Curățați patch-urile învechite din WSUS DB
Rezumat
Articolul descrie pașii necesari pentru a elimina pachetele vechi ale terților create de Software Vulnerability Manager de pe serverul WSUS local. Deși această referință este utilă este concepută pentru a vă ajuta cu instalarea SVM, ar trebui să redirecționați orice întrebări despre WSUS către forumurile Microsoft.
Sinopsis
Cu timpul, odată cu utilizarea SVM2018, numărul de pachete create începe să se acumuleze și să ocupe spațiu valoros pe disc pe serverul care facilitează rolul WSUS.
Din păcate, simpla declinare și ștergere a pachetelor nu elimină pachetele din folderul \UpdateServicePackages în care se află pachetele SVM.
Discuție
Metoda 1
Curățați pachetele vechi sau irelevante din interfața web SVM din meniul „Patching > Available”.
- Verificați pachetele create și determinați care pachete nu mai sunt relevante.
- 1 Fiecare pachet mai mic decât cea mai recentă „Patched Version” este acum vulnerabil și trebuie să dispară.
- Refuzați și apoi ștergeți intrările de pachete vechi sau irelevante pe care le vedeți listate în meniul Available (Disponibil).
Dacă folosiți SCUP, poate fi necesar să rulați expertul de curățare pentru SCUP în plus față de acești pași inițiali:
- Curățați baza de date WSUS de informațiile vechi de metadate ale pachetelor.
- Deschideți consola WSUS din Server Manager și navigați în zona Options.
- Selectați Server Cleanup Wizard.
- Executați Server Cleanup Wizard.
Executați WsusUtil cu parametrul listunreferencedpackagefolders și direcționați rezultatul către un fișier.
- Deschideți CMD ca administratorcd „C:\Program Files\Update Services\Tools”
- WsusUtil.exe listunreferencedpackagefolders > c:\test\deletefolders.txt
- Deschideți ‘C:\test\deletefolders.txt’ și vedeți pachetele declinate și șterse din SVM.
- Îndepărtați liniile de început ale fișierului care spun:
- „Următoarele foldere nu sunt menționate de niciuna dintre actualizările din serverul dvs. WSUS.”
- În fața fiecărei intrări adăugați următoarele:
- e.g : Rmdir /q/s C:\Sources\WSUS\UpdateServicesPackages\598ecbc7-2208-401b-9f0c-8eb57488aee
Metoda 2
Căutați scriptul PowerShell atașat, care va șterge toate pachetele terților din WSUS-ul dvs. Vă rugăm să vă conectați la serverul dvs. WSUS și să executați PowerShell-ul ca administrator. Puteți executa pur și simplu scriptul din PowerShell, care va șterge toate pachetele terților din WSUS-ul dumneavoastră.
Rezolvare
Pachetele pe care le-ați șters până acum au fost patch-uri pe care le-ați eliminat din interfața SVM2018, patch-uri care nu sunt utilizate de WSUS și patch-uri care sunt etichetate cu statusul Declined (refuzat).
Câteodată, totuși, acest lucru nu va fi perfect suficient.
- În cazul în care, ați instalat un nou WSUS peste cel vechi și ați configurat noi certificate pentru noua instalare, este posibil să ajungeți să „lăsați în urmă” actualizări care sunt încă active.
- Din moment ce pachetele de actualizare sunt semnate cu certificate, patch-urile publicate anterior care au fost semnate cu un certificat mai vechi (certificat neutilizat în prezent):
- Este posibil ca acestea să nu fie vizibile în SVM2018
- Aceleași patch-uri nu vor fi văzute nici în Consola serverului WSUS.
- Este posibil ca aceste pachete să fie prezente fizic la \UpdateServicesPackages și să rămână Approved.
- Ele pot la fel de bine să fie distribuite de WSUS către Clienți (sau sincronizate cu serverele Downstream) atâta timp cât Clienții sunt potriviți pentru aceste actualizări și solicită acest lucru.
- Aceste patch-uri au fost semnate cu un certificat care nu mai este utilizat.
- Prin urmare, nu puteți reutiliza patch-urile. Nu le puteți nici Refuza. Nici măcar nu le puteți vedea în SVM2018. Au devenit inutilizabile (și în curând vor exista oricum versiuni noi.
- Trebuie să forțați ștergerea tuturor patch-urilor mergând fizic la C:\\Program Files\Update Services\UpdateServicesPackages\ și ștergându-le pe acestea.
- Dacă aveți un dubiu cu privire la care dintre patch-uri (așezate în dosare cu nume numerice lungi de ID-uri) trebuie șterse, atunci:
- Intrați într-unul dintre dosarele GUID
- Căutați.CAB care are același nume ca și GUID-ul
- Click dreapta și selectați proprietăți
- Deschideți TAB-ul ‘Digital Signatures’
- Click dublu pe certificatul din fereastra din mijloc
- Selectați ‘View Certificate’ în noua fereastră
- Selectați ‘Details’ în noua (a treia) fereastră și găsiți câmpul Serial Key.
- „Cheia de serie” este unică și vă va arăta dacă certificatul care a semnat prin cod acest pachet este cel pe care îl utilizați în domeniul dvs. activ.
- Puteți deschide MMC > File > Add or Remove Snap-In > Certificates > Local Computer pe WSUS.
- Intrați în folderul „WSUS” și verificați acolo cheia de serie a certificatului. Acesta este certificatul pe care îl utilizați în prezent.
- Nu ștergeți niciun patch semnat cu certificatul actual – ștergeți patch-urile semnate cu un certificat care nu se află în magazinul de certificate WSUS.
- Dacă aveți un dubiu cu privire la care dintre patch-uri (așezate în dosare cu nume numerice lungi de ID-uri) trebuie șterse, atunci:
- Trebuie să forțați ștergerea tuturor patch-urilor mergând fizic la C:\\Program Files\Update Services\UpdateServicesPackages\ și ștergându-le pe acestea.
- Prin urmare, nu puteți reutiliza patch-urile. Nu le puteți nici Refuza. Nici măcar nu le puteți vedea în SVM2018. Au devenit inutilizabile (și în curând vor exista oricum versiuni noi.
- Din moment ce pachetele de actualizare sunt semnate cu certificate, patch-urile publicate anterior care au fost semnate cu un certificat mai vechi (certificat neutilizat în prezent):
.