SUS Server

prøv at hente microsoft baseline security analyzer her
http://www.microsoft.com/downloads/details.aspx?FamilyID=9a88e63b-92e3-4f97-80e7-8bc9ff836742&DisplayLang=en
den kan måske hjælpe dig.

Jeg har prøvet at sætte den igang nu på sekmentet, men tilsyneladende tager det noget tid. Jeg vender tilbage når den er færdig!

Hej nu har jeg scannet og det ser vist ikke så godt ud! Jeg har læst at der kan gå fra 17 til 23 timer inden en PC finder ud af at der er en SUS server tilstede, men den tid er jo gået mange gange. Hvad kan jeg gøre nu?

Du får lige et dump fra Microsoft Baseline Analyser resultater fra 2 tilfældigt udvalgte PC'er:


Security updates    Vulnerabilities    Check failed (non-critical)    Windows Security Updates    11 security updates are out of date or could not be confirmed.
Security updates    Vulnerabilities    Check passed    Windows Media Player Security Updates    No critical security updates are missing.
Security updates    Vulnerabilities    Check not performed    Exchange Server Security Updates    Exchange Server is not installed.
Security updates    Vulnerabilities    Check not performed    SQL Server Security Updates    SQL Server is not installed on this computer.
Security updates    Vulnerabilities    Check not performed    IIS Security Updates    IIS is not running on this computer.
Windows Scan Results    Vulnerabilities    Check failed (critical)    File System    Not all hard drives are using the NTFS file system.
Windows Scan Results    Vulnerabilities    Check failed (non-critical)    Password Expiration    All user accounts (4) have non-expiring passwords.
Windows Scan Results    Vulnerabilities    Check failed (non-critical)    Administrators    More than 2 Administrators were found on this computer.
Windows Scan Results    Vulnerabilities    Check passed    Guest Account    The Guest account is disabled on this computer.
Windows Scan Results    Vulnerabilities    Check passed    Autologon    Autologon is not configured on this computer.
Windows Scan Results    Vulnerabilities    Check passed    Restrict Anonymous    Computer is properly restricting anonymous access.
Windows Scan Results    Vulnerabilities    Check not performed    Local Account Password Test    This check was skipped because user chose not to perform password checks during the scan.
Windows Scan Results    Additional System Information    Additional information    Windows Version    Computer is running Windows 2000 or greater.
Windows Scan Results    Additional System Information    Best practice    Auditing    Logon Failure auditing is enabled, however Logon Success auditing should also be enabled.
Windows Scan Results    Additional System Information    Additional information    Shares    16 share(s) are present on your computer.
Windows Scan Results    Additional System Information    Best practice    Services    Some potentially unnecessary services are installed.
Desktop Application Scan Results    Vulnerabilities    Check failed (non-critical)    IE Zones    Internet Explorer zones do not have secure settings for some users.
Desktop Application Scan Results    Vulnerabilities    Check failed (non-critical)    Outlook Zones    Microsoft Outlook 2000: Some security issues were found.
Desktop Application Scan Results    Vulnerabilities    Check failed (non-critical)    Macro Security    4 Microsoft Office product(s) are installed. Some issues were found.




Security updates    Vulnerabilities    Check failed (critical)    Windows Security Updates    15 security updates are missing, are out of date, or could not be confirmed.
Security updates    Vulnerabilities    Check passed    Windows Media Player Security Updates    No critical security updates are missing.
Security updates    Vulnerabilities    Check not performed    Exchange Server Security Updates    Exchange Server is not installed.
Security updates    Vulnerabilities    Check not performed    SQL Server Security Updates    SQL Server is not installed on this computer.
Security updates    Vulnerabilities    Check not performed    IIS Security Updates    IIS is not running on this computer.
Windows Scan Results    Vulnerabilities    Check failed (non-critical)    Password Expiration    All user accounts (5) have non-expiring passwords.
Windows Scan Results    Vulnerabilities    Check failed (non-critical)    Administrators    More than 2 Administrators were found on this computer.
Windows Scan Results    Vulnerabilities    Check passed    File System    All hard drives (1) are using the NTFS file system.
Windows Scan Results    Vulnerabilities    Check passed    Guest Account    The Guest account is disabled on this computer.
Windows Scan Results    Vulnerabilities    Check passed    Autologon    Autologon is not configured on this computer.
Windows Scan Results    Vulnerabilities    Check passed    Restrict Anonymous    Computer is properly restricting anonymous access.
Windows Scan Results    Vulnerabilities    Check not performed    Local Account Password Test    This check was skipped because user chose not to perform password checks during the scan.
Windows Scan Results    Additional System Information    Additional information    Windows Version    Computer is running Windows 2000 or greater.
Windows Scan Results    Additional System Information    Best practice    Auditing    Logon Failure auditing is enabled, however Logon Success auditing should also be enabled.
Windows Scan Results    Additional System Information    Additional information    Shares    2 share(s) are present on your computer.
Windows Scan Results    Additional System Information    Best practice    Services    Some potentially unnecessary services are installed.
Desktop Application Scan Results    Vulnerabilities    Check failed (non-critical)    IE Zones    Internet Explorer zones do not have secure settings for some users.
Desktop Application Scan Results    Vulnerabilities    Check failed (non-critical)    Outlook Zones    Microsoft Outlook 2000: Some security issues were found.
Desktop Application Scan Results    Vulnerabilities    Check failed (non-critical)    Macro Security    4 Microsoft Office product(s) are installed. Some issues were found.

Når du nu har lavet en GPO, har du da sat den på en OU´er, hvor du har dine maskinenavne liggende i ??

Der er intet værktøj i MSUS hvorpå man kan se, hvilke maskiner som har modtaget opdateringer. Dertil kan du bruge SMS, deri kan du se hvilke maskiner som har modtaget de forskellige patch/opdateringer.

Prøv evt. at gå under start - kør og skriv: %windir&\Windows update.log

I loggen skulle der gerne stå om den har haft fat på din MSUS-server.

En klassisk fejl er at URLscan er installeret. Den blokerer for flere at de requests som WindowsUpdate på klientern skal bruge.

Hvis den er installeret, så prøv at se i log filen fra urlscan og se om der er nogel "denys".

Det er faktisk ret enkelt at sætte op, men urlscan skal man lige passe på med.

Nej mine OU'er indeholder andre OU'er med yderligere andre OU'er og i disse sidstnævnte OU'er er der USERNAMES som logger på. Altså ingen HOSTNAVNE.
Og i loggen lokalt, er der kun fat i min SUS server på de klienter som jeg manuelt har "forced" til at benytte SUS serveren. Problemet er så bare at få fat i de sidste mange klienter automatisk, således at jeg slipper for manuelt at skulle rundt på samtlige PC'er den første gang.

Jeg har ikke prøvet URLSCAN endnu. Er det et værktøj il serveren eller til klienterne?

Jeg kan se at selvom jeg har sat GPO til force downloads at 09:00, står klientens på Windows 2000 til den miderste option: Download og giv besked når klar til installation!!!

Med GPRESULT får jeg følgende på en Windows 2000 Klient:


Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999


Created on 7. januar 2004 at 10:08:44


Operating System Information:

Operating System Type:        Professional
Operating System Version:    5.0.2195.Service Pack 3
Terminal Server Mode:        Not supported

###############################################################

  User Group Policy results for:

  CN=Frank Eckert Paulsen,OU=CONSTRUCTION & WRITING OUT OU,OU=GRAPHIC OU,OU=KJM OU,DC=KJGroup,DC=dk

  Domain Name:        KJGROUP
  Domain Type:        Windows 2000
  Site Name:        Default-First-Site-Name

  Roaming profile:    (None)
  Local profile:    C:\Documents and Settings\fr

  The user is a member of the following security groups:

    KJGROUP\Domain Users
    \Alle
    BUILTIN\Administratorer
    BUILTIN\Brugere
    NT AUTHORITY\INTERAKTIV
    NT AUTHORITY\Godkendte brugere
    \LOKAL
    KJGROUP\Mcad
    KJGROUP\KJ Grafisk konstruktion og udskrivning
    KJGROUP\Tegner
    KJGROUP\KJ-CAD
    KJGROUP\KJ-HPCOLOR-SYS
    KJGROUP\KJ-GRAPHIC
    KJGROUP\KJ Alle
    KJGROUP\ITDIST
    KJGROUP\MINOLTA


###############################################################

Last time Group Policy was applied: 7. januar 2004 at 10:08:03
Group Policy was applied from: escon_mail.KJGroup.dk


===============================================================


The user received "Registry" settings from these GPOs:

    LiveUpdate



###############################################################

  Computer Group Policy results for:

  CN=FR1003,CN=Computers,DC=KJGroup,DC=dk

  Domain Name:        KJGROUP
  Domain Type:        Windows 2000
  Site Name:        Default-First-Site-Name


  The computer is a member of the following security groups:

    BUILTIN\Administratorer
    \Alle
    BUILTIN\Brugere
    NT AUTHORITY\NETVÆRK
    NT AUTHORITY\Godkendte brugere
    KJGROUP\FR1003$
    KJGROUP\Domain Computers

###############################################################

Last time Group Policy was applied: 7. januar 2004 at 10:02:41
Group Policy was applied from: escon_mail.KJGroup.dk


===============================================================


The computer received "Registry" settings from these GPOs:

    Lokal gruppepolitik
    Default Domain Policy


===============================================================
The computer received "Security" settings from these GPOs:

    Default Domain Policy


===============================================================
The computer received "EFS recovery" settings from these GPOs:

    Lokal gruppepolitik
    Default Domain Policy


Hvad gør jeg som næste step???

I hvilken policy (GPO) ligger dine indstillinger for SUS?
Jeg kan slet ikke se at den bliver applied...

SUS er ikke en USER policy men en MACHINE, så den skal ligge på/over den OU, osm dine maskiner ligger i. Er det mon ikke her fejlen ligger?

URLscan er et "filter" til IIS, dvs. på serveren.

Hvis du kan tilgå din administrationsside ved at skrive i browseren:

http://servernavn/susadmin

Så laver URLScan ingen fejl. Jeg går ud fra, at du på ovennævnte link/administrationsside har "applayed" de forskellige updates ??

Det er den GPO som står således:

The user received "Registry" settings from these GPOs:

    LiveUpdate

- Men der er noget der ikke stemmer helt efter det du skriver. Hvorfor kan den ikke ligge på en OU som indeholder de domain users som logger på netværket? Herefter skal det applyes til de PC'er som disse brugere benytter. Det du skriver betyder at man skal flytte alle PC'er ind i en seperat OU, og så ligge GPO på denne! Er det korrekt?

Hej igen. Det ser bedre ud nu mht. tidligere svar fra ipvj angående USER / MACHINE policy efter at jeg har rettet det. Der er dog stadig en ting som ikke opfører sig ordentligt, og det er at de settings GPO tildeler, kun bliver rigtige hvis brugeren på PC'en er medlem af administrator gruppen lokalt. Hvad kan det skyldes? Hvis jeg går på som administrator er alt fint og flot, men det er ikke alle brugere i domænet der har denne lokal rettighed, og derfor ville det være bedre at det virkede uden. Hvad gør jeg?

Som user må du slet ikke kunne ændre i de settings, så det er nok det du oplever.

Hvis du logger på som domain admin, så du naturligvis gerne.

Den del af en GPO der omhandler MACHINE vedrører kun de maskiner - IKKE brugere. Så hvis dine indstillinger i GPO'en vedrører MACHINE skal den altså lægges på en OU hvorunder maskinerne ligger.

Tilsvarende (modsat) for USER.