Erst kürzlich hatte Microsoft große Probleme mit einigen Patches des August Patch-Days. Es kam dabei zu Problemen mit den folgenden Sicherheitsupdates:
- KB2982791
- KB2970228
- KB2975719
- KB2975331
Insbesondere ersteres sogte auf einigen Systemen für den gefürchteten Bluescreen of death (BSOD). Die Patches wurden von Microsoft kurz danach zurückgerufen. Glück für jene, die mit Sicherheitspatches immer ein wenig warten. Andererseits sollten kritische Sicherheitslücken immer sehr zeitnah gestopft werden. Und genau dies tun zum Beispiel WSUS Server. Hier kann man einstellen, daß kritische Sicherheitspatches automatisch für die Installation genehmigt werden, was dazu führt dass eine große Anzahl Systeme mit den problematischen Updates versorgt wurde.
Glücklicherweise kann man mittels WSUS nicht nur Updates für die automatische Installation freigeben, sondern diese auch deinstallieren lassen. Letztere Möglichkeit war mir bis vor kurzem nicht bekannt. Erst die Notwendigkeit, von über hundert VDI Systemen die fehlerhaften Microsoft Updates zu kratzen, machte mich darauf aufmerksam. Die manuelle Deinstallation über die Systemsteuerung mag für 1-2 Systeme in Ordnung sein. Bei mehreren betrachte ich solche Aufgaben aber als stumpfsinnige Verschwendung von Lebenszeit.
WSUS uninstall
Zunächst muss man die betroffenen Updates im WSUS suchen, indem man unter “Updates” das Kontextmenü öfnnet und “Suchen…” auswählt.
Im Suchfenster gibt man praktischerweise die KB Nummer des Updates ein. In diesem Fall der zurückgezogene KB2982791. -> Suche starten
Im nächsten Schritt erhält man eine Liste aller Patch- Systemkombinationen. Ich wählte hier das hauptsächlich betroffene Windows7 32bit. Mit Rechtsklick öffnet man das Kontextmenü und wählt – paradoxerweise – “Genehmigen”.
Der Patch hatte nach dem Rückzug durch Microsoft den Status von “für die Installation genehmigt” in “Nicht genehmigt” geändert. D.h. Systeme, welche den Patch noch nicht installiert haben, werden diesen auch nicht mehr bekommen. Die meisten bekamen den Patch aber noch in der selben Nacht nach der Veröffentlichung und haben diesen nun installiert.
Im Kontextmenü zeigt sich nun ein Eintrag, mit dem man die Installation Rückgängig machen kann: “Zur Entfernung genehmigt”.
Alles was man nun noch tun muss, ist den Termin für die Update Installation abzuwarten. Dieser ist in der ensprechenden GPO hinterlegt.
Links
- heise – Patchday: Microsoft behebt kritische Lücken in Windows und IE
- Microsoft Security Tech Center – Microsoft Security Bulletin Summary für August 2014
- Microsoft Support – MS14-045: Description of the security update for kernel-mode drivers
Gibt es auch eine Möglichkeit zu sehen ob die Updates dann wirklich deinstalliert wurden?
Im Updateverlauf des Clienst konnte ich es nicht sehen.
Wobei seltsamerweise bei dem zum Test entfernten Update im WSUS steht:
Erforderliche Anzahl: 2
Nicht zutreffend: 2
(Das Update wurde auf diesen beiden Testrechnern installiert = Updateverlauf)
Heißt die Angabe in der Spalte “Nicht zutreffend” dass das Update auf diesen Rechnern nicht Entfernt wurde?