IT Security | System Administration

Patchen – immer, aber nicht ohne Testen

26. August 2021, Avatar of Felix ZechFelix Zech

In schöner Regelmäßigkeit veröffentlicht Microsoft Updates für Windows Updates und schließt damit Sicherheitslücken. Mit einem simplen „installieren und gut ist’s“ ist es aber nicht getan: Alle Updates sollten vor einem unternehmensweiten Rollout getestet werden und nicht direkt produktiv eingesetzt werden.

Um das Risiko von Problemen zu minimieren, hat Windows sog. Bereitstellungsringe entwickelt. Wie genau funktionieren diese?

Updatehandling und -kreise

Die Bereitstellungsringe sind eine Methode, um Computer in Gruppen aufzuteilenund diese nacheinander mit dem neuen Update zu versorgen. Die Ringe müssen in der Regel nur einmal definiert werden. Es liegt jedoch an der IT die gebildeten Ringe regelmäßig zu überprüfen, um sicherzustellen, dass die Sequenzierung weiterhin korrekt ist.

Gearbeitet wird dabei mit 3 Ringen: Zunächst werden einige wenige Key-User versorgt. Wenn soweit keine Probleme auftauchen, wird in einer ersten Welle eine überschaubare Anzahl an Arbeitsplätzen geupdatet und erst wenn hier keine Probleme auftreten kommt mit einer zweiten Welle der ganze Rest. Alle Mitarbeiter werden je nach ihrem Tätigkeitsbereich im Unternehmen in die verschiedenen Bereitstellungsringe eingeteilt. Dabei ist es wichtig, zu beachten, dass nicht jeder innerhalb einer Abteilung sich im gleichen Ring befinden sollte, denn wenn ein Fehlerfall auftritt, wird das gesamte Team lahmgelegt.

Wenn sich zum Beispiel die Buchhaltung komplett in der Key-User Gruppe befindet und es zu einem Bluescreen kommt, kann die ganze Abteilung nicht mehr arbeiten. Dadurch kommt es zu einem Dominoeffekt, Zahlungen verzögern sich und dies beeinträchtigt den gesamten Geschäftsablauf für das ganze Unternehmen.

 

Patchmanagement über baramundi – eine Möglichkeit der Optimierung

Wichtig bei der Umsetzung ist, aus welchen Quellen die teilweise sehr großen Updates an die Geräte verteilt werden, je nachdem ob ein WSUS als lokales Update Repository im Einsatz ist oder nicht. Geräte die selten über das interne Netz erreichbar sind, sollten direkt über die von Microsoft zur Verfügung gestellten Patches versorgt werden. Dadurch wird die VPN Verbindung ins Unternehmensnetzwerk weniger stark belastet und viel Bandbreite gespart.

Um die Auslastung der Netzwerkbandbreite weiter zu verringern, unterstützen baramundi und Microsoft die Delivery Optimization. Diese hilft dabei, die Arbeit der Bereitstellung von mehreren Patches untereinander effizient aufzuteilen.

Aber Achtung: Bei fehlerhafter Konfiguration kann es dazu kommen, dass die Patches auch in öffentlichen Netzwerken (z. B. einem Hotel-Wlan) getauscht werden. Dies stellt ein erhöhtes Sicherheitsrisiko dar.

Bildung dynamischer Gruppen

Um besser sehen zu können, bei welchen Geräten doch noch Handlungsbedarf besteht, werden dynamische Gruppen gebildet, um den jeweiligen Patchstand der Clients zu sehen. Dynamische Gruppen sind nichts anderes als Filter, die auf Basis frei konfigurierbarer Kriterien Geräte in Gruppen zusammenfassen. Am Ende könne so Updates zuverlässiger, schneller und effizienter aktualisiert werden.

Eine zentrale Ansicht der Windows-Sicherheitsfeatures

Durch die Inventarisierung des Windows Security Center wird fortan der Status der Windows-eigenen Schutzmechanismen (Firewall, UAC, Defender, etc.) angezeigt. Die Werte sind auch über dynamische Gruppen filterbar, sodass automatisiert auf Sicherheitsvorfälle reagiert werden kann.

Patchlevel im Auge behalten

Für die Admins ist es wichtig einen guten Überblick zu behalten, welche Geräte zu einem gegebenen Zeitpunkt über welchen Stand verfügen. Das gilt sowohl für den Patchlevel selbst, als auch für die verschiedenen Release-Versionen des Betriebssystems. So ist es zum Beispiel wichtig, wie viele Geräte die 21H1 Windows-Version verwenden und welche noch auf dem 1809er Stand sind. Denn wenn die verwendete Version zu alt ist, besteht die Gefahr, dass sie aus der Wartung herausfällt und keine aktuellen Patches für sie verfügbar sind.

Fazit

All diese Elemente können Admins mit Hilfe des baramundi Patch Management optimal steuern. Es bietet nicht nur einen guten Überblick über die aktuelle Patch-Situation, sondern enthält auch die notwendigen Werkzeuge, um auf eine akute Bedrohungslage richtig und schnell reagieren zu können. So zum Beispiel die Installation von Patches, Microsoft Anti-Virus Defender Definitions-Updates und dem damit zusammenhängenden Anti-Viren Scan u.v.m.

Mehr lesen?