Ich nutze seit Jahren WSUS Offline um nicht vernetzte Systeme mit Sicherheitsupdates zu versorgen, habe dabei aber leider ein Problem mit der Integration von CSA-Patches. Aufgrund der bereits mehrfach vorhandenen aber leider immer nur unzureichend bzw. garnicht beantworteten Anfragen bin ich offensichtlich auch nicht der einzige.
Aus verschiedenen Gründen, die nicht in dieses Forum gehören nutze ich weiterhin auf diversen unvernetzten Systemen Windows XP & 2003 zusammen mit Office 2003. Diese werden nach der Installation durch WSUS Offline mit Sicherheitsupdates versorgt. Leider muss ich die CSA-Patches händisch in WSUS Offline integrieren, weil sie natürlich nicht in der normalen wsusscn2.cab enthalten sind. Microsoft stellt auch für CSA-Kunden keine alternative wsusscn2.cab bereit, sondern zusätzlich eine jeden Monat neu erscheinende Katalogdatei, die immer nur die Patches für den aktuellen Monat enthält (nur die 2-10 CSA-Patches des Monats ohne die vorherigen Updates). Die Kataloge werden produktweise bereitgestellt, sodass jeden Monat mehrere Kataloge dazukommen. Ein automatisierter Download erfordert also eine Auswertung der regulären wsusscn2.cab und aller CSA-Kataloge seit dem Support-Ende der jeweiligen Windows- bzw. Office-Version. Wenn man die Update-URLs aus den Katalogdateien hat kann man die Patches ohne Benutzeranmeldung von der Microsoft-Website herunterladen; Microsoft geht offensichtlich davon aus, dass die Integration des Hashwerts in den Dateinamen einen ausreichenden Schutz vor unrechtmäßigen Downloads darstellt.
Als Vorschlag zur Überarbeitung der ESR-Version 9.2.2 von WSUS-Offline würde ich mir einen CSA-Ordner wünschen, in den ich die CSA-Katalogdateien hineinlege. WSUS Offline sollte dann nicht nur die wsusscn2.cab, sondern auch alle cabs im CSA-Ordner auswerten bevor es die Updates herunterlädt. Wäre toll denn man das in eine der nächsten Versionen integrieren könnte, die ESR-Version wird ja wahrscheinlich sowieso nur von Leuten mit CSA-Verträgen genutzt. Bei Bedarf kann ich sowohl für Windows als auf für Office entsprechende CSA-Kataloge bereitstellen (natürlich nur zu Testzwecken.....).
PS:
Für die Trolle, die leider jedes Forum besitzt: Nein, auf den betroffenen Systemen ist kein Update auf Windows 7 möglich. Da es sich um integrierte Systeme mit Beschaffungswerten im 3-stelligen Millionenwert handelt wird auch vorerst kein Ersatzsystem beschafft, denn die Kosten für CSA sind dagegen Peanuts, die wir quasi aus der Portokasse bezahlen. Die alte Software bleibt so lange im Einsatz, wie die Systeme im Einsatz sind.