{"id":1135,"date":"2022-01-19T22:55:58","date_gmt":"2022-01-19T21:55:58","guid":{"rendered":"https:\/\/www.krombusch.de\/?p=1135"},"modified":"2022-01-22T13:21:11","modified_gmt":"2022-01-22T12:21:11","slug":"wsus-oob-updates-msu-importieren","status":"publish","type":"post","link":"https:\/\/www.krombusch.de\/?p=1135","title":{"rendered":"Updates manuell in WSUS importieren"},"content":{"rendered":"

Wenn es nach dem Patchday mal wieder gescheppert hat<\/a>, liefert Microsoft Korrekturen gerne ein paar Tage sp\u00e4ter optionale Qualit\u00e4tsupdates nach. Man liest auch das K\u00fcrzel OOB (Out-Of-Band). Doch diese kommen f\u00fcr den WSUS in Firmen nicht an. Wer also die fehlerbehafteten Updates des Patchday nicht installieren kann, aber die Sicherheitsl\u00fccken bis zum n\u00e4chsten Monat nicht offen lassen will, kann die Korrekturdateien manuell in WSUS importieren und freizugeben. Im konkreten Beispiel aus dem Januar 2022 wird die KB5009543 durch deren Korrektur in KB5010793 ersetzt:<\/p>\n

<\/p>\n

Am Anfang ist \u00fcber die Windows-Health-Webseite nat\u00fcrlich das Erscheinen eines Korrektur-Updates abzuwarten. https:\/\/aka.ms\/wrh<\/a> Nach Bekanntgabe der neuen KB-Nummer kann die f\u00fcr das Firmennetz ben\u00f6tigte msu-Patchdatei \u00fcber einen beliebigen Browser (es muss entgegen anderer Angaben nicht der veraltete IE sein) heruntergeladen werden. Die Update-ID aus der URL sollte man sich merken. (im Screenshot markiert).<\/span><\/p>\n

\"\"<\/a>
\nDie msu-Datei dann am besten auf den WSUS kopieren. Der erste manuelle Import-Versuch \u00fcber die Powershell d\u00fcrfte scheitern, was (bei uns auf einem Windows2019-Core-Server) an zu laxen TLS-Einstellungen f\u00fcr die WSUS-Webseite lag. (Das Powershell-Modul kommuniziert \u00fcber diese mit dem WSUS). Es ist also nicht ein Fehler in der Powershell, die ein m\u00f6gliches „The underlying connection was closed: An unexpected error occurred on a send.“ nur weiterreicht. Sie selbst spricht im Normalfall das notwendige TLS-1.2-Protokoll, wie die Ausgabe von
\n„[Net.ServicePointManager]::SecurityProtoco<\/em>l“ anzeigen sollte.
\nEs ist auch zu lesen, dass ein Registry-Key auf dem WSUS gesetzt werden sollte. Der war bei uns aber schon vorhanden. Wenn nicht, in der PS eingeben:
\nSet-ItemProperty -Path’HKLM:\\SOFTWARE\\Wow6432Node\\Microsoft\\.NetFramework\\v4.0.30319′ -Name’SchUseStrongCrypto‘ -Value ‚1‘ -Type DWord<\/em>
\nSet-ItemProperty -Path ‚HKLM:\\SOFTWARE\\Microsoft\\.NetFramework\\v4.0.30319‘ -Name ‚SchUseStrongCrypto‘ -Value ‚1‘ -Type DWord<\/em><\/p>\n

\"\"<\/a>
\nDer Trick liegt woanders: Man lade sich das IISCrypto-Tool<\/a> herunter, was es dankenswerterweise f\u00fcr nicht-grafische Systeme mittlerweile auch als CLI-Version gibt. Ein iiscryptocli \/backup backup.reg \/template strict<\/em><\/strong> setzt auf dem WSUS dann im IIS die Werte, die – nach einem Neustart – ein anschlie\u00dfendes Importieren der aus dem Microsoft-Update-Catalog heruntergeladenen MSU-Datei erlauben. Diese muss je nach Unternehmenspolicy zur automatischen Genehmigung im WSUS noch freigegeben werden.<\/p>\n

\"\"<\/a><\/p>\n

Im Screenshot ist zu sehen, dass das markierte Update 5010793 die 5009543 ersetzt. Das sollte sich somit genauso verhalten, als w\u00fcrde man in Windows-Update manuell auf ein optionales Qualit\u00e4tsupdate zum Herunterladen klicken: Damit findet eine Pr\u00fcfung statt und das zu ersetzende Update verschwindet aus der Liste. Man kann dann immer sch\u00f6n sehen, dass sich die Update-Suche dann quasi neu aufbaut.<\/p>\n

\"\"<\/a>
\nNicht so im Firmen-WSUS : Stellt man die beiden Updates 5009543 und 5010793 auf „genehmigt“, so installiert Windows zun\u00e4chst das erste und (nach einem Neustart) das Korrekturupdate. Was nicht schadet, aber Zeitverschwendung ist. Au\u00dferdem w\u00fcrde der Begriff „kumulativ“ ad absurdum gef\u00fchrt.\u00a0 Insofern ist es sinnvoller, nur das manuell importierte Update zu genehmigen. Die Clients sind danach zufrieden.<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

Hinweis zum Windows Server 2019 (1809), der auf demselben Kernel wie o.a. Windows 10 basiert: Hier werden (ohne WSUS) vor der Installation der Januar-Updates keine optionalen Qualit\u00e4tsupdates zum Herunterladen angeboten. Es reicht aber wie bei Windows 10 aus, das kumulative Update KB5010791 ohne das vorherige Update KB5009557 manuell \u00fcber die MSU-Datei zu installieren.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Wenn es nach dem Patchday mal wieder gescheppert hat, liefert Microsoft Korrekturen gerne ein paar Tage sp\u00e4ter optionale Qualit\u00e4tsupdates nach. […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1135","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/1135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1135"}],"version-history":[{"count":5,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/1135\/revisions"}],"predecessor-version":[{"id":1147,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/1135\/revisions\/1147"}],"wp:attachment":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}