Fehlende Sicherheitsupdates in MS Baseline Security Analyzer

Fehlende Sicherheitsupdates in MS Baseline Security Analyzer

Postby archie » 25.11.2015, 16:54

Hallo,

ich versuche einen neu aufgesetzten Win 7 Pro 64 bit SP1 Rechner mit dem WSUS Offline Tool soweit zu patchen, das der MS Baseline Security Anlyzer zufrieden ist.

Ich habe unter Linux mit dem aktuellen WSUS Offline 10.2.1 ein iso mit allen Win7/2008 Patches inkl Servicepacks und .Net aber ohne Security Essentials, Defender und Essentials erzeugt und gebrannt.
Diese habe ich auf der Windows Kiste dann ausgeführt (Updateinstaller.exe)

Der Baseline Security Anlyzer bemängelt mir folgende fehlenden Sicherheitsupdates. Im WSUS Offline Ordner \exclude finde ich diese KB-Nummern in den angegebenen Exclude-Listen.

MS15-015 - KB3031432 -> enthalten in ExcludeList-superseded.txt und ExcludeList-superseded-exclude.txt
MS13-029 - KB2813347 -> enthalten in ExcludeList-superseded.txt
KB3004375 -> enthalten in ExcludeList-superseded.txt und ExcludeList-superseded-exclude.txt
KB890830 -> enthalten in ExcludeList-w61-x64.txt

Bin durch Recherche hier im Forum schon soweit dass ich verstehe das diese Listen wohl das Tool anweisen bestimmte Patches nicht zu downloaden bzw. installieren, teilweise weil sie durch andere Patches ersetzt wurden (superseded). Ich verstehe jedoch nicht
a) woher diese Ausschlussdefinition kommt (vermutlich aus dem Sicherheitsupdatekatalog wsusscn2.cab?) und
b) warum der Security Analyzer diese Patches trotzdem vermisst, obwohl er meines Wissens mit dem selben Sicherheitsupdatekatalog arbeitet.

Kann mich hier jemand aufklären bitte?

Gruß archie
archie
 
Posts: 3
Joined: 25.11.2015, 15:04

Re: Fehlende Sicherheitsupdates in MS Baseline Security Anal

Postby Denniss » 25.11.2015, 18:14

890830 ist im WOU nicht enthalten und muß manuell installiert werden.
Für die anderen drei - eventuell bringt ein erneuter Durchlauf des Update Installers etwas. Manche Aktualisierungen hängen voneinander ab so das ein im ersten Durchlauf eingespielte Aktualisierung noch eine weitere nachzieht die aber erst im zweiten Durchlauf gefunden wird.
Denniss
 
Posts: 847
Joined: 01.08.2009, 11:51

Re: Fehlende Sicherheitsupdates in MS Baseline Security Anal

Postby archie » 25.11.2015, 18:43

Ok 890830 ist nicht enthalten aus welchem Grund und woran sieht man das als Newbie?

Erneuter Durchlauf des Updateinstallers kann IMHO nichts bringen, da die fehlenden Updates schon vom Downloader nicht mit in die iso gepackt wurden,
vermutlich eben wegen den verschiedenen ExcludeList*.txts...
archie
 
Posts: 3
Joined: 25.11.2015, 15:04

Re: Fehlende Sicherheitsupdates in MS Baseline Security Anal

Postby Denniss » 25.11.2015, 23:11

Bitte mal die Download.log auf eventuell Fehler beim Download absuchen - bei mir befinden sich KB3031432 und KB3004375 in client\w61-x64\glb und hätten bei Dir auch mitkopiert werden sollen (sofern nicht irgendwo ein Wurm drin ist)

ExcludeList-superseded.txt müsste die automatisch generierte Datei sein zum Ausfiltern unnötiger bzw ersetzter Aktualisierungen, ExcludeList-superseded-exclude.txt müsste die Korrekturdatei dazu sein (wenn eine Aktualisierung falsch als ersetzt markiert wurde).
Denniss
 
Posts: 847
Joined: 01.08.2009, 11:51

Re: Fehlende Sicherheitsupdates in MS Baseline Security Anal

Postby harry » 26.11.2015, 03:20

Als Ergänzung zur Antwort von Denniss:

KB2813347 ist laut Microsoft Update-Katalog durch KB3075220 ersetzt worden.

Folgende URL funktioniert nur mit dem IE (siehe unter Paketdetails):
Code: Select all
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=f59152e4-c784-4039-8d41-d50dab56dcdc


archie wrote:Ok 890830 ist nicht enthalten aus welchem Grund und woran sieht man das als Newbie?

Siehe dazu bitte .\doc\faq-deu.txt:
.\doc\faq-deu.txt wrote:[...]
F: Kann ich Updates vom Download und/oder der Installation ausschließen?
[...]
2. Ausschluss von Updates von der Installation
[...]
Bereits ausgeschlossene Updates sind folgende:
[...]
- kb890830 (Windows-Tool zum Entfernen bösartiger Software (MSRT))
[...]
harry
 
Posts: 700
Joined: 29.10.2009, 18:02

Re: Fehlende Sicherheitsupdates in MS Baseline Security Anal

Postby archie » 01.12.2015, 11:47

Vielen Dank für die Antworten, dazu folgende Anmerkungen:

- Eine Download.log Datei existiert bei mir weder in der erstellten iso noch im Verzeichnisbaum von WSUS, kann es sein das das Shellscript unter Linux diese Datei nicht anlegt oder sie dort anders heißt?
- Die Patches KB3031432 und KB3004375 sind bei mir definitiv nicht in client\w61-x64\glb und auch sonst nirgendwo (ich gehe mal davon aus das die KB-Nr im Dateinamen zu finden sein sollte oder?) :-(
- das KB890830 ausgeschlossen ist wusste ich ja schon, aber WARUM war die Frage und da hilft mir das FAQ leider auch nicht weiter...

Gruß archie
archie
 
Posts: 3
Joined: 25.11.2015, 15:04

Re: Fehlende Sicherheitsupdates in MS Baseline Security Anal

Postby Denniss » 01.12.2015, 12:06

Diverse sachen wie Internet Exploder, Dotnet oder Servicepacks sind als statische Updates bzw an-/abwählbarer Optionen realisiert. Das Antivirentool lässt sich wohl nur mit recht großem Aufwand einbinden bzw die Einbindung pflegen aufgrund ständig geänderter Dateinamen, deshalb wurde es gelassen.
Fehlende Logdatei ist seltsam, es kann durchaus sein das die Linuxversion den Auschluß vom Auschluß nicht korrekt implementiert hat
Denniss
 
Posts: 847
Joined: 01.08.2009, 11:51


Return to Fehlende Updates / Missing updates

Who is online

Users browsing this forum: No registered users and 5 guests