WSUS : Tips & Tricks ?

[helmuteke]

Bij de laatste windows update had microsoft het voor mij een beetje verkl**t .

70 clients kregen het befaamde BSOD ( update icm kyocera printers)

Er zat niets op dan een ronde te doen om de KB terug te draaien.

Besloot om dan even een WSUS server op te zetten en eens te kijken of je zo én groep een KB kan terugdraaien
Opzetten en GPO voor de clients was geen probleem.
Maar voor de rest is dit in mijn ogen een "draak" van software.

Tientallen verschillende versies van windows 10 die je kan selecteren niet wetende welke je best neemt , is de wsus nog aan het downloaden of niet ( alle % lopen gelijk op) , is alles synchroon enz . . .
Zoek je een KB (vb de bewuste KB) dan vind ik deze niet terug ,oude KB's van vb 3 jaar geleden wel.

Heeft iemand tips en tricks voor deze ? moet enkel windows 10 clients kunnen updaten , servers niet.

[FlashBlue]

De beste tip voor u geval, en die ga je niet graag krijgen: Zet niet snel snel een wsus op om "te kijken of je er iets mee kan terugdraaien", want zeker in dit geval gaat "rondwandelen en terugdraaien op 70 toestellen" sneller gaan dan een grondige wsus opzet te doen.

Je kan overigens altijd quick&dirty de uninstall van de betreffende kb in het logonscript van je domain smijten (ècht niet ervoor bedoeld, maar zie ik nog liever dan hiervoor rap een wsus uit de grond stampen), of een remote uninstall via PS of psexec die je een workstation lijst voedert vanuit je AD.


Wsus:

Een wsus setup plan je van tevoren, inventariseren welke os'en je hebt, welke releases, welke rolloutmethode je wil gebruiken, waar je je group assigments gaat doen (via gpo, op ad OU level, of manueel in de wsus mgt console), enz.
Dan ga je je clients laten reporten, zonder dat er al updates approved zijn zodat je een beeld krijgt wat de status van je workstations is, welke patches al gedeployed zijn, welke er ontbreken.
Dan ga je je wsus reported lijst comparen met je ad lijst of network inventory om eventuele machines die voor-welke-reden-dan-ook niet reporten op te sporen, en te fixen.
Dan ga je je baseline vastleggen en maken dat al je clients complaint zijn met je baseline

En dan kan je beginnen met je patchen schedule te bepalen, welke group clients je als test gaat gebruiken (en maken dat je test groep representatief is voor "de grootste gemene deler" van je omgeving...


Wsus op zich is niet echt "een draak"', je moet vooral weten waar je naartoe wilt, en je implementatie deftig voorbereiden, niet gebruiken om snel een pleister te willen plakken op iets...
En net zoals alles rond updating en security is het vooral iets wat aandacht vereist en waar je mee moet bezig zijn, iets wat vaak niet gebeurd want "we hebben daar geen tijd voor".

Just my 2 cents.

[technicus]

Ga eens horen bij een ICT partner zoals eurosys ofzo die hebben een systeem om updates van windows 10 en server past te laten installeren als deze stabiel zijn. Zij testen de updates eerst uit voor dat hun sofware program dit vrij geeft naar u pc's in u bedrijf.

https://www.eurosys.be/nl/bedrijven-ove ... d-services

[sdecoster]

Windows updates zijn inderdaad zootje. Het blijft me na 6 jaar onduidelijk waarom ms die naam Windows 10 blijft gebruiken samen met al die sub-versies...

Ik heb er ook miserie mee gehad op het werk, zelfs de printserver (W2019) rebootte spontaan bij elke printopdracht naar onze kyocera toestellen. Zucht...

Let op als je de update verwijdert: bij mij stond die er na een paar dagen terug bij en begon de miserie opnieuw.

Best gewoon noodpatch installeren (volgens versie OS Windows 10 of Windows server): https://www.kyoceradocumentsolutions.co ... _news.html

edit: zoals Flashblue me voor was: ik zou daar ook geen wsus voor opzetten maar gewoon een uninstall doen én daarna een install van de betreffende noodpatch via een loginscript.

[Sasuke]

Best practice die wij gebruiken:

1. Patching altijd met 30 day deferral
2. Dagelijks de CVS lijsten en security sites checken op belangrijke patches en indien nodig deze via emergency patching doen (e.g. hafnium, dynamic dns , ...)

100+ klanten, geen enkele met patching issues (als ze een proact mgmt contract hebben toch)

‘Trust but verify’

PS: als je toch perse WSUS wil gebruiken. Geen auto approvals, maar gewoon een PowerShell script dat geregeld loopt en enkel updates ouder dan 30dagen approved.

[didi79]

Akkoord. WSUS gebruik je niet om iets terug te draaien, die functionaliteit zit daar zelfs niet in volgens mij. WSUS gebruik je om updates enzo gecontroleerd los te laten op je Windows systemen.

Uninstall van een stoute update in heel je domein kan je wellicht beter scripten.
Niet vergeten: die stoute update in WSUS unapproven, anders komt die gewoon terug

[ITnetadmin]

Je kan zoiezo best wel een wsus steken om in de toekomst windows updates te kunnen beheren en plannen, en de klassieker "de presentatie laptop beslist om 5 min voor de vergadering te updaten" te vermijden.

Maar idd, het idee dat je in w10 niet zomaar updates kan blokkeren tot je op een zelfgekozen moment ze manueel kan starten (of gewoon geen updates runnen maar reimagen) is idioot.

Onze practice is altijd zo geweest alleszins:
- Nooit windows updates toelaten op productie toestellen.
- Op een test pc een nieuwe windows image master preppen met nieuwere updates in.
- Dan de nieuwe image pushen naar alle workstations op een moment naar keuze van IT.

[Sasuke]

Onze practice is altijd zo geweest alleszins:
- Nooit windows updates toelaten op productie toestellen.
- Op een test pc een nieuwe windows image master preppen met nieuwere updates in.
- Dan de nieuwe image pushen naar alle workstations op een moment naar keuze van IT.

Ik vermoed dat dat met het vele telewerk nu toch anders verloopt ?

[BMaster]

Ik vermoed dat dat met het vele telewerk nu toch anders verloopt ?

Het plotse telewerk zorgt voor wel meer uitdagingen als dat voordien nooit gebruikt werd binnen het bedrijf. Windows updates die normaal vanop de wsus server komen, dat lukt van thuis uit niet zomaar. Antivirus updates vanop een on-prem server ook niet.
WSUS is in elk geval een lastig beestje vind ik. De rapportering geeft in mijn ogen nooit weer hoe het exact gesteld is met de clients. En als een pc plots stopt met updates installeren, dan kan je gaan zoeken. En windows 10 maakt het er niet eenvoudiger op. Vroeger had je een gewone windowsupdate.log, maar sinds windows 10 moet je al toeren uithalen om nog maar de logfile te kunnen bekijken.

[didi79]

Pre-logon VPN lost enkele van de problemen op...

[Sasuke]

Klopt ! En update logs krijgen van een Windows 10 is toch helemaal ni moeilijk ? Get-windowsupdatelog ... kan zelfs remote.

Maar moet toegeven dat ik ook geen wsus fan ben. Het wordt meestal ingezet omdat het ‘voldoende’ werkt, maar als je een betalend product neemt (zelfs een el-cheapo pdqdeploy) dan merk je heel snel de limitaties van wsus.

[BMaster]

Klopt ! En update logs krijgen van een Windows 10 is toch helemaal ni moeilijk ? Get-windowsupdatelog ... kan zelfs remote.

Moeilijk niet, maar toch een heel stuk omslachtiger dan gewoon een logfile openen hé

Maar moet toegeven dat ik ook geen wsus fan ben. Het wordt meestal ingezet omdat het ‘voldoende’ werkt, maar als je een betalend product neemt (zelfs een el-cheapo pdqdeploy) dan merk je heel snel de limitaties van wsus.

Ik heb batchpatch eens uitgeprobeerd. Die is ook best wel bruikbaar om wsus bij te staan en op te volgen... ook niet duur, en ziet er niet heel hip uit, maar het werkt wel!

[ITnetadmin]

Ik ken alvast plaatsen (vaak met kleine IT depts) die win updates on hold hebben gezet, wegens geen risico te willen lopen dat een thuiswerker zijn laptop vastloopt.

[Sasuke]

Dat is zo een typische schrikreactie. Fout gelopen patches komt in de praktijk echt maar zelden voor bij een goed beleid. Wij hebben duizenden devices in patch mgmt ... daar hebben we op 5 jaar tijd echt nog maar 1 keer last mee gehad (Office update op een rds die Adobe reader integratie om zeep hielp, maar das zeker al een jaar of 3-4 geleden)

Niet patchen is imho een groter risico dan wel patchen, zeker in het kader van telewerk.

Kanttekening, als je werkt met corporate laptops waarmee ze niet op internet kunnen zonder VPN is het enigszins nog, tijdelijk, aanvaardbaar. Maar als dat niet het geval is zou ik eerder alternatieve manieren zoeken dan niet patchen

[ITnetadmin]

Patches is 1 ding.
Maar een windows 10 halfjaarlijkse upgrade, met alle UI en andere veranderingen, deployen, is wat men daar absoluut wil vermijden.
Die durft al wel ns foutlopen.

Zoiezo laten een aantal omgevingen die ik ken nooit upgrades toe (enkel wipe/reimage met de nieuwe versie), dus zeker ook nu niet, want die toestellen recallen is problematisch momenteel (tzijn ook niet altijd laptops, sommige social sector omgevingen hebben gewoon desktops mee naar huis gegeven, wegens geen laptops en geen budget; dat de eerste maal correct laten aansluiten was al een nachtmerrie, die niet voor herhaling vatbaar is).

En ja, in de mate van het mogelijke zoveel mogelijk alles via vpn laten routen he.
Niet dat dat allemaal zo perfect is, want die vpn's zijn uiteraard vaak shared key.
Een cert systeem opzetten was er in de coronanood vaak niet meer bij.