Tipps 4, 5 und 6
4. Wer hat was wann erhalten
Gerade bei Updates, die erst nach einiger Zeit Probleme mit einer wichtigen Anwendung verursachen, kann es sinnvoll sein, diese kontrolliert wieder von den betroffenen Arbeitsplätzen zu entfernen. Hierzu muss man jedoch wissen, welcher PC ein bestimmtes Update bereits erhalten hat und welcher nicht.
Der WSUS-Server kann hier nicht wirklich weiterhelfen. Soll die Entfernung von Updates weitgehend automatisiert geschehen, ist wiederum der Einsatz eines Clientmanagement-Systems notwendig. Hier kann ein Administrator beispielsweise komfortabel in seiner zentralen Konsole alle Rechner selektieren, die ein bestimmtes Update erhalten haben. Mit einem Mausklick wird dieses dann automatisch von allen PCs wieder entfernt.
5. Bringschuld statt Holschuld
Windows-Updates mit und ohne WSUS arbeiten zumindest zum Teil reaktiv. Das heißt, dass die Clients selber bei Microsoft oder den WSUS nach neuen Updates fragen müssen. Tut man dies aus welchem Grund auch immer nicht, erhaltet man auch keine Aktualisierungen.
Ist das Windows-Update in ein unternehmensweites Clientmanagement integriert, so erhält der Administrator dadurch zusätzlich die Möglichkeit, aktiv die Installation bestimmter Patches zu erzwingen. Dazu selektiert er nach einer Inventarisierung zunächst alle Rechner, die ein bestimmtes Update noch nicht besitzen und löst dann über den Agenten des CMS dort eine Suche nach aktuellen Windows-Updates aus.
6. Offline-Updates
Manche Clients sind gar nicht mit dem Internet verbunden. Dies heißt jedoch nicht, dass diese Rechner nicht gefährdet wären. Denn Trojaner, Spyware und sonstige Malware können sich auch über USB-Sticks oder externe Festplatten verbreiten. Um auch solche Rechner regelmäßig auf dem aktuellen Stand zu halten, gibt es neben den Online-Updates über Microsoft oder einen WSUS-Server auch die Möglichkeit, Windows-Rechner über einen externen Datenträger offline mit Aktualisierungen zu versorgen.
Ein Tool, das diese Aufgabe erledigt, gibt es zwar nicht von Microsoft, aber es ist als Donationware (kostenlos mit Bitte um eine Spende) unter http://www.wsusoffline.net/ erhältlich. Zudem verfügen manche Clientmanagement-Systeme über einen Offline-Client, der neben "normaler" Software auch Windows-Patches und Service-Packs verteilen kann.