Frage zu WSUS GPO's wenn über Empirum gepatcht wird

[Odom]

Guten Morgen,

Kurze Frage, wenn man über Empirum das Windows/Microsoft Patchmanagement laufen lässt, was stellt ihr in die GPO für WSUS?

Hintergrund ist, bei uns wird beides eingesetzt, Windows Updates kommen per WSUS und alle anderen Drittanbeiter Updates über Empirum. Ich bin jetzt dabei das umzustellen, sodass alles über Empirum kommt.
So habe ich für die Testgruppe die GPO's mit den WSUS Einstellungen herausgenommen, was dummerweise den Effekt hatte, das wenn man auf Windows Updates geht, diese jetzt erstmal vom Internet gezogen werden. (ja, dummer Fehler, aber ich arbeite hiermit seit 10 Jahren nicht mehr). Was ist die Empfehlung hier zu machen? Eine GPO die verhinder das die Rechner sich die Windows Updates von Microsoft ziehen?

Zum Beispiel, die in rot im screenshot einzurichten?
Keine Verbindung mit Windows Update-Internetadressen herstellen -> aktiviert
Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten -> aktiviert

WSUS.png

(9.75 KiB) Downloaded 33 times

Empfiehlt ihr vielleicht andere Einstellungen?
Ich hatte bei Empirum nachgefragt, da kam lediglich die Antwort das Empirum keine GPO's hat und man soll dies per GPO managen, aber ob sie eine Empfehlung haben was man einrichten soll als GPO wenn Empirum zu Patchen benutzt wird, kam keine Antwort.

Besten Dank!

Odom
Empirum v23.0.1.9756 DB-Version 23.01, UEM Agent 2305.1.2

[StephanSch]

Das hier ist unser Update-GPO (gepackter HTML-Bericht). Ist noch aus früheren Win10-Zeiten, daher ist manches vlt. nicht mehr nötig, funktioniert aber noch problemlos.

Win10 - Update.zip

(19.47 KiB) Downloaded 28 times

[Odom]

Vielen herzlichen Dank!!
Ich schaue mir das mal an!

Beste Grüße,
Odom

[munzur]

Hallo Odom,

in der Online-Doku steht noch folgender Hinweis:

F: Kann der Windows Update Dienst auf dem Computer deaktiviert werden?

A: Der Windows Update Dienst darf nicht vollständig deaktiviert werden, da Microsoft Windows Updates den Windows Update Installer (WUSA.exe) benötigen. Er kann aber auf die Startart "Manuell" gestellt werden.



06.06.2018 14:48:49 TEST WIN7X64U SYSTEM Vulnerability in TCP/IP Could Allow Denial of Service (2790655) Microsoft Security Patches Q2790655 MS13-018 Windows6.1-KB2790655-x64 Install Failed Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.



Wir empfehlen darüber hinaus, dass das Patchen der Computer über Windows-Update deaktiviert wird.

In einer Domänenumgebung:



[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

"NoAutoUpdate"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoWindowsUpdate"=dword:00000001



Dadurch wird sichergestellt, dass es zu keinen Wechselwirkungen zwischen den beiden Patch-Management-Systemen kommt.