WSUS in einer workgroup Umgebung mit Windows Server 2016 / 2019 und Windows 10 LTSB / Pro (21H1)
Forderung:
Windows10-Client sollen nur mit internem Netzwerk von einem
Windows-Server mit
WSUS-Rolle (Windows-Update-Server, WSUS) ihre
Updates beziehen.
Wie kann dies konfiguriert
werden?
Netzwerk:
Die Windows10-Clients sollen
nicht mit dem Internet verbunden sein,
nur mit dem internen
Netzwerk und damit mit dem Windows-Server.
Trotzdem sollen vor
Bedrohungen durch lokale Datenträger geschützt sein.
Ein
Windows-Server mit mehreren Windows-Clients im WORKGROUP-Setup,
keine
Namensauflösung per DNS (Domain Name System), kein AD (Activce
Directory).
Der Server stellt einen Windows-Update-Server
(WSUS) für die Windows-Clients bereit.
Diese sollen ihre
Windows-Updates und Defender Antivirus Updates ausschließlich vom
Windows-Server mit der WSUS-Rolle beziehen.
Änderungen
für die Adressen des WSUS-Servers sollen an die Windows-Clients
verteilt werden.
# Note
Port 135 wird benutzt, ist aber nicht an eine Netzwerkkarte gebunden,
der Port wird benutzt von RpcSs / DCOM
- klare Computernamen, z.B. SVR2016, DESK1, DESK2 vergeben
- feste IP-Adressen setzen
######################################################################
auf dem Server:
- ausschalten der automatischen Metrik, wenn mehrere Netzwerkkarten benutzt werden
manuell setzen, z.B. external 1, internal 5
- die Netzwerkkarten mit einer Gateway-Addressen versehen!
- Netzwerk intern auf privat setzen über die Powershell:
Powershell als Administrator aufrufen
'get-netconnectionprofile' eingeben und 'InterfaceIndex' ermitteln
setzen mit 'set-netconnectionprofile -InterfaceIndex <Nummer> -NetworkCategory Private'
- installiere die Rolle WSUS im 'Server Manager' mit allen Abhängigkeiten
- Produkt / Klassifizierung
Produkt: Windows / Microsoft Defender Antivirus
Produkt: Windows / <Deine Windows-Version>
Klassifizierung: Definitions Updates
Klassifizierung: Sicherheits Updates
Klassifizierung: Wichtige Updates
Nicht benötigte Sprachen weglassen, sonst wird der Server zu voll!
Deutsch und Englisch auf jeden Fall auswählen.
Bei den den Produkten könnte z.B. auch Office mit angewählt werden.
- starte die Synchronisation
- im Fenster 'Windows Server Update Services' klicke auf 'Alle Updates'
und update manuell, es passiert nicht automatisch.
- Updates überprüfen und mit rechter Maustaste freigeben
- GPO (gpedit.msc) starten
Computer Konfiguration
Administrative Vorlagen
Windows Komponenten
Windows Defender Antivirus
Signaturaktualisierung
- Angeben des Intervals, in dem nach Definitionsupdates
gesucht werden soll: 1
- Definitionsupdate beim Start Aktivieren: aktiviert
- überprüfen auf die
aktuellen Viren- und Spywaredefinitionen beim Start
######################################################################
auf den Clients:
W10LTSC (in den Produkten auf dem WSUS-Server 'LTSB' wählen)
- GPO (gpedit.msc) starten
Computer Konfiguration
Administrative Vorlagen
Windows Komponenten
Windows Update
- automatische Updates konfigurieren
- internen Pfad für den Microsoft Updatedienst
eintragen: http://<Server-IP-Addresse>:8530 (hier
IP-Addressen und keine Namen angeben!)
- keine Verbindungen mit dem
Windows-Update-Internet-Addressen herstellen
Windows Defender Antivirus
Signaturaktualisierung
- Definitionsupdate beim Start Aktivieren: aktiviert
- Definieren der Reihenfolge der Quellen für das herunterladen:
nur 'InternalDefinitionUpdateServer' eintragen
möglicherweise noch:
- Angeben der Uhrzeit, zu der nach
Definitionsupdates gesucht werden sollen
- überprüfen auf die
aktuellen Viren- und Spywaredefinitionen beim Start
cmd als Administrator ausführen und 'gpupdate /force' ausführen
Windows update starten
W10 21H1 (in den Produkten auf dem WSUS-Server 'Windows 10, 1903 and later' wählen)
- GPO (gpedit.msc) starten
Computer Konfiguration
Administrative Vorlagen
Windows Komponenten
Windows Update
- automatische Updates konfigurieren
- internen Pfad für den Microsoft Updatedienst
eintragen: http://<Server-IP-Addresse>:8530 (hier
IP-Addressen und keine Namen angeben!)
- keine Verbindungen mit dem
Windows-Update-Internet-Addressen herstellen
cmd als Administrator ausführen und 'gpupdate /force' ausführen
Windows update starten
######################################################################
Die Einstellungen künnen auf den WINDOWS10-Clients mit Reg-Dateien verteilt werden:
HKLM
Software
Policies
Microsoft
Windows
WindowsUpdate
Befehl:
reg export
"HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate" windows_update_1.reg
HKLM
Software
WOW6432Node
Policies
Microsoft
Windows
WindowsUpdate
Befehl:
reg export
"HKLM\Software\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate" windows_update_2.reg
Windows Defender Update konfigurieren, Registryschlüssel
HKLM
Software
Policies
Microsoft
Windows Defender
Befehl:
reg
export "HKML\Software\Policies\Microsoft\Windows Defender" windows_defender_sig_1.reg
HKLM
Software
WOW6432Node
Policies
Microsoft
Windows
Defender
Befehl:
reg export "HKML\Software\WOW6432Node\Policies\Microsoft\Windows Defender" windows_defender_sig_2.reg
Importieren der Schlüssel auf weiteren Windows-Clients mit dem
reg-Kommando.
(reg import <Dateiname>)
# Note:
Windows Defender Cache auf dem Client leeren:
'cmd' als Administrator aufrufen, dann:
cd "%ProgramFiles%\Windows Defender"
MPCmdRun.exe -removedefinitions -dynamicsignatures
MPCmdRun.exe -SignatureUpdate
Microsoft Defender DOCs
WSUS Listen