Feature-Request: Auswertung von CSA-Katalogen

Feature-Request: Auswertung von CSA-Katalogen

Postby hr1232 » 04.07.2017, 14:23

Ich nutze seit Jahren WSUS Offline um nicht vernetzte Systeme mit Sicherheitsupdates zu versorgen, habe dabei aber leider ein Problem mit der Integration von CSA-Patches. Aufgrund der bereits mehrfach vorhandenen aber leider immer nur unzureichend bzw. garnicht beantworteten Anfragen bin ich offensichtlich auch nicht der einzige.

Aus verschiedenen Gründen, die nicht in dieses Forum gehören nutze ich weiterhin auf diversen unvernetzten Systemen Windows XP & 2003 zusammen mit Office 2003. Diese werden nach der Installation durch WSUS Offline mit Sicherheitsupdates versorgt. Leider muss ich die CSA-Patches händisch in WSUS Offline integrieren, weil sie natürlich nicht in der normalen wsusscn2.cab enthalten sind. Microsoft stellt auch für CSA-Kunden keine alternative wsusscn2.cab bereit, sondern zusätzlich eine jeden Monat neu erscheinende Katalogdatei, die immer nur die Patches für den aktuellen Monat enthält (nur die 2-10 CSA-Patches des Monats ohne die vorherigen Updates). Die Kataloge werden produktweise bereitgestellt, sodass jeden Monat mehrere Kataloge dazukommen. Ein automatisierter Download erfordert also eine Auswertung der regulären wsusscn2.cab und aller CSA-Kataloge seit dem Support-Ende der jeweiligen Windows- bzw. Office-Version. Wenn man die Update-URLs aus den Katalogdateien hat kann man die Patches ohne Benutzeranmeldung von der Microsoft-Website herunterladen; Microsoft geht offensichtlich davon aus, dass die Integration des Hashwerts in den Dateinamen einen ausreichenden Schutz vor unrechtmäßigen Downloads darstellt.

Als Vorschlag zur Überarbeitung der ESR-Version 9.2.2 von WSUS-Offline würde ich mir einen CSA-Ordner wünschen, in den ich die CSA-Katalogdateien hineinlege. WSUS Offline sollte dann nicht nur die wsusscn2.cab, sondern auch alle cabs im CSA-Ordner auswerten bevor es die Updates herunterlädt. Wäre toll denn man das in eine der nächsten Versionen integrieren könnte, die ESR-Version wird ja wahrscheinlich sowieso nur von Leuten mit CSA-Verträgen genutzt. Bei Bedarf kann ich sowohl für Windows als auf für Office entsprechende CSA-Kataloge bereitstellen (natürlich nur zu Testzwecken.....).


PS:
Für die Trolle, die leider jedes Forum besitzt: Nein, auf den betroffenen Systemen ist kein Update auf Windows 7 möglich. Da es sich um integrierte Systeme mit Beschaffungswerten im 3-stelligen Millionenwert handelt wird auch vorerst kein Ersatzsystem beschafft, denn die Kosten für CSA sind dagegen Peanuts, die wir quasi aus der Portokasse bezahlen. Die alte Software bleibt so lange im Einsatz, wie die Systeme im Einsatz sind.
hr1232
 
Posts: 19
Joined: 04.07.2017, 13:24
Location: Calw

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby Dalai » 04.07.2017, 17:03

Was sind denn CSA-Patches bzw. CSA-Kataloge bzw. CSA-Kunden? Lese ich zum ersten Mal, auch wenn ich zugebe, nicht so viel im Bereich Windows auf (großen) Servern unterwegs zu sein.

Nicht zuletzt müssten natürlich die technischen Details geklärt werden, d.h. wie sehen die Kataloge aus usw., um ermitteln zu können, ob ein Einbau möglich und sinnvoll ist.

Grüße
Dalai
Dalai
 
Posts: 1041
Joined: 12.07.2016, 21:00

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby hr1232 » 04.07.2017, 17:13

CSA steht für "Custom Service Agreement". Das kaufen Microsoft-Kunden, die zum Support-Ende nicht auf die neue Version umstellen können.

Solange man monatlich bezahlt bekommt man dann über das Support-Ende hinaus Sicherheitsupdates von Microsoft geliefert.

Zu den technischen Details: Dei Kataloge sehen genauso aus, die die reguläre wsusscn2.cab. Einziger Unterschied:
- die wsusscn2.cab enthält Infos zu allen jemals von Microsoft für herausgegebenen Updates (für alle Produkte jeweils innerhlab des 10 Jahre langen Support-Zyklus).
- die csa.cab enthält lediglich Infos zu den Patches, die für ein bestimmtes Produkt in diesem einen Monat herausgegeben wurden.

Eine Verarbeitung von CSA-Katalogen ist der logische nächste Schritt zur Einführung einer ESR-Release von WOU. Wer jetzt noch mit WinXP, Win2003 oder Office2003 arbeitet ist entweder ein paranoider Vollidiot (sorry, aber das ist nun mal so) oder er hat genau wie mein Arbeitgeber einen CSA-Vertrag mit Microsoft. Praktisch alle CSA-Nutzer verwenden z.Zt. WSUS Offline, allerdings müssen wir die Patches händisch integrieren:
- Patch herunterladen
- Patch ins Produkt-Verzeichnis der ESR-Release von WOU kopieren
- KB-Nummer in die custom/static-Datei eintragen

Das funktioniert auch relativ gut, allerdings berücksichtigt das keine Abhängigkeiten, bzw. "überflüssige" Updates, die durch CSA-Patches abgelöst wurden. Dementsprechend werden Patches installiert, die längst nicht mehr nötig sind, aber eben als letztes öffentliches Update in der wsusscn2.cab enthalten waren. Inzwischen sind diese Patches durch neuere CSA-Patches ersetzt worden, die danach installiert werden. Das funktioniert wunderbar, bläht das WOU-Paket aber unnötig auf und verlangsamt die Installation. Immerhin gibt es für WinXP inzwischen 137 Updates über CSA, das sind fast so viele, wie in der regulären wsusscn2.cab enthalten sind. Die überwiegende Mehrheit der bis zum Support-Ende veröffentlichten Updates ist inzwischen hinfällig und wurde durch kostenpflichtige CSA-Patches ersetzt.......

Normalerweise werden die CABs zusammen mit einem WSUS-Import-Tool genutzt und die Abhängigkeiten ermittelt dann der WSUS. Das geht aber eben nicht für unvernetzte Systeme, die ihre Updates mit WOU erhalten (mehr dazu hier).

Wie gesagt kann ich zu Testzwecken gerne CSA-Kataloge für Windows XP & 2003 sowie für Office 2003 bereitstellen. Das geht aber natürlich nur per PN und nur zu Testzwecken, da die Kataloge kostenpflichtig sind und die darin enthaltenen Download-Links nicht mit Passwort geschützt sind.
hr1232
 
Posts: 19
Joined: 04.07.2017, 13:24
Location: Calw

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby hr1232 » 04.07.2017, 17:51

Wenn ich das richtig sehe, enthält die wsusscn2.cab bereits mehere XML-Dateien, die durch WOU nach dem entpacken zu einer großen Datei zusammengesetzt werden. Der erforderliche Code ist also bereits zu teilen da.

Es müssten also "nur noch" der Reihe nach alle CSA-Kataloge im CSA-Ordner entpackt werden und die jeweils enthaltene XML-Datei an den zusammengesetzten Katalog aus der wsusscn2.cab hinzugefügt werden.......
hr1232
 
Posts: 19
Joined: 04.07.2017, 13:24
Location: Calw

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby aker » 04.07.2017, 20:53

Das Parsen der wsusscn2.cab findet folgendermaßen statt:
Entpacken der "package.cab" aus der wsusscn2.cab. Extrahieren der "package.xml" aus der package.cab.
Verarbeitung der package.xml.
Ist dies mit den CSA-KAtalogen ähnlich möglich? (da ich keinen besitze, kann ich das schlecht prüfen)

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to keep or sell it.
aker

WSUS Offline Update „Community Edition“
https://gitlab.com/wsusoffline/wsusoffline/-/releases
aker
 
Posts: 3999
Joined: 02.03.2011, 15:32

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby WSUSUpdateAdmin » 04.07.2017, 22:28

Moin!

Hört sich nach einer lukrativen Auftragsarbeit an... :)

GTW
WSUSUpdateAdmin
Administrator
 
Posts: 2245
Joined: 07.07.2009, 14:38

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby hr1232 » 05.07.2017, 01:49

Wie gesagt, die CSA-Kataloge sehen genau gleich aus. sogar die Dateinamen stimmen überein. Der einzige Unterschied ist eben, dass sie nicht alle Updates seit Anbeginn der Zeit enthalten sondern lediglich die Patches eines Monats für ein bestimmtes Produkt.

Entpackt man die XML-Datei aus dem CSA-Katalog sollte man sie entweder am die "reguläre" XML anhängen oder im Anschluss verarbeiten können. Dieser Schritt muss dann eben mehrfach stattfinden (Bsp. WinXP: 37 CSA-Kataloge seit Support-Ende). Im besten Fall müssen die Kataloge nach Jahr und Monat benannt werden alphabetisch sortiert verarbeitet werden, damit die Abhängigkeits-Auswertungen der Updates korrekt funktionieren.
hr1232
 
Posts: 19
Joined: 04.07.2017, 13:24
Location: Calw

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby aker » 05.07.2017, 05:07

Wenn wir die package.xml-Dateien mergen solten, lassen sich denn dann die Referenzen alle gegeneinander auflösen?
Also: Stimmen die UpdateIds und Versionsnummern in den CSA-Katalogen mit denen aus der wsusscn2.cab überein?
Dann ließe sich der wsusou-Algorithmus (zumindest für den Download) verwenden. Die Installation muss aber so oder so für jeden Katalog einzeln ausgeführt werden, da WUA nur MS-signierte Kataloge annimmt.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to keep or sell it.
aker

WSUS Offline Update „Community Edition“
https://gitlab.com/wsusoffline/wsusoffline/-/releases
aker
 
Posts: 3999
Joined: 02.03.2011, 15:32

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby hr1232 » 05.07.2017, 05:12

aker wrote:Wenn wir die package.xml-Dateien mergen solten, lassen sich denn dann die Referenzen alle gegeneinander auflösen?
Also: Stimmen die UpdateIds und Versionsnummern in den CSA-Katalogen mit denen aus der wsusscn2.cab überein?


Ja, tun sie. Das WSUS-Import-Tool macht ja nichts anderes. Die package.xml aus dem CSA-Katalogen enthält die neuen Updates. Verweise auf abgelöste Updates verwenden selbstverständlich die korrekten "alten" Update-IDs, denn nur so kann ja auch der WSUS die Abhängigkeiten berechnen, wenn er einen CSA-Katalog importiert.

aker wrote:Dann ließe sich der wsusou-Algorithmus (zumindest für den Download) verwenden. Die Installation muss aber so oder so für jeden Katalog einzeln ausgeführt werden, da WUA nur MS-signierte Kataloge annimmt.


Korrekt, das ist ja aber nicht wirklich das Problem. Wenn die überholten Updates ausgeschlossen wurden, können die Installationsdurchläufe pro Katalog nacheinander ausgeführt werden ohne dass ein Neustart erforderlich ist. Ist ja jetzt mit der manuellen Integration nichts anderes - außer dass das manuelle Auswerten der Kataloge eine furchtbare Arbeit ist.....
hr1232
 
Posts: 19
Joined: 04.07.2017, 13:24
Location: Calw

Re: Feature-Request: Auswertung von CSA-Katalogen

Postby hr1232 » 05.07.2017, 05:15

Wenn ich gleich im Büro bin stelle ich hier den jeweils ersten Katalog für die drei Produkte bereit. Sollte zu Testzwecken reichen und Microsoft nicht wirklich stören, weil die enthaltenen Updates von 2014 inzwischen sowieso längst durch andere ersetzt wurden....
hr1232
 
Posts: 19
Joined: 04.07.2017, 13:24
Location: Calw

Next

Return to Anregungen / Suggestions

Who is online

Users browsing this forum: No registered users and 46 guests