Zitat:
Zitat von peterschirmer
Ein Tipp von mir:
Legt euch ein möglichst großes Archiv mittels eines oder mehreren der vielen Downloadprogramme an. Ladet euch dann Monat für Monat die verschiedenen Updates von den Microsoftservern herunter, für die eine WGA-Prüfung notwendig ist. Packt auch evtl. Microsoft-Zusatzprogramme dazu, die mit Kommandozeilenschaltern umgehen können (Windows Mediaplayer,...).
Solltet ihr dann einmal euer Windows neu installieren, habt ihr alle Updates und die Windows-Update-Seite zeigt keine Einträge an. Somit seit ihr bestens gegen Eindringlinge bei einer Neuinstallation geschützt.
Macht euer Windows sicher! Jetzt gleich!
|
Diese Idee mit dem schönen großen Updatearchiv ist mir nicht mehr aus dem Kopf gegangen. Daher habe ich mein Programm entsprechend erweitert. Es wird zur Zeit noch getestet. Ich hoffe, dass alles gut verläuft.
Ich möchte gerne vorab eine Best-Practice vorstellen, mit der man sein System komfortabel bei einer Neuinstallation offline auf den neuesten Stand bringen kann. Ich zeige es am Beispiel von Windows XP. Es gibt zwei Wege, ein Updatearchiv anzulegen.
1. Man führt gerade eine Neuinstallation durch
2. Man hat ein bereits laufendes System
Voraussetzungen
Damit das System möglichst sicher ist, sollte dringend das Service Pack 2 installiert sein. Wer es nicht installiert hat, geht eine sehr große Gefahr ein. Ideal ist eine Slipstream-CD von Windows XP, bei der schon das SP 2 enthalten ist. Wie man sich diese CD erstellen kann, zeigt der folgende Artikel von
zdnet.de
Als nächstes sind der aktuelle
Windows Updateagent 3.0 und der aktuelle
Microsoft Baseline Security Analyzer 2.1 nötig.
1. Weg: Man führt gerade eine Neuinstallation durch
Diese Methode eignet sich, wenn man gerade sein System neu aufsetzt und von Grund auf ein Updatearchiv anlegen möchte.
Updatepaket vorher nötig
Es ist ein Updatepack notwendig. Dieses sorgt dafür, dass die größten Löcher von Windows gestopft sind, bevor der MBSA seine Arbeit aufnehmen kann. Z.B. kann man dafür den Winboard Updatebuilder nehmen. Im weiteren gehe ich davon aus, dass
vor der Neuinstallation der Winboard Updatebuilder 3.0 ausgeführt wurde und das Archiv auf CD / DVD gebrannt wurde.
Die Neuinstallation von Windows (inkl. Updatearchiv anlegen)
Im Grunde genommen ist es ganz einfach. Man legt die CD ein, bootet von CD und stößt die Installation von Windows XP an. Nach ca. 30 bis 45 Minuten ist der Rechner einsatzbereit und man kann Treiber für die Grafikkarte und die Soundkarte installieren.
Eigentlich wären wir fertig, wäre da nicht die Tatsache, dass Windows XP SP2 schon älter ist (von 2004). In der Zwischenzeit sind viele Updates erschienen, die Löcher stopfen. Es ist äußerst riskant nur mit dem SP 2 ins Internet zu gehen (von Rechnern ohne SP 2 will ich gar nicht sprechen!).
Die größten Löcher stopfen
Daher kommt der Winboard Updatebuilder ins Spiel. Zunächst legen wir uns auf Laufwerk D:\ (oder ein anderes Laufwerk, bloß nicht C:\!) einen Ordner "Updates" an. Hier hinein kopieren wir den Inhalt der CD / DVD mit dem Winboard Updatebuilder. Es muss dann so aussehen: D:\Updates\WinBoard_UpdatePack"
Wir starten die Datei "Start.bat" und wählen Punkt 2: "Install Patches".
Der Rechner sollte unbedingt danach neu gestartet werden, damit Dateien, die Windows während des Betriebs braucht, korrekt gegen die neuen ausgetauscht werden.
Mit dem Winboard Updatebuilder sind die größten Löcher gestopft und man kann ein wenig beruhigter ins Internet gehen.
Daher wird
erst jetzt der Interzugang eingerichtet.
Wir installieren nun den Microsoft Baseline Security Analyzer und den Windows Updateagent und starten den Rechner wieder neu.
Updatearchiv nebenbei anlegen
Jetzt sind alle Voraussetzungen erfüllt, nebenbei ein Updatearchiv anzulegen.
Wir sind ja nicht dumm und sparen uns die Arbeit und legen uns das perfekte Archiv an.
Zunächst richten wir Get WSUS Content Lite gemäß Anleitung ein.
Aus dem Installationsverzeichnis des MBSA kopieren wir dann die Dateien "„mbsacli.exe" und "wusscan.dll" nach C:\bin.
Wir starten dann GWC Lite und wählen den Punkt "Microsoft Baseline Security Analyzer 2". Unter dem Punkt "Das Updatearchiv liegt in...." wählen wir D:\Updates.
Das war es schon. Wir klicken auf "OK" und wählen den Punkt "Noch fehlende Security Updates" und klicken wieder auf "OK". Dann erhalten wir eine Meldung, dass der Rechner nun gescannt wird. Die Meldung wird mit "Ja" bestätigt.
Es dauert ein wenig und dann erscheint die Meldung, dass der Rechner gescannt wurde und ob wir die Dateien herunterladen wollen. Aber natürlich wollen wir das! Also auf "Ja" klicken. Die Dateien werden in unserer Archiv geladen und wir erhalten eine Meldung. Jetzt klicken wir auf "Ende".
Herunterladen und installieren
Jetzt wird es ein wenig lästig. Denn wir müssen die Updates noch installieren, damit wir weiter scannen und herunterladen können. Das ist nötig, da Abhängigkeiten zwischen einigen Updates bestehen. D.h. kurz gesagt, dass ein Update erst installiert werden kann, wenn ein anderes vorhanden ist.
Ich empfehle, Windows Update zu nutzen, um die Updates zu installieren. Der Winboard Updatebuilder hat schon die größten Löcher gestopft, so dass das Installieren über Windows Update recht sicher ist.
Nachdem Windows Update die Updates installiert hat, starten wir den Rechner neu. Wir starten erneut Get WSUS Content und nutzen die Funktion "Microsoft Baseline Security Analyzer 2" und wiederholen das Scannen, Herunterladen der Updates und Installation über Windows Update solange, bis beim Downloaden mit Get WSUS Content keine Dateien mehr ankommen.
Vorteile der Methode
Man kann sich natürlich nun fragen, was das alles soll. Das ist ganz einfach: Wir laden einmal die Updates in unser persönliches Archiv. Damit werden zunächst alle fehlenden Security Updates ermittelt. Diese fehlenden werden dann über Windows Update installiert. Somit wächst unser Archiv schön langsam an. Diese kann man dann später
offline installieren und brauchen nicht online gehen.
Wenn wir später unser Archiv nur noch mit den aktuellen Updates auffüllen, hat die Methode den unschlagbaren Vorteil, dass wir nur kurz die Dateien herunterladen müssen.
Man ist länger online und entsprechend angreifbar, wenn man die Updates regelmäßig online installiert. Denn während die Installation läuft, ist man ja noch mit Windows Update verbunden.
Persönliches Archiv ergänzen
Wir müssen jetzt nur noch die Updates, die der Winboard Updatebuilder installiert hat, in unserer Updatearchiv kopieren. Wir kopieren also schnell alle Dateien aus dem Verzeichnis D:\Updates\WinBoard_UpdatePack\patches nach D:\Updates. Den Winboard Updatebuilder (das Verzeichnis) können wir dann löschen.
Einen Pferdefuß hat die Angelegenheit leider: Der MBSA liefert nur Security Updates, aber nicht die optionalen Updates, siehe
Was ist der Unterschied zwischen dem MBSA 2.0 und Microsoft Update? 
Wer
definitv alle Updates haben möchte, kommt leider nicht darum herum, die anderen Patches einzeln von Hand in dem Verzeichnis zu sichern (siehe Bild). Oder man nimmt verschiedene andere Downloadprogramme zusätzlich hinzu. Empfehlenswert finde ich
den Update-Pack-Creator. Wir laden also mittels eines der Programme
einmalig alle Updates nach D:\Updates und so wird unser Archiv weiter ergänzt.
Eine weitere Methode: Ladet euch das ISO-Image mit allen Security Updates für alle Systeme und Sprachen von Microsoft herunter,
Link. Jeden Monat ist unter diesem
Link das aktuelle ISO-Image zu finden (siehe Bilder 2 bis 5). Kopiert von Hand die einzelnen Dateien aus den Verzeichnissen nach D:\Updates.
Das Bild zeigt einen Scan nach der Installation aller Security Updates. Die anderen Kategorien (z.B. "Nicht kritisch" müssen demnach noch heruntergeladen und installiert werden).
Aber das soll uns nicht aufhalten!
2. Weg: Man hat ein bereits laufendes System
Dies ist die beste und die schnellste Methode. Hierbei werden alle installierten Security Updates, die schon auf dem System vorhanden sind, erkannt und in unserer persönliches Archiv geladen.
Um dies zu ermöglichen gehen wir wie folgt vor:
1. Wir starten GWC Lite und wählen "Microsoft Baseline Security Analyzer 2"
2. Wir geben unter "Das Updatearchiv liegt in..." unser persönliches Updatearchiv an und klicken auf "OK"
3. Wir wählen "Bereits installierte Security Updates" und klicken auf "OK"
4. Wir erhalten einen Hinweis, dass der Rechner gescannt wird und dass die Updates heruntergeladen werden. Die Meldung bestätigen wir mit "Ja".
Das war's! Es werden alle bereits auf dem System vorhandenen Security-Updates in unser persönliches Archiv geladen.
Fertig!
Vorgehen am Patchday
Nachdem wir unser Archiv angelegt haben, wollen wir dieses an jedem Patchday erweitern.
Nehmen wir z.B. an, wir wollen die Updates für den Oktoberpatchday installieren. Wir füllen zunächst unserer Archiv auf (mit Get WSUS Content und von Hand), das ist ja gerade das Ziel.
Dann wählen wir den Punkt "Ein anderes Programm" und geben unser Updatearchiv an. Wir wählen außerdem den Punkt "Updates eines bestimmten Monats" und geben als Monat 10 ein und als Jahr 2007. Anschließend klicken wir auf "OK" und die Dateien werden kopiert. Nun können wir eine CD mit Get WSUS Content Lite erstellen, die nur die Updates aus dem Oktober beinhaltet. Und wir erstellen uns regelmäßig eine zweite CD, die
alle Updates aus unserem Archiv enthält.
Diese erste fertige CD legen wir später ein und warten, bis das Programm fertig ist. Wir sind natürlich offline und sind gegen Angriffe sicher. Patchday Oktober erfolgreich verarztet!
Neuinstallation mit perfektem Updatearchiv
Der nächsten Neuinstallation (hoffentlich selten) sehen wir ganz gelassen entgegen, denn wir haben ja unser Updatearchiv. Wir nehmen uns dann die zweite CD, die ja regelmäßig neu erstellt wird, damit auch immer schön alle Updates drin sind. CD rein, warten und unser Windows ist abgesichert!
Ich hoffe, diese Anleitung motiviert euch dazu ein Updatearchiv anzulegen. Obwohl Microsoft es nicht leicht macht, ein Offline Update anzulegen, ist es mit ein wenig Aufwand und ein paar Zusatzprogrammen dennoch möglich.
Es ist enorm wichtig!
Der Microsoft Baseline Security Analyzer kann nicht nur fehlende Security Updates ermitteln, sondern auch auf weitere Sicherheitslücken hinweisen. Lest euch die Beschreibung dazu durch.
Macht euer Windows sicher! Jetzt gleich!
Gruß
Peter
