Verwenden von WUA zur Offlineüberprüfung auf Updates

  • Artikel

Mit dem Windows Update-Agent (WUA) können Computer auf Sicherheitsupdates überprüft werden, ohne eine Verbindung mit Windows Server Update Services (WSUS) herzustellen. Dadurch können Computer auf Sicherheitsupdates überprüft werden, die nicht mit dem Internet verbunden sind.

Für die Offlineüberprüfung auf Updates ist der Download einer signierten „Wsusscn2.cab“-Datei von Windows Update erforderlich.

Die „Wsusscn2.cab“-Datei ist eine CAB-Datei, die von Microsoft signiert ist. Diese Datei enthält Informationen zu sicherheitsrelevanten Updates, die von Microsoft veröffentlicht werden. Nicht mit dem Internet verbundene Computer können überprüft werden, um festzustellen, ob diese sicherheitsrelevanten Updates vorhanden oder erforderlich sind. Die „Wsusscn2.cab“-Datei enthält nicht die Sicherheitsupdates selbst. Sie müssen also alle erforderlichen sicherheitsrelevanten Updates auf andere Weise abrufen und installieren. Neue Versionen der „Wsusscn2.cab“-Datei werden regelmäßig beim Veröffentlichen, Entfernen oder Überarbeiten von sicherheitsrelevanten Updates auf der Windows Update-Website veröffentlicht. Die neueste „Wsusscn2.cab“-Datei steht am folgenden Speicherort zum Download zur Verfügung: Herunterladen von „Wsusscn2.cab“.

Nach dem Herunterladen der neuesten „Wsusscn2.cab“-Datei kann diese der AddScanPackageService-Methode bereitgestellt werden, und die WUA-API kann verwendet werden, um den Offlinecomputer nach Sicherheitsupdates zu durchsuchen. WUA überprüft, ob die „Wsusscn2.cab“-Datei von einem gültigen Microsoft-Zertifikat signiert ist, bevor eine Offlineüberprüfung ausgeführt wird.

Hinweis

Wenn Sie Offlinescans von CAB-Dateien durchführen, können Sie eine höhere als die normale Speicherauslastung erfahren. Es wird empfohlen, erforderliche Anpassungen an Ihrem System vorzunehmen, um ausreichende Speicherressourcen für den Scanvorgang zuzuweisen. Dies kann das Konfigurieren zusätzlicher Prozessoren und das Ändern der Seitendatei umfassen. Die Sicherstellung einer angemessenen Speicherzuweisung hilft bei der effizienten und effektiven Durchführung des Scans.

Hinweis

Gemäß der Initiative zur SHA-1-Veraltung ist die „Wsusscn2.cab“-Datei nicht mehr dual mit SHA-1 und der SHA-2-Produktfamilie von Hashalgorithmen (insbesondere SHA-256) signiert. Diese Datei ist jetzt lediglich mit SHA-256 signiert. Administratoren*innen, die digitale Signaturen für diese Datei überprüfen, sollten jetzt lediglich einzelne SHA-256-Signaturen erwarten.

Beispiel

Im folgenden Beispiel wird die „Wsusscn2.cab“-Datei verwendet, um einen Computer zu überprüfen und fehlende Updates anzuzeigen.

Wichtig

Diese Skripts sollen die Verwendung der Agent-APIs von Windows Update veranschaulichen und als Beispiel dafür dienen, wie Entwickler*innen diese APIs bei der Problembehandlung verwenden können. Diese Skripts sind nicht als Produktionscode vorgesehen. Sie werden außerdem nicht von Microsoft unterstützt, obwohl die zugrunde liegenden Agent-APIs von Windows Update unterstützt werden.

Set UpdateSession = CreateObject("Microsoft.Update.Session")
Set UpdateServiceManager = CreateObject("Microsoft.Update.ServiceManager")
Set UpdateService = UpdateServiceManager.AddScanPackageService("Offline Sync Service", "c:\wsusscn2.cab")
Set UpdateSearcher = UpdateSession.CreateUpdateSearcher()

WScript.Echo "Searching for updates..." & vbCRLF

UpdateSearcher.ServerSelection = 3 ' ssOthers

UpdateSearcher.ServiceID = UpdateService.ServiceID

Set SearchResult = UpdateSearcher.Search("IsInstalled=0")

Set Updates = SearchResult.Updates

If searchResult.Updates.Count = 0 Then
    WScript.Echo "There are no applicable updates."
    WScript.Quit
End If

WScript.Echo "List of applicable items on the machine when using wssuscan.cab:" & vbCRLF

For I = 0 to searchResult.Updates.Count-1
    Set update = searchResult.Updates.Item(I)
    WScript.Echo I + 1 & "> " & update.Title
Next

WScript.Quit