Pulire le patch obsolete dal WSUS DB
Sommario
L’articolo descrive i passi necessari per rimuovere i vecchi pacchetti di terze parti creati dal Software Vulnerability Manager dal tuo server WSUS locale. Mentre questo riferimento è utile è progettato per aiutarvi con l’installazione di SVM, dovreste reindirizzare qualsiasi domanda su WSUS ai forum Microsoft.
Sinossi
Con l’uso di SVM2018 nel tempo, il numero di pacchetti creati comincia ad accumularsi e ad occupare spazio prezioso sul disco del server che facilita il ruolo di WSUS.
Purtroppo, la semplice declinazione ed eliminazione dei pacchetti non rimuove i pacchetti dalla cartella \UpdateServicePackages dove risiedono i pacchetti SVM.
Discussione
Metodo 1
Pulisci tutti i pacchetti vecchi o irrilevanti dall’interfaccia web di SVM sotto il menu Patching > Disponibile.
- Esamina i pacchetti creati e determina quali pacchetti non sono più rilevanti.
- 1 Ogni pacchetto inferiore all’ultima “Patched Version” è ora vulnerabile e deve sparire.
- Rifiuta e poi cancella le voci di pacchetti vecchi o irrilevanti che vedi elencate nel menu Available.
Se usi SCUP, potrebbe essere necessario eseguire la pulizia guidata per SCUP in aggiunta a questi passi iniziali:
- Pulisci il tuo database WSUS dalle vecchie informazioni sui metadati dei pacchetti.
- Aprire la console WSUS da Server Manager e navigare nell’area Opzioni.
- Selezionare la pulizia guidata del server.
- Eseguire la pulizia guidata del server.
Eseguire WsusUtil con il parametro listunreferencedpackagefolders e pipe il risultato in un file.
- Apri CMD come Amministratorecd “C:\Program Files\Update Services\Tools”
- WsusUtil.exe listunreferencedpackagefolders > c:\test\deletefolders.txt
- Apri ‘C:\test\deletefolders.txt’ e vedi i pacchetti SVM rifiutati ed eliminati.
- Rimuovi le righe iniziali del file che recitano:
- “Le seguenti cartelle non sono referenziate da nessuno degli aggiornamenti nel tuo server WSUS.”
- Prima di ogni voce aggiungi quanto segue: Rmdir/q/s
- es: Rmdir /q/s C:\Sources\WSUS\UpdateServicesPackages\598ecbc7-2208-401b-9f0c-8eb57488aee
- Una volta che tutte le voci hanno Rmdir /q/s davanti, salvare il file con estensione .cmd.
- Fate doppio clic sul file deletefolders.cmd per eseguirlo.
Metodo 2
Trovate lo script PowerShell allegato, che eliminerà tutti i pacchetti di terze parti dal vostro WSUS. Accedi al tuo server WSUS ed esegui la PowerShell come amministratore. Puoi semplicemente eseguire lo script in PowerShell, che eliminerà tutti i pacchetti di terze parti dal tuo WSUS.
Workaround
I pacchetti che hai eliminato finora erano patch che hai rimosso dalla tua interfaccia SVM2018, patch non utilizzate da WSUS e patch etichettate con lo stato Declined.
A volte però questo non sarà perfettamente sufficiente.
- Nel caso in cui tu abbia installato un nuovo WSUS sopra quello vecchio e tu abbia configurato nuovi certificati per la tua nuova installazione, potresti finire per ‘lasciare indietro’ aggiornamenti che sono ancora attivi.
- Siccome i pacchetti di aggiornamento sono firmati con certificati, le patch pubblicate in precedenza che sono state firmate con certificati più vecchi (attualmente non utilizzati):
- Queste potrebbero non essere visibili in SVM2018
- Queste stesse patch non saranno viste nemmeno nella console del server WSUS.
- Questi pacchetti sono fisicamente presenti in \UpdateServicesPackages e potrebbero rimanere approvati.
- Possono anche essere distribuiti da WSUS ai client (o sincronizzati con i server Downstream) a patto che i client siano adatti a questi aggiornamenti e lo richiedano.
- Queste patch sono state firmate con un certificato che non è più utilizzato.
- Quindi, non è possibile riutilizzare le patch. Non puoi nemmeno rifiutarle. Non potete nemmeno vederle in SVM2018. Sono diventate inutilizzabili (e presto ci saranno comunque nuove versioni.
- Devi forzare la cancellazione di tutte le patch andando fisicamente in C:\Program Files\Update Services\UpdateServicesPackages\e cancellarle.
- Se hai un dubbio su quali patch (sedute in cartelle con lunghi nomi ID numerici) devono essere eliminate, allora:
- Entra in una delle cartelle GUID
- Trova il file .CAB che ha lo stesso nome del GUID
- Clicca con il tasto destro del mouse e seleziona proprietà
- Apri il TAB ‘Firme digitali’
- Fai doppio clic sul certificato nella finestra centrale
- Seleziona ‘Visualizza certificato’ nella nuova finestra
- Seleziona ‘Dettagli’ nella nuova (terza) finestra e trova il campo Chiave seriale.
- La ‘chiave seriale’ è unica e ti mostrerà se il certificato che ha codificato questo pacchetto è quello che stai usando nel tuo dominio attivo.
- Puoi aprire MMC > File > Aggiungi o rimuovi Snap-In > Certificati > Computer locale sul WSUS.
- Entra nella cartella ‘WSUS’ e controlla la chiave seriale del certificato. Questo è il certificato attualmente in uso.
- Non cancellare nessuna patch firmata con il tuo attuale certificato – cancella le patch firmate con un certificato che non si trova nel negozio dei certificati WSUS.
- Se hai un dubbio su quali patch (sedute in cartelle con lunghi nomi ID numerici) devono essere eliminate, allora:
- Devi forzare la cancellazione di tutte le patch andando fisicamente in C:\Program Files\Update Services\UpdateServicesPackages\e cancellarle.
- Quindi, non è possibile riutilizzare le patch. Non puoi nemmeno rifiutarle. Non potete nemmeno vederle in SVM2018. Sono diventate inutilizzabili (e presto ci saranno comunque nuove versioni.
- Siccome i pacchetti di aggiornamento sono firmati con certificati, le patch pubblicate in precedenza che sono state firmate con certificati più vecchi (attualmente non utilizzati):