torstenv 10 Geschrieben 24. April 2009 Melden Teilen Geschrieben 24. April 2009 Hi! Gibt es eine Möglichkeit einen WSUS Server so zu konfigurieren, dass er keine BDC-Updates (Binary-Delta-Compression) mehr verwendet, sondern nur noch "selfcontained" (old-style) Upates? Diese Delta-Updates machen den ganzen vor einem Update stattfindenden Security-Audit unmöglich, weil man vor dem Update nie sagen kann, wie das Binary nach dem Update genau aussehen wird. Beim alten selfcontained update war das anders, da war die neue Datei einfach in dem Patch, das Ding konnte man untersuchen und wusste was man hatte. BDC ist in dieser Hinsicht scheinbar ein K.O. Kriterium, außer mir sagt hier jemand, was ich übersehen habe. Thx, T. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 24. April 2009 Melden Teilen Geschrieben 24. April 2009 Du kannst das File im Content IMHO mit -X entpacken. Alternativ kannst Du das Update auch manuell downloaden und entpacken. Dann weißt Du vorher was drin ist. Oder hab ich dich flasch verstanden? Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 25. April 2009 Autor Melden Teilen Geschrieben 25. April 2009 Du kannst das File im Content IMHO mit -X entpacken. Alternativ kannst Du das Update auch manuell downloaden und entpacken. Dann weißt Du vorher was drin ist. Oder hab ich dich flasch verstanden? Nee, grundsätzlich hast du mich eigentlich richtig verstanden, aber was du schreibst, gilt imho nur für die alten selfcontained Patches. Das gilt nicht für die neuen BDC-Patches. Darum geht es aber gerade. Ich muss in die Patche reinschauen und den Content analysieren, bevor die Patche ausgerollt werden. Aber bei den neuen Updates von MS wird die BinaryDeltaCompression verwendet, das heißt, das endgültig gepatchte Binary gibt es da gar nicht innerhalb des Patches, sondern es wird mit Hilfe des Patches aus dem alten Binary über das Delta das neue Binary. Und das funktioniert natürlich nur auf dem eigentlichen Zielsystem. Habe ich z.B. den WSUS 3 auf einem W2k3Srv laufen, kann ich ein Vista-Patch nicht in seiner finalen Form sehen, weil ich ja im WSUS Content nur das Delta habe, nicht aber das finale Resultat, weil das ja beim Patchen erst gebildet wird. Und auf dem WSUS Server habe ich dann keine Chance, das Patchen zur Analyse selbst zu machen, weil ich ja das originale File (das Vista File, das gepatcht werden soll) nicht habe. Ich hatte gehofft, MS würde beides anbieten, BDC-Updates und Selfcontained Updates, und man könnte den WSUS so konfigurieren, dass er nur noch die Selfcontained verwendet. Dann wäre es einfach. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 25. April 2009 Melden Teilen Geschrieben 25. April 2009 Es gibt in den Synchronisierungsoptionen des WSUS 3 die Möglichkeit "Expressinstallationsdateien" (die sind größer, lassen sich aber schneller installieren auf dem Client). Ich vermute aufgrund deiner Beschreibung das diese Updates dann komplette Patches sind. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. April 2009 Melden Teilen Geschrieben 25. April 2009 Nee, grundsätzlich hast du mich eigentlich richtig verstanden, aber was du schreibst, gilt imho nur für die alten selfcontained Patches. Das gilt nicht für die neuen BDC-Patches. Darum geht es aber gerade. Ich muss in die Patche reinschauen und den Content analysieren, bevor die Patche ausgerollt werden. Ich hab grad mal eine EXE im WSUS 3.0 SP1 Content mit -X extrahiert, und siehe da, eine Verzeichnisstruktur mit INF, DLL und einer Update.exe kommt zum Vorschein. In den vorhandenen EXE ist im Content ist der Patch komplett enthalten, mit allen Dateien die ausgetauscht/ersetzt werden sollen. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. April 2009 Melden Teilen Geschrieben 25. April 2009 Es gibt in den Synchronisierungsoptionen des WSUS 3 die Möglichkeit "Expressinstallationsdateien" (die sind größer, lassen sich aber schneller installieren auf dem Client). Ich vermute aufgrund deiner Beschreibung das diese Updates dann komplette Patches sind. Weshalb sollen die EXEn im Content nicht vollständig sein? Wie soll dann etwas "nachgeladen" werden? Wie soll das patchen denn sonst funktionieren? Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 26. April 2009 Autor Melden Teilen Geschrieben 26. April 2009 Weshalb sollen die EXEn im Content nicht vollständig sein? Wie soll dann etwas "nachgeladen" werden? Wie soll das patchen denn sonst funktionieren? Hmm. OK, du kennst BDC noch nicht. Dann zweifle ich an, dass du mir helfen kannst. Aber du kannst dich hier schlau machen: Binary delta compression - Wikipedia, the free encyclopedia und: Delta Compression Application Programming Interface Und um das mal selbst zu sehen, dass da in dem Patchfile kein Executable drin ist, schaust du dir einfach mal einen Patch für Vista im Detail an, z.B. windows6.0-kb958690-x86-rc_7e745ae6a0604c0f88afc74bbb63f55b5e9b976d.cab Aber vielleicht kannst du mir helfen, indem du mir sagst, an wen ich mich wenden könnte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.