Articles

Elavult javítások tisztítása a WSUS DB-ből

by admin

Összefoglaló

A cikk a Software Vulnerability Manager által létrehozott régi, harmadik féltől származó csomagok eltávolításához szükséges lépéseket ismerteti a helyi WSUS-kiszolgálóról. Bár ez a hivatkozás hasznos segítséget nyújt az SVM telepítésében, a WSUS-szal kapcsolatos kérdéseket a Microsoft fórumaira kell irányítania.

Szinopszis

Az SVM2018 használatával idővel a létrehozott csomagok száma kezd felhalmozódni, és értékes lemezterületet foglal el a WSUS-szerepet elősegítő kiszolgálón.

A csomagok egyszerű elutasítása és törlése sajnos nem távolítja el a csomagokat a \UpdateServicePackages mappából, ahol az SVM csomagok találhatók.

Discussion

Módszer 1

Tisztítsa meg a régi vagy nem releváns csomagokat az SVM webes felületén a Patching > Available menüben.

  1. Menjen végig a létrehozott csomagokon, és határozza meg, mely csomagok nem relevánsak már.
    1. 1 Minden csomag, amely alacsonyabb a legújabb “Patched Version”-nél, már sebezhető és el kell tűnnie.
  2. Utasítsa el, majd törölje a régi vagy nem releváns csomagbejegyzéseket, amelyeket az Elérhető menüben lát.

A SCUP használata esetén szükséges lehet, hogy ezeken a kezdeti lépéseken kívül futtassa a SCUP tisztítási varázslóját is:

  1. Tisztítsa meg a WSUS adatbázisát a régi csomagmetaadatok információitól.
  2. Nyissa meg a WSUS-konzolt a Kiszolgálókezelőből, és navigáljon a Beállítások területre.
  3. Válassza ki a Kiszolgálótisztítás varázslót.
  4. Futtassa a Kiszolgálótisztítás varázslót.

Futtassa a WsusUtil programot a listunreferencedpackagefolders paraméterrel, és az eredményt írja át egy fájlba.

  1. Nyissa meg a CMD-t rendszergazdakéntcd “C:\Program Files\Update Services\Tools”
  2. WsusUtil.exe listunreferencedpackagefolders > c:\test\deletefolders.txt
  3. Nyissa meg a ‘C:\test\deletefolders.txt’ fájlt és nézze meg a visszautasított és törölt SVM csomagokat.
  4. Eltávolítsa a fájlból a következő sorok elejét:
    1. “A következő mappákra nem hivatkozik a WSUS-kiszolgáló egyik frissítése sem.”
  5. A bejegyzés elé írja be a következőket: Rmdir/q/s
    1. e.g : Rmdir /q/s C:\Sources\WSUS\UpdateServicesPackages\598ecbc7-2208-401b-9f0c-8eb57488aee
  6. Ha minden bejegyzés előtt Rmdir /q/s szerepel, mentse el a fájlt .cmd kiterjesztéssel.
  7. Futtatásához kattintson duplán a deletefolders.cmd fájlra.

2. módszer

Keresze meg a csatolt PowerShell szkriptet, amely az összes harmadik féltől származó csomagot törli a WSUS-ból. Kérjük, jelentkezzen be a WSUS-kiszolgálóra, és futtassa a PowerShellt rendszergazdaként. Egyszerűen futtassa a PowerShellben a szkriptet, amely törölni fogja az összes 3rd party csomagot a WSUS-ból.

Megoldás

A csomagok, amelyeket eddig törölt, olyan javítások voltak, amelyeket eltávolított az SVM2018 felületéről, a WSUS által nem használt javítások és a Declined státusszal jelölt javítások.
Néha azonban ez nem lesz tökéletesen elég.

  • Az esetben, ha új WSUS-t telepített a régi fölé, és új tanúsítványokat konfigurált az új telepítéshez, előfordulhat, hogy “hátrahagyja” a még aktív frissítéseket.
    • Mivel a frissítési csomagok tanúsítványokkal vannak aláírva, a korábban közzétett, régebbi (jelenleg nem használt tanúsítvánnyal aláírt) javítások:
      • Ezek nem feltétlenül lesznek láthatóak az SVM2018-ban
      • Ezek a javítások a WSUS-kiszolgáló konzoljában sem lesznek láthatóak.
      • Ezek a csomagok fizikailag a \UpdateServicesPackages alatt vannak jelen, és jóváhagyva maradhatnak.
      • A WSUS ugyanúgy szétoszthatja őket az Ügyfeleknek (vagy szinkronizálhatja őket a Downstream kiszolgálókkal), amennyiben az Ügyfelek alkalmasak ezekre a frissítésekre és kérik azt.
    • Ezeket a javítócsomagokat olyan tanúsítvánnyal írták alá, amelyet már nem használnak.
      • Ezért a javítócsomagokat nem lehet újra felhasználni. Visszautasítani sem lehet őket. Még az SVM2018-ban sem láthatja őket. Használhatatlanná váltak (és hamarosan úgyis lesznek új verziók.)
        • Kényszerítenie kell az összes javítócsomag törlését úgy, hogy fizikailag bemegy a C:\Program Files\Update Services\UpdateServicesPackages\ és törli azokat.
          • Ha kétségei vannak afelől, hogy mely foltokat (amelyek hosszú numerikus azonosítójú mappákban ülnek) kell törölni, akkor:
            • Menjen be az egyik GUID mappába
            • Keresze meg a.CAB fájlt, amelynek a neve megegyezik a GUID-vel
            • Jobb egérgombbal kattintsunk és válasszuk a tulajdonságokat
            • Megnyitjuk a ‘Digitális aláírások’ TAB-ot
            • Dupla kattintás a tanúsítványra a középső ablakban
            • Az új ablakban válasszuk a ‘Tanúsítvány megtekintése’ lehetőséget
            • Az új (harmadik) ablakban válasszuk a ‘Részletek’ lehetőséget és keressük meg a Sorozatkulcs mezőt.
          • A ‘serial key’ egyedi, és megmutatja, hogy a csomagot kód aláírt tanúsítvány az-e, amelyet a tartományban aktívan használunk.
            • A WSUS-on megnyithatja az MMC > File > Add or Remove Snap-In > Certificates > Local Computer.
            • Bemenjen a ‘WSUS’ mappába, és ott ellenőrizze a tanúsítvány sorozatkulcsát. Ez a jelenleg használt tanúsítvány.
          • Ne törölje a jelenlegi tanúsítvánnyal aláírt javításokat – törölje a WSUS tanúsítványtárolóban nem található tanúsítvánnyal aláírt javításokat.