Grundlagen

Patchmanagement

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Ein unzureichend gepatchter Client-PC ist ein unkalkulierbares Sicherheitsrisiko für das Unternehmen. Daher streben IT-Abteilungen nach der automatischen Aktualisierung ihrer Rechner. Die Einführung, Inbetriebnahme und Nutzung einer professionellen Software-Verteilungsumgebung ist kein einfaches Unterfangen. Doch einmal aufgesetzt kann sie helfen, eine Fülle von Standardaufgaben zu automatisieren.
Das primäre Ziel einer Software-Verteilungslösung ist es, dem Administrator die tägliche Arbeit so einfach wie möglich zu machen, damit dieser nicht von PC zu PC rennen und dort manuell Updates, neue Applikationen und so weiter installieren und einrichten muss. Um die Verteilung zu automatisieren, muss ein Client-PC selbstständig erkennen, dass neue Softwarepakete oder Updates für ihn bereit stehen. In zweiten Schritt muss sich der Client diese Pakete dann holen und sie lokal installieren. Ganz wichtig dabei: Bei der Installation muss auf jede Form von Anwender-Interaktion verzichtet werden, denn nur so lässt sich diese unbeaufsichtigt durchführen.

Realisiert wird diese Anforderung zum Beispiel mithilfe von Agenten, die auf den Client-Rechnern installiert werden. Der Agent prüft standardmäßig bei jedem Start des Clients und vor dem Login des Anwenders anhand der Konfigurationsinformationen auf dem Server, ob für diesen Client ein Update installiert werden soll. Ist das der Fall, startet die Patchmanagement-Lösung das Rollout. Auf Client-Seite sollte der Installationsvorgang dabei nicht durch einen (unbedachten) Anwendereingriff abgebrochen oder anderweitig gestört werden. Sind die Verteilung und die Clients entsprechend konfiguriert, steht einem netzwerkübergreifenden Update- und Patch-Management nichts mehr im Weg.

Windows Server Update Services
Im Microsoft-Umfeld verfügt Windows Server 2012 wie auch Server 2008 R2 über die Windows Server Update Services (WSUS). Dieser Dienst kann für Microsoft-Betriebssysteme, aber auch für alle anderen Microsoft-Produkte, Updates herunterladen und im Netzwerk zur Verfügung stellen. Die Clients und Server im Netzwerk rufen Aktualisierungen dann über diesen Server ab. Der Vorteil dabei ist die zentrale Steuerung. WSUS lädt die konfigurierten Updates basierend auf den vorgenommenen Spracheinstellungen, Produkten und Klassifizierungen aus dem Internet herunter, installiert diese aber nicht automatisch. Erst wenn ein Administrator einen Patch genehmigt, verteilt Windows diesen Patch auf die Computer.

Über die Optionen in der WSUS-Verwaltung lassen sich Regeln erstellen, über die Administratoren Updates automatisch zur Installation auf den verschiedenen Computergruppen genehmigen. Updates können Sie aber auch manuell oder in Gruppen genehmigen oder ablehnen. Es besteht zum Beispiel die Möglichkeit, Updates zunächst für Testcomputer freizugeben und anschließend über die Berichte zu kontrollieren, ob die Aktualisierung erfolgreich war. Ist dies der Fall, lassen sich die entsprechenden Updates für andere  Computergruppen oder alle Clients freigeben.

Natürlich sind automatische Updates etwa mit Windows 7 oder 8 auch ohne WSUS möglich. Bereits bei der Installation kann der Anwender auswählen, dass sich Windows automatisch aktualisieren soll, um vor neuen Sicherheitsgefahren gewappnet zu sein. Administratoren können auf diesen Schutz vertrauen und sollten ihn auch aktivieren. Über Windows-Updates lädt Windows 8 dabei auch Definitionsdateien von Windows Defender, neue Treiber und Aktualisierungen für andere Microsoft-Programme wie Microsoft Live Essentials oder Office herunter. Denn auch in diesen lauern nicht selten Schwachstellen.
17.09.2013/dr/Dr. Holger Reibold/Thomas Joos

Nachrichten

Malware-Untersuchung vor Ort [7.07.2020]

Die Sandboxing-Technologie von Kaspersky kann künftig auch in Kundennetzwerken eingesetzt werden. Die Umgebung unterstützt Sicherheitsexperten dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben. Die eigene IT-Umgebung soll sich dabei realitätsnah nachbilden lassen. [mehr]

EU-US Privacy Shield vor dem Aus? [6.07.2020]

Die Europäische Kommission bereitet sich auf das Scheitern des EU-US Privacy Shield vor, die in der EU ansässigen Firmen sollten ebenfalls dringend mit den Vorbereitungen beginnen, rät Detlef Schmuck, Geschäftsführer der Hamburger Datensicherheits­firma TeamDrive. Würde die transatlantische Datenschutzvereinbarung vom Europäischen Gerichtshof (EuGH) wie von vielen Seiten erwartet am 16. Juli für ungültig erklärt, stünden Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, im Regen. [mehr]

Tipps & Tools

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen