Der Software Update Services (SUS)-Server richtet sich primär an Einrichtungen, bei denen die kritischen Windows-Sicherheitsupdates im Intranet verteilt werden sollen. Der SUS-Server stellt sozusagen eine lokale Kopie des Microsoft-Windows-Update-Servers dar, über den andere Systeme (automatisiert) Sicherheitsupdates beziehen können. Derzeit kann der SUS-Server lediglich kritische Sicherheitsupdates für Windows 2000 (Prof./Server, jeweils ab SP2), Windows XP (Home Edition/Prof.) und (.NET-) Server 2003 verteilen. Seit Oktober 2003 kann der Service Pack 4 für Windows 2000 sowie der Service Pack 1 für Windows XP per SUS verteilt werden. Sicherheitsupdates für andere Betriebssysteme werden ebensowenig wie nicht sicherheitskritische Updates (z.B. Treiber) oder Updates für Office-Produkte per SUS verteilt. Leider brachte das mittlerweile verfügbare Service Pack 1 für den SUS-Server diesbezüglich auch keine Erweiterung (entgegen diversen Absichtserklärungen).
Für Mitglieder der Microsoft Software Assurance ist eine Spezialversion (SUS-SA) angekündigt, die ggf. auch Service Packs und Office-Updates verteilen können soll. Hierzu liegen uns derzeit leider keine weiteren Details vor (wir bemühen uns um Klärung dieser Punkte).
Ein FAQ findest du hier:
http://www.gruppenrichtlinien.de/ > HowTo > Sus-Server
Voraussetzungen für einen SUS-Server
Falls Sie selbst einen SUS-Server betreiben möchten, finden Sie nachfolgend eine stichpunktartige Auflistung der (mE) wichtigsten Punkte:
* Microsoft gibt an, dass ein Pentium III 700 MHz mit 512 MB-RAM und 6 GB-Hdd ca. 15000 Clients bedienen kann. Als Richtgröße sei angemerkt, dass die derzeit verfügbaren Sicherheitsupdates (allerdings in 24 Sprachversionen) ca. 3 GB belegen. Seit Oktober 2003 ist der Platzbedarf, durch die Verteilung von Service Packs, drastisch gestiegen und liegt derzeit für 30 Sprachversionen bei ca. 20 GB.
* Der SUS-Server erfordert einen Windows 2000 Server (mind. SP2) bzw. (.NET) Server 2003 mit Internet Explorer 5.5 (oder höher). Dabei darf (und sollte) es sich nicht um einen Domänen Controller handeln, sondern vielmehr wenn möglich, ein Standalone-System.
* Beachten Sie, dass der SUS-Server einen IIS-Webserver (zwangsweise) installiert. Bei der Installation wird das sogenannte Lockdown-Werkzeug angewandt, wodurch der Webserver recht restriktiv konfiguriert wird. Es ist daher weder empfehlenswert noch sinnvoll, weitere Webseiten auf diesem Server anbieten zu wollen.
* Sinnvollerweise sollte der SUS-Server mit zwei Netzwerkkarten ausgestattet werden, wodurch eine Trennung der internen Schnittstelle (SUS-Dienst basierend auf dem IIS-Webserver) und dem externen Abgleich mit einem weiteren SUS-Server bzw. Microsoft erfolgen kann. Diese Trennung sollte durch ACLs zusätzlich gesichert werden (z.B. auch mittels IPSec-Filterregeln).
* Die Administration des SUS-Servers erfolgt über eine administrative Webseite (
http://localhost/SUSAdmin) - standardmässig wird http verwendet, d.h. die Kommunikation erfolgt in Klartext was bei Zugriffen über das Netzwerk sicherheitskritisch ist.
