Jeder, der mit PCs, Notebooks und Server mit einem Windows-Betriebssystem zu tun hat, kennt sie: Windows-Updates, die von Microsoft regelmäßig veröffentlicht werden. Für die oft sicherheitsrelevanten Aktualisierungen ist laut Aagon Consulting eine einheitliche Strategie sinnvoll.
Die folgenden neun Tipps aus der Consulting-Praxis von Aagon können sollen Denkanstöße geben und kleine wie große Unternehmen bei der Entwicklung einer ganzheitlichen Update-Strategie unterstützen.
1. Direkte Updates oder über WSUS
Die beiden in der Praxis am häufigsten genutzten Wege, PC-Arbeitsplätze und Windows-Server regelmäßig mit Updates zu versorgen, sind der direkte Download der Updates von Microsoft-Servern auf den jeweiligen Rechner oder der Einsatz der Windows Server Update Services (WSUS).
Bei den WSUS handelt es sich um einen kostenlosen Dienst für den Windows Server 2003 und 2008. Vereinfacht gesagt, lädt dieser alle gewünschten Updates von Microsoft-Servern auf ein lokales System herunter und stellt die Aktualisierungen anschließend über das LAN den lokalen Clients und Servern zur Verfügung. Der Einsatz eines WSUS-Servers führt unter anderem dazu, dass Updates für beispielsweise 100 Unternehmens-PCs nur ein einziges Mal über das Internet von Microsoft heruntergeladen werden müssen. Neben der Bandbreitenersparnis ist ein weiterer Vorteil der WSUS, dass nicht alle Updates automatisch an alle Clients im Unternehmen verteilt werden, sondern ein WSUS-Administrator diese selektiv freigeben kann. Wer einen WSUS-Server betreibt und dort alle Updates automatisch freigibt, verzichtet auf diese durchaus sinnvolle Kontrollmöglichkeit.
Ab wann der Einsatz eines WSUS-Servers sinnvoll ist, lässt sich am einfachsten an zwei Kriterien festmachen: Ist in einem Unternehmen bereits mindestens ein Windows-Server vorhanden und gibt es einen dafür zuständigen Administrator, so kann bereits hier der Einsatz eines WSUS-Servers sinnvoll sein. Auch wenn mehr als 20 PCs mit Windows in seinem Unternehmen betrieben werden, sollte über einen WSUS-Einsatz nachgedacht werden. Denn ab dieser Client-Zahl macht sich die Ersparnis an Bandbreite schon deutlich bemerkbar.
2. Konfiguration über Gruppenrichtlinien
Sind auf den Windows-Arbeitsplätzen automatische Updates über Microsoft oder einen lokalen WSUS-Server konfiguriert, kann der Administrator dort über Gruppenrichtlinien (GPO - Group Policy Objects) festlegen, wie die Arbeitsplatzrechner damit umgehen sollen. So lässt sich beispielsweise festlegen, ob der jeweilige Benutzer über neue Updates informiert wird oder ob Aktualisierungen still und leise im Hintergrund heruntergeladen werden.
Ebenso kann der Administrator lokale Änderungen an den Einstellungen für den Umgang mit Windows-Updates erlauben oder verhindern. Hier empfiehlt es sich auf alle Fälle, Änderungen der Einstellungen für Windows-Updates durch Benutzer zu unterbinden. Ob Anwender über neue Updates unterrichtet werden sollen oder nicht, ist hingegen eher Geschmacksache. Eine gute Übersicht über alle Konfigurationsmöglichkeiten für Windows-Updates per GPO bietet auch die Seite www.gruppenrichtlinien.de.
3. Erst testen, dann verteilen
Manche Updates schaden in der Praxis mehr, als sie nutzen. Im besten Fall bringt ein defektes Update nur einen lästigen Bug mit sich. Im schlimmsten Fall verhindert es die korrekte Funktion des kompletten Arbeitsplatzes - beispielsweise durch einen fehlerhaften Treiber für eine Netzwerkkarte. Um sich vor Beeinträchtigungen durch fehlerhafte Updates zu schützen, sollten Unternehmen alle Aktualisierungen daher zunächst nur an eine kleine aber möglichst repräsentative Testgruppe verteilen. Dies können etwa die Rechner der Administratoren selbst oder eine Gruppe von Power-Usern im Unternehmen sein. Laufen deren Rechner nach dem Update ein bis zwei Wochen lang ohne Probleme, kann auch der Rest des Unternehmens die Aktualisierungen erhalten.
Achtung: Auch ein einfaches Update eines Webbrowsers sollte im Idealfall zunächst getestet werden - besonders dann, wenn unternehmenskritische webbasierte Anwendungen zum Einsatz kommen. Voraussetzung für die kontrollierte Verteilung von Windows-Updates ist der Einsatz eines WSUS-Servers oder eines Clientmanagement-Systems wie ACMP von Aagon, das mit dem lokalen Windows-Update-Dienst auf den PCs zusammenarbeitet.
Tipps 4, 5 und 6
4. Wer hat was wann erhalten
Gerade bei Updates, die erst nach einiger Zeit Probleme mit einer wichtigen Anwendung verursachen, kann es sinnvoll sein, diese kontrolliert wieder von den betroffenen Arbeitsplätzen zu entfernen. Hierzu muss man jedoch wissen, welcher PC ein bestimmtes Update bereits erhalten hat und welcher nicht.
Der WSUS-Server kann hier nicht wirklich weiterhelfen. Soll die Entfernung von Updates weitgehend automatisiert geschehen, ist wiederum der Einsatz eines Clientmanagement-Systems notwendig. Hier kann ein Administrator beispielsweise komfortabel in seiner zentralen Konsole alle Rechner selektieren, die ein bestimmtes Update erhalten haben. Mit einem Mausklick wird dieses dann automatisch von allen PCs wieder entfernt.
5. Bringschuld statt Holschuld
Windows-Updates mit und ohne WSUS arbeiten zumindest zum Teil reaktiv. Das heißt, dass die Clients selber bei Microsoft oder den WSUS nach neuen Updates fragen müssen. Tut man dies aus welchem Grund auch immer nicht, erhaltet man auch keine Aktualisierungen.
Ist das Windows-Update in ein unternehmensweites Clientmanagement integriert, so erhält der Administrator dadurch zusätzlich die Möglichkeit, aktiv die Installation bestimmter Patches zu erzwingen. Dazu selektiert er nach einer Inventarisierung zunächst alle Rechner, die ein bestimmtes Update noch nicht besitzen und löst dann über den Agenten des CMS dort eine Suche nach aktuellen Windows-Updates aus.
6. Offline-Updates
Manche Clients sind gar nicht mit dem Internet verbunden. Dies heißt jedoch nicht, dass diese Rechner nicht gefährdet wären. Denn Trojaner, Spyware und sonstige Malware können sich auch über USB-Sticks oder externe Festplatten verbreiten. Um auch solche Rechner regelmäßig auf dem aktuellen Stand zu halten, gibt es neben den Online-Updates über Microsoft oder einen WSUS-Server auch die Möglichkeit, Windows-Rechner über einen externen Datenträger offline mit Aktualisierungen zu versorgen.
Ein Tool, das diese Aufgabe erledigt, gibt es zwar nicht von Microsoft, aber es ist als Donationware (kostenlos mit Bitte um eine Spende) unter http://www.wsusoffline.net/ erhältlich. Zudem verfügen manche Clientmanagement-Systeme über einen Offline-Client, der neben "normaler" Software auch Windows-Patches und Service-Packs verteilen kann.
Tipps 7, 8 und 9
7. Mobile Nutzer
Offline-Updates können auch für mobile Anwender sinnvoll sein, die nur gelegentlich oder mit sehr wenig Bandbreite online sind. Wer beispielsweise nur per GPRS Kontakt mit der Firmenzentrale aufnehmen kann, um E-Mails und Termine abzugleichen, wird über ein mehrere hundert Megabyte großes Service-Pack nicht unbedingt glücklich sein.
Bei anderen mobilen Nutzern ist es wiederum empfehlenswert, diese trotz eines WSUS-Servers im Unternehmen direkt über die Server von Microsoft mit Updates zu versorgen. So müssen die Update-Dateien nicht durch das VPN auf den Client wandern, sondern können bei Bedarf beispielsweise an einem Hotspot direkt aus dem Internet geladen werden. Hier besteht dann natürlich das Risiko, ein faules Update zu erwischen. Ist auf den mobilen Clients jedoch ein Agent des unternehmensweiten Clientmanagement-Systems vorhanden, lassen sich die Updates auch von zentraler Stelle aus wieder entfernen.
8. Rollouts von neuen Rechnern
Auch beim Rollout von neuen Rechnern, der Neuinstallation von Betriebssystemen oder bei der Migration von XP auf Windows 7 kann ein kontrolliertes Update-Management mit einem Clientmanagement-System hilfreich sein. Wird beispielsweise ein frisches Windows 7 ohne Service-Pack installiert, so holt sich das Betriebssystem über seine interne Update-Funktion zunächst alle Patches seit seinem Erscheinen. Bei Windows 7 sind dies bereits rund 60 Softwarepakete. Nach deren Installation lädt Windows 7 dann das Service-Pack 1 herunter, das viele dieser Patches schon enthält.
Mit Hilfe eines CMS könnte der Administrator hier entweder direkt nach der Installation von Windows 7 das SP1 installieren und erst dann die Windows-Updates starten. Oder die Softwareverteilung des CMS enthält bereits ein Paket mit allen aktuellen Service-Packs und Patches, das automatisch nach der Installation des Betriebssystems verteilt wird. Beide Vorgehensweisen sparen sowohl Zeit als auch Bandbreite.
9. Risiken abwägen
Grundsätzlich sollten Unternehmen eine konkrete Strategie für ihren Umgang mit Windows-Updates festlegen und diese entsprechend dokumentieren. Ein solcher Update-Plan beinhaltet unter anderem konkrete Zeiträume, wann welche Nutzergruppe welche Art von Updates erhalten soll. So können kritische Windows-Updates, die außerhalb der Patch-Days erscheinen, beispielsweise einen verkürzten Testzeitraum erhalten, um sie schneller auf die Rechner der Anwender zu bringen. Auch das Malware-Removal-Tool, das Microsoft einmal im Monat aktualisiert, sollte möglichst zeitnah auf alle Clients ausgebracht werden.
Zu einer kompletten Update-Strategie gehört aber auch der Umgang mit den Updates aller anderen Softwarehersteller, deren Produkte aktiv im Unternehmen zum Einsatz kommen. Da diese entweder über eigene oder gar keine Update-Mechanismen verfügen, ist hier der Einsatz eines Clientmanagement-Systems fast unverzichtbar, wenn ein einheitlicher und aktueller Softwarestand im Unternehmen sichergestellt werden möchte. Dabei sollte auf alle Fälle darauf achten werden, dass ein CMS nahtlos mit einem WSUS und dem Windows-Update-Dienst zusammenarbeitet.
(kv)