Articles

Vyčištění zastaralých záplat z DB WSUS

by admin

Souhrn

Článek popisuje kroky potřebné k odstranění starých balíčků třetích stran vytvořených nástrojem Software Vulnerability Manager z místního serveru WSUS. Přestože je tento odkaz užitečný, je určen k tomu, aby vám pomohl s instalací SVM, veškeré dotazy týkající se služby WSUS byste měli přesměrovat na fórum společnosti Microsoft.

Shrnutí

Při používání SVM2018 se časem začne hromadit množství vytvořených balíčků a zabírat cenné místo na disku serveru, který usnadňuje roli WSUS.

Prosté odmítnutí a odstranění balíčků bohužel nevede k jejich odstranění ze složky \UpdateServicePackages, kde se balíčky SVM nacházejí.

Diskuse

Způsob 1

Odstranění všech starých nebo nerelevantních balíčků z webového rozhraní SVM v nabídce Patching > Available.

  1. Projděte vytvořené balíčky a určete, které balíčky již nejsou relevantní.
    1. 1 Každý balíček nižší než nejnovější „Patched Version“ je nyní zranitelný a musí zmizet.
  2. Odmítněte a poté odstraňte staré nebo nerelevantní položky balíčků, které vidíte uvedené v nabídce Dostupné.

Pokud používáte SCUP, může být nutné kromě těchto úvodních kroků spustit průvodce čištěním pro SCUP:

  1. Vyčistěte databázi WSUS od starých informací o metadatech balíčků.
  2. Otevřete konzolu WSUS ze Správce serveru a přejděte do oblasti Možnosti.
  3. Zvolte Průvodce vyčištěním serveru.
  4. Spustit Průvodce vyčištěním serveru.

Spustit WsusUtil s parametrem listunreferencedpackagefolders a výsledek odeslat do souboru.

  1. Otevřete CMD jako správcecd „C:\Program Files\Update Services\Tools“
  2. WsusUtil.exe listunreferencedpackagefolders > c:\test\deletefolders.txt
  3. Otevřete ‚C:\test\deletefolders.txt‘ a zobrazte odmítnuté a odstraněné z SVM balíčky.
  4. Odstraňte počáteční řádky souboru, které zní:
    1. „Na následující složky neodkazuje žádná z aktualizací na vašem serveru WSUS.“
  5. Před každou položku přidejte následující: Rmdir/q/s
    1. např: Rmdir /q/s C:\Sources\WSUS\UpdateServicesPackages\598ecbc7-2208-401b-9f0c-8eb57488aee
  6. Jakmile budou mít všechny položky před sebou Rmdir /q/s, uložte soubor s příponou .cmd.
  7. Dvakrát klikněte na soubor deletefolders.cmd a spusťte jej.

Metoda 2

Nalezněte přiložený skript prostředí PowerShell, který odstraní všechny balíčky třetích stran ze služby WSUS. Přihlaste se k serveru WSUS a spusťte prostředí PowerShell jako správce. Můžete jednoduše spustit skript v prostředí PowerShell, který odstraní všechny balíčky třetích stran z vašeho WSUS.

Odstranění

Balíčky, které jste dosud odstranili, byly záplaty, které jste odstranili z rozhraní SVM2018, záplaty, které systém WSUS nepoužívá, a záplaty, které jsou označeny stavem Odmítnuto.
Někdy to však nebude úplně stačit.

  • V případě, že jste nainstalovali nový systém WSUS na starý a nakonfigurovali jste pro novou instalaci nové certifikáty, může se stát, že po sobě „zanecháte“ stále aktivní aktualizace.
    • Protože jsou aktualizační balíčky podepisovány certifikáty, dříve zveřejněné záplaty, které byly podepsány starším (aktuálně nepoužívaným certifikátem):
      • Ty nemusí být v SVM2018 viditelné
      • Tytéž záplaty nebudou viditelné ani v konzole serveru WSUS.
      • Tyto balíčky jsou fyzicky přítomny v \UpdateServicesPackages a mohou zůstat Schválené.
      • Také mohou být distribuovány službou WSUS klientům (nebo synchronizovány s downstreamovými servery), pokud jsou klienti vhodní pro tyto aktualizace a požádají o ně.
    • Tyto záplaty byly podepsány certifikátem, který se již nepoužívá.
      • Proto nelze tyto záplaty znovu použít. Nemůžete je ani odmítnout. Nemůžete je ani zobrazit v SVM2018. Staly se nepoužitelnými (a brzy stejně budou existovat nové verze.
        • Musíte vynutit odstranění všech záplat tak, že fyzicky přejdete do C:\Program Files\Update Services\UpdateServicesPackages\ a odstraníte je.
          • Pokud máte pochybnosti, které záplaty (ležící ve složkách s dlouhými číselnými ID názvy) mají být odstraněny, pak:
            • Vstupte do jedné ze složek GUID
            • Najděte.CAB, který má stejný název jako GUID
            • Klikněte pravým tlačítkem myši a vyberte vlastnosti
            • Otevřete záložku ‚Digitální podpisy‘
            • Dvakrát klikněte na certifikát v prostředním okně
            • V novém okně vyberte ‚Zobrazit certifikát‘
            • V novém (třetím) okně vyberte ‚Podrobnosti‘ a najděte pole Sériový klíč.
          • ‚Sériový klíč‘ je jedinečný a ukáže vám, zda certifikát, který kódově podepsal tento balíček, je ten, který aktivně používáte ve své doméně.
            • Můžete otevřít MMC > Soubor > Přidat nebo odebrat modul snap-in > Certifikáty > Místní počítač na WSUS.
            • Vstupte do složky ‚WSUS‘ a zkontrolujte tam sériový klíč certifikátu. Jedná se o certifikát, který aktuálně používáte.
          • Neodstraňujte žádné záplaty podepsané aktuálním certifikátem – odstraňte záplaty podepsané certifikátem, který není v úložišti certifikátů WSUS.

.