WSUS installiert eigenmächtig die Windows-Desktop-Suche auf Client-PCs
Unter bestimmten Umständen installieren PCs in Firmennetzwerken selbsttätig die Windows-Desktop-Suche von einem WSUS-Server - obwohl das gar nicht die Absicht des Administrators war.
Unter bestimmten Umständen installieren PCs in Firmennetzwerken selbsttätig Microsofts Desktop-Suchmaschine von einem WSUS-Server – obwohl der Administrator dem gar nicht zugestimmt hat. Microsoft hat nun zu den Anwenderbeschwerden, die seit Mittwoch in einschlägigen Foren zu lesen sind, Stellung genommen. Das Problem betrifft ausschließlich Firmen-PCs, die ihre Updates von einem WSUS-Server beziehen.
Schuld an der Verwirrung ist das Update mit der Knowledge-Base-Nummer 917013, das Microsoft ursprünglich am 7. Februar veröffentlicht hatte. Dabei handelt es sich nicht um ein sicherheitsrelevantes, sondern um ein optionales Update-Paket für die Windows-Desktop-Suche. WSUS-Administratoren müssen es bewusst aktivieren, um es den lokalen PCs zur Installation anzubieten.
Am 23. Oktober hat Microsoft die "Revision 105" dieses Updates auf seine Server gestellt. Microsoft hat hier nach eigenen Angaben keine Binärdateien geändert, sondern nur die zugehörigen Konfigurationsdateien. Die Änderungen haben aber einen unerfreulichen Nebeneffekt: Standardmäßig ist der WSUS so konfiguriert, dass er Revisionen von bereits freigeschalteten Updates automatisch ausliefert ("Auto-Approval"). Im Zusammenspiel mit dem WSUS-Server entscheiden die Client-PCs selbst, welche der vom Administrator freigegebenen Pakete sie installieren.
Mit der jüngst freigegebenen Revision hat Microsoft die Installations-Politik für das Updates 917013 stillschweigend geändert: Ursprünglich haben nur PCs das freigegebene Update der Desktopsuche installiert, auf denen diese bereits installiert war. Nach der Revision installieren nun plötzlich auch PCs mit XP und Server 2003 die Desktop-Suche von sich aus, auf denen sie noch nicht vorhanden war. Voraussetzung dafür ist allerdings, dass der Administrator das Februar-Update zur Installation freigegeben hatte.
Microsoft hat die Verbreitung des Updates via WSUS nach eigenen Angaben fürs Erste gestoppt. Ein neues Paket wollen die Redmonder nicht erneut als "Revision" verbreiten. (kav)
