Wie erkenne ich überholte Windows-Updates?

[DeathAndPain 10]

Hallo allerseits,

 

ich halte eine CD vor, auf der ich stets alle WinXP-Updates, die nach dem Service Pack 2 erschienen sind, verfügbar habe (nebst einem Skript zur bequemen Offline-Installation ohne Backups der alten Dateien).

 

Mittlerweile ist die Liste recht lang geworden. Nun ist es ja so, daß durch die Updates im wesentlichen nur Windows-Dateien ausgetauscht werden. Wenn nun ein Update z.B. die Datei xyz.dll durch eine neuere Version ersetzt und ein später erschienenes Update dieselbe Datei durch eine nochmals neuere Datei, dann kann man sich zukünftig die Installation des älteren Updates sparen.

 

Meine Frage ist nun: Wie erkenne ich Updates, die komplett durch neuere Updates abgedeckt sind und daher auf meiner CD nicht mehr erscheinen müssen? Sicherlich könnte ich alle Updates in ein temporäres Verzeichnis extrahieren und dann händisch die Dateien vergleichen. Dieser Weg ist aber mit Blick auf den Arbeitsaufwand nicht praktikabel.

 

Momentan sieht die Liste auf meiner CD so aus:

 

http://people.freenet.de/Death/Windows_Updates.jpg

[klausk 10]

Auf der Webseite http://www.microsoft.com/technet/security/current.aspx kann nach den aktuellen Updates gefiltert werden.

[checkms 10]

Hi!

 

Ich finde diese -> Seite ganz nützlich und übersichtlich informativ.

[DeathAndPain 10]

Das Problem ist, daß solche Seiten nicht immer vollständig sind. Wenn man z.B. im Microsoft Download Center nach Offline-Updates für Windows sucht, dann sieht man die meisten Updates, aber manche fehlen - aus welchen Gründen auch immer (nicht nur solche, die zum IE usw. gehören, sondern auch welche, die dort eigentlich hingehört hätten IMHO).

 

Anstatt nun darauf zu vertrauen, daß solch Liste wie die von euch verlinkten vollständig sind und ich alle nicht aufgeführten Updates bedenkenlos löschen kann, würde ich mich mit einer Negativliste wohler fühlen, also einer Liste von Updates, die definitiv veraltet sind und die ich gezielt aus meiner Sammlung rausnehmen kann.

 

Die von checkms genannte Seite führt bei allen Patches auf, ob sie noch aktuell sind. Da aber nur aktuelle Patches gelistet sind, bin ich leider genauso schlau wie vorher.

[checkms 10]

Die von checkms genannte Seite führt bei allen Patches auf, ob sie noch aktuell sind. Da aber nur aktuelle Patches gelistet sind, bin ich leider genauso schlau wie vorher.

Alles was nach SP2 noch kam ....das wolltest du doch? :suspect:

[blub 115]

Wenn du niemandem vertrauen willst, dann musst du dir die Dateiversionsnummern ansehen

z.B. http://www.microsoft.com/technet/security/Bulletin/MS05-053.mspx etwa in der Mitte. Alles was eine ältere Versionsnummer hat, kann raus. Es gibt aber doch mittlerweile eine Menge freie Tools wie SUS, WSUS etc, die das Leben einfacher machen

 

cu

blub

[carlito 10]

Ich verstehe den Sinn diesen ganzen Mühe nicht. Einfach nach der Installation Windows Update konfigurieren und gut ist. Alles andere wäre mir als Privatnutzer zu umständlich. In Firmen ist das etwas anders. Dafür gibt es ja Imaging Software, WSUS und Co.

[DeathAndPain 10]

Alles was nach SP2 noch kam ....das wolltest du doch?

Alles, was nach SP2 kam, siehst Du oben in dem Screenshot. Auf der von Dir verlinkten Seite steht aber bei allen (!) Updates "Aktuell: ja". Mit anderen Worten, die veralteten Updates sind gar nicht mehr aufgeführt. Nun kann ich natürlich meinen Screenshot mit Deiner Seite abgleichen, alles, was ich mehr habe löschen und beten, daß da wirklich nichts Aktuelles mehr bei war...

 

Oder kannst Du mir sagen, wie ich auf Deiner Seite die Updates mit der Eigenschaft "Aktuell: nein" anzeigen lassen kann?

 

Wenn du niemandem vertrauen willst, dann musst du dir die Dateiversionsnummern ansehen

z.B. http://www.microsoft.com/technet/se...n/MS05-053.mspx etwa in der Mitte.

Das würde dann doch bedeuten, alle Updates der Reihe nach in ein temporäres Verzeichnis extrahieren, damit ich die Versionsnummern der enthaltenen Dateien prüfen kann, oder verstehe ich das falsch?

 

Es gibt aber doch mittlerweile eine Menge freie Tools wie SUS, WSUS etc, die das Leben einfacher machen

Ein SUS-Server (den ich in der Tat im Zugriff habe) hält nur sicherheitskritische Patches vor (das sind die, für die man keine Gültigkeitsprüfung im MS-Downloadcenter absolvieren muß). Ich möchte die anderen aber auch gerne mit auf der CD haben. Und jene anderen können z.B. auch in solch Positivlisten fehlen.

 

Und die CD möchte ich deshalb haben, weil nicht jeder Rechner, an den ich rangehe, im LAN unseres SUS-Servers steht...

 

Ich verstehe den Sinn diesen ganzen Mühe nicht. Einfach nach der Installation Windows Update konfigurieren und gut ist. Alles andere wäre mir als Privatnutzer zu umständlich.

Umständlich finde ich es, megabyteweise Patches durch die Telefonleitung zu ziehen und darauf lange zu warten, wenn ich alle Patches auf CD bei mir habe. Nicht jeder hat ADSL zu Hause. Und wenn ich einen Rechner frisch eingerichtet habe, ist es definitiv vorteilhaft, wenn ich rasch die CD rüberlaufen lasse und dann einen aktuellen Stand habe. Allemal besser als wenn das Windows Update anläuft, zehn Minuten runterlädt, dann rausfindet, daß es eine neuere Version der Updatesoftware gibt, die runterlädt, dann einen Reboot haben möchte, und dann alles noch mal von vorne und dann noch ne Stunde für Download und Installation der ganzen richtigen Patches. Und hinterher habe ich tonnenweise Sicherheitskopien der alten Dateiversionen auf der Platte, die bei einer Windows-Neuinstallation überhaupt keinen Sinn machen. Klar, man kann die Backupverzeichnisse löschen und dann noch schön der Reihe nach alle Updates aus der Systemsteuerung/Software entfernen. Aber das soll bequem sein? Na ja, jetzt kommen wir allmählich in den Bereich der persönlichen Philosophie.

 

Abgesehen davon ist es ein Glücksspiel, was bei einem frisch installierten Retail-XP mit aktiviertem Auto-Update und Verbindung zum Internet zuerst auf der Platte landet: Das Windows-Update oder der Wurm der Blaster- oder Sasserklasse.

 

Am besten, ich bringe mein Problem noch mal auf den Punkt: Kann ich irgendwo erkennen, welche Patches veraltet sind (an einem deutlicheren Kriterium als dem, daß sie in einer Liste aktueller Patches fehlen)?

[carlito 10]

Umständlich finde ich es, megabyteweise Patches durch die Telefonleitung zu ziehen und darauf lange zu warten, wenn ich alle Patches auf CD bei mir habe. Nicht jeder hat ADSL zu Hause.

 

Geht es dir um Firmen- oder Privat Rechner?

 

Und wenn ich einen Rechner frisch eingerichtet habe, ist es definitiv vorteilhaft, wenn ich rasch die CD rüberlaufen lasse und dann einen aktuellen Stand habe.

 

Auch eine Aktualisierung vom WSUS Server kann man manuell starten.

 

Allemal besser als wenn das Windows Update anläuft, zehn Minuten runterlädt, dann rausfindet, daß es eine neuere Version der Updatesoftware gibt, die runterlädt, dann einen Reboot haben möchte, und dann alles noch mal von vorne und dann noch ne Stunde für Download und Installation der ganzen richtigen Patches.

 

Stundenlanger Download vom internen WSUS Server? Und bei einer manuellen Installation der Patches muss man nicht rebooten, oder wie?

 

Und hinterher habe ich tonnenweise Sicherheitskopien der alten Dateiversionen auf der Platte, die bei einer Windows-Neuinstallation überhaupt keinen Sinn machen.

 

Die hat man nach einer manuellen Installation der Patches auch.

 

Klar, man kann die Backupverzeichnisse löschen und dann noch schön der Reihe nach alle Updates aus der Systemsteuerung/Software entfernen.

 

Mit welcher Begründung sollte man die Updates aus der Softwareliste entfernen?

 

Abgesehen davon ist es ein Glücksspiel, was bei einem frisch installierten Retail-XP mit aktiviertem Auto-Update und Verbindung zum Internet zuerst auf der Platte landet: Das Windows-Update oder der Wurm der Blaster- oder Sasserklasse.

 

Redest du jetzt von Unternehmens- oder Privat-Netzwerken? Erste sollten eine Firewall haben, die vor solchen Sachen schützt.

[DeathAndPain 10]

Geht es dir um Firmen- oder Privat Rechner?

Sowohl als auch. Ich habe meine "Arbeits-CD" mit diversem nützlichen Material immer bei mir wie eine Frau das Schminkzeug in der Handtasche. In der Firma ebenso wie wenn ich meinen Vater daheim besuche und mich um dessen Rechner kümmere.

 

Auch eine Aktualisierung vom WSUS Server kann man manuell starten.

WSUS kenne ich noch nicht, aber vom SUS-Server geht es nur mit undokumentierten Klimmzügen über Rumfummeln in der Registrierung. Und wie ich schon ausgeführt habe, hängen nicht alle in Frage kommenden Rechner im LAN des SUS-Servers.

 

Und bei einer manuellen Installation der Patches muss man nicht rebooten, oder wie?

Doch, aber nur einmal, nachdem die Patches eingespielt wurden, und nicht einmal, nachdem erstmal der Windows-Update-Dienst auf den neuesten Stand gebracht wurde und dann nochmal, nachdem die Patches reingelaufen sind.

 

(bzgl. Backups der alten Dateien) Die hat man nach einer manuellen Installation der Patches auch.

Nein, hat man nicht. Wie ich schon im allerersten Satz dieses Threads ausgeführt habe, lasse ich die CD-Updates durch ein Skript (genauer gesagt einen Batch) ausführen, bei dem die Sicherheitskopien nicht angelegt werden. Parameter -nobackup.

 

Mit welcher Begründung sollte man die Updates aus der Softwareliste entfernen?

Weil die Einträge nach dem Löschen der Backup-Dateien nur noch Müll sind? Hast Du schon mal eine "Softwareliste" installierter Programme gesehen, die aus 10 installierten Programmen und 30 Sicherheitsupdates besteht und dadurch äußerst unübersichtlich ist? Und welchen Nutzen sollten diese Einträge verfolgen, wenn ich die dazugehörigen Backupdateien längst gelöscht habe und eine Deinstallation der Patches daher ohnehin nicht mehr möglich ist? Wenn ich Logs der installierten Patches haben will, werde ich im C:\WINDOWS-Verzeichnis sofort fündig und habe bedeutend mehr Information.

 

Aber ehrlich gesagt bin ich etwas enttäuscht. Ich stelle hier die einfache Frage, wie ich veraltete Updates erkennen kann, und als Antwort bekomme ich im wesentlichen Angriffe, weshalb ich das denn überhaupt tun will. Die Lösung meines Problems scheint dabei aus den Augen verschwunden zu sein.

[PIC 11]

Hallo DeathAndPain,

Aber ehrlich gesagt bin ich etwas enttäuscht. Ich stelle hier die einfache Frage, wie ich veraltete Updates erkennen kann, und als Antwort bekomme ich im wesentlichen Angriffe, weshalb ich das denn überhaupt tun will. Die Lösung meines Problems scheint dabei aus den Augen verschwunden zu sein.

Vielleicht solltest Du nicht so enttäuscht sein. Du hast eine Frage an das Board gerichtet, und einige Mitglieder haben sich mit Deiner Frage auseinandergesetzt. Dass es ganz unterschiedliche Herangehensweisen für eine geschilderte Problematik gibt, ham wir jetzt gesehen. Die von die beabsichtigte Strategie gehört nur bei den bisherigen Postern anscheinend nicht zur bevorzugten Methodik. Als Angriff muss man das aber nicht gleich interpretieren. ;)

Gruss Jan

[carlito 10]

WSUS kenne ich noch nicht, aber vom SUS-Server geht es nur mit undokumentierten Klimmzügen über Rumfummeln in der Registrierung.

 

http://www.wsus.de/wuauclt.htm

"Da die Überprüfung der Clients zeitraubend sein kann, gibt es die Möglichkeit eine Abfragung sofort einzuleiten. Führen Sie auf einem Client-Computer, auf dem der neue Automatic Update Client installiert ist, folgenden Aufruf in der Kommandozeile aus: wuauclt.exe /detectnow"

 

Weil die Einträge nach dem Löschen der Backup-Dateien nur noch Müll sind? Hast Du schon mal eine "Softwareliste" installierter Programme gesehen, die aus 10 installierten Programmen und 30 Sicherheitsupdates besteht und dadurch äußerst unübersichtlich ist?

 

Es reicht den Haken "Updates anzeigen" in Systemsteuerung -> Software zu entfernen, um die Updates auszublenden.

 

Und welchen Nutzen sollten diese Einträge verfolgen, wenn ich die dazugehörigen Backupdateien längst gelöscht habe und eine Deinstallation der Patches daher ohnehin nicht mehr möglich ist?

 

Wer sagt das eine Deinstallation der Patches nicht möglich ist? AFAIK lassen sich alle Patches, die unter Systemsteuerung -> Software angezeigt werden, deinstallieren.

 

Aber ehrlich gesagt bin ich etwas enttäuscht. Ich stelle hier die einfache Frage, wie ich veraltete Updates erkennen kann, und als Antwort bekomme ich im wesentlichen Angriffe, weshalb ich das denn überhaupt tun will. Die Lösung meines Problems scheint dabei aus den Augen verschwunden zu sein.

 

Ich habe dich nicht angegriffen. Ich habe mich lediglich gefragt, warum du diesen Weg gehst, da es IMHO deutlicher einfacher geht. Nachdem du nach und nach deine Gründe, warum du es so machst erklärst, kann ich diese auch besser nachvollziehen. Im übrigen habe ich die Lösung des Problems nicht aus den Augen verloren.

[Velius 10]

Allegemein üblich wird diese Problematik mit dem aktuellsten Service Pack und/oder slipstreaming der Service Packs und/oder Patches in die Windows Installations-CD angegangen. nLite beipielsweie (Boardsuche) hilft enorm beim erstellen solch einer CD.

 

Wenn es um das Firmen-LAN geht würde ich langsam den Umstieg auf WSUS in's Auge fassen.

 

Velius

 

 

P.S.:

 

Nur so als Tipp: Geh den Ratschlägen der Boardmembers mal ausführlich nach und du wirst realisieren, dass auch eine 99.8%-ige (falls es überhaupt sowas wie eine 100%-ige Antwort gibt) einiges Wert ist.

[DeathAndPain 10]

http://www.wsus.de/wuauclt.htm

"Da die Überprüfung der Clients zeitraubend sein kann, gibt es die Möglichkeit eine Abfragung sofort einzuleiten. Führen Sie auf einem Client-Computer, auf dem der neue Automatic Update Client installiert ist, folgenden Aufruf in der Kommandozeile aus: wuauclt.exe /detectnow"

Beim WSUS. Wie gesagt haben wir nur einen normalen SUS-Server.

 

Es reicht den Haken "Updates anzeigen" in Systemsteuerung -> Software zu entfernen, um die Updates auszublenden.

Datenmüll sind die Einträge dennoch.

 

Wer sagt das eine Deinstallation der Patches nicht möglich ist?

Ich. :)

 

AFAIK lassen sich alle Patches, die unter Systemsteuerung -> Software angezeigt werden, deinstallieren.

Die Einträge in der Systemsteuerung sind technisch gesehen nur Links, die eine Deinstallationsroutine anstoßen. Und die ist bei den Windows-Patches in dem (versteckten) Ordner enthalten, der auch die Backups der alten Dateien enthält. Schau mal in Dein C:\WINDOWS-Verzeichnis und aktiviere dabei die Anzeige versteckter Dateien. Da wirst Du am Anfang eine ganze Reihe von Ordnern finden, pro Patch einen. Die Ordner tragen als Namen die Knowledgebase-Nummer des Patches und sind damit mühelos zu erkennen.

 

Wenn Du diese Ordner löschst und dann in der Systemsteuerung versuchst, den zugehörigen Patch zu deinstallieren, dann bekommst Du eine Meldung, daß die Deinstallationsdateien dieses Eintrags nicht mehr vorhanden sind, und Windows fragt Dich, ob es den offensichtlich nutzlosen Eintrag aus der Softwareliste entfernen soll. Wenn Du dann ja klickst, ist er weg.

 

Wenn Du den Patch allerdings offline mit dem Parameter -nobackup installierst, dann werden die b_l_ö_d_e_n (wieso ist dieses Wort in der Zensurliste dieses Boards???) Backupdateien gar nicht erst angelegt, und der Patch erscheint demzufolge auch nicht in der Softwareliste. Als Bonbon geht der ganze Patchprozeß natürlich auch schneller, wenn Windows sich das Umkopieren der alten Dateien kneift.

 

Allegemein üblich wird diese Problematik mit dem aktuellsten Service Pack und/oder slipstreaming der Service Packs und/oder Patches in die Windows Installations-CD angegangen.

Ich mag nur nicht einmal im Monat eine neue Slipstream-Windows-CD brennen. Da müßte ich ja dann auch immer zwei CDs mit mir rumschleppen. Da ist es einfacher, ich füge meiner Arbeits-CD, die auch noch ne Menge anderes Zeug enthält, rasch eine weitere Multisession an und bin damit sofort wieder auf dem neuesten Stand. Nur haben sich inzwischen auf diese Weise halt eine Menge Patches angesammelt, und ich würde gerne mal aufräumen und beseitigen, was ich davon nicht mehr brauche.

 

Wenn es um das Firmen-LAN geht würde ich langsam den Umstieg auf WSUS in's Auge fassen.

Never change a running system... daher möchte ich die einjährige Karenzzeit schon gerne voll ausschöpfen. Sollen sich die anderen mit dem Ärger der Kinderkrankheiten von WSUS herumschlagen. Ich steige dann ein, wenn es ausgereift ist. Es gibt bei uns keine Notwendigkeit eines sofortigen Umstiegs.

 

Nur so als Tipp: Geh den Ratschlägen der Boardmembers mal ausführlich nach und du wirst realisieren, dass auch eine 99.8%-ige (falls es überhaupt sowas wie eine 100%-ige Antwort gibt) einiges Wert ist.

Das ist wohl wahr - aber inwiefern ist meine Frage, wie ich veraltete Patches erkennen kann, auch nur zu 70% beantwortet?

[Velius 10]

 

 

Ich mag nur nicht einmal im Monat eine neue Slipstream-Windows-CD brennen. Da müßte ich ja dann auch immer zwei CDs mit mir rumschleppen. Da ist es einfacher, ich füge meiner Arbeits-CD, die auch noch ne Menge anderes Zeug enthält, rasch eine weitere Multisession an und bin damit sofort wieder auf dem neuesten Stand. Nur haben sich inzwischen auf diese Weise halt eine Menge Patches angesammelt, und ich würde gerne mal aufräumen und beseitigen, was ich davon nicht mehr brauche.

 

Wer sagt, dass du jeden Monat eine neue brennen musst? Die einzigen Schwachstellen welche effektiv grosse Schwierigkeiten bereiteten hast du bereits angesprochen, und die wurde durch Sasser oder Blaster ausgenütz. Die Schwachstelle wurde aber seit dem Patch, aber alle spätestens seit SP2, da kumulativ, behoben. Man muss sich über die Schachstellen im einzelnen informieren und überprüfen ob entsprechende Exploits oder Viren bestehen. Ich fahre soweit sehr gut damit. Und abegesehen davon, wie lange hast du dafür eine CD zu slipstreamen und zu brennen? Etwa 15 Minuten...? Ich weiss ja nicht was du da sonst noch drauf hast und wieviel Aufwand das erzeugt, aber IMHO ist der Aufwand verschmerzbar.

 

Never change a running system... daher möchte ich die einjährige Karenzzeit schon gerne voll ausschöpfen. Sollen sich die anderen mit dem Ärger der Kinderkrankheiten von WSUS herumschlagen. Ich steige dann ein, wenn es ausgereift ist. Es gibt bei uns keine Notwendigkeit eines sofortigen Umstiegs.

 

Ich hatte weder mit SUS noch mit WSUS Probleme. Ausserdem abe ich "in's Auge fassen" gesagt. Das ist etwas längerfristiges als "sofortiger Umstieg".

 

 

Das ist wohl wahr - aber inwiefern ist meine Frage, wie ich veraltete Patches erkennen kann, auch nur zu 70% beantwortet?

 

 

Es wurde schon angedeutet, dass alles vor SP2 veraltet ist. Denn Aufwand zu betreiben alle Patches nach SP2 nach superseding Updates zu prüfen (WSUS informiert übrigens automatisch und deakiviert die entsprechenden Updates) halte ich wiederum für übertrieben.

Wenn du aber soweit nichtmal zu 70% mit den Anworten zufrieden bist, dann ist dass:

 

1. Primär Ansichtssache
   
2. Und insofern überflüssig seine Entäuschung mitzuteilen, denn die Unterstützung hier ist ungebunden, ...und wer weiss, vielleicht kommt noch entsprechender Rat.
   

 

 

Velius