Articles

Verouderde patches verwijderen uit WSUS DB

Samenvatting

Het artikel beschrijft de stappen die nodig zijn om oude pakketten van derden te verwijderen die zijn gemaakt door de Software Vulnerability Manager van uw lokale WSUS-server. Hoewel deze referentie is bedoeld om u te helpen met uw SVM-installatie, moet u eventuele vragen over WSUS doorverwijzen naar de Microsoft-forums.

Synopsis

Met het gebruik van de SVM2018 na verloop van tijd begint het aantal gemaakte pakketten zich op te stapelen en kostbare schijfruimte in beslag te nemen op de server die de WSUS-rol faciliteert.

Helaas worden de pakketten niet verwijderd uit de map \UpdateServicePackages waar de SVM-pakketten zich bevinden door ze eenvoudigweg te weigeren en te verwijderen.

Discussie

Methode 1

Opruimen van oude of irrelevante pakketten uit de SVM web Interface onder Patching > Beschikbaar menu.

  1. Ga door de aangemaakte pakketten en bepaal welke pakketten niet meer relevant zijn.
    1. 1 Elk pakket dat lager is dan de laatste “Gepatchte Versie” is nu kwetsbaar en moet weg.
  2. Wijder en verwijder vervolgens de oude of irrelevante pakketvermeldingen die u in het menu Beschikbaar ziet staan.

Als u SCUP gebruikt, kan het nodig zijn om naast deze eerste stappen ook de opschoonwizard voor SCUP uit te voeren:

  1. Schoon uw WSUS-database op van oude metagegevens over pakketten.
  2. Open de WSUS-console vanuit Server Manager en navigeer naar het gedeelte Opties.
  3. Selecteer de wizard Server opschonen.
  4. Run de wizard Server opschonen.

Run WsusUtil met de parameter listunreferencedpackagefolders en pijp het resultaat naar een bestand.

  1. Open CMD als Administratorcd “C:Program Files\Update Services\Tools”
  2. WsusUtil.exe listunreferencedpackagefolders > c:\test\deletefolders.txt
  3. Open ‘C:\test\deletefolders.txt’ en zie de geweigerde en verwijderde SVM pakketten.
  4. Verwijder de beginregels van het bestand die luiden:
    1. “Naar de volgende mappen wordt door geen van de updates in uw WSUS-server verwezen.”
  5. Vóór elke regel voegt u het volgende toe: Rmdir/q/s
    1. bijv: Rmdir /q/s C:\Sources\WSUS\UpdateServicesPackages\598ecbc7-2208-401b-9f0c-8eb57488aee
  6. Als voor alle vermeldingen Rmdir /q/s staat, slaat u het bestand op met de extensie .cmd.
  7. Dubbelklik op het bestand deletefolders.cmd om het uit te voeren.

Methode 2

Vind het bijgevoegde PowerShell-script, dat alle pakketten van derden uit uw WSUS zal verwijderen. Log in op uw WSUS server en voer de PowerShell uit als een administrator. U kunt gewoon het script uitvoeren in de PowerShell, die alle 3rd party packages zal verwijderen uit uw WSUS.

Workaround

De pakketten die u tot nu toe hebt verwijderd, zijn patches die u uit uw SVM2018-interface hebt verwijderd, patches die niet door WSUS worden gebruikt en patches die de status Declined hebben.
Soms is dit echter niet perfect genoeg.

  • In het geval dat u nieuwe WSUS bovenop uw oude hebt geïnstalleerd en u nieuwe certificaten voor uw nieuwe installatie hebt geconfigureerd, kan het gebeuren dat u updates ‘achterlaat’ die nog steeds actief zijn.
    • Sinds Update Packages worden ondertekend met certificaten, kunnen eerder gepubliceerde patches die zijn ondertekend met een ouder (momenteel ongebruikt certificaat):
      • Deze zijn mogelijk niet zichtbaar in SVM2018
      • Deze zelfde patches zullen ook niet te zien zijn in de WSUS Server Console.
      • Deze pakketten zijn fysiek aanwezig bij \UpdateServicesPackages en ze kunnen Approved blijven.
      • Ze mogen ook door WSUS naar Clients worden gedistribueerd (of met Downstream-servers worden gesynchroniseerd) zolang de Clients geschikt zijn voor deze updates en daarom vragen.
    • Deze patches zijn ondertekend met een certificaat dat niet meer wordt gebruikt.
      • Daarom kunt u de patches niet hergebruiken. U kunt ze ook niet weigeren. Je kunt ze zelfs niet meer zien in SVM2018. Ze zijn onbruikbaar geworden (en binnenkort komen er toch nieuwe versies.
        • U moet de verwijdering van alle patches forceren door fysiek naar C:Programma’sBestandenUpdate Services:UpdateServicesPackages te gaan en deze te verwijderen.
          • Als u twijfelt welke patches (die in mappen met lange numerieke ID-namen staan) moeten worden verwijderd, dan:
            • Voer een van de GUID-mappen in
            • Zoek het.CAB-bestand dat dezelfde naam heeft als de GUID
            • Rechter muisklik en selecteer eigenschappen
            • Open ‘Digitale handtekeningen’ TAB
            • Dubbel-klik op het certificaat in het middelste venster
            • Selecteer ‘Certificaat bekijken’ in het nieuwe venster
            • Selecteer ‘Details’ in het nieuwe (derde) venster en zoek het veld Seriële sleutel.
          • De ‘serial key’ is uniek en laat u zien of het certificaat dat dit pakket van een code heeft voorzien, het certificaat is dat u actief in uw domein gebruikt.
            • U kunt MMC > File > Add or Remove Snap-In > Certificates > Local Computer op de WSUS openen.
            • Ga naar de map ‘WSUS’ en controleer daar de ‘serial key’ van het certificaat. Dit is het certificaat dat u momenteel gebruikt.
          • Verwijder geen patches die zijn ondertekend met uw huidige certificaat – verwijder patches die zijn ondertekend met een certificaat dat niet in de WSUS Certificate store staat.