Als ich zum Beispiel auf dem System x eine Abfrage an den Online Microsoft Windows Update Server im Internet gestellt habe und die Antwort bekam, hey, auf deinem System muss das Definitionsupdate für Windows Defender Antivirus – KB2267602 (Definition 1.259.1386) installiert werden, setzte ich auf meinem WSUS Server eine Suche für dieses Update ab und genehmigte nur genau diese Definition, alle anderen, älteren Definitionen habe ich via rechte Maustaste/ Kontextmenü "zurückziehen" zurückgezogen - dies, damit mir die WSUS Konsole auch wirklich nur dieses eine Update anzeigt, welches ich auf den Systemen installieren soll (und nicht noch zig andere Updates, welche zum Teil auch keinen Update Status hatten)

 

Auch hatte ich dann die ebenfalls zusätzlich im WSUS erschienenen Updates betreffend Definition Update for Microsoft Security Essentials - KB2310138 mit analogen Definitionsnummer wie beim Windows Defender zurückgezogen! (weil diese werden auch stets immer angezeigt.)

 

Der Online Microsoft Windows Update Server im Internet von Microsoft zeigt mir nie an, dass ich auf einem System auch Updates für Definition Update for Microsoft Security Essentials - KB2310138 installieren soll bzw. dass es hierfür irgendwelche Updates hätte, welche ich installieren könnte - der WSUS aber sehr wohl, wesshalb?

 

Huch, komplizierte Sache und lange erklärt :-)

Hoffe, Ihr versteht das Problem hier sonst einfach nachfragen, gebe doch gerne Auskunft *smile*

 

cheers

André

 

 

[Sunny61 773]

Bemerkung

Ich setze den WSUS Dienst ein (unter Options/ Automatic Approvals) habe ich den Hacken rausgenommen (Register Updates Rules) und im Register Advanced hatte ich vor ca. 2 Tagen auch alle Hacken entfernt.

Welche *Haken*, es heißt Haken, hast Du wo genau entfernt? 

 

Da ich beim WSUS gemerkt habe, ob ich nun mit der automatischen Genehmigung arbeite oder ohne, zumindest beim Windows Update Definitionsupdate für Windows Defender Antivirus – KB2267602 ​erscheinen dann stets immer mehrere Definitionen!

Jepp, die 'alten' kann man ablehnen, geht auch per T-SQL Script automatisiert jede Stunde. So bleibt immer nur die aktuellste Version genehmigt und kann von den Servern/Clients gedownloadet werden.

 

Des Weiteren stellte ich mir anfangs die Frage, wie ich konkret feststellen kann, welche Updates meine Systeme wirklich benötigen und welche nicht bzw. stimmt das nun, was mir der WSUS Server da erzählt und mir weiss machen will?

Mein WSUS erzählt mir nix, der zeigt mir nur an, welche Updates die Clients von ihm anfordern. Das tun sie aber nur, wenn die Updates nicht abgelehnt sind. Wenn Du dem WSUS nicht glaubst, dann musst Du eben Online nach Updates suchen lassen. Und ja, normalerweise zeigt der WSUS keinen Quatsch an. Das System hat sich mittlerweile bewährt. Gibt es erst seit über 10 Jahren. ;)

 

Wie oft wird synchronisiert pro Tag? Defender Updates kann man via Genehmigungsregel automatisch für Clients und Server freigeben.

 

Den Rest hab ich mir gespart zu lesen, ist zu viel Text für den späten Abend. ;)

[andrew 15]

Hoi Sunny61

 

Danke für das Korrigieren meiner Rechschreibung > Hacken = falsch, richtig = Haken :-)

Haken hatte ich an folgenden Orten entfernt (mein WSUS ist auf Englisch): in der WSUS Konsole unter Options, Punkt "Automatic Approvals" (zu Deutsch in etwa: automatische Genehmigungen).

 

Hier gibt es zwei Registerkarten.

@ Registerkarte Update Rules, beim Punkt "Default Automatic Approval Rule" habe ich den Haken rausgenommen.

@ Registerkarte Advanced, Punkt: WSUS Updates = Haken raus, Punkt: "Revisions to Updates" = Haken raus

 

Änderung: Nun werde ich neu eine automatische Genehmigungsregel für das Produkt Windows Defender Antivirus​ erstellen (Du schreibst, das müsste funktionieren). Das finde ich ein super Vorschlag, dass ich nicht selber auf diese Idee gekommen bin? Oft braucht es halt Denkanstösse hehe.

 

Somit sollte bereits mein Problem behoben werden, dass ich die ganze Zeit nur am Windows Defender Antivirus von Hand genehmigen bin (weil kaum, habe ich die eine Definition auf allen System installiert, bereits wieder eine neuere Definition für Windows Defender Antivirus​ im WSUS erscheint und vom Benutzer eine Interaktion verlangt > genehmigen oder zurückziehen).

 

Glaube, Du hast mir alle Fragen bereits beantwortet. Der WSUS verlangt vom Benutzer für jedes Update eine Interaktion, solange diese nicht bereits behandelt wurden (Genehmigung oder Rückzug). Gut, ich werde nun die Konfiguration anpassen, thx :-)

[Sunny61 773]

Ja, die Automatische Genehmigungsregel für den Defender kann man aktivieren. Aber Achtung! Auch dann kommen bis zu 10 Versionen gleichzeitig rein, deshalb auch die Frage wie oft Du holen lässt. Sechs mal am Tag kann IMO nicht schaden. Und dann gleich alle bis auf die aktuellste Version ablehnen.

 

Zusätzlich kann man den Clients übrigens auch per GPO mitgeben, dass es für den Defender den WSUS gibt und auch dort kannst Du dann per Taskplaner stündlich holen lassen. Lässt sich im Technet finden.

[tesso 360]

@Sunny

Hast du die Regel zum Ablehnen zufällig parat?

[Sunny61 773]

Nein, das ist ein selbst erstelltes SQL-Server Script.