So verteilen Sie Software-Updates von Drittanbietern mithilfe von WSUS

Die Einrichtung von WSUS (Windows Server Update Services) zur Verteilung von Updates für Drittanbieter-Apps ist nicht ganz einfach. Normalerweise dreht sich bei WSUS alles um Microsoft-Produkte – Windows und Office. Doch die Möglichkeit, Updates für Programme wie 7-Zip, Adobe Reader oder sogar Chrome zentral zu verwalten, ist ein echter Vorteil. Das Problem: WSUS unterstützt Software-Updates von Drittanbietern nicht nativ. Wenn Sie also Updates verteilen oder beispielsweise Java oder bestimmte Treiber installieren möchten, ist zusätzlicher Aufwand nötig. Hier kommen Tools wie der WSUS Package Publisher ins Spiel. Er ist Open Source und ermöglicht es Ihnen, Update-Pakete von Drittanbietern zu erstellen, zu veröffentlichen und zu verfolgen, als wären es Standard-WSUS-Updates.

Dieser Prozess mag anfangs etwas einschüchternd wirken, insbesondere wenn Sie noch nie Software von Drittanbietern über WSUS bereitgestellt haben. Sobald er eingerichtet ist, ist er jedoch äußerst praktisch – dank Automatisierung und vielem mehr. Folgendes benötigen Sie: einen installierten WSUS-Server, .NET Framework (Version 3.5 oder neuer) und Gruppenrichtlinienobjekte (GPOs), die Clients auf den WSUS-Server verweisen. Anschließend signieren Sie Ihre benutzerdefinierten Pakete mit dem Package Publisher-Tool, veröffentlichen und genehmigen sie. Den Rest erledigt WSUS. Sie müssen Ihre Client-Rechner vorbereiten, indem Sie den selbstsignierten Zertifikaten vertrauen, damit diese signierte Updates problemlos akzeptieren können. Nicht ganz intuitiv, aber sobald Sie den Dreh raus haben, wird die Verwaltung von Drittanbieter-Apps deutlich einfacher als bei manuellen Installationen.

So installieren und konfigurieren Sie den WSUS-Paketverleger

Vorteile des WSUS-Paketverlegers

• WSUS-Integration: Alles an einem Ort, kein Hantieren mit separaten Bereitstellungstools;
• Sie können Update-Pakete aus MSI-, MSP-Dateien oder sogar EXE-Dateien erstellen (wenn Sie diese mit Tools wie MSI Wrapper konvertieren);
• Verfolgt den Installationsstatus, damit Sie wissen, ob die Software erfolgreich verteilt wurde.

Wenn Ihr WSUS-Updateserver bereits eingerichtet und betriebsbereit ist, die Clients korrekt (über Gruppenrichtlinienobjekte) darauf verweisen und das. NET Framework einsatzbereit ist, dann sind Sie nur noch wenige Schritte von der Bereitstellung von Drittanbieter-Updates entfernt.

1. Laden Sie zunächst das Binärarchiv des WSUS Package PublisherC:\WSUSPublisher herunter. Entpacken Sie es auf Ihrem WSUS-Server – beispielsweise in das entsprechende Verzeichnis. Es ist keine aufwendige Installation erforderlich; entpacken Sie es einfach und führen Sie die Datei aus WsusPackagePublisher.exe.
2. Starten Sie das Tool anschließend per Doppelklick WsusPackagePublisher.exe. Möglicherweise erhalten Sie eine Warnung bezüglich der Ausführung unsignierten Codes. Bestätigen Sie dies gegebenenfalls. Stellen Sie eine Verbindung zu Ihrem lokalen WSUS-Server her – dieser wird in der Regel automatisch erkannt, kann aber bei Bedarf auch manuell konfiguriert werden.
3. Beim ersten Start der App werden Sie aufgefordert, ein Signaturzertifikat zu generieren. Dies ist wichtig, da Ihre Updates signiert sein müssen, damit Clients ihnen vertrauen. Gehen Sie zu „Tools“ → „Zertifikate“. Falls Sie über eine interne PKI verfügen, verwenden Sie diese. Andernfalls kann die App ein selbstsigniertes Codesignaturzertifikat generieren (dies ist auch mit PowerShell möglich New-SelfSignedCertificate).Speichern Sie das Zertifikat als .CER- Datei.
4. Installieren Sie das Zertifikat auf jedem Client-PC, der diese Updates erhalten soll. Am einfachsten geht dies über Gruppenrichtlinien: Öffnen Sie gpmc.msc, suchen Sie Ihr Gruppenrichtlinienobjekt (GPO) und navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Richtlinien für öffentliche Schlüssel. Klicken Sie mit der rechten Maustaste auf „Vertrauenswürdige Stammzertifizierungsstellen“ und importieren Sie das Zertifikat. Führen Sie dieselben Schritte auch für „Vertrauenswürdige Herausgeber“ durch, um Vertrauensprobleme zu vermeiden.
5. Um Clients dazu zu bringen, signierte Inhalte von Ihrem WSUS zu akzeptieren, gehen Sie zu Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → Windows Update. Aktivieren Sie die Option „Signierte Inhalte vom Intranet-Microsoft-Updatedienststandort zulassen“. Für Computer in Arbeitsgruppen/Nicht-Domänen ist möglicherweise eine Anpassung in der Registrierung erforderlich (z. B.`<requirements.h>` reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /f /v AcceptTrustedPublisherCerts /t REG_DWORD /d 1), dies erfolgt jedoch zu einem späteren Zeitpunkt.

Erstellen Sie ein benutzerdefiniertes Drittanbieter-Updatepaket zur Bereitstellung über WSUS.

Methode zum Erstellen eines pushbaren Drittanbieter-Updates

Angenommen, Sie möchten die ältere Version von 7-Zip auf Ihren Domänencomputern aktualisieren. Laden Sie zunächst das neueste MSI-Installationsprogramm von der offiziellen Website herunter. Nach dem Download geben Sie den Pfad in WSUS Package Publisher an. Falls Sie EXE-Installationsdateien haben, ist das kein Problem – mit einem MSI-Wrapper (wie z. B.MSI Wrapper ) können Sie diese in WSUS-kompatible MSI-Pakete umwandeln.

1. Klicken Sie im Publisher auf Updates → Neues Update erstellen. Geben Sie Ihrem Update einen Namen (z. B.„7-Zip v23.01“) und fügen Sie eine Beschreibung hinzu, damit Sie später wissen, worum es sich handelt.
2. Geben Sie den Pfad zur MSI- oder EXE-Installationsdatei an. Bei MSI-Dateien geben Sie einfach die heruntergeladene Datei an. EXE-Dateien müssen Sie möglicherweise zuerst in eine MSI-Datei konvertieren oder verpacken.
3. Legen Sie die Installationskriterien fest. Prüfen Sie beispielsweise, ob HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7-Zipdie Versionsnummer 23.01DisplayVersion lautet. Dadurch wird sichergestellt, dass das Update nur installiert wird, wenn die korrekte Version noch nicht vorhanden ist.
4. Erstellen Sie Regeln, die erkennen, ob die Software installiert ist oder nicht – anhand von Registrierungsschlüsseln, Dateien oder Versionsnummern. Auf dem Testrechner könnten Sie beispielsweise eine einfache Registrierungsabfrage durchführen:

<bar:RegSz Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7-Zip" Value="DisplayVersion" Comparison="EqualTo" Data="23.01"/>

Prüfen Sie in ähnlicher Weise, ob die Architektur übereinstimmt ( <bar:Processor Architecture="9"/>für x64).

5. Legen Sie die Installationslogik fest – eine umgekehrte Regel kann hilfreich sein, wenn Sie die Software nur dann bereitstellen möchten, wenn sie noch nicht vorhanden ist. Im Prinzip weisen Sie WSUS an, die Installation durchzuführen, wenn die Registrierung nicht die richtige Version enthält.
6. Zum Schluss veröffentlichen Sie das Paket. Jetzt ist es bereit für die Bereitstellung!

Wichtig: Diese Drittanbieterpakete werden nicht in der regulären WSUS-Konsole angezeigt. Sie müssen daher über die Paketherausgeber-Oberfläche verwaltet werden. Wählen Sie zum Bereitstellen das gewünschte Paket aus und genehmigen Sie es für die entsprechenden Gruppen.

1. Wählen Sie Ihre Zielgruppe in WSUS aus, klicken Sie mit der rechten Maustaste und wählen Sie Genehmigen → Zur Installation genehmigen.
2. Führen Sie eine manuelle Suche nach Updates auf den Client-Rechnern durch (z. B.wuauclt /detectnowper Zeitplan).Die Geräte laden die Updates herunter und installieren sie im Hintergrund, sobald die Richtlinien aktiv werden.
3. Prüfen Sie auf den Client-PCs, ob die Software korrekt installiert wurde – das können Sie mit einem Get-WindowsUpdateBefehl oder sogar nur mit einem kurzen Blick in den Anwendungsordner tun.

Die Überwachung der Bereitstellung ist unkompliziert: Verwenden Sie die Registerkarte „Bericht“ im WSUS-Paketveröffentlicher, um zu sehen, auf welchen Geräten das Update erfolgreich installiert wurde. Diese Feedbackschleife ist besonders hilfreich, wenn Sie mehrere Apps oder Updates bereitstellen.

Letztendlich ist die Installation von Drittanbieter-Apps mit WSUS und Package Publisher nicht so einfach wie ein Knopfdruck, aber deutlich besser als manuelle Updates oder die Skripterstellung für einmalige Installationen. Es ist zwar eine etwas umständliche Lösung – Windows macht es einem natürlich unnötig schwer –, aber sie funktioniert.

Zusammenfassung

• Installieren Sie WSUS Package Publisher und generieren Sie ein Signaturzertifikat.
• Signieren Sie Ihre benutzerdefinierten Updatepakete mit dem Zertifikat und verteilen Sie das Zertifikat auf den Client-PCs.
• Erstellen Sie Updatepakete mit MSI/EXE-Dateien, legen Sie Erkennungsregeln fest und veröffentlichen Sie diese.
• Genehmigen und überwachen Sie Bereitstellungen über WSUS.

Zusammenfassung

Das Beziehen von Drittanbieter-Updates über WSUS ist nicht ganz einfach, aber sobald es eingerichtet ist, bietet es eine zuverlässige Möglichkeit, die meisten Softwareprodukte ohne großen Aufwand aktuell zu halten. Beachten Sie jedoch: Je nach Ihrer Umgebung müssen Sie möglicherweise Einstellungen wie Zertifikatsvertrauenswürdigkeit oder Erkennungsregeln anpassen. Für die Verwaltung einer großen Anzahl von Softwareinstallationen ist diese Methode dennoch ein guter Kompromiss. Hoffentlich hilft dies jemandem, ein paar Stunden oder Ärger zu sparen.