Heise Offline Update

Es ist bequemer, automatische Aktualisierungen zu aktivieren, damit Windows automatisch jeden Tag mit dem Microsoft-Server Kontakt aufnimmt, um neue Aktualisierungen herunterzuladen und zu installieren! Obwohl die integrierte Firewall Windows Vista und XP zuverlässig vor unerwünschten externen Anbindungen bewahrt, ist es ohnehin nicht möglich, wenn jemand mit einem nicht gepatchten Internetexplorer auf die falsche URLs klickt!

Obwohl viele Patchs auch individuell von den Websites von Microsoft heruntergeladen werden können, ist es ohne die Update-Mechanismen fast nicht möglich, den Überblick zu haben, welche Packages auf einem Rechner installiert werden müssen! Sehr beliebt im Netz waren Aktualisierungspakete, die alle gängigen Patchs für ein Betriebsystem in einem einzigen Programm zusammenfassen!

Mit der hier vorgestellten LÖsung geht man einen anderen Weg: Mit dem c't Offline Update kann man sich zu jeder Zeit selbst ein neues "Service Pack" für alle wichtigen Windows-Betriebssysteme zusammenstellen, das alle Aktualisierungen kombiniert. In der aktuellen Fassung werden auch Windows Vista sowie die Office Editionen 2000, XP, 2003 und 2007 von uns problemlos unterstüzt, da das auf unseren Rechnern verfügbare Zip-Archiv kein einziges Byte Microsoft-Code ausweist.

Sinnvoll sind die selbst erstellter Aktualisierungspakete für den Hausbesuch von Benutzern, die z.B. nur über ein Funkmodem mit dem Netz in Verbindung stehen. Diejenigen, die Windows regelmäßig installieren, sei es auf realer Computerhardware oder in intelligenten Computern, werden die zeitliche Entlastung zu schätzen wissen. Unser Skript-Paket funktioniert seit der V3. Generation völlig unkompliziert. Auf diese Weise wird es zukünftige freigegebene Aktualisierungen zu seinen Paketen hinzufügen, solange Microsoft die Funktionen nicht abändert.

Die GPL der Open-Source-Lizenz bezieht sich auf den gesamten Quelltext - wenn Sie wollen, können Sie im Einzelnen verstehen, wie das Script abläuft. c't Offline Update setzt sich aus zwei Teilen zusammen: Über ein Downloadskript werden alle für die Sicherheit relevanten Aktualisierungen für die gewählten Artikel auf die Server von Microsoft heruntergeladen. Es sucht nach den Adressen, unter denen die jeweiligen Aktualisierungen in den XML-Katalogdateien zu finden sein werden. Diese werden von Microsoft für seine Windows-Mechanismen bereitgestellt.

Wenn gewünscht, transferiert das Downloadskript die Update-Bibliothek direkt in eine ISO-Datei, die mit jedem Brennprogramm auf DVD oder DVD beschrieben werden kann. Wenn Sie es auf einem USB-Stick speichern, paßt das Update-Paket auch in die Hemdentasche. Der Aktualisierungsstatus des herunterladenden PCs ist dem Downloadskript egal und es werden immer alle Aktualisierungen aus dem Microsoftschenkatalog abgerufen.

Obwohl dies wesentlich mehr ist, als ein neu installierter Rechner benötigt, akzeptiert unsere LÖsung den erhöhten Raumbedarf zugunsten einer flexibleren Montage. Alleine für Windows XP läd das Script aktuell fast 780 MByte herunter, der grösste Teil ist das aktuelles Servicepack Nr. 2 mit einer Größe von fast 340 MByte, aber erst beim ersten Start des Download-Skripts wird die Zeile durch diese Menge an Daten gequält.

Das nächste Mal holt das Script nur noch neue Packages, die in der lokalen Library fehl. Das clevere Installierungsskript importiert auf dem Ziel-PC immer nur die Aktualisierungen, die dort noch nicht eingespielt wurden. c't Offline Update läd nur die sicherheitsrelevanten Aktualisierungen. Optional erhältliche Packages und "Zuverlässigkeitsupdates", die Schwachstellen nicht beheben, werden nicht im Microsofts Hauptkatalog aufgeführt.

Außerdem schließt es einige von Microsoft bereitgestellte Packages für die automatisierte Konfiguration aus: Bei c't Offline Update ist keine Authentifizierung erforderlich, um Patchs herunterzuladen oder zu installieren - und im Gegensatz zu den in Windows integrierten Downloadmechanismen sendet das Download-Tool wget keine Systeminformationen nach Redmond. Von dort aus werden keine Daten an das System gesendet.

Auf diese Weise können Sie bestimmte Aktualisierungen von der Installierung ausschließen und weitere Microsoft-Aktualisierungen durchführen. In den folgenden FAQs werden die gängigsten Fragestellungen zu c't Offline Update beantwortet, die Benutzer auf unseren Internetseiten im Rahmen des Forums des Offline Update Projekts stellen. Er legt alle Skripts und Hilfedateien auf die Festplatte, um die Microsoft-Aktualisierungen zu laden und sie in Bilddateien für einsatzbereite Installations-Medien zu packen.

Sie sollten die Download-Skripte auf einem bereits installierten Computer nutzen, der über eine schnelle Verbindung mit dem Netz verbunden ist - nicht auf einem Endgerät, das Sie offline updaten mochten. Mehrere GBytes können sich rasch ansammeln, wenn Sie das Script anweisen, Aktualisierungen für mehrere Sprachversionen, Windows- und Office-Versionen zu laden.

Falls Sie bereits eine alte 3. x von c't Offline Update auf der Festplatte haben, packen Sie das neue Archive nicht an der gleichen Stelle, sondern in einem neuen Ordner aus. Wenn Sie Aktualisierungen übernommen haben, die Sie bereits mit der vorherigen Softwareversion geladen haben, bewegen Sie die Aktualisierungsordner unter "Client" in die neue Ordnerstruktur.

Wenn Sie beabsichtigen, Aktualisierungspakete für Windows 2000 zu erstellen, müssen Sie dem c't Offline Update eine ausführbare Programmversion reg. exe beifügen. Mit dieser muss das Installationsskript später auf die Registrierung des Ziel-PCs zugreifen. Hierbei ruft das Script reg. exe lediglich \windows\system32 auf. Bei Windows 2000, 2003 oder Vista müssen Sie Ihre eigene Handschrift entwerfen und eine Windows 2000 kompatible Datei in das Adressbuch \ctupdate4\client\bin aufnehmen.

cab, das auf der Windows 2000 Installations-CD im Verzeichnis für die Unterstützung von Tools liegt. Nach dem Starten des Update-Generator.exe Programmes legen Sie zunächst fest, für welche Windows- und Office-Versionen das Script Aktualisierungen von den Microsoftservern herunterzuladen hat.

Für Vista und Office 2007 werden für alle Sprachversionen die gleichen Update-Pakete verwendet. Wenn Sie das Downloadvolumen verringern und Speicherplatz auf den Datenträgern einsparen möchten, können Sie die aktuell verfügbaren Servicepacks für Windows und Office per Checkbox ausschließen. Lediglich mit dieser Einstellung können die Aktualisierungen für Windows XP auf eine DVD geschrieben werden - inklusive Servicepack 2 passt das Ergebnis nur auf eine DVD.

Wenn der Switch aktiv ist, wird eine Warnmeldung angezeigt, dass das Script Servicepacks löscht, die bereits von der Festplatte heruntergeladen wurden. Das Script löscht jedoch auch Aktualisierungen, die zuvor von Hand in die Konfigurationsdateien eingelesen wurden. Für die Aktualisierung eines Ziel-PCs benötigen Sie den SC2 in jedem Fall: Entweder muss er bereits vorhanden sein oder Sie importieren ihn von einem eigenen Datenträger vor dem Offline-Update.

Im Abschnitt "ISO-Image" legen Sie fest, ob das Script für jedes gewählte Erzeugnis und jede Landessprache ein eigenes ISO-Image erzeugen soll. So kann das Script beispielsweise zwei ISOs mit englischem und deutschem Update für Windows XP in einem Arbeitsgang erzeugen. Eine weitere Möglichkeit besteht darin, alle Aktualisierungen aller ausgewählten Artikel für eine bestimmte Landessprache in eine ISO zu bündeln, die dann in der Praxis nur noch auf eine DVD passen.

Die Einzelpakete holt das Progamm wget von den Microsoftservern ab, die sie dann von wkisofs in Bilddateien packen. Außerdem arbeitet es mit dem freien Verbrennungsprogramm Deep Burner Free zusammen, dessen "portable edition" auch ohne vorherige Konfiguration arbeitet. wxp deu z: ein deutschsprachiges Offline Update-Paket für Windows XP auf der Festplatte Z:. Ziehen Sie beim nächsten Mal, wenn Sie vor einem Computer ohne Aktualisierungen stehen, Ihren USB-Stick (oder eine silberne Disc) heraus und führen Sie das Update-Installer.exe aus.

Bei aktivierter Windows-Autoplay-Funktion wird sie vom Update-Programm beim Einlegen des Datenträgers aufgerufen. In Windows Vista fragt das Installationsprogramm über den Dialog UAC nach Administratorrechten. Dank der optionalen Funktion "Automatisch neustarten und fortsetzen" wird die komplette Aktualisierungsaktion ohne Aufsicht ausgeführt, während Sie sich auf wichtigere Dinge konzentrieren. Wenn ein Update einen Restart erfordert, legt das Script zunächst ein zusätzliches Administrator-Konto namens GSUpdate-Admin an.

Windows schaltet dann beim nächsten Start des Systems selbstständig auf das neue Account um, so dass das im Autostart eingegebene Script seine Arbeit fortführen kann. Sobald alles getan ist, bereinigt und beseitigt das Script das Update-Konto. Es wurde beschlossen, es mit dem neuen Benutzer-Account zu implementieren, da das Script kein aktiviertes Administrator-Passwort im Nur-Text in der Registrierung hinterlegen muss.

Das Verfahren hat sich in der Praxis bestens bewiesen, aber in der Praxis haben einige wenige Benutzer Probleme gemeldet, wie z.B. ein Computer, der in eine Schlaufe gerät und sich wiederholt am Update-Konto anmeldet. In der aktuellen Fassung der Drehbücher werden Vorkehrungen getroffen, und die folgenden FAQs erläutern, was in einem solchen Fall zu tun ist.

Jedes Mal, wenn das Aktualisierungsskript auf einem Zielsystem beginnt, untersucht es zunächst seine Arbeitsumgebung und beschließt, was als Nächstes zu tun ist. Falls das aktuelles Servicepack noch nicht auf Ihrem Computer vorhanden ist, importiert das Script es zuerst. Falls die Möglichkeit des automatisierten Neustarts nicht aktiviert ist, müssen Sie den Computer anschließend von Hand starten und das Script neu starten.

Mithilfe des Skripts werden in der folgenden Stufe - sofern es noch nicht existiert - einige Packages aufgesetzt, die es für seine weitere Bearbeitung braucht. Zu diesen gehören der Internetexplorer und die neuesten Version des Betriebssystems für Betriebssysteme wie z. B. Microsoft Script Host, Microsoft Update Agent und Microsoft Installer. Wenn bei seinem erneuten Skriptaufruf alle Bedingungen gegeben sind, initiiert es die vierte Stufe, in der es die fehlende Aktualisierungsliste bestimmt und diese nacheinander einliest.

Bei einem Abbruch des Installationsskripts mit einer merkwürdigen Fehlermeldung gibt es möglicherweise eine nicht funktionierende Komponenten, wie z.B. den Windows Script Host oder die Windows Management Instrumentierung WMI. Vor allem darf der Systemservice für die automatischen Aktualisierungen nicht inaktiv sein. Andernfalls kann das Script die Anzahl der anstehenden Patchs nicht bestimmen (muss aber auch nicht ausgeführt werden, die Start-Option "manual" ist ausreichend).

Bei der Verwendung von Tools wie xp-AntiSpy und vergleichbaren "Optimierern", die einige fragwürdige Funktionen bieten, konnten im Diskussionsforum über das Offline-Update einige Probleme aufgetreten sein - mehr dazu in den FAQ zu finden. Wenn das Installations-Skript "fertig" gemeldet wird, sind für ein aktuelles Gerät nur noch wenige Schritte erforderlich: Unter Windows 2000 sollten Sie das Zusatzprogramm Update-Installer. exe ein letztes Mal ausführen, da der Windows Update Agent beim ersten Durchlauf einige Aktualisierungen auf diesem Gerät auswertet.

Schließlich können Sie den mit Aktualisierungen übersättigten Computer mit gutem Gewissen an das Netz anschließen, um evtl. vorhandene Fehlpakete mit den Online-Funktionen zu importieren. Auf der Windows Update-Website wird immer eine Hand voll anderer Patchs gefunden, die das Offline-Update nicht enthalten. Beim Offline-Update entfällt auch das Schadsoftware-Entfernungsprogramm (MSRT), da dieser Virenscanner nur wenige Malware-Bedrohungen entdeckt - er kann ein vollgewachsenes Antivirenprodukt sowieso nicht durch neue Unterschriften ersetzt.

Der Baseline Security Analyzer (MBSA) von Microsoft bestätigt, dass ein Computer nach Ausführung des Offline-Updates vollständig mit Patches ausgestattet ist. Die Offline-Updates sind ein Zusammenschluss von Batch-, VisualBasic- und AutoIt- Skripten, die mit weiteren Tools zusammenarbeiten. Das ausführbare Programm Update-Generator. exe und Update-Installer. exe implementiert nur die Benutzeroberflächen und startet Batch-Dateien mit den vom Benutzer gewählten Einstellungen.

Wenn Sie immer die aktuellsten ISO-Dateien auf Lager haben möchten, können Sie den Task-Scheduler anweisen, das Installationsskript zu regulären Zeiten anzurufen - etwa einmal pro Kalenderwoche oder nach dem Patchday von Microsoft. Zu jedem Zeitpunkt greift das Script auf den Update-Katalog von Microsoft zurück und ergänzt seine lokalen Sammlungen, um neue Bilddateien zu erstellen. Dort können Sie die beiden Skripts DownloadUpdates herunterladen.

Zum Herunterladen der deutschsprachigen XPAktualisierungen sollte das Script wie folgt aussehen: Normalerweise wird nicht empfohlen, dass die Installierung von neuen Aktualisierungen zu lange dauert. Schwere Fehler mit neuen Versionen waren in der vergangenen Zeit eher unwahrscheinlich. Allerdings verfügt das Offline-Update über einen speziellen Ausschlussmechanismus, um individuelle Aktualisierungen von der eigentlichen Installierung auszuschließen.

Wenn Sie die Durchführung eines Aktualisierungsvorgangs unterbinden möchten, geben Sie dort die ID der Knowledge Base ein. Der Installationsskript überspringt die in der Auflistung gespeicherten Aktualisierungen und zeigt die Nachricht "Übersprungen aufgrund eines passenden Blacklist-Eintrags" an. Wir haben bereits einige Aktualisierungen auf die Blackliste gestellt. Hierzu gehören der MSRT-Malware-Scanner von Microsoft (890830) und ein Patches für die überholte virtuelle Maschine von Microsoft (KB816093), die nicht per Script importiert werden kann.

Ein unkontrolliertes Update für die Microsoft Data Access Components (MDAC, Knowledge Base Artikel 823718 und Knowledge Base Artikel 832483) wird ebenfalls weggelassen. In der Auflistung befinden sich neben dem Webbrowser 7 (KB 926874) auch die neuesten Servicepacks für Office, da das Installationsskript diese zu einem späteren Zeitpunkt importieren kann. Die von uns zur Verfügung gestellte Skript-Paket heruntergeladen und nur Sicherheitsupdates installieren, die Microsoft's XML-Katalog und andere Packages auflisten, die für einen reibungslosen Prozess notwendig sind.

Falls Ihnen dies nicht ausreicht, können Sie dem Package weitere Microsoft-Aktualisierungen als "statische" Aktualisierungen hinzufügen, wie nachfolgend beschrieben: Bei deutschem Betriebssystem XP ist die Konfigurationsdatei StaticDownloadLinks-wxpx86-deu. tyxt von Bedeutung. Um sicherzustellen, dass das fertig gestellte Aktualisierungspaket auch den Zusatzpatch mitinstalliert, müssen Sie seine KB-Nummer unter \ctupdate4\client\static in die entsprechende Konfigurationsdatei namens StaticUpdateIds-wxpx86. mxt nach dem Vorgabe.

Dann wird das Script die entsprechende Konfigurationsdatei selbstständig installieren. Im Folgenden werden die wesentlichen Funktionen und Innovationen für Vista und Office aufbereitet. Der Downloadskript läd nach dem Programmstart zunächst einige Microsoft-Tools herunter, die wir nicht in unser Downloadarchiv aufnehmen dürfen. cab, das Microsoft jedes Mal erneuert, wenn neue Aktualisierungen angezeigt werden, wird die Katalogdatei package.xml ausgelesen.

Wenn Sie die Windows-Updates herunterladen möchten, erstellt das Script eine Auswahlliste der Download-URLs aus den XML-Daten. Dies geschieht durch den XSLT-Prozessor von Microsoft MSXL. exe, den das heruntergeladene Script mit Stylesheets versorgt. In der fertigen Adressliste wird das Script an den Downloadmanager wget.exe übergeben. Befindet sich eine bereits auf der Festplatte, wird sie von wget übersprungen - sofern ihre Grösse und ihr Entstehungsdatum der jeweiligen Produktversion auf dem Microsoft-Server entsprechen.

Wenn Sie herausfinden möchten, welche Office-Updates auf einem Ziel-PC vorhanden sind und welche noch nicht vorhanden sind, stellt Microsoft einen separaten Helfer zur Verfügung, das Office Update Inventory Tool. Der Download-Skript enthält den Update-Scanner für Office im erstellten Update-Paket und filtern die Download-Adressen aus dem Office-Katalog (ebenfalls über XSLT). Nach dem Herunterladen von WGT packt das mkisofs-Tool das im Unterverzeichnis \client erzeugte, gebrauchsfertige Update-Paket in die Imagedateien.

Auf dem Ziel-PC geht es nun weiter: Die aktuelle Variante des Windows Update Agent (der bei Bedarfen zuerst das Installations-Skript importiert) verfügt über eine Programmieroberfläche und kann über VBSkript gesteuert werden. Mit einer solchen Funktionalität leitet das Installations-Skript die offline abgelegte Katalogeintragungsdatei witusscn2 an den Agent weiter. cab, das den Status des Update-Pakets wiedergibt, und fordert es auf, die Rangliste der fehlenden Patchs im Zielsystem aufzustellen.

Das Script verarbeitet in seiner Endphase diese Auswahlliste und beginnt die lauffähigen Update-Dateien basierend auf ihren Knowledge Base IDs. Das Update für Vista wird nicht mit einem eigenen Programm ausgeliefert und ist selbst nicht durchführbar. Diese Packages werden von Vista's eigenem Windows Update Stand-alone Installer installiert. Taxi für Vista verwendet keine .msu-Dateien, sondern.cab-Dateien.

Zum Importieren packt das Installations-Skript sie zunächst mit Hilfe von exply in ein Temporärverzeichnis aus und weist Vistas Paketmanager Piktogrammgr. exe an, sie zu installieren. In Office bestimmt der Windows Update Agent auf dem Zielsystem nur einen Teil der benötigten Patch-Dateien, der Rest wird vom Script aus dem Inventory Manager Invcm. exe abgefragt.

Das c't Offline Update ist im Softwareverzeichnis eines der populärsten Programme und wurde bereits weit über 200.000 Mal ausgelesen. In unseren Projekthallen findest du die jeweils aktuellste Fassung und ein lebendiges Gesprächsforum, in dem die Nutzer ihre Erfahrungswerte und Lösungsansätze austauschen können. Kann ich meinen Kundinnen und Kunden Update-DVDs zur Verfügung stellen, die ich mit dem Offline-Update angelegt habe?

Sie haben bereits das Servicepack 2 für Windows XP auf einer DVD. Darf ich den heruntergeladenen Artikel speichern und diese Variante in das Package integrieren? Die Downloadmanagerin wget akzeptiert sie nur, wenn sie genau 277.936. 872 Byte groß ist, sonst wird sie die Serverversion von Microsoft wieder herunterladen.

Das Installations-Skript teilt auf dem Ziel-PC mit, dass es einige Aktualisierungen "aufgrund eines passenden Blacklist-Eintrags" ausgelassen hat. Einige andere Aktualisierungen werden es auf ihren Medien nicht finden. Warum empfiehlt die Windows Update-Website, nach der Installation des Update-Pakets mehr zu installier? Die schwarze Liste des Installationsskripts enthält Aktualisierungen, die wir absichtlich ausgeschlossen haben.

Zu diesen gehören der Scanner MSRT von Microsoft und ein Update für die steinerne Java Virtual Machine von Microsoft. Dies wird im Einzelnen im Beitrag in c't 22/2007 auf S. 212 erläutert. Aktualisierungen, die das Installations-Skript auf seinem Media-Patch nicht finden kann, sind ein nicht ausgewähltes Microsoftsystem, das beim Anlegen des Mediums nicht selektiert wurde - oder ein Programm, das das Offline-Update überhaupt nicht anspricht.

Mithilfe der Microsoft Knowledge Base können Sie die Anzahl der Aktualisierungen ermitteln, um den Verwendungszweck herauszufinden. Nach der Installation des Offline-Updates sucht die Windows Update-Website nach einer Anzahl anderer Patchs, die alle keine Sicherheitslöcher schliessen. In der Basiskonfiguration umfasst das Offline-Update nur die sicherheitsrelevanten MS-Aktualisierungen. Zu Beginn der Update-Installation hatte ich die Funktion "Automatischer Neustart und Fortsetzen" beibehalten.

Beenden Sie bei Bedarf ein ausgeführtes Aktualisierungsskript mit Strg+C und rufen Sie eine Befehlszeile auf. An dieser Stelle können Sie das CleanupRecall-Skript aufrufen. Es sollte die automatische Anmeldung abschalten, damit Sie sich nach einem Neustart wieder mit Ihrem üblichen Account einloggen können. Sie sollten im Windowsverzeichnis (bzw. im Ordner "winnt" unter Windows 2000) eine Konfigurationsdatei wsusbak-winlogon.reg vorfinden, in der das Script die bisherigen EintrÃ??ge der Registrierung gespeichert hat.

Vergewissern Sie sich in der Datenverarbeitung unter Services and Applications, dass der Dienst Automatic Update-System (unter Vista Windows Update genannt) nicht aktiviert ist. Der Windows Script Host (WSH) und die Windows Management Instrumentierung (WMI) müssen ebenfalls funktionsfähig sein. Kann ich eine neue Produktversion der Offline Update Skripte installieren und meine bereits heruntergeladenen Microsoft Aktualisierungen mitnehmen?

Normalerweise können Sie das neue Archiv ganz unkompliziert in das Adressbuch der vorherigen Installation entpacken, so dass die neuen Skript-Dateien ihre früheren Fassungen auflösen. Wenn Sie bereits Aktualisierungen mit der vorherigen Fassung heruntergeladen haben, entpacken Sie die neue Fassung in ein separates Fach. Dann verschiebe die Verzeichnisse "msi", "w2k", "w2k3", "win", "wsus" und "wxp" aus dem Teilverzeichnis \client der vorherigen Fassung in den Kundenordner der vierten Generation. ?

Ja, mindestens unter Punkt 4. Das Script c't Offline Update für Mac OS X 11. 4, kurz OliU, macht die gleiche Arbeit.