Patchverwaltung im Windows-Netz: WSUS 3.0 perfekt einrichten

Sobald der WSUS-Server über die gewünschten Patches verfügt, ist es an der Zeit, sie den Client-Computern zugängig zu machen. Nichts wäre leichter – schließlich ist das der ganze Sinn und Zweck von WSUS. Dazu sind zwei Schritte notwendig: Den ersten hat man nur einmal vor sich, nämlich die Clients mit dem Server bekannt zu machen. Jedes Windows-Betriebssystem ab XP SP2 ist mit dem WUAU-Client ausgestattet. Sollte dieser veraltet sein, dann übernimmt WSUS 3.0 beim ersten Kontakt automatisch das Update. Ältere Computer benötigen einen Download oder Handarbeit bei der Installation. Bei Windows 2000 und XP SP1 genügt es, den Gruppenrichtlinieneditor „gpedit.msc“ zu öffnen, dort einen Rechtsklick auf die Administrativen Vorlagen zu machen und bei „Hinzufügen“ den wuau.adm auszuwählen. Die IP-Adresse oder den Hostnamen des WSUS-Servers kann man nach einem Neustart des Gruppenrichtlinieneditors unter „Administrative Vorlagen“„Windows Komponenten“„Windows Update“ konfigurieren.

Unbedingt erforderlich sind im Prinzip nur zwei Einstellungen: „Automatische Updates konfigurieren“ – hier erteilt man die Erlaubnis zum Update – und „Internen Pfad für den Microsoft Updatedienst angeben“ – hier wird der Hostname des Servers eingetragen. Wichtig kann noch folgende Einstellung sein: „Clientseitige Zielzuordnung aktivieren“. WSUS organisiert die PCs in am Server angelegte Gruppen. Entweder die Zuordnung von PC zu Gruppe läuft manuell am Server, dann muss man jeden PC von Hand in seine Gruppe verschieben, oder sie erfolgt schon am Client, indem die clientseitige Zielzuordnung aktiviert und die gewünschte Gruppe eingetragen wird. All diese Einstellungen sind auch über Gruppenrichtlinien zugänglich, falls man Active Directory im Netz einsetzt.

Es dauert ein wenig, bis die PCs am WSUS-Server auftauchen, in der Regel aber nicht länger als 30 Minuten. Über folgendes Kommando beschleunigt man den Vorgang:

gpupdate /force

Damit übernimmt der Computer die lokale Gruppenrichtlinie schneller. Das Gleiche gilt für die Abfrage, ob neue Patches verfügbar sind. Die Clients fragen regelmäßig beim Server an – soll die Abfrage forciert werden, genügt in der Regel der Befehl:

wuauclt.exe /detectnow

Es sind aber auch grafische Tools verfügbar, die den gleichen Zweck und noch ein paar darüber hinaus erfüllen.

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Patchverwaltung im Windows-Netz: WSUS 3.0 perfekt einrichten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *