Jeder, der mit PCs, Notebooks und Server mit einem Windows-Betriebssystem zu tun hat, kennt sie: Windows-Updates, die von Microsoft regelmäßig veröffentlicht werden. Für die oft sicherheitsrelevanten Aktualisierungen ist laut Aagon Consulting eine einheitliche Strategie sinnvoll.
Die folgenden neun Tipps aus der Consulting-Praxis von Aagon können sollen Denkanstöße geben und kleine wie große Unternehmen bei der Entwicklung einer ganzheitlichen Update-Strategie unterstützen.
1. Direkte Updates oder über WSUS
Die beiden in der Praxis am häufigsten genutzten Wege, PC-Arbeitsplätze und Windows-Server regelmäßig mit Updates zu versorgen, sind der direkte Download der Updates von Microsoft-Servern auf den jeweiligen Rechner oder der Einsatz der Windows Server Update Services (WSUS).
Bei den WSUS handelt es sich um einen kostenlosen Dienst für den Windows Server 2003 und 2008. Vereinfacht gesagt, lädt dieser alle gewünschten Updates von Microsoft-Servern auf ein lokales System herunter und stellt die Aktualisierungen anschließend über das LAN den lokalen Clients und Servern zur Verfügung. Der Einsatz eines WSUS-Servers führt unter anderem dazu, dass Updates für beispielsweise 100 Unternehmens-PCs nur ein einziges Mal über das Internet von Microsoft heruntergeladen werden müssen. Neben der Bandbreitenersparnis ist ein weiterer Vorteil der WSUS, dass nicht alle Updates automatisch an alle Clients im Unternehmen verteilt werden, sondern ein WSUS-Administrator diese selektiv freigeben kann. Wer einen WSUS-Server betreibt und dort alle Updates automatisch freigibt, verzichtet auf diese durchaus sinnvolle Kontrollmöglichkeit.
Ab wann der Einsatz eines WSUS-Servers sinnvoll ist, lässt sich am einfachsten an zwei Kriterien festmachen: Ist in einem Unternehmen bereits mindestens ein Windows-Server vorhanden und gibt es einen dafür zuständigen Administrator, so kann bereits hier der Einsatz eines WSUS-Servers sinnvoll sein. Auch wenn mehr als 20 PCs mit Windows in seinem Unternehmen betrieben werden, sollte über einen WSUS-Einsatz nachgedacht werden. Denn ab dieser Client-Zahl macht sich die Ersparnis an Bandbreite schon deutlich bemerkbar.
2. Konfiguration über Gruppenrichtlinien
Sind auf den Windows-Arbeitsplätzen automatische Updates über Microsoft oder einen lokalen WSUS-Server konfiguriert, kann der Administrator dort über Gruppenrichtlinien (GPO - Group Policy Objects) festlegen, wie die Arbeitsplatzrechner damit umgehen sollen. So lässt sich beispielsweise festlegen, ob der jeweilige Benutzer über neue Updates informiert wird oder ob Aktualisierungen still und leise im Hintergrund heruntergeladen werden.
Ebenso kann der Administrator lokale Änderungen an den Einstellungen für den Umgang mit Windows-Updates erlauben oder verhindern. Hier empfiehlt es sich auf alle Fälle, Änderungen der Einstellungen für Windows-Updates durch Benutzer zu unterbinden. Ob Anwender über neue Updates unterrichtet werden sollen oder nicht, ist hingegen eher Geschmacksache. Eine gute Übersicht über alle Konfigurationsmöglichkeiten für Windows-Updates per GPO bietet auch die Seite www.gruppenrichtlinien.de.
3. Erst testen, dann verteilen
Manche Updates schaden in der Praxis mehr, als sie nutzen. Im besten Fall bringt ein defektes Update nur einen lästigen Bug mit sich. Im schlimmsten Fall verhindert es die korrekte Funktion des kompletten Arbeitsplatzes - beispielsweise durch einen fehlerhaften Treiber für eine Netzwerkkarte. Um sich vor Beeinträchtigungen durch fehlerhafte Updates zu schützen, sollten Unternehmen alle Aktualisierungen daher zunächst nur an eine kleine aber möglichst repräsentative Testgruppe verteilen. Dies können etwa die Rechner der Administratoren selbst oder eine Gruppe von Power-Usern im Unternehmen sein. Laufen deren Rechner nach dem Update ein bis zwei Wochen lang ohne Probleme, kann auch der Rest des Unternehmens die Aktualisierungen erhalten.
Achtung: Auch ein einfaches Update eines Webbrowsers sollte im Idealfall zunächst getestet werden - besonders dann, wenn unternehmenskritische webbasierte Anwendungen zum Einsatz kommen. Voraussetzung für die kontrollierte Verteilung von Windows-Updates ist der Einsatz eines WSUS-Servers oder eines Clientmanagement-Systems wie ACMP von Aagon, das mit dem lokalen Windows-Update-Dienst auf den PCs zusammenarbeitet.