[English]Kurzer Hinweis für Administratoren im Unternehmensumfeld, die Updates mittels WSUS (und/oder SCCM) verteilen. Microsoft schaltet vor dem nächsten Patchday einen Endpunkt ab. Zudem möchte ich an das Thema SHA2-Umstellung erinnern.
Anzeige
WSUS: Synchronisations-Endpunkt wird abgeschaltet
Windows Server Update Services (WSUS) verwendet bestimmte Server-URLs zum Synchronisieren von Updates. Nun bin ich über folgenden Tweet darauf aufmerksam gemacht worden, dass Microsoft einen solchen Synchronisierungs-Endpunkt zum kommenden Patchday abschaltet.
HEADS UP ENTERPRISE FOLKS, using SCCM & WSUS:
EP SYNC being Decommissioned.Thank You: @MPECSInc
ICYMI: @SBSDiva @AdminKirsty @thurrott @maryjofoley @bdsams @mehedih_ @ruthm @SwiftOnSecurity @pcper @MalwareJake @JobCacka @etguennihttps://t.co/2BEArylkU7
1/3
— Crysta T. Lacey (@PhantomofMobile) 3. Juli 2019
Microsoft teilt im Techcommunity-Artikel WSUS synchronization endpoint being decommissioned on Monday, July 8 mit, dass der Endpunkt:
fe2.update.microsoft.com
Anzeige
am kommenden Montag, den 8. Juli 2019, abgeschaltet wird. Diese URL ist für WSUS dann nicht länger erreichbar. Bei WSUS-Servern, die noch für den alten Endpunkt konfiguriert sind, sollte diese Änderung zu einer einmaligen langsamen Synchronisierung führen (typischerweise nur wenige Minuten), da der WSUS-Server automatisch auf den neuen Endpunkt umschaltet.
Obwohl der Wechsel automatisch erfolgen sollte, empfiehlt es sich, als Administrator da ein Auge drauf zu haben. Wenn nach Montag auf Synchronisationsfehler auftreten, finden Betroffene im KB-Artikel 4482416 – WSUS synchronization fails with SoapException Hinweise, um zu überprüfen, ob sie von dem Problem betroffen sind. Trifft das zu, gibt es auch Anleitungen, um das zu beheben.
SHA2-Aktualisierung beachten
Microsoft hatte 2018 angekündigt, ab Mitte 2019 seine Windows-Updates nur noch mit SHA-2-Signaturen zu versehen – die Signierung mit SHA-1 entfällt dann aus Sicherheitsgründen. Ich hatte im Artikel Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt und in weiteren Blog-Beiträgen (siehe Artikelende) darüber berichtet.
Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS benötigen daher ab April 2019 ein spezielles Update, welches die Maschine für SHA2-Codesignaturen ertüchtigt. Ohne dieses Update können diese Maschinen zukünftig keine neuen Updates mehr verarbeiten. Zum 12. März 2019 hat Microsoft im Rahmen des Patchdays die erforderlichen Updates für Windows 7 SP1 und Server 2008/R2 bereitgestellt.
Für Windows Server Update Services wurde von Microsoft gemäß diesem Support-Beitrag das Standalone Update KB4484071 für WSUS 3.0 SP2 (SHA-2 Support for Windows Server Update Services 3.0 SP2) bereitgestellt. Dieses rüstet den SHA-2-Support für WSUS 3.0 SP2 nach. Administratoren, die WSUS 3.0 SP2 verwenden, müssen dieses Update bis zum 18. Juni 2019 (manuell) installieren. Nun dann ist sichergestellt, dass Updates für Windows 7 und Windows Server 2008/R2 ab diesem Zeitpunkt per WSUS 3.0 SP2 weiter verteilt werden können. Voraussetzung zur manuellen Installation von Update KB4484071 ist aber, dass die folgenden Updates:
- Windows Monthly Rollup KB4489880 (oder neuer) für Windows Server 2008 SP2
- KB4489878 (oder neuer) für Windows Server 2008 R2 SP1
- und .NET 3.5 vorher installiert wurden.
Wird dies übersehen, kann es zu Fehlern bei der Installation kommen. Zudem empfiehlt Microsoft ein Backup der WSUS-Datenbank, bevor diese Updates installiert werden. Wenn ihr das berücksichtigt habt, könnt ihr dem Juli-Patchday am Dienstag, den 9.7.2019 diesbezüglich beruhigt entgegen sehen.
Ähnliche Artikel:
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?
WSUS-Synchronisierung schlägt fehl (März 2019)
Windows 7: Updates rüsten SHA-2-Support nach
SHA-2-Patch für Windows 7 kommt wohl im März 2019
Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt
Anzeige
So eine Umstellung 2 Tage vor Patchday… Ob das gut geht?
Hallo,
eine Verständnisfrage:
Wenn die Win7-Maschinen nicht regelmäßig (monatlich) über den WSUS gepatcht werden, haben diese das SHA-2 Update womöglich noch nicht erhalten.
Wenn diese erst NACH dem 8.7 wieder gepatcht werden sollten: bekommen diese dann die Updates bis zum 7.7. angeboten und nach erfolgreicher Installation auch die nachfolgenden, oder bekommen sie einfach gar keine mehr, bis ich den entsprechenden Patch dann manuell installiert habe?
Danke und Gruß
Nach meinen Kenntnissen wurden ja alle Alt-Updates bis zum Juni 2019 mit SHA1 und SHA2 signiert. Diese Updates müssten also kommen – sonst könnte man die alten Clients ja nicht mehr neu aufsetzen.
Was mich noch beschäftigt ist: das KB4489878 ist doch ein Monthly Rollup für Windows Server 2008R2. Eigentlich will ich das nicht installieren sondern nur das SecOnly KB4489885.